日前，亞馬遜云科技一年一度的全球云安全盛會2022 re:Inforce在美國波士頓落下帷幕。亞馬遜云科技大中華區產品部總經理陳曉建系統介紹了此次峰會的重點內容。

亞馬遜云科技安全理念：最高優先級是解決基本問題

陳曉建指出，亞馬遜云科技秉承的安全理念是：安全的最高優先級是解決基本問題，因此，亞馬遜云科技在安全領域進行了豐富的實踐，并將這些實踐內置到云服務中。其中，重要的實踐經驗包括：

首先，規模效應：每一天，亞馬遜云科技處理著全球海量的API請求和日志記錄，從中能夠監測到更多異常，會快速解決發生在單個客戶身上的異常情形，并讓其他用戶從中受益，免受同樣的威脅或攻擊，這就是安全規?；瘞淼暮锰?。

其次，將安全融入產品或服務的開發生命周期和運營當中，通過設置安全守護者小組，按照一定比例在產品團隊中設置安全人員崗位，為產品和服務的所有安全負責，同時還設置了獨立的應用安全審查流程，適用于所有產品的服務的更新與發布。

• 將人和數據分開，因為兩個維度的交叉形成的交集是一個更嚴謹的安全方案。
• 洋蔥型的多層防護：云中安全應該是一個洋蔥型的多層防護，而不是一個雞蛋：云上安全需要層層遞進的防護機制，不同層次之間還需有互補機制；不能過度依賴于某一個單點控制、單一服務或產品，否則點故障就會導致發生安全事件。例如，防火墻可以阻擋外部攻擊，但不能解決惡意的內部攻擊，這就需要訪問控制，主機安全和數據加密來共同解決，這就是典型的多層防護。
• Stronger together聚?攜?才能?向強?：從根本上講，這些能力都來源于客戶，客戶對安全的需求，促使亞馬遜云科技的進步和提升，再把這些發現、經驗和實踐總結出來，告訴給更多的客戶。這就是所謂的反哺，最終的結果是亞馬遜云科技和用戶一起攜手進步，變得更強大。

亞馬遜云科技重視安全領域的企業文化與安全機制

安全絕不僅僅是技術的問題，亞馬遜云科技非常重視安全方面的企業文化與安全機制的經營，其重要理念包括：

安全是公司每一個人的責任：各個業務的負責人定期會面，以確保業務需求并關注安全問題，亞馬遜云科技每周有一次安全會議，包括CEO也會參加，這種機制加強了安全文化。

通過自動化工具來提高效率和競爭力，將安全嵌入整個開發過程。通過對基礎問題或復雜問題使用不同的工具，開發者可以清楚了解安全的邊界，使得開發過程更安全，審查效率也更高。

安全應該是一條基線，并對業務產生盡可能小的影響。一個成功的安全團隊不是對業務部門說不能做這個，不能做那個，而是說這個事情可以這樣來做。

兩類可衡量指標：一是針對產品團隊的衡量指標：考察是否提出了好的安全建議，促進了哪些安全功能的發布；二是針對安全團隊的指標：考察促進了多少新產品的發布，縮短了多少新產品上線的時間。

安全團隊成員保持多樣性，最好具有不同的性格或不同的背景或文化。

此外，亞馬遜云科技總結出很多重要的最佳實踐：最小權限，考慮用戶的角色和職責范圍，對訪問權限設置有效期；漏洞報告，設置對內對外兩套漏洞報告機制，鼓勵員工和客戶發現并上報任何安全漏洞，而無需擔心誤報，亞馬遜云科技后臺的專業安全團隊會評估和解決漏洞報告；勒索軟件，發現問題并做好預報，通過以下服務提供幫助：使用 Amazon Inspector 提前檢測漏洞，使用 Amazon GuardDuty 檢測異?；顒?，并使用 Amazon Backup 的存儲備份功能；Log4J漏洞，嚴格限制來自互聯網的訪問，擁有全面的軟件清單及其使用方式，保持第三方產品更新到最新版本，深度防御以及重視日志記錄。

“通過我們的海量運營、通過我們去支持全球數百萬客戶的各種安全事件，然后把在一個客戶中所取得的實踐，能夠復用到其他客戶中來，從而取得規模效益。” 陳曉建說。

re:Inforce發布的安全項目新舉措、新動向，以及新產品、新功能

在安全項目新舉措方面，推出了亞馬遜云科技Marketplace Vendor Insights（預覽版），簡化對供應商的安全合規評估并實現對風險的持續監測。亞馬遜云科技通過該服務，加速了對供應商的評估，將用戶的采購時間從8-12周縮短到7天，從而實現業務的快速上線；推出了專門為云計算設計的合規審計培訓課程：Cloud Academy Audit，計劃在今年將CAA的課程引入到中國，并增加等級保護的內容；公開了亞馬遜云科技內部員工安全意識培訓的內容，讓更多的用戶受益。

此次的re:Inforce大會，還透露出亞馬遜云科技在安全領域的很多新動向。

在加密方面：首先，亞馬遜云科技提供了兩種密鑰管理方式：靜態加密功能，由亞馬遜來管理和控制密鑰；Amazon KMS，由用戶自行管理控制密鑰，同時可根據業務負載自動擴容。

其次，亞馬遜云科技數據加密著重考慮價格和性能因素，價格設計得非常低，并且盡可能不影響性能，還提供Amazon CloudHSM專用安全模塊，可幫助用戶實現硬件加密。

第三，加強了量子計算與加密的研發：亞馬遜云科技認為，量子計算讓現有加密技術不再安全，尤其是非對稱加密技術，因此誕生了“抗量子計算密碼學”。美國國家標準與技術研究所NIST公布了首批后量子密碼標準，四種算法勝出，亞馬遜云科技就是其中兩種算法的作者之一。亞馬遜云科技不但參與新技術的研究與標準的制定，同時也開展新技術的落地與產品化，包括：實現了混合后量子密鑰交換技術，正在將后量子密碼標準整合到服務中；把signal-to-noise代碼庫中實現TLS的代碼進行了開源；已經為三種服務的 TLS 連接提供了這些量子安全算法和選項：Amazon KMS、Amazon Certificate Manager 和 Amazon Secrets Manager；與互聯網的標準制定方IETF機構合作研究新的TLS技術標準。

第四，在開源方面，亞馬遜云科技研發了開源加密庫LibCrypto，可用作開源加密庫如OpenSSL的替代品，LibCrypto針對云服務進行優化，可以在Gravition芯片上跑得更快，申請了LibCrypto FIPS 認證，FIPS是NIST發布的聯邦信息處理標準，許多機構仍然將FIPS視為一項信息加密處理的高標準背書，未來三年內將向開源安全基金會OSSF 投資1000 萬美元

自動化推理Provable Security，為安全提供真實證明：使用數學推理所有具體值、請求、網絡、代碼路徑。亞馬遜云科技推動了可證明的安全性的發展，將自動化推理應用于核心服務，以確保它們的結果是數學上可證明的。

此外，亞馬遜云科技還給出了三點行動建議：一是萬事皆需加密：加密是良好數據保護策略的核心組成部分；二是禁止公開訪問權限，這對于Amazon S3服務尤其重要；三是啟用多因素認證（MFA）, Amazon MFA是為訪問云提供額外安全的最簡單和最好的方法之一。

re:Inforce還發布了很多新產品、新功能：

Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通過該服務，客戶可為其本地服務器、容器和應用程序等工作負載設置臨時憑證，客戶在云上和本地的工作負載中使用相同的訪問控件、部署管道和測試流程，將Amazon IAM對工作負載的管理能力擴展至客戶的云環境之外，不但降低了運維成本和復雜度，還進一步提高了客戶工作負載的安全性。

推出Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，將Amazon Detective覆蓋的數據源擴展至Amazon EKS，可幫助客戶更加輕松分析和調查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動，并找出根本原因，客戶以此可以快速采取措施來解決問題，提升安全性。

推出Amazon GuardDuty Malware Protection, 可幫助客戶檢測運行在其云環境中的的惡意軟件。該功能的推出，進一步擴展了Amazon GuardDuty的威脅檢測范圍。Amazon GuardDuty可掃描多種文件系統，包括Windows和Linux 文件、 PDF文件、歸檔文件、二進制文件、安裝文件、郵件等，在掃描過程中，不會對云中相關資源的性能造成影響；Amazon Security Hub 和Amazon GuardDuty 之間的集成提升了集中化和單一管理的客戶體驗，讓客戶可以輕松地查找可能遇到的任何安全問題。使用該集成功能了解客戶組織的整體安全狀態，輕松搜索、過濾、分類、調查存在的任何安全發現，并采取行動；此外，Amazon GuardDuty擁有專業合作伙伴提供惡意軟件檢測方案，還提供修復能力和機器學習能力。

Amazon Config新增合規性分數功能，幫助客戶跟蹤資源合規性。該新功能是Amazon Config的一項增強功能，以百分比的形式展現客戶相關資源的合規程度，方便客戶逐步對照并解決合規問題。

在中國市場推出兩大舉措

亞馬遜云科技非常重視并認同中國客戶有著自己獨特的安全合規要求和環境，因此會深入到客戶當中，發現眾多的問題集中在隱私保護、數據跨境和云上安全建設，希望能幫助客戶解決云上安全合規最棘手的問題，享受云上的好日子。

此外，今年開始亞馬遜云科技在中國舉辦了CISO對話，通過一起探討安全管理，文化和技術，讓安全與合規不再成為業務在云上快速增長的阻礙。舉辦CISO對話的目的，就是創造一個互相交流的平臺，輸出亞馬遜云在安全合規方面的經驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規的具體訴求和需要解決的問題。

“云上安全的態勢時刻變化，日新月異，我們必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。亞馬遜云科技始終將安全作為最高優先級的工作，將安全作為一種文化貫穿在亞馬遜云科技整個企業運營當中。我們會加速安全理念、新的安全服務及功能在中國區域的落地，與中國客戶一起解決云上安全和合規的棘手挑戰，為他們云上業務創新保駕護航。”陳曉建總結說。