亞馬遜雲科技一年有兩個re開頭的品牌大會,一個是會頻繁刷屏的、關注技術産品創新的,被稱作是雲計算春晚的re:Invent,一個是關乎安全的re:Inforce。
亞馬遜雲科技是全球規模最大的公有雲廠商,但似乎并沒有成為最大的安全廠商的打算,并沒有選擇所有事情全都自己做,特别是在安全部分,它表現出了很強的開放性。
re:Inforce是一個什麼樣的活動?
re:Inforce策劃之初,亞馬遜雲科技内部有人質疑安全的活動關注度不夠高。但自從2019年首次舉辦以來,前後也一共辦了五屆。而且,今年的re:Inforce面向更多人開放,越發凸顯了亞馬遜雲科技對于安全的重視。
亞馬遜雲科技首席安全官CJ Moses介紹稱,“我們希望有一個具有強烈安全内涵的名字,而re:Inforce與re:Invent同屬一個re品牌,re:Inforce希望強化(reinforce)能為使用者提供的安全資訊和安全教育訓練的相關内容。”。
從CJ Moses的介紹中了解到,re:Inforce不同于傳統的市場活動,活動本身更側重安全方面的教育教育訓練作用,活動設定了不同的難度等級,整體内容非常豐富。
我們能注意到,來這裡做分享的不隻是亞馬遜雲科技的專家,還有很多使用者和行業專家,是以,這不是亞馬遜雲科技的獨角戲。
與很多活動一樣,re:Inforce會結合行業内的熱點。比如,在談到2023年re:Inforce的關鍵資訊點時,CJ Moses提到了零信任。從各種迹象來看,亞馬遜雲科技非常看中零信任(Zero Turst)。
确實,從安全行業來看。零信任是整個行業都非常關注的話題,不斷變化的員工構成,不斷加強的行業監管和使用者對于精确權限管理的需求,都推動着零信任的發展。
零信任是一套安全架構,也是一套關于“先驗證才信任”的安全實踐,它不特指某些具體的安全服務,但很多安全服務都會基于零信任模型架構來實作。
2022年re:Invent,亞馬遜雲科技釋出了Amazon Verified Access預覽版。不久前,又宣布正式可用。Verified Access可以不需要VPN就能實作遠端安全通路,可以減少遠端連接配接可能會帶來的安全風險。
在re:Inforce活動上,亞馬遜雲科技宣布Amazon Verified Permissions正式可用,Amazon Verified Permissions将零信任的能力延展到了使用者自己的應用程式裡,在應用開發階段就能落地零信任。
除了對于零信任的重視,作為亞馬遜雲科技的品牌活動,re:Inforce要傳遞的另外一個資訊是,亞馬遜雲科技希望使用者以更少的阻力享受到安全。
亞馬遜雲科技幫助使用者以更少的阻力實作安全
衆所周知,亞馬遜雲科技在安全方面提出了責任共擔模型。一部分安全問題由亞馬遜雲科技來解決,叫做Security of the Cloud。另外一部分由使用者來負責,叫做Security in the Cloud。
亞馬遜雲科技負責雲基礎架構本身的安全問題,這一部分包含很多關鍵技術服務,比如Amazon Nitro、Firecracker、Amazon Backup、Amazon GuardDuty、Amazon Route 53 Resolver DNS Firewall、Amazon Shield等等。
而在Security in the Cloud部分,亞馬遜雲科技會提供多種安全服務來幫助使用者解決安全問題。此次re:Inforce活動期間又釋出了很多新服務,為的是幫助幫助使用者以更少的阻力實作安全。
re:Inforce活動期間,亞馬遜雲科技在零信任方面釋出了Amazon Verified Permission,在安全合規方面釋出了Amazon Inspector SBOM (軟體物料清單)Export,在代碼掃描方面釋出了Amazon Inspector Code Scans For Lambda和Amazon CodeGuru Security,在第三方應用安全認證方面,釋出了Amazon Built-in Partner Solutions來給第三方應用的安全性背書。
大語言模型是2023年科技圈繞不開的話題,盡管大模型會帶來顯而易見的安全問題,比如用來生成以假亂真的釣魚郵件,但亞馬遜雲科技安全專家的态度是積極迎接大語言模型帶來的影響,将其用在安全方面。
于是,亞馬遜雲科技釋出了叫Findings Groups for Amazon Detective的新服務,使用機器學習技術和圖技術找出事件之間的關聯性,最後定位出問題所在。
然而,正如上文所說,re:Inforce不是亞馬遜雲科技自說自話的專場活動,衆多安全相關的贊助商和合作夥伴的出現讓這場大會更具開放性,也更有影響力。
re:Inforce表現出了更強的開放性
亞馬遜雲科技是全球規模最大的公有雲廠商,但并沒有選擇所有事情全都自己做,特别是在安全部分,它表現出了很強的開放性。
亞馬遜雲科技在安全方面與業内安全生态保持着很多合作關系。翻開re:Inforce大會官網,我們能看到大概有80家贊助商,其中既有IBM、Crowdstrike、Datadog、PaloAlto、Wiz、Splunk、Trend(趨勢科技)這些知名安全相關廠商,還有很多初創級的安全相關廠商。
亞馬遜雲科技在安全技術架構方面有很強的開放性。前不久,Amazon Security Lake(安全湖)宣布正式可用,安全湖會自動收集、組合和分析來自80多個資料來源的安全資料,這些資料源有的來自亞馬遜雲科技,有的來自安全合作夥伴,還有的來自分析提供商。
亞馬遜雲科技為Amazon Security Lake(安全湖)設定了OCSF(Open Cybersecurity Schema Framework)開放标準,将傳入的資料全都轉換成符合 (OCSF) 開放标準的格式後,就能高效分析和利用這些安全資料。
OCSF是亞馬遜雲科技向業界開源的一個項目,作為一個開放标準,它可在任何環境、應用程式或解決方案中采用,安全服務提供商和資料提供者都可以采用該架構,它可以幫助安全團隊簡化資料的攝取和使用流程。
從亞馬遜雲科技Amazon Security Lake總經理Rod Wallace的介紹中了解到,安全湖接下來的發展目标是與更多安全類的合作夥伴進行合作,接入更多資料源。
類似的,亞馬遜雲科技在安全方面開放了 Cedar 政策語言,新釋出的Amazon Verified Permissions 支援使用者使用 Cedar 在自己的應用中進行精細的權限控制。
上文提到的Verified Access可以在部分場景裡替代VPN,可以減少與遠端連接配接相關的風險,為了提高新服務的實用性,Verified Access與很多安全合作夥伴進行了整合,包括:Beyond Identity, CrowdStrike, CyberArk, Cisco Duo等等。