维端网CISO,首席信息安全官,这一群体的特质有二:一是他们需要具备极高的安全管理能力;其次,他们对安全事件的预警及分析要始终做到“心中有数”。
然而,面对全球大大小小,变化莫测的安全威胁,CISO们的脑海中始终萦绕着一个充满哲理的思考:如果能力有限,那么对未知的威胁该做出何种反应?
这不由得令人想起计算机科学与人工智能之父艾伦图灵,曾说过的一句名言:“我们的目光所及受限,但我们可以看到许多能够做的事情。
对于安全同理–无论是CISO个人亦或是其背后的团队,甚至是大型安全厂商,其能够做的事情一定是有限的,但是从防范未然到及时补救,任何一位安全护卫者对安全这道大门都需要付出更多的努力,方能收获安稳之境。
布局“防患于未然”,云端时刻保驾护航
“与其去救火,不如先把防患于未然,让火警隐患消失于发生之前,这是亚马逊云科技云安全一直在承诺的理念”。亚马逊云科技大中华区产品部总经理陈晓建一语直入CISO们的内心。
日前,亚马逊云科技一年一度的全球云安全盛会2022 re:Inforce在美国波士顿落下帷幕。
而在近日举办的亚马逊云科技中国安全媒体沟通会上,亚马逊云科技再次向安全领域的CISO及用户们承诺:亚马逊云科技将进一步加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,实现云上安全新升级。
那么,亚马逊云科技如何让“防患于未然”的安全理念科学的深入场景,其又推出了哪些新的安全能力,于云端为客户保驾护航呢?
从概率事件上看,云安全事件往往都是由由多种因素造成的,并形成了以极小概率,但损失巨大为特点的安全威胁。
陈晓建看来,安全事件从萌芽到侵害,是一个循序渐进的过程,而这一过程中涉及概率事件、规模效应、生命周期、人与数据、多层防护、协同合作等多个方面。
“我们要做的工作就是发现这些有可能发生的、极小的概率事件,这就是云安全首要考虑的事情”。陈晓建以Amazon GuardDuty为例,展示了亚马逊云科技威胁检测服务对于极小概率事件探测的优势所在–其可持续监控恶意活动和未经授权的行为,从而保护云中账户、负载、程序及存储数据的安全。通过内置机器学习引擎,运用机器学习能力,不断改进对威胁的预警。
规模效应上,得益于全球海量的API处理请求和日志记录,亚马逊云科技可从自身的数据资源池中监测到更多异常,并快速解决发生在单个客户身上的安全问题,并让其他用户从中安全规模化的实践中受益,免受同样的威胁或攻击;
在安全服务生命周期和运营中,亚马逊云科技始终强调,只有将安全融入到客户业务整个生命周期中去,这才是实现安全有效的办法。为此,亚马逊云科技通过分别设置安全守护者小组以及设置独立的应用安全审查流程,来确保用户的安全防范进入到全生命周期的安全服务中;
在人与数据上,亚马逊云科技强调通过将人与数据两个维度分别考量,并形成协同的整体方案,以此让防护机制更为坚实。
针对多层防护,洋葱型的多层防护一直是亚马逊云科技安全机制中所强调的防护形态。
在陈晓建看来,云上安全需要层层递进的防护机制,不同层次之间更要有互补机制;其次,安全方案不能过度依赖于某一个单点控制、单一服务或产品,否则点故障就会导致发生安全事件。例如,防火墙可以阻挡外部攻击,但不能解决恶意的内部攻击,这就需要访问控制,主机安全和数据加密来共同解决,这就是典型的多层防护。
协同合作上,亚马逊云科技强调从安全能力源于客户需求,而针对客户需求的经验和实践总结,则会进一步反哺客户。最终的结果就是亚马逊云科技和用户一起携手进步,在安全能力上变得更强大。
陈晓建认为,安全理念转化为行动,而行动会在不断的实践中,形成文化与机制,持续夯实企业用户的安全环境。
首先,安全是企业每一个人的责任,而这种责任要深入到各个业务的负责人的日常工作中,形成责任机制;其次,将安全嵌入整个开发过程,通过自动化工具来提高效率和竞争力,使得开发过程更安全,审查效率也更高;第三,安全应该是一条基线,并对业务产生尽可能小的影响;第四,安全团队成员保持多样性,具有不同的性格或不同的背景或文化。
理念转化为行动,行动形成机制,而最佳实践则从中形成了经验,亚马逊云科技也从中总结出了四个关键实践:
设置最小权限,考虑用户的角色和职责范围,对访问权限设置有效期;
运用漏洞报告机制,鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报;
持续监测漏洞,运用Amazon Inspector 以及Amazon GuardDuty 检测异常活动。并使用 Amazon Backup 的存储备份功能。
基于全面的软件清单及其使用方式,严格限制来自互联网的访问。
re:Inforce安全新动向,加持安全盾牌新功能
从理念到实践,亚马逊云科技在安全领域的持续探索,总能让用户期待着新的产品与技术的发布,那么,在本次re:Inforce又有哪些新的安全技术新动向呢?
维端网获悉,re:Inforce首当推出了Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中可使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
而Amazon Detective for Elastic Kubernetes Service(Amazon EKS)的推出,则向业界正式宣布了Amazon Detective覆盖的数据源扩展至Amazon EKS,其可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
新发布的Amazon GuardDuty Malware Protection, 则进一步彰显出亚马逊云科技其云环境中监测恶意软件的能力:该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围,即可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响;Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。使用该集成功能了解客户组织的整体安全状态,轻松搜索、过滤、分类、调查存在的任何安全发现,并采取行动。
Amazon Config也有效新增了合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
值得一提的是,除了新产品与新功能,合作伙伴网络和亚马逊云科技Marketplace也是亚马逊云安全的重要着力点,本次re:Inforce上,亚马逊云科技专门为此呈现了对合作伙伴网络与亚马逊云科技Marketplace的最新加持:
亚马逊云科技将会继续加强安全合作伙伴网络的建设。在安全服务、资源的对接上,亚马逊云科技将所有合作伙伴的能力分为八个类别,涉及40多个安全的场景,合作伙伴需要选择安全能力的时候,可以通过亚马逊云科技的安全门类及服务,来找到最适合自己的安全合作伙伴。
其次,亚马逊云科技Marketplace Vendor Insights的预览版,省去了用户对合作伙伴安全能力的调研工作,由亚马逊云科技帮助前者进行对合作伙伴服务的安全合规评估,其建立在Config和Audit Manager之上,并集成于合作伙伴的安全产品方案中。
亚马逊云科技Marketplac Vendor Insights的推出,意味着用户最快可以在一周之内就可以完成对合作伙伴安全产品的采购,因此可以帮助客户实现业务的快速上线;
在赋能培训上,本次re:Inforce唉推出了有关审计、风控和合规工作的培训,即Cloud Audit Academy(CAA),该审计培训工作专门为云计算所设计,而不是为了通用的传统数据中心设计的,通过CAA,亚马逊云科技可以指导用户将云的技术应用到日常的审计工作中来,并应用于安全、合规、审计、风控等等部门。
据悉,该计划在今年将被引入到中国区,为中国的客户提供支持。
“在培训上,亚马逊云科技还会把对内部员工的安全意识培训课程开放出来,伙伴和用户可通过官网获取,并可以将这些内容用于自身员工的培训。”陈晓建补充道。
CISO对于安全的认知与管理能力正在提升,而新的安全威胁仍然层出不穷。
正如陈晓建所言,云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。
业界相信,在这样的安全发展进程中,未来几年,将有更多用户提出新的安全需求,并部署新的解决方案以保证其整个业务系统的稳定性、可靠性以及获得更全面的管理能力。
而亚马逊云科技与云安全合作伙伴加持云安全创新的决心,将进一步在“防患于未然,护航于全生命周期”中带来更加坚实的安全盾牌。
