筑云安全之基 亚马逊云科技驭势前行

回顾2022年上半年的安全事件，1月，劳动力与人力资本管理解决方案提供商美国Kronos公司私有云平台遭勒索软件攻击；2月，由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”，国际电信巨头沃达丰葡萄牙公司大部分客户数据服务被迫下线；3月，美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击，5400万消费者征信数据泄露；4月，哥斯达黎加政府旗下多个机关遭到Conti勒赎软件攻击，许多重要工作如征税、公务员工资发放等受到影响；5月，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站至少1个小时无法访问；6月，美国医疗设备公司Shields Health Care Group (Shields)遭遇黑客攻击，泄露了大约200万美国人的医疗数据。

安全事件已经成为产业良性发展的重要威胁，企业需要时刻防备“冷箭”与“明枪”。在安全领域，云上安全与合规是亚马逊云科技的优势之一。2019年开始，亚马逊云科技每年都会专门举办安全合规方面的全球大会re:Inforce。2022年7月，亚马逊云科技在re:Inforce全球安全大会上发布了大量新服务和新功能。时隔4个月，亚马逊云科技又在2022 re:Invent全球大会上推出安全方面的新服务和新功能——Amazon Security Lake与Amazon GuardDuty RDS Protectio。

Forrester 副总裁兼研究总监戴鲲表示：“在持续动荡的全球宏观经济环境下，广大企业客户亟需构建兼具韧性、自适应性和创造性的适应未来的技术战略。亚马逊云科技在re:Invent大会上的产品与服务发布不仅一如既往地贯彻自身以客户为中心的长期主义，还彰显其作为全球公有云基础设施与开发平台市场领导者的前瞻性技术视野与快速产品创新能力。”

在数据安全事件频发的当下，安全工程师迫切希望获得主动识别潜在威胁和漏洞的能力，快速进行相应反应以预防安全事件发生。其中存在两大难题：一方面，在进行相关的数据分析、安全洞察前，企业必须聚合所有数据并统一格式，客户通常使用不同的安全解决方案应对特定场景，数据存储模式、格式多样，复制、处理相同数据不仅费时费力，还降低了安全团队检测和响应问题的能力；另一方面，当客户添加新的用户、工具和数据源时，安全团队必须管理一组复杂的数据访问规则和安全策略，以跟踪数据使用情况并确保工作人员能够获得工作所需信息。

Amazon Security Lake是一个日志数据和安全事件信息的数据湖，可以自动将客户在云端和本地的安全数据集中到客户在亚马逊云科技账户下专门构建的数据湖中，方便客户针对安全数据做出快速行动；可以定制数据备份保留设置，实现数据生命周期管理；可将传入的安全数据转换为高效的Apache Parquet格式，并使数据符合开放网络安全架构框架（Open Cybersecurity Schema Framework，OCSF）；能对来自亚马逊云科技的安全数据自动做标准化处理，并将其与几十个预集成的第三方企业安全数据源相结合；客户只需几次单击就可以创建、使用他们熟悉的分析工具；在完成设置、连接到选定的数据源之后，Amazon Security Lake会自动在客户选定的亚马逊云科技区域中构建一个安全数据湖，让客户更轻松地满足区域性的数据合规要求。

在数据摄入并规范化之后，客户就可以使用他们熟悉的安全和分析工具，包括Amazon Athena、Amazon OpenSearch和Amazon SageMaker，以及来自IBM、Splunk、Sumo Logic等的第三方解决方案，快速、方便地获取各种数据，进行深入的分析。Amazon Security Lake将帮助客户改善整体安全态势，为安全团队识别和了解安全事件提供更强大的可见性，缩短安全问题的处理时间。

在应对安全威胁，防止恶意入侵方面，实时性、准确性是数据库保驾护航的“密钥”。时刻监控数据库内部信息、精准洞察威胁态势是企业保证数据安全不可或缺的能力。

Amazon GuardDuty RDS Protection可以在Amazon Aurora数据库上运行基于机器学习的智能威胁检测，保护企业数据。用户在GuardDuty控制台中一键启动这项功能后，Amazon GuardDuty就会使用定制的机器学习模型监测数据库的访问活动，准确地检测可疑登录。发现异常后，GuardDuty 会生成包含数据库信息、可疑活动信息在内的安全提示信息。

此外，容器的应用越来越广泛，企业需要合适的工具确保容器安全。在此前发布的GuardDuty EKS Protection就是用于检测Amazon EKS容器服务上托管的Kubernetes容器环境是否收到存储安全威胁。未来，亚马逊云科技还将推出Amazon GuardDuty对容器运行时的威胁检测功能，以此帮助企业了解容器内部情况，在恶意行为造成损害之前做出响应。

“在客户的交流中，我们发现，客户选择亚马逊云科技最重要的原因之一就是亚马逊云科技上的应用和数据安全性明显优于本地基础设施或其它云。” Adam Selipsky表示：“在我看来，亚马逊云科技的安全性分为四点：一是安全性是设计和管理亚马逊云科技基础设施和服务的中心支柱；二是在亚马逊云科技上，开发人员不再需要以安全性和速度为代价在；三是亚马逊云科技广泛的安全重点服务可帮助构建者识别、修复和消除应用程序中的漏洞和威胁；四是亚马逊云科技提供了广泛获取市场上第三方解决方案的途径，并与数千个第三方解决方案深度集成。”

为给客户带来更好的安全防护，近年来，亚马逊云科技不断根据客户需求持续丰富其安全服务及功能。在7月的re:Inforce全球安全大会上，为了应对未来量子计算的快速发展，亚马逊云科技在加密领域推出混合后量子密钥交换，为Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法；借助自动推理，通过数据逻辑的应用来检测可能存在的安全风险和配置错误，为云本身和云中的安全性提供更高的保障。

此外，亚马逊云科技还在re:Inforce全球安全大会上推出了Amazon GuardDuty Malware Protection，帮助客户检测运行在其云环境中的的恶意软件；推出Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外；推出Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，将Amazon Detective覆盖的数据源扩展至Amazon EKS；在Amazon Config中新增合规性分数功能，帮助客户确保资源合规性；推出了Marketplace Vendor Insights（预览版），简化对供应商的安全合规评估，并实现对风险的持续监测。

亚马逊云科技CEO Adam Selipsky将深海探索与云安全进行了类比：“大海深不可测、不可知，令人望而生畏，但深海仍然为我们人类带来挑战和希望，我们已经绘制出月球表面情况，但却只探索了不到 30% 的海底。我们还有很多东西要学，但当我们有了合适的设备和保护措施，就可以继续安全、自信地探索海洋的奥秘。现代 IT 也是如此，许多公司开展数字化转型信心不足，正是缺乏安全与保障、数据与应用保护这些先决条件。当企业具有强大的安保核心，也能够看清周围事物的时候，就有信心走得更远更深，成为开拓者。”