隨著云計算應用的日益深入，用戶考慮的不再僅僅是如何上云，而是更關注如何保證云上的安全。受近年來云安全事件頻發的影響，用戶對云上安全的需求越來越迫切。《網絡安全法》、《數據安全法》、《個人信息保護法》等法規政策的出臺，GDPR、CCPA等相關數據安全法律法規的發布，強化了企業安全合規的要求，進一步推動了云安全市場的快速發展。在這樣的背景下，各大云廠商都在強化自身安全能力，同時將自身安全能力產品化輸出。

“云上安全的態勢時刻變化，日新月異，我們必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。” 亞馬遜云科技大中華區產品部總經理陳曉建表示。

亞馬遜云科技大中華區產品部總經理陳曉建

亞馬遜云科技始終將安全作為最高優先級的工作，將安全作為一種文化貫穿在亞馬遜云科技的企業運營中。在近日舉辦的亞馬遜云科技re:Inforce全球云安全大會中國媒體溝通會上，陳曉建從安全理念、安全文化和機制、新的產品服務的發布三個方面，深入介紹了亞馬遜云科技在安全方面的布局。

防患于未然的安全理念

亞馬遜云科技的云安全理念是防患于未然，要發現所有的安全問題，把基本問題在第一時間解決掉，并且將海量運營、以及支持全球數百萬客戶各種安全事件的經驗和實踐，復用到其他客戶中，從而取得規模效益。同時，亞馬遜云科技將安全融入產品或服務的開發生命周期和運營當中，設置安全守護者小組，按照一定比例在產品團隊中設置安全人員崗位，為產品和服務的所有安全負責，設置獨立的應用安全審查流程，適用于所有產品的服務的更新與發布。

洋蔥型的、層層遞進的防護機制是亞馬遜云科技安全的一大特色，包括威脅檢測與事件響應、身份認證與訪問控制、網絡與基礎架構安全、數據保護與隱私、風險管控及合規五層。“客戶對安全的需求，促使我們進步和提升，我們再把這些發現、經驗和實踐總結出來，告訴給更多的客戶。最終的結果就是亞馬遜云科技和用戶一起攜手進步，變得更強大。“

加強企業安全文化與機制的建設

安全不只是CEO的責任，也不只是公司安全團隊的責任，而是公司每個人的責任。亞馬遜云科技每周一次的安全會議，會有各個業務的負責人參加，確保業務需求并關注安全問題，這種機制加強了安全文化建設。亞馬遜云科技還通過自動化工具來提高效率和競爭力，將安全嵌入整個開發過程。通過對基礎問題或復雜問題使用不同的工具，開發者可以清楚了解安全的邊界，使得開發過程更安全，審查效率也更高。

亞馬遜云科技在多年的服務客戶的實踐中，總結出來了四點最佳實踐：首先是最小權限，考慮用戶的角色和職責范圍，對訪問權限設置有效期。第二是漏洞報告，設置對內、對外兩套漏洞報告機制，鼓勵員工和客戶發現并上報任何安全漏洞，而無需擔心誤報，亞馬遜云科技后臺的專業安全團隊會評估和解決漏洞報告。第三是針對勒索軟件，要發現問題并做好預報，此時，可以使用Amazon Inspector 提前檢測漏洞，使用 Amazon GuardDuty 檢測異常活動，使用 Amazon Backup 來實現存儲備份功能。第四，對于Log4J漏洞，要嚴格限制來自互聯網的訪問，要擁有全面的軟件清單及其使用方式，同時要保持第三方產品更新到最新版本，進行深度防御，做好日志記錄。

除此之外，亞馬遜云科技推出了Marketplace Vendor Insights的預覽版，簡化對供應商的安全合規評估并實現對風險的持續監測。通過該服務，可以加速對供應商的評估，將用戶的采購時間從8-12周縮短到7天，從而實現業務的快速上線。亞馬遜云科技還推出了專門為云計算設計的合規審計培訓課程：Cloud Academy Audit，計劃在今年將CAA的課程引入到中國，并增加等級保護的內容。

根據客戶需求持續豐富安全服務及功能

在加密方面，亞馬遜云科技提供靜態加密功能和Amazon KMS。靜態加密功能由亞馬遜來管理和控制密鑰，Amazon KMS由用戶自行管理控制密鑰，同時可根據業務負載自動擴容。

值得注意的是，為了應對未來量子計算的快速發展，亞馬遜云科技推出混合后量子密鑰交換，目前已經為Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務提供了量子安全算法。

在開源領域，亞馬遜云科技研發了開源加密庫LibCrypto。據陳曉建介紹，LibCrypto可用作開源加密庫的替代品，如OpenSSL。LibCrypto還針對云服務進行了優化，可以在Gravition芯片上跑得更快。他透露，亞馬遜云科技正在申請FIPS的認證，希望能夠通過LibCrypto和FIPS的認證，幫助客戶提供一個更有效、更安全的加密機制。

除了加密，亞馬遜云科技推動了可證明的安全性的發展，將自動化推理應用于核心服務，以確保它們的結果是數學上可證明的。

針對企業安全建設，陳曉建也給出了三點行動建議。首先，加密是良好數據保護策略的核心組成部分，萬事皆需加密。第二，要禁止公開訪問權限，這對于Amazon S3服務尤其重要。第三，啟用多因素認證（MFA）, Amazon MFA是為訪問云提供額外安全的最簡單和最好的方法之一。

re:Inforce堪稱全球重要的安全行業大會，亞馬遜云科技在此次大會上發布了眾多安全領域的新服務和功能，涵蓋威脅檢測及響應、身份認證和訪問控制、合規等多個方面，并推出安全合作伙伴網絡相關的新舉措。包括Amazon GuardDuty Malware Protection，可幫助客戶檢測運行在其云環境中的的惡意軟件。該功能的推出進一步擴展了Amazon GuardDuty的威脅檢測范圍；Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，將Amazon IAM對工作負載的管理能力擴展至客戶的云環境之外。通過該服務，客戶可為其本地服務器、容器和應用程序等工作負載設置臨時憑證，并使用與云端工作負載相同 IAM 角色和策略來訪問相關資源；Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，將Amazon Detective覆蓋的數據源擴展至Amazon EKS，可幫助客戶更加輕松分析和調查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動，并找出根本原因；Amazon Config新增合規性分數功能，幫助客戶跟蹤資源合規性。

打造安全合規方面的交流平臺

針對中國用戶關注的隱私保護、數據跨境、云安全建設問題，亞馬遜云科技從今年開始在中國舉辦了CISO對話，旨在創造一個互相交流的平臺，輸出亞馬遜云在安全合規方面的經驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規的具體訴求和需要解決的問題。通過一起探討安全管理，文化和技術，讓安全與合規不再成為業務在云上快速增長的阻礙。