亞馬遜是怎么做云安全的？

8月15日，亞馬遜云科技2022 re:Inforce全球安全大會在美國波士頓落下帷幕。根據Synergy Research Group最新數據，2022年第二季度，全球企業在云服務上的支出達547億美元，比去年同期增長了29%。同時，亞馬遜AWS市場份額高達34%，繼續領跑云計算市場。

面對全球數百萬客戶，亞馬遜云科技作為平臺服務商，在云安全態勢日益加劇，安全合規要求日益增強的今天，是如何保障用戶的云上安全的？

亞馬遜首席信息安全官 Steve Schmidt在主題演講中表示，亞馬遜云科技每天追蹤的事件達數十億條，這使得亞馬遜云科技能檢測到更多的安全威脅。亞馬遜云科技會迅速定位和解決這些安全威脅，并將這些能力更新到安全服務中讓更多的客戶受益。

在近日的中國媒體溝通會上，亞馬遜云科技大中華區產品部總經理陳曉建詳細介紹了亞馬遜云科技的安全理念、安全機制、產品方案等，記者摘取其發言要點，供業界了解亞馬遜云科技是如何做好云安全，以及有哪些可借鑒的舉措。

安全理念

陳曉建介紹，亞馬遜始終將安全作為最高優先級的工作，將安全作為一種文化貫穿在亞馬遜云科技整個企業運營當中，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。

亞馬遜云科技秉承的安全理念包括六個方面。

1.安全的最高優先級是解決基本問題。與其去救火，更需要做的是防患于未然，要發現基本的安全問題，并且把這些基本問題在第一時間去解決。

2.規模效應。當監測到在單個客戶身上發生的異常情形時，在及時處理安全事件的同時，也復用到其他用戶，讓其他用戶免受同樣的威脅或攻擊，這是安全規模化帶來的好處。

3.將安全融入產品或服務的開發生命周期和運營。亞馬遜有一個獨特的機制，叫做安全守護者，或者說“應用安全審查流程中的安全大使”，按照一定比例在產品團隊中設置安全人員崗位，為產品和服務的所有安全負責，同時還設置了獨立的應用安全審查流程，所有產品的服務的更新與發布必須通過這個流程。

4.將人和數據分開。安全里最重要的因素，一個是人、一個是數據。這兩個維度是完全正交的，需要對兩個維度同時考慮，形成一個更嚴謹的方案。

5.洋蔥型的多層防護。亞馬遜云科技認為云中安全應該是一個洋蔥型的多層防護，而不是一個雞蛋。云上安全需要層層遞進的防護機制，不同層次之間還有互補機制。不能過度依賴于某一個單點控制、單一服務或產品，否則點故障就會導致發生安全事件。例如，防火墻可以阻擋外部攻擊，但不能解決惡意的內部攻擊，這就需要訪問控制，主機安全和數據加密來共同解決，這就是典型的多層防護。

6.“Stronger together”聚?攜?才能?向強?。客戶對安全的需求，促使亞馬遜云科技進步和提升，亞馬遜云科技再把這些發現、經驗和實踐總結出來，讓更多的客戶受益。結果就是亞馬遜云科技和用戶一起攜手進步，變得更強大。

企業文化與安全機制

有了安全理念，還需要無處不在的企業文化和可行有效的安全機制。

1.安全是公司每一個人的責任。亞馬遜強調安全高于其他的業務，各個業務的負責人定期會面，以確保業務需求并關注安全問題，亞馬遜云科技每周有一次安全會議，包括CEO也會參加，這種機制代表了亞馬遜云科技對安全工作的高度認識。

2.通過自動化工具來提高效率和競爭力，將安全嵌入整個開發過程。除了強調每個人的參與之外，還需要工具來讓工作更高效。通過對基礎問題或復雜問題使用不同的工具，開發者可以清楚了解安全的邊界，使得開發過程更安全，審查效率也更高。

3.安全應該是一條基線，并對業務產生盡可能小的影響。一個成功的安全團隊不是給業務部門設置障礙，而是可以幫業務團隊找到一條更安全、更高效的實現路徑。

4.衡量安全團隊、業務團隊的安全價值。亞馬遜云科技設置了兩類可衡量指標：針對產品團隊，衡量指標是他們是否提出了好的安全建議，促進了哪些安全功能的發布；針對安全團隊，指標是促進了多少新產品的發布，縮短了多少新產品上線的時間。

5.保持安全團隊成員的多樣性，具備不同的背景或能力。這樣可以從更全面的角度來看待安全問題。

最佳實踐

在多年云安全實踐的基礎上，陳曉建介紹了亞馬遜云科技總結出的一些高效可行的舉措。

1.最小權限原則，考慮用戶的角色和職責范圍，對訪問權限設置有效期。

2.漏洞報告，設置對內對外兩套漏洞報告機制；亞馬遜云科技鼓勵員工和客戶發現并上報任何安全漏洞，而無需擔心誤報，后臺的專業安全團隊會評估和解決漏洞報告。

3.對勒索軟件，要及時發現問題并做好預報，并通過以下服務提供幫助，使用Amazon Inspector提前檢測漏洞，使用Amazon GuardDuty檢測異常活動，最后要用好Amazon Backup的存儲備份功能，可以及時恢復數據。

4.諸如Log4J這類漏洞，首先要嚴格限制來自互聯網的訪問；其次，擁有全面的軟件清單及其使用方式；再次，保持第三方產品更新到最新版本；然后做好深度防御和日志記錄。

新舉措和新動向

有效的安全離不開與時俱進的產品和服務，亞馬遜云科技從各個維度都在加強安全措施。據陳曉建介紹，近日，亞馬遜云科技推出了Marketplace Vendor Insights（預覽版），可以簡化對供應商的安全合規評估并實現對風險的持續監測。亞馬遜云科技通過該服務，加速了對供應商的評估，將用戶的采購時間從8-12周縮短到7天，幫助用戶實現業務的快速上線。

同時，推出了專門為云計算設計的合規審計培訓課程：Cloud Academy Audit，計劃在今年將CAA的課程引入到中國，并針對中國市場增加等級保護的內容。

此外，還對社會公開亞馬遜云科技內部員工安全意識培訓的內容，從而讓更多的用戶受益。

在亞馬遜云科技2022 re:Inforce大會上，亞馬遜云科技發布了一些安全方面的最新服務。

例如可幫助客戶檢測運行在其云環境中的的惡意軟件的Amazon GuardDuty Malware Protection；增強了Amazon IAM的功能，將認證對工作負載的管理能力擴展至客戶的云環境之外；發布了Amazon Detective for Elastic Kubernetes Service，可幫助客戶分析和調查Amazon EKS集群上Kubernetes 潛在的安全風險。此外，Amazon Config還新增合規性分數功能，以百分比的形式展現客戶相關資源的合規程度，方便客戶逐步對照并解決合規問題。

對中國市場，亞馬遜云科技關注中國客戶特有的安全合規要求和環境，致力于幫助客戶解決隱私保護、數據跨境和云上安全問題。同時，今年開始，亞馬遜云科技在中國舉辦CISO對話，創造一個互相交流的平臺，聽取用戶對于云安全合規的具體訴求和問題，分享亞馬遜云在安全合規方面的經驗和實踐，通過一起探討安全管理，文化和技術，讓安全與合規不再成為業務在云上快速增長的阻礙。