亚马逊云科技：持续创新帮助用户提升云中安全

上周，亚马逊云科技“2022re:Invent全球大会—北京站”成功召开，该会议分享介绍了前不久在美国拉斯维加斯举办的“2022亚马逊云科技re:Invent全球大会”全新重磅发布和创新实践，亚马逊云科技大中华区产品部总经理陈晓建在以“凌云驭势 重塑未来”的主题演讲中，多维度地向国内用户做了详细介绍。



云正在改变世界，云也在创造无限未来，在陈晓建的主题分享中，他以太空、海洋、南极三个场景的科技探索为例，列举了云技术在不同科技场景当中的应用价值，内容对应了亚马逊云科技在“2022亚马逊云科技re:Invent全球大会”上的全新发布，内容涉及企业的数字化转型下的IT战略，以及安全、业务拓展等内容。
 
可以看到，面对组织实体不同环境的科技探索，亚马逊云科技正在以不可思议的支持力度，满足客户科技为先的实践应用，从而保障已知领域和未知领域内的无限可能。“使用正确的工具，就可以战胜各种环境带来的挑战，不断发生新的可能性。”这次主题分享中，纳斯达克、西门子、Riot Games、Formula On、Expedia、NETFLIX、PHILIPS、Space Perspective都在使用亚马逊云科技的科技创新。
 
在安全419更加关注的网络安全领域，陈晓建也梳理介绍了大量内容：
 
针对安全持续创新 帮助用户提升云中安全
 
在数字化转型当中，有强而有力的安全作为加持，企业才能在业务拓展中走得更好，更远。据陈晓建介绍，安全是亚马逊云科技的Job Zero（意思是它比任何第一要务都更重要），从未停止脚步，在云自身的基础设施安全和云中的安全上持续创新。
 
亚马逊云科技安全四大目标分别是：1、帮助用户快速提升安全水平；2、降低用户的安全成本；3、减少安全事件的处理时间；4、提高企业安全的效率。
 
1、帮助用户快速提升安全水平
 
亚马逊云科技于行业首推安全责任共担模型：即亚马逊云科技负责云平台的安全，客户负责云中所运行的内容的安全。其中亚马逊云科技持续在基础设施和服务层面投入，这些基础设施和服务层面的安全用户可以直接继承和使用。即客户可以在安全的全球基础设施上快速构建应用，且用户始终拥有自己的数据，并且能够加密、移动以及管理保留这些数据。
 
新发布：
 
全新的Nitro V5芯片除了带来性能的提升，还给用户提供了更高的安全性：
Nitro 安全芯片能够尽可能地减少攻击面从而实现安全的云平台，其虚拟化和安全功能被转移到了专用的硬件和软件上。
Nitro Enclaves 创建隔离的计算环境来进一步保护和安全地处理高度敏感的数据。
NitroTPM，即可信平台模块（TPM 2.0），是一项安全性与兼容性功能，它让客户可以在其EC2实例中更轻松地使用依赖TPM的应用程序和操作系统功能。
 
2、降低用户的安全成本：
为云上用户提供安全是云厂商的基本责任，亚马逊云科技在安全方面的初衷则是把安全当成水和空气，是企业持续发展运营的必需品，而不是营利品。
 
新发布：
 
Amazon Verified Permissions，通过将授权与业务逻辑分离，加速应用程序开发，通过权限集中和策略生命周期管理，节省时间和资源，使用自动化分析来确认权限是否按预期执行，从而大规模简化合规性审计工作，通过动态、实时授权决策构建支持零信任架构的应用程序。
 
3、减少安全事件的处理时间
 
从亚马逊云科技的基础设施安全性角度来说，其存在规模效应，百万级客户量的海量云端负载，每天要处理的请求和需要跟踪和监测的安全事件达千万亿级别，安全团队从中找到一些可能的安全事件，其能够采取统一的措施让所有客户都受益。
 
新发布：
 
Amazon Security Lake
Amazon Security Lake是第一个针对安全的数据湖，用户可以通过汇聚，分析和响应来自亚马逊云服务，用户自身应用和安全合作伙伴的所有安全数据。
客户只需几次单击就可以创建，实现对数据的聚合、规范和存储，更快地响应安全事件，同时支持不同的分析工具。Amazon Security Lake可自动编排从数据湖的创建、数据聚合到数据的规范和集成的端到端的流程。Amazon Security Lake最终将帮助客户改善整体安全态势，为安全团队识别和了解安全事件提供更强大的可见性，并缩短安全问题的处理时间。
 
Amazon GuardDuty RDS Protection 现已推出预览版
Amazon GuardDuty 是一项威胁检测服务，它内在的机器学习能力可以智能的持续监控亚马逊云科技账户和工作负载的恶意活动，并提供详细的安全侦察结果以实现可见性和补救，如S3的异常数据访问，Amazon EBS中是否存在恶意文件等。
Amazon GuardDuty也对Amazon Aurora提供了全方位的保护。一旦检测到潜在威胁，Amazon GuardDuty 会生成一个安全检测结果，其中包括数据库详细信息和关于可疑活动的上下文信息。它与 Amazon Aurora 集成，可以直接访问数据库事件，而不需要修改数据库，而且不影响数据库性能。
 
4、提高企业安全的效率
 
在这方面陈晓建解释称，亚马逊云科技为用户提供的安全服务以方便快捷为基准，并且正在持续提升服务的集成度，从而不断地满足用户对安全效率的追求。
 
新发布：
 
Amazon KMS推出了External Key Store （XKS）。它允许用户使用自己控制的外部密钥管理系统，通过那些加密密钥来保护自己的数据。此项功能可与100多项亚马逊云服务相集成，用户免去了繁琐的集成开发工作。
Amazon Macie推出自动化数据发现。有了这一新功能，Amazon Macie可以自动、智能地对Amazon S3 桶中的对象进行采样和分析，从而检查其中的敏感数据，例如个人身份信息、财务数据和其他凭。
 
数字时代 数据战略需要可靠性和安全性
 
陈晓建在分享环节还大篇幅地介绍了亚马逊云科技对于企业在当下面临的数据战略所需要的云技术支撑能力，其中，面向未来的云原生数据基础设施能力是核心要素之一。其中具体能力除了面对不同工作负载下的工具、高性能要求、智能化数据运营能力，同时也包含可靠性和安全性考量。
 
对于可靠性和安全性方面，陈晓建指出，数据提供了不可估量的价值，数字时代的应用创新正在发挥更大价值，但是企业考虑把数据放在云上使用时，云怎么保护我数据和业务的安全，也是企业用户最先考虑的问题。
 
归纳总结认为，数据安全有的来自外部攻击，而从实践去总结，因为内部错误的操作或配置更不在少数。这种数据安全隐患例子如日常工作中由于后台配置升级、软件升级、版本升级所造成的数据安全隐患。
 
新发布：
 
Amazon RDS蓝/绿部署。数据库升级往往是数据安全的隐患。每一次数据库升级涉及许多操作，而且会涉及不可避免的数据库停机时间。Amazon RDS蓝/绿部署为客户开辟一个测试环境进行补丁或者新配置的测试，当测试成功之后快速将测试环境切换为生产环境。这样的功能极大地节省了数据库团队运维中的操作压力，同时提升运维效率，保证数据零损失。
 
Amazon Redshift提供的备份和恢复手段，可以帮助客户在极端情况下，在几分钟之内通过备份数据恢复业务，迁移到另外一个可用区上来。需要强调的是，现在全新发布的Amazon Redshift Multi-AZ功能，则可以帮助企业自动地7*24的在多用区之间实现整个服务的可用性。
 
数据治理和解决方案实践：
 
在数据治理方面，亚马逊云科技还推出了一个全新的数据管理工具Amazon DataZone，它能够很好地把数据访问控制和数据应用性结合在一起，通过Amazon DataZone，用户可以方便地去覆盖整个数据分析的各种服务，来实现对整个数据的分类、发现、分析、共享和管理。
 
Amazon Lake formation通过许可模型和授权机制使客户可以搭建针对数据存储层的精细化访问控制。具体来说，它通过元数据目录提供数据库形式的精细化权限；基于标签的访问控制为客户提供更加规模化和灵活的权限管理，例如表级别、列级别，甚至单元级别。
 
Amazon Clean Rooms是一项保证数据在业务流通中保持安全性的服务。在一些场景中，客户需要得到第三方的数据，但是共享流通过程中因种种限制往往没有办法获取高质量数据，Amazon Clean Rooms可以帮助多方协同者在亚马逊云科技环境下安全地进行数据协作，不需要担心自己源数据的泄露。Amazon Clean Rooms在商业上有着非常普遍的应用场景。
 
如果说Amazon Clean Rooms是为了数据合作提供一种安全环境，那么Amazon Omics则是为了医疗从业者基于组态的数据协作提供绝佳的合作平台。该服务可以为处理海量数据提供低成本存储，以及高性能访问，在提供强大分析能力的同时，兼顾数据的安全性。考虑到绝大部分医疗数据都是和个人隐私强相关，Amazon Omics则能为用户搭建这种安全合规的环境。
 
针对云的攻击威胁越加常见
 
在本次会议的媒体采访环节，亚马逊云科技大中华区安全合规与治理产品总监白帆表示，随着企业上云的积极性越来越高，以及云上存储数据的宝贵程度越来显见，黑客、恶意软件的制造者，正越来越多地将攻击目标指向了云端。
 
对此亚马逊云科技在不断推出各种新的云服务方面，有一条非常重要的原则：那就是将安全融入产品或服务的开发生命周期和运营当中，其做法是内部设置安全守护者小组，按照一定比例在产品团队中设置专职安全岗位，他们为产品和服务的所有安全负责，同时还设置了独立的应用安全审查流程，适用于所有产品的服务的更新与发布。
 
因此，亚马逊云科技上的所有服务和应用都是在这样的安全理念下诞生的，从产品设计的最初就充分考虑到了安全的问题。同时，亚马逊云科技针对企业客户云上业务的安全创新也不断加强，其包含大量自研安全产品，以及与更加广泛的行业生态伙伴在安全上开展合作。
 
白帆还分享了一些来自亚马逊云科技的观察发现：
 
1、2022年我们看到了一些常见的威胁正在持续扩散，包括DDoS攻击，勒索软件攻击等等。DDoS 仍然是最常见的安全威胁之一，我们看到了DDoS攻击事件增长了35%，受影响的实例增长了256%，亚马逊云科技过去抵御了10万多次规模以上的DDoS攻击。他们建议用户构建DDoS弹性架构，通过Amazon Shield和Amazon WAF提高可用性和响应能力。
 
2、攻击者仍在不断部署恶意软件，在最近的六个月内，亚马逊云科技处理了超过2.24亿个恶意软件样本，共28,673种不同类型的恶意软件。
 
3、其中EC2实例保护也在增长，越来越多的用户使用Amazon GuardDuty的智能安全检测服务，保护平台账户安全。安全凭证的意外泄漏也是常见问题，越来越多的用户通过使用Amazon IAM Identity Center和Amazon Security Hub防止安全凭证的意外泄漏。