随着數字時代的到來,越來越多的企業開始選擇将自身業務遷移至雲端發展,但在獲得更加高效便捷的雲上新體驗的同時,雲上安全問題卻成為了企業發展的“攔路虎”。
如何保障雲上安全,已成為關乎企業未來發展的重要問題。
研究機構Forrester日前釋出了2023第二季度《基礎設施即服務平台原生安全Wave™》,可以看出,亞馬遜雲科技、谷歌、微軟在雲原生安全方面的實力遙遙領先。6月13日,在美國加州安納海姆召開了“亞馬遜雲科技 re:Inforce 2023全球大會”,宣布推出十多項安全新服務及功能,比如零信任、安全合規等傳統安全技術産品,亞馬遜雲科技首席資訊安全官 CJ Moses提到如何利用大型語言模型(LLM)強大功能的話題,新釋出的多項服務都與AI相關,其中諸多理念與思考,也為中國企業的安全建設帶來許多創新性的參照。
為何要将安全作為業務的起點
亞馬遜雲科技認為,數字化轉型正在增加,資料安全風險同樣如此,而雲的廣泛使用,意味着資料正在以指數級的速度在雲中存儲。資料顯示,在2020年,人們每秒鐘創造1.7MB的資料,而預測認為,到2025年這個資料将達到463MB。
資料的爆炸,企業的快速創新,使得企業在保障資料安全層面需下猛力,這對企業的持續增長和雲的發展至關重要。因為數字化轉型不僅僅是一種技術戰略,它更使得企業能夠利用技術實作新的商業模式、産品、服務和計劃,并推動業務增長。
在此過程中,從資料中創造業務價值,以實作戰略目标和業務成果。這也就是開篇提及為何要将安全作為業務的起點的緣由。當然,這些說法并非空口無憑,而是有權威調查和确切資料支撐。
Gartner最近一份報告顯示,89%的董事會董事表示,數字化轉型已經嵌入所有業務增長戰略。但隻有35%的董事認為他們已經實作或正在實作數字化轉型目标。是以,作為企業戰略的數字化轉型,接下來還有相當漫長的路程要走,而安全必然與之伴生。
波耐蒙研究所(Ponemon Institute)的一項調查發現,82% 的受訪者認為,他們的組織經曆了至少一次資料洩露。隻有 29% 的組織認為,已經做好應對與數字化轉型相關的主要威脅的準備。
Verizon移動安全指數顯示,73%的安全專業人員和開發人員感到,為了不放慢項目進度,不得不在安全性方面妥協。
由此可見,商業、業務和網絡風險乃從根本上交織在一起,故而增加了資料洩露、資料篡改、DDoS、惡意軟體(包括勒索軟體)、零日攻擊等威脅的風險和影響。
是以,安全作為業務的起點,是雲時代下的必然要求,同時随着AIGC的迅猛發展,網絡攻擊威脅也日趨普及化與簡易化,企業可能面臨着随時随地的攻擊,這對CISO以及企業上司者都将是一個巨大的挑戰。
針對這些,亞馬遜雲科技基于自身技術産品和服務能力的角度,提出了相關解決方案,相信可以給安全業内人士帶來一些參考與觸動。
三大利刃鑄就安全防護信心
俗話說,打鐵還需自身硬。在面對安全威脅的時候,安全産品和服務不光起到防護盾的作用,而且還要擔負起哨兵斥候的功能,故而對安全廠商自身的安全能力和技術積累有着極高的要求。
此外,未知攻焉知防,攻防始終對立統一。兵者詭道也,網絡疆域的明槍暗箭不比古代沙場少。故而攻的一方始終也是求變求新,而防護的一方如果缺乏足夠的經驗認知,往往很難應對攻擊者變幻莫測的攻擊手法。
亞馬遜雲科技自然也認識到了這些問題,一直以來,他們也在這些層面不斷發力,鑄就了極高的安全修為。亞馬遜雲科技首席資訊安全官 CJ Moses就在本次re:Inforce大會上強調:“安全是我們的首要優先級”。是以,在助力企業安全防護上,亞馬遜雲科技就擁有得天獨厚的優勢。尤其是如下三大利刃,更可讓企業CISO及其上司者踏實安心。
1、高标準雲基礎設施
從時間角度來看,亞馬遜雲科技是一家擁有近二十年雲科技安全技術的廠商,而這近二十年,剛好是網際網路科技、數字化轉型、萬物上雲以及網絡資訊安全迅猛發展的時期。更為關鍵的是,亞馬遜雲科技最初在建設新Region的時候,都是3 AZ起步作為基礎标準,以提升雲基礎架構的安全可靠性,造就了亞馬遜雲科技全球31 Region、99AZ的全球布局。而同時期業界在全球雲計算節點标準上,往往以1AZ或2AZ開局,兩者在底層建設邏輯和成本投入上差别相當明顯。亞馬遜雲科技也由此積累了豐厚的技術基礎和雲安全能力。
是以,亞馬遜雲科技高标準雲基礎設施的安全合規性和雲安全文化,客戶可以全面繼承。因為亞馬遜雲科技的安全性始于核心基礎設施,其建構了安全的全球雲基礎設施,客戶無論規模大小,均可獲得一緻的雲安全體驗。
這個很好了解,如果把攻擊威脅視為随時存在塌陷危險的沙漠,而亞馬遜雲科技的高标準雲基礎設施則是建造在沙漠中的堅石平台,無論是大房子還是小房子,建造在平台上,都能享受同等的堅固基石,這就確定亞馬遜雲科技可以全心全力打造一座基石,使其越來越堅固安穩,而不必針對大小客戶建造不同的平台,分散精力的同時,也容易讓客戶産生了差異化對待的負面情緒。
或許有人會覺得,亞馬遜雲科技的基礎設施堅韌有餘,可能靈活度不夠。實際上并非如此,其基礎設施不僅根據安全最佳實踐和最高标準來建立和管理,還考慮到雲的獨特需求,采用備援和分層控制、持續驗證和測試,大量使用自動化,確定底層基礎設施得到7×24小時全天候的監控和保護。
是以,客戶基于亞馬遜雲科技強大安全性的承諾,可以發掘新的高安全合規要求的商機,以此增加市場佔有率。這也印證了上文提及的将安全作為業務的起點,安全性可以提升企業競争力。
2、AI/ML驅動安全自動化服務
今年re:Inforce大會的一個主要議題是由人工智能(AI)和機器學習(ML)驅動的安全服務。釋出的産品是Amazon CodeGuru Security,這是一款靜态應用安全工具,可以檢測安全政策的違反和漏洞,提供解決安全風險的建議,并生成安全健康狀況的名額。安全自動化服務的優點不必多言,比如減少人力消耗和效率低下的人工排查、更快定位威脅和處理風險等等。自動化自然建立在工具使用上,工具本是死物,賦予其能力的便是人工智能和機器學習。
人工智能讓工具擁有一定的鑒别能力,而機器學習則是讓工具不斷疊進能力,兩者相伴相生。亞馬遜雲科技在人工智能和機器學習領域擁有深厚的能力積累,由AI/ML驅動的安全自動化服務,可以幫助客戶更好應對事件,促進業務連續性。
今年re:Inforce大會上,CJ Moses強調:“我們AppSec工具鍊中的這項最新服務,與內建開發環境和CI/CD管道內建,并使用ML和自動推理,通過在開發生命周期的任何階段檢測代碼中的漏洞,幫助建構更安全的代碼……其增強的算法有助于工程和資訊安全團隊通過減少誤報來節省時間。”
CJ Moses還指出,Generative AI 和大型語言模型(LLM)可以通過增強和補充現有的工具和流程,會對安全團隊産生重大影響,同時照顧到較低層次的任務。例如,可以訓練生成性人工智能模型來感覺威脅,總結攻擊事件資料,編寫漏洞補救代碼和編寫滲透測試腳本,以自動建立YARA規則進行惡意軟體檢測等等。
事實上,AI技術可以視為一種中性化的工具,沒有善惡之分,安全防護者可以用來增強安全防禦,惡意攻擊者同樣也可以利用AI進行攻擊威脅。現實中已經發生的案例也證明,Generative AI 可以使沒有深厚經驗的攻擊者更容易建立惡意代碼,比如可以生成更複雜和準确的釣魚郵件等。
針對這類問題,亞馬遜雲科技也提供了保護使用者免受其害的安全防護,因為亞馬遜雲科技的AI能力和ML能力遠非一般攻擊者可比,他們的安全自動化服務可以識别絕大部分由AI生成的威脅攻擊。是以客戶有必要使用基于人工智能和機器學習的防禦措施來避免基于人工智能和機器學習的攻擊。
此外,亞馬遜雲科技安全自動化服務和工具還有一項重要的能力,即可以幫助客戶實作自動安全營運,使得安全團隊騰出手來,專注于更重要的事務上,包括安全事件的檢測、預防和應對等。
3、零信任安全架構理念
零信任已問世一二十年,但火爆于近三四年。可以說,雲安全防護離不開零信任。是以,亞馬遜雲科技也一直強調零信任,重視零信任的研發工作。亞馬遜雲科技進階首席工程師Becky Weiss在re:Inforce大會上指出,十多年來,亞馬遜雲科技一直支援零信任研發,着力于亞馬遜雲科技的身份和通路管理(IAM),IAM 服務現在每秒處理超過10億次API調用。并介紹了亞馬遜雲科技建構零信任能力的兩大産品:Amazon Verified Access和Amazon Verified Permissions。
Amazon Verified Access旨在為客戶提供對在亞馬遜雲科技上運作的企業應用的安全通路,不需要VPN,同時又能執行零信任原則。
Amazon Verified Permissions則是一項使客戶能夠為其應用程式實施和執行細粒度的權限。其優勢在于,可以讓使用者以易于了解的政策來實作精細的權限管理。
兩大應用場景為安全保駕護航
在企業安全層面,合規是一個不可繞過的大坎。像保障資料安全、隐私保護、應用安全等,都成為企業必不可少之事。
在網際網路相對不那麼發達的年代,很多企業資料往往系統内部流通、本地流通、國内流通,而眼下出海已經成為許多企業生存發展不可或缺的戰略,随之而來的就是資料出境、隐私合規以及應用合規等等。
由于各地區相關法律法規的不同要求,許多企業往往在這些方面十分頭痛棘手,一不小心觸碰當地資料隐私法律法規的紅線,各種處罰便會紛至沓來。
針對此類問題,亞馬遜雲科技也始終在着力研發,在資料安全合規和應用安全合規兩大場景下均擁有強大的産品服務能力。
在資料安全合規上,亞馬遜雲科技針對所有存儲客戶資料的117項都提供了加密資料的能力,且加密所有資料後,客戶可以建立資料清單,以确定最需要保護的最敏感資料;支援資料在具有多個資料隐私治理規則的分散環境中操作;利用KMS加密客戶所有内容,確定如果攻擊者擊敗另一層防禦,資料本身仍然受到保護;對于資料安全方面有更嚴格合規要求的客戶,提供經單租戶FIPS 140-2驗證的加密硬體子產品安全性來生成和使用客戶的加密密鑰等等。
亞馬遜雲科技認為,全球隐私相關法律的不斷增加和完善,要求出海企業更加重視隐私合規。這包括兩個次元:
一是隐私保護,使用技術、流程、合同等手段對隐私進行保護。亞馬遜雲科技雲上提供覆寫資料傳輸、存儲、使用等三個方面的安全服務,供出海企業選擇來保護隐私;二是資料跨境,這需要考慮到資料本地化以及減少非必要的資料傳輸。亞馬遜雲科技擁有全球最多的基礎設施區域和可用區,以滿足出海企業實作資料本地化的需求。在資料跨境的層面,亞馬遜雲科技作為技術提供方,提供了系列解決方案,幫助出海企業提升資料跨境的可見性和安全性。
此外,亞馬遜雲科技也能滿足不同行業的資料安全合規要求。以支付行業常見的PCI-DSS為例,亞馬遜雲科技提供了滿足 PCI 合規的全套雲上解決方案,確定出海企業在持卡人資料環境 (CDE)下每一筆交易都安全可靠,全方位的安全服務可為出海企業提升 PCI 審計效率、減輕架構搭建壓力、縮短産品傳遞周期提供了強大支撐。
目前,應用側持續出現一些新的合規要求。在應用安全合規上,亞馬遜雲科技同樣功底深厚。比如幫助區分合法使用者和高風險賬戶注冊;保護和輪換密鑰;保護前端和後端API 在内的安全應用程式;針對應用程式、模型和資料進行安全內建通路,實施流量限制以防禦DDoS攻擊;持續監控和調查可疑行為等等。從應用底層次元進行加強,讓應用無安全之憂,進而讓客戶專注于應用創新研發和落地推廣。
以CSA聯盟推出的針對IOT企業的Matter PKI合規要求為例。一直以來,智能家居應用存在“孤島現象”。2022年末Matter标準釋出,扭轉了這個局面。對此,亞馬遜雲科技推出了PCA服務,可幫助客戶快速建構Matter PKI證書體系,該方案具有成本低、安全性高的特性。
由此可見,随着資料的爆炸式産生,應用的多元度使用,以及資料流動的空間廣度與應用環境複雜性都在提升,資料安全合規和應用安全合規都變得日趨重要且緊迫,亞馬遜雲科技多年來在這些層面所累積的能力,且其具備全球安全視野的優勢,勢必能為企業客戶解決相應難題。
安全能力在實戰中真實展現
衆所周知,再強的安全能力,如果得不到落地應用,那也是鏡花水月。亞馬遜雲科技的安全能力究竟如何,通過許多企業客戶的真實使用,或可一窺端倪。
vivo品牌在國内大概耳熟能詳,其手機門店遍布全國。事實上,vivo業務并不局限于國内,而正不斷覆寫越來越多的國家和地區,這就造成一個問題,即營銷系統的複雜化。
于是,vivo希望能夠實作統一決策、全球一盤棋、精準營銷,并将營銷經驗沉澱為平台能力;在技術上,vivo希望可以拉通資料、業務流進行資料化、全球快速部署、靈活疊代新功能,同時提升運維效率,滿足合規性要求。
經過多番考量,最終vivo選擇亞馬遜雲科技産品和服務能力來建構系統,其充分繼承亞馬遜雲科技在雲基礎架構層面的安全性和合規性,包括實作資料本地化合規,同時借助亞馬遜雲科技提供的各種安全工具進行建構,使自身專注于更上層的工作,進而有效支撐全球營銷業務。
亞馬遜雲科技的安全能力是多方面的。眼下,國内的遊戲業務發展得如火如荼,諸多知名國産遊戲業出走海外,國外的優秀遊戲也走進了國内,其中都免不了要解決資料的安全與穩定的問題。
比如,開發出《Blockman Go》遊戲的國内遊戲開發團隊GVERSE,其遊戲《Blockman Go》的資料服務部署在不同平台,新增遊戲内容、版本測試以及配置管理等,都需要開發兩套系統來進行适配,這就造成一定的維護成本和管理複雜度。
最終,GVERSE選擇将遊戲資料遷移到亞馬遜雲,擁有了高彈性、長期穩定、安全合規的服務保障。亞馬遜雲科技解決方案解放了基礎設施對GVERSE的掣肘,使其主要精力放在拓展海外市場、更好地服務玩家方面,專注于企業創新程序中,無需擔憂資料的安全與穩定。
此外,亞馬遜雲科技還為GVERSE部署了一系列安全産品,從基礎設施保護等方面確定使用者資料安全。此舉有效消除了潛在風險,讓GVERSE對所有業務運作在亞馬遜雲科技上感到放心,并充滿信心。
厚積而厚發
宋代詞人蘇轼在《送張琥》中提及:“博觀而約取,厚積而薄發……”厚積薄發被後人作為成語,意為多多積蓄,慢慢放出。形容隻有準備充分,才能辦好事情。
但是,風險威脅往往如電光火石,攻防成敗可能僅在瞬息之間。因而,亞馬遜雲科技在安全技術能力上始終厚積,但在對客戶的服務支撐上則并不選擇薄發,而是選擇厚發,讓每個客戶都能體驗到亞馬遜雲科技最好的技術能力和經驗積累。
目前,亞馬遜雲科技提供300多項安全、合規和治理服務及功能;亞馬遜雲科技合作夥伴網絡總共擁有來自150多個國家的10萬多家合作夥伴,亞馬遜雲Marketplace還提供了數千種安全解決方案。
此外,亞馬遜雲科技将安全嵌入到業務發展的每一個階段,包括設計、研發、布署和運維的不同階段。加強應用安全建設,實作産品/服務的品質發展,加速業務創新和上線速度。
亞馬遜雲科技還将安全融入産品或服務的開發生命周期和營運當中,設定了安全守護者小組,按照一定比例在産品團隊中設定安全人員崗位,他們為産品和服務的所有安全負責,同時還設定了獨立的應用安全審查流程,适用于所有産品的服務的更新與釋出。
面對複雜多變的雲上環境,期待亞馬遜雲科技能夠不斷推出更加多樣化的産品與服務,也希望有更多的企業能夠通過亞馬遜雲科技廣泛的安全服務組合和合作夥伴解決方案,實作全面的資料安全和應用安全,迎戰智能創新時代。