亚马逊是怎么做云安全的？

8月15日，亚马逊云科技2022 re:Inforce全球安全大会在美国波士顿落下帷幕。根据Synergy Research Group最新数据，2022年第二季度，全球企业在云服务上的支出达547亿美元，比去年同期增长了29%。同时，亚马逊AWS市场份额高达34%，继续领跑云计算市场。

面对全球数百万客户，亚马逊云科技作为平台服务商，在云安全态势日益加剧，安全合规要求日益增强的今天，是如何保障用户的云上安全的？

亚马逊首席信息安全官 Steve Schmidt在主题演讲中表示，亚马逊云科技每天追踪的事件达数十亿条，这使得亚马逊云科技能检测到更多的安全威胁。亚马逊云科技会迅速定位和解决这些安全威胁，并将这些能力更新到安全服务中让更多的客户受益。

在近日的中国媒体沟通会上，亚马逊云科技大中华区产品部总经理陈晓建详细介绍了亚马逊云科技的安全理念、安全机制、产品方案等，记者摘取其发言要点，供业界了解亚马逊云科技是如何做好云安全，以及有哪些可借鉴的举措。

安全理念

陈晓建介绍，亚马逊始终将安全作为最高优先级的工作，将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中，源源不断为客户提供像水和空气一样无处不在的安全防护。

亚马逊云科技秉承的安全理念包括六个方面。

1.安全的最高优先级是解决基本问题。与其去救火，更需要做的是防患于未然，要发现基本的安全问题，并且把这些基本问题在第一时间去解决。

2.规模效应。当监测到在单个客户身上发生的异常情形时，在及时处理安全事件的同时，也复用到其他用户，让其他用户免受同样的威胁或攻击，这是安全规模化带来的好处。

3.将安全融入产品或服务的开发生命周期和运营。亚马逊有一个独特的机制，叫做安全守护者，或者说“应用安全审查流程中的安全大使”，按照一定比例在产品团队中设置安全人员岗位，为产品和服务的所有安全负责，同时还设置了独立的应用安全审查流程，所有产品的服务的更新与发布必须通过这个流程。

4.将人和数据分开。安全里最重要的因素，一个是人、一个是数据。这两个维度是完全正交的，需要对两个维度同时考虑，形成一个更严谨的方案。

5.洋葱型的多层防护。亚马逊云科技认为云中安全应该是一个洋葱型的多层防护，而不是一个鸡蛋。云上安全需要层层递进的防护机制，不同层次之间还有互补机制。不能过度依赖于某一个单点控制、单一服务或产品，否则点故障就会导致发生安全事件。例如，防火墙可以阻挡外部攻击，但不能解决恶意的内部攻击，这就需要访问控制，主机安全和数据加密来共同解决，这就是典型的多层防护。

6.“Stronger together”聚⼒携⼿才能⾛向强⼤。客户对安全的需求，促使亚马逊云科技进步和提升，亚马逊云科技再把这些发现、经验和实践总结出来，让更多的客户受益。结果就是亚马逊云科技和用户一起携手进步，变得更强大。

企业文化与安全机制

有了安全理念，还需要无处不在的企业文化和可行有效的安全机制。

1.安全是公司每一个人的责任。亚马逊强调安全高于其他的业务，各个业务的负责人定期会面，以确保业务需求并关注安全问题，亚马逊云科技每周有一次安全会议，包括CEO也会参加，这种机制代表了亚马逊云科技对安全工作的高度认识。

2.通过自动化工具来提高效率和竞争力，将安全嵌入整个开发过程。除了强调每个人的参与之外，还需要工具来让工作更高效。通过对基础问题或复杂问题使用不同的工具，开发者可以清楚了解安全的边界，使得开发过程更安全，审查效率也更高。

3.安全应该是一条基线，并对业务产生尽可能小的影响。一个成功的安全团队不是给业务部门设置障碍，而是可以帮业务团队找到一条更安全、更高效的实现路径。

4.衡量安全团队、业务团队的安全价值。亚马逊云科技设置了两类可衡量指标：针对产品团队，衡量指标是他们是否提出了好的安全建议，促进了哪些安全功能的发布；针对安全团队，指标是促进了多少新产品的发布，缩短了多少新产品上线的时间。

5.保持安全团队成员的多样性，具备不同的背景或能力。这样可以从更全面的角度来看待安全问题。

最佳实践

在多年云安全实践的基础上，陈晓建介绍了亚马逊云科技总结出的一些高效可行的举措。

1.最小权限原则，考虑用户的角色和职责范围，对访问权限设置有效期。

2.漏洞报告，设置对内对外两套漏洞报告机制；亚马逊云科技鼓励员工和客户发现并上报任何安全漏洞，而无需担心误报，后台的专业安全团队会评估和解决漏洞报告。

3.对勒索软件，要及时发现问题并做好预报，并通过以下服务提供帮助，使用Amazon Inspector提前检测漏洞，使用Amazon GuardDuty检测异常活动，最后要用好Amazon Backup的存储备份功能，可以及时恢复数据。

4.诸如Log4J这类漏洞，首先要严格限制来自互联网的访问；其次，拥有全面的软件清单及其使用方式；再次，保持第三方产品更新到最新版本；然后做好深度防御和日志记录。

新举措和新动向

有效的安全离不开与时俱进的产品和服务，亚马逊云科技从各个维度都在加强安全措施。据陈晓建介绍，近日，亚马逊云科技推出了Marketplace Vendor Insights（预览版），可以简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务，加速了对供应商的评估，将用户的采购时间从8-12周缩短到7天，帮助用户实现业务的快速上线。

同时，推出了专门为云计算设计的合规审计培训课程：Cloud Academy Audit，计划在今年将CAA的课程引入到中国，并针对中国市场增加等级保护的内容。

此外，还对社会公开亚马逊云科技内部员工安全意识培训的内容，从而让更多的用户受益。

在亚马逊云科技2022 re:Inforce大会上，亚马逊云科技发布了一些安全方面的最新服务。

例如可帮助客户检测运行在其云环境中的的恶意软件的Amazon GuardDuty Malware Protection；增强了Amazon IAM的功能，将认证对工作负载的管理能力扩展至客户的云环境之外；发布了Amazon Detective for Elastic Kubernetes Service，可帮助客户分析和调查Amazon EKS集群上Kubernetes 潜在的安全风险。此外，Amazon Config还新增合规性分数功能，以百分比的形式展现客户相关资源的合规程度，方便客户逐步对照并解决合规问题。

对中国市场，亚马逊云科技关注中国客户特有的安全合规要求和环境，致力于帮助客户解决隐私保护、数据跨境和云上安全问题。同时，今年开始，亚马逊云科技在中国举办CISO对话，创造一个互相交流的平台，听取用户对于云安全合规的具体诉求和问题，分享亚马逊云在安全合规方面的经验和实践，通过一起探讨安全管理，文化和技术，让安全与合规不再成为业务在云上快速增长的阻碍。