2022年，隨著企業數字化轉型的逐漸深入，對云計算、大數據、物聯網、人工智能等新技術的應用越來越廣泛，與此同時，愈演愈烈的網絡攻擊已成為企業數字化的新挑戰，CIO、CTO、CISO們對云安全的重視程度也越來越高。

亞馬遜云科技作為全球最大的云計算廠商，對安全亦十分重視，始終將安全作為最高優先級的工作。一年一度的re:Inforce全球云安全大會，今年已是第四屆。在近日舉辦的re:Inforce中國媒體溝通會上，亞馬遜云科技大中華區產品部總經理陳曉建分享了亞馬遜云科技在安全方面秉承的理念、企業文化與安全機制，今年推出的安全項目和新舉措，re:Inforce發布的新動向、新產品和新功能，以及針對中國市場的兩大舉措。

“云上安全的態勢時刻變化，日新月異，我們必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。與其去救火，我們更需要做的是防患于未然，這個是亞馬遜云科技云安全一直在承諾的理念。”陳曉建如是說。

亞馬遜云科技大中華區產品部總經理陳曉建

亞馬遜云科技的六大主要安全理念

1)安全的最高優先級是解決基本問題，亞馬遜云科技在這一領域擁有豐富實踐，并將這些實踐內置到云服務中;

2)云安全具有規模效應，通過亞馬遜云科技的海量運營，在支持全球數百萬客戶的各種安全事件的同時，可以把這些客戶實踐和安全能力復用，讓其他用戶從中受益;

3)將安全融入產品或服務的開發生命周期和運營當中，設置安全守護者小組，在產品團隊中設置安全人員崗位，同時設置獨立的應用安全審查流程，適用于所有產品、服務的更新與發布;

4)從人和數據兩個維度同時考慮形成更嚴謹的安全方案，對人以最小化的原則定義訪問權限，并且給權限設置有效期，對數據則需要考慮加密、脫敏等更多內容;

5)不能過度依賴于某一個單點控制、單一服務或產品，而是以洋蔥型的多層防護形成層層遞進的防護機制，不同層次之間有互補機制;

6)發現客戶對安全的需求，將經驗和實踐總結出來，反哺給更多的客戶，使亞馬遜云科技和用戶一起攜手進步，變得更強大。

樹立安全方面的企業文化與安全機制

在企業文化和安全機制方面，亞馬遜云科技認為：安全是公司每個人的責任，團隊協作的精神對安全而言至關重要。為此，亞馬遜云科技各個業務的負責人定期會面，每周一次的安全會議CEO也會參加，這種機制加強了亞馬遜云科技的安全文化。

安全是一項極其復雜的工作，需要很多工具來幫助安全工作更高效。亞馬遜云科技通過自動化工具來提高效率和競爭力，將安全嵌入整個開發過程。

安全很多時候會給業務帶來一定的阻力，需要強調的是：業務有起有落，但是安全應該是一條基線，并對業務產生盡可能小的影響。安全工作不是為了給業務團隊設置障礙，而是幫業務團隊找到一條更安全、更高效的實現路徑。

為此，亞馬遜云科技設置了兩類可衡量指標：

A)針對產品團隊的衡量指標是：是否提出了好的安全建議，促進了哪些安全功能的發布;

B)針對安全團隊的指標是：促進了多少新產品的發布，縮短了多少新產品上線的時間。

除此之外，亞馬遜云科技刻意保持團隊的多樣性，由于團隊成員具有不同的性格、不同的背景或文化，能力模型不同的人對同樣一件事情可能有很多不同的看法，能夠為團隊帶來更新的思考視角。

云安全領域的四個最佳實踐

陳曉建在會上分享了多年以來亞馬遜云科技在服務客戶的過程中總結出的云安全實踐。

(1)最小權限。進行訪問權限的管理時，除了考慮用戶的角色和職責范圍，還需要對訪問權限設置有效期，同時客戶也應該定期檢查訪問權限，來確保這些權限隨著業務的變化仍然是合理和有效的，并且對管理者的權限也要進行時間控制。

(2)漏洞報告。在工作中設置對內、對外兩套漏洞報告機制，鼓勵員工和客戶發現并上報任何安全漏洞，無需擔心誤報，亞馬遜云科技后臺的專業安全團隊會評估和解決漏洞報告。

(3)勒索軟件。防范勒索軟件最重要的工作是提前演習，發現問題并做好預報。亞馬遜云科技通過以下服務為用戶提供幫助，提升其業務的安全性：包括使用 Amazon Inspector 提前檢測、排查安全漏洞;使用 Amazon GuardDuty 檢測異常活動;使用 Amazon Backup 的存儲備份功能，定期進行數據備份，可以一鍵回滾、及時恢復數據和業務。

(4)Log4J漏洞。從這一安全事故中我們要吸取教訓，并嚴格做到以下五點：嚴格限制來自互聯網的訪問;必須擁有全面的軟件清單及其使用方式;保持開源軟件等第三方產品更新到最新版本;深度防御;進行日志記錄管理。

re:Inforce推出的新項目、新服務和新功能

據悉，亞馬遜云科技在本屆re:Inforce全球云安全大會上推出了Marketplace Vendor Insights(預覽版)，簡化并加速了對供應商的安全合規評估，實現了對風險的持續監測。如今，客戶在選擇安全伙伴時不再需要自己去評估安全伙伴提供服務的安全性，而是由亞馬遜云科技代客戶完成，此舉可將用戶的采購時間從8-12周縮短到7天，從而實現業務的快速上線。

亞馬遜云科技還推出了專門為云計算設計的合規審計培訓課程：Cloud Academy Audit(CAA)，通過CAA指導用戶將云技術應用到日常的審計工作中，用于安全、合規、審計、風控等部門。據透露，亞馬遜云科技計劃在今年將CAA課程引入中國，并增加等級保護的相關內容，以便為中國客戶提供支持。此外，亞馬遜云科技公開了內部員工安全意識培訓的內容，讓更多的用戶受益。

為給客戶帶來更好的安全防護，亞馬遜云科技根據客戶的安全需求發布了多項安全服務及功能。在加密領域，亞馬遜云科技推出混合后量子密鑰交換，目前已經為Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務提供了量子安全算法。

亞馬遜云科技研發了新的開源加密庫“LibCrypto”，它針對云服務進行優化，可以在Gravition芯片上跑得更快，同時LibCrypto可以作為OpepSSL的替代品。陳曉建透露亞馬遜云科技正在申請FIPS(NIST發布的聯邦信息處理標準)認證，希望通過LibCrypto和FIPS的認證，幫助客戶提供一個更有效、更安全的加密機制。

此外，亞馬遜云科技借助自動化推理，通過數據邏輯的應用來檢測可能存在的安全風險和配置錯誤，為云本身和云中的安全性提供更高的保障，并推動可證明的安全性的發展。

亞馬遜云科技梳理了用戶需要注意的三項重要的安全策略：

1.萬事皆需加密，加密是良好數據保護策略的核心組成部分;

2.禁止公開訪問權限，這對于Amazon S3服務尤其重要;

3.啟用多因素認證(MFA), Amazon MFA是為訪問云提供額外安全的最簡單和最好的方法之一。

在新產品、新功能方面，亞馬遜云科技發布了可幫助客戶檢測運行在其云環境中的惡意軟件的Amazon GuardDuty Malware Protection;將Amazon IAM擴展至客戶的云環境之外的Amazon Identity and Access Management (Amazon IAM) Roles Anywhere;可幫助客戶分析和調查在Amazon EKS集群上Kubernetes 潛在安全問題或可疑活動的Amazon Detective for Elastic Kubernetes Service(Amazon EKS)等。

中國市場的兩大舉措

最后，陳曉建介紹了亞馬遜云科技面向中國市場的兩大舉措。

“與海外客戶不同的是，中國客戶有著自己獨特的安全合規要求和環境，我們發現中國客戶在安全領域更關注隱私保護、數據跨境和云安全建設”，陳曉建提到。最近，亞馬遜云科技發起了Stronger Together項目，希望幫助客戶制定更好的安全策略，助力客戶解決云上安全合規最棘手的問題，為他們的云上業務創新保駕護航。

此外，今年亞馬遜云科技開始在中國舉辦CISO對話，目的是創造一個互相交流的平臺，輸出亞馬遜云在安全合規方面的經驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規的具體訴求和需要解決的問題，讓安全與合規不再成為業務在云上快速增長的阻礙。