圖為亞馬遜雲科技CEO Adam Selipsky
文/在前線 老涼
雲計算是數字時代的銀河戰艦,安全就是戰艦的核心武裝。亞馬遜雲科技在雲安全底線上堅守,同樣是決不妥協。
業務上雲變得越來越便捷和普及,與之而來的安全問題日益突出。作為全球雲計算產業的風向標,亞馬遜雲科技re:Invent每年都會對雲的發展提出各種真知灼見,並推出大量新服務與新功能,而云安全方面也不例外,這同樣是亞馬遜雲科技的核心優勢之一。
在前不久召開的2022 re:Invent上,亞馬遜雲科技推出了全新的Amazon Security Lake,來幫助使用者聚合、管理和分析日誌及事件資料,實現更快的威脅檢測、調查和事件響應。此外,亞馬遜雲科技還推出Amazon GuardDuty RDS Protection和Amazon GuardDuty對容器執行時的威脅檢測功能,前者可以在Amazon Aurora資料庫上執行基於機器學習的智慧威脅檢測,保護企業資料;後者主要用於確保容器安全。
在前線認為,雲安全是企業解決上雲過程中所面臨內部、外部威脅的必備能力。亞馬遜雲科技一直重視雲安全壁壘的構建,在2022 re:Invent上,亞馬遜雲科技推出Amazon Security Lake、Amazon GuardDuty RDS Protection等新的安全服務,從威脅檢測,資料處理,安全預防等多個方面幫助企業使用者打造更符合自身的安全措施。
上雲趨勢下,雲安全面臨三大難題
如今,雲的規模和邊界在不斷擴大,伴隨而來的,就是貫穿業務各個環節的資料安全問題。
據《Gartner中國雲基礎設施和平臺服務市場指南》的資料,到2024年,中國將近40%的終端使用者在系統的基礎設施和基礎設施的軟體上支出將會轉到“雲服務”上。從整個大環境來說,雲計算產業也會呈現高速增長的態勢,IDC預測,到2025年,全球雲計算市場規模將逾1。3萬億美元,中國將超過萬億元人民幣。
亞馬遜雲科技CEO Adam Selipsky在談到上雲與雲安全時指出,這好比人類探索大海的歷程。大海深不可測,不可知,令人望而生畏。目前,深海仍然為我們帶來挑戰和希望。但是,當我們有了合適的裝置和保護措施,就可以繼續安全、自信地探索海洋的奧秘。
我們看到,在私有云、公有云、混合雲等多雲融合的發展趨勢下,雲安全的構建也變得更加複雜,主要原因有以下三點:
其一,多雲環境的普遍應用,讓企業IT架構變得複雜,資料型別、分佈更加繁多、廣泛,這使得雲安全的目標隨之增多,構建完善的安全制度難度變大,再加上近些年興起的雲原生和Serverless、跨雲等領域,為全面的雲安全提出了更高要求;
其二,雲計算安全閾值的接受度是很低的,這主要是因為資料大規模爆發,雲上執行的業務越來越多,任何一個小問題都有可能成為影響企業業務發展的安全隱患。預防這些小機率事件,往往需要探究多重因素,並打造實時有效的安全技術和方案,將安全嵌入到業務流程中的每一個細小環節;
其三,企業在全球化發展中面臨的安全合規問題,目前,全球已經有132個國家跟地區制定了資料保護和隱私相關的法律法規,隨著數字化不斷演進,更多地區對企業安全合規的要求會愈加嚴苛,成為企業全球化佈局需要面臨的首要問題。
這三方面原因,讓眾多雲服務商加大了在雲安全領域的探索,而作為全球雲計算的領導者,亞馬遜雲科技在雲安全方面投入的精力和兵力遠超同行。
在Adam Selipsky看來,很多公司具備強勁的增長潛力,但在現代IT中,由於缺乏安全與保障、資料與應用保護這些先決條件,使得這些公司開展數字化轉型的底氣不足,難以走遠走深,從而無法蛻變為領域的開拓者。正是如此,安全成為了亞馬遜雲科技優先順序最高的工作,並始終堅守這樣的理念。
一年兩大會,全面夯實雲安全矩陣
亞馬遜雲科技對雲安全的重視程度,可以從其舉辦的系列安全相關活動一探究竟。
從2019年開始,亞馬遜雲科技每年都會舉辦re:Inforce全球雲安全大會,時至今年已經舉辦第四屆,re:Inforce全球雲安全大會也成為了雲安全領域的新風向。再加上每年的re:Invent大會,亞馬遜雲科技也會持續釋出安全領域的新服務、新功能,使得自身的雲安全矩陣不斷完善,進而為使用者提供全方位的防護。
在7月底的2022 re:Inforce大會上,亞馬遜雲科技推出了眾多安全領域的新服務和功能,涵蓋威脅檢測及響應、身份認證和訪問控制、合規等多個方面,包括:Amazon GuardDuty Malware Protection、Amazon IAM Roles Anywhere、Amazon Detective for EKS等,並將Amazon Detective覆蓋資料來源擴充套件至Amazon EKS,為 Amazon Config新增合規性分數功能。
需要注意的是,Amazon IAM Roles Anywhere將Amazon IAM對工作負載的管理能力擴充套件至客戶的雲環境之外。透過該服務,客戶可為其本地伺服器、容器和應用程式等工作負載設定臨時憑證,並使用與雲端工作負載相同IAM角色和策略來訪問相關資源。客戶可以在雲上和本地的工作負載中使用相同的訪問控制元件、部署管道和測試流程,這樣的好處十分明顯,降低運維成本和複雜度的同時,還進一步提高了客戶工作負載的安全性。
為了將安全融入到企業上雲全週期的各個流程,亞馬遜雲科技在2022 re:Invent上持續發力,推出專門針對使用者聚合、管理和分析日誌及事件資料而構建的安全資料湖Amazon Security Lake,旨在幫助使用者實現更快的威脅檢測、調查和事件響應。
一般來講,為了能夠做到主動識別潛在的威脅和漏洞,並作出相應響應,大多數企業都會依賴於不同來源的日誌和事件資料,如應用程式、防火牆、身份識別系統等,這些資料來源可能執行在雲中或企業本地,各自使用獨特的、互不相容的資料格式。
當需要識別安全問題時,企業需要先將所有資料聚合並規範化為一致格式,然後才能分析、瞭解並作出反應。隨著資料量和安全解決方案的增多,這種方式會變得越來越費時費力,當下採用的建立中央儲存庫的方法不僅耗時長,而且來自不同資料來源的日誌資料規模也會十分龐大,甚至會達到PB級。
基於此,亞馬遜雲科技推出了Amazon Security Lake,這是一個專門構建的安全資料湖,可以根據客戶選擇的資料來源,自動聚合、規範來自亞馬遜雲科技的資料,並將其與支援OCSF的第三方資料來源結合,把資料最佳化為易於儲存和查詢的格式。不僅如此,Amazon Security Lake使用Amazon S3和Amazon Lake Formation構建安全資料湖,客戶可在其亞馬遜雲科技帳戶中自動配置安全資料湖的基礎設施,擁有對自身資料的完整控制權。
Amazon Security Lake的主要作用是幫助客戶改善整體安全態勢,為安全團隊識別和了解安全事件提供更強大的可見性,並縮短安全問題的處理時間。目前,Amazon Security Lake 已在美國東部(弗吉尼亞北部)、美國東部(俄亥俄)、美國西部 (俄勒岡)、亞太地區 (悉尼)、亞太地區 (東京)、歐洲 (法蘭克福)和歐洲 (都柏林) 區域提供預覽版,其它亞馬遜雲科技區域也將很快推出。
此外,在2022 re:Invent大會上,亞馬遜雲科技進一步擴充套件了Amazon GuardDuty的威脅檢測範圍,推出Amazon GuardDuty RDS Protection和Amazon GuardDuty對容器執行時的威脅檢測功能兩項服務,前者可以在Amazon Aurora資料庫上執行基於機器學習的智慧威脅檢測;後者主要用於檢測Amazon EKS容器服務上託管的Kubernetes容器環境是否儲存安全威脅。
Forrester 副總裁兼研究總監戴鯤指出,“在持續動盪的全球宏觀經濟環境下,廣大企業客戶亟需構建兼具韌性、自適應性和創造性的適應未來的技術戰略。亞馬遜雲科技在今年re:Invent大會上的產品與服務釋出不僅一如既往地貫徹自身以客戶為中心的長期主義,而且持續彰顯其作為全球公有云基礎設施與開發平臺市場領導者的前瞻性技術視野與快速產品創新能力。”
可以看到,亞馬遜雲科技對於雲安全的探索不斷加快、加深。在波詭雲湧的雲計算領域,企業上雲的方式、規模,以及業務發展的場景、模式也在持續變化,而對安全性的要求也變得複雜。
正是在這種大環境下,亞馬遜雲科技在雲安全領域不斷滿足使用者需求的同時,也逐步豐富、完善自身的雲安全矩陣,並以此打造堅實的技術壁壘。值得一提的是,2023 re:Inforce全球安全大會將於2023年6月召開,屆時,亞馬遜雲科技會有更多安全新服務和新功能釋出。
與使用者共進,打造雲安全四大柱石
安全是使用者數字化轉型、變革的需求,防患於未然是亞馬遜雲科技堅守的底線。綜合來看,亞馬遜雲科技已經構築了四大安全柱石,為使用者的數字化轉型保駕護航:
一是將安全管理建設成為亞馬遜雲科技基礎設施和服務的中心支柱。亞馬遜雲科技對其基礎設施24×7全天候監控,提供多種故障隔離功能以提高韌性,並允許對流經亞馬遜雲科技網路的所有資料在其離開亞馬遜雲科技安全設施前進行加密。如今,亞馬遜雲科技被公認為高度安全的環境,已透過最高級別審查;
二是嚴格確保開發安全,並保障開發人員構建安全應用。亞馬遜雲科技重視每一個服務的安全性,在內部,其安全團隊也會深度參與每一個新服務的開發,出現任何安全問題的新服務都不會予以啟動。同時,針對廣泛的開發人員,亞馬遜雲科技提供Amazon CodeWhisperer和Amazon CodeGuru等託管服務來幫助其進行應用開發,藉助機器學習技術來改善開發人員的編碼安全狀況;
三是堅決保護使用者的資料安全和擁有權,打造廣泛的安全重點服務,幫助使用者識別、修復和消除應用程式中的漏洞和威脅。亞馬遜雲科技不碰觸使用者資料,只提供方便快捷的雲服務,使用者始終對資料具備擁有權,只需藉助亞馬遜雲科技提供的安全託管服務,如Amazon Inspector、Amazon Macie、Amazon Security Hub、Amazon Shield 、Amazon GuardDuty等來構建符合自身的安全體系即可。
四是合規問題及更廣泛的安全途徑。目前,亞馬遜雲科技已經獲得98項安全標準與合規認證,可以為使用者的全球化發展提供有力保障。同時,亞馬遜雲科技也提供廣泛獲取市場上第三方解決方案的途徑,已有數千個第三方解決方案與亞馬遜雲科技深度整合,涵蓋應用安全、資料保護、邊界保護、合規性、身份和訪問控制等多個方面。
正是由於亞馬遜雲科技在安全領域的持續深耕,讓其獲得了更多使用者的認可,同時也為亞馬遜雲科技在安全領域的創新提供了更多可能。據瞭解,亞馬遜雲科技將近90%的服務都是來自於客戶的反饋。
這一點很重要,正是和客戶的緊密聯絡,才讓亞馬遜雲科技能夠不斷根據客戶需求持續豐富其安全服務及功能,從而會給客戶帶來更好的安全防護。比如在加密領域,為了滿足使用者應對未來量子計算快速發展的需求,亞馬遜雲科技推出混合後量子金鑰交換,目前已經為Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務提供了量子安全演算法。
與客戶在安全領域共進,促使亞馬遜雲科技提出了安全責任共擔模型,這也成為了雲計算行業內通用的安全準則之一。亞馬遜雲科技負責底層雲基礎設施和所提供雲服務的安全,客戶負責自身雲業務安全。
在前線認為,萬物上雲,安全是底線和生命線。亞馬遜雲科技不但重視雲服務的建設與創新,更在雲安全領域持續創新、做出表率。亞馬遜雲科技每年在雲安全領域投入重兵,使自己的安全服務、功能不斷豐富,同時,加強與客戶聯絡,透過客戶反饋獲得持續創新的動力,並藉此鞏固行業技術壁壘,與客戶共進、共贏,引領雲安全的新風向。