亚马逊云科技：以提升云安全性为使命

亚马逊云科技首席信息安全官（CISO）Chris Betz在本周于费城举办的年度AWS Re: Inforce大会上发表了主题演讲。

云计算已经成为全球数字基础设施中的重要支撑性组成部分，为其提供强大的安全保障比以往任何时候都更加重要。作为云服务领域的代表与领导者，亚马逊云科技自然也在不断创新以增强其安全措施。

Chris Betz参加的会前简报会上，他再次强调了这一承诺。Betz在会上分享了对亚马逊云安全策略的见解，并重申了威胁情报与企业内安全文化的保障作用。

亚马逊云科技的安全方略

Betz分享称，亚马逊云科技的安全理念是以主动且全面的保护为中心，将安全视为其服务中的基本组成部分，而非事后才考虑实施的补救性举措。他还强调了亚马逊云科技如何利用其庞大的基础设施来大规模监控并缓解威胁事态。

Betz解释道，“我们在亚马逊云科技产品的安全性方面投入了大量资金，并意识到即使有最安全的云体系作为后盾，恶意攻击者仍没有放弃针对我们客户的侵犯意图。”

这项针对安全基础设施的投资包括Sonaris等工具，旨在检测并消除未经授权的亚马逊云科技资源访问行为。Betz指出，亚马逊云科技的基础设施本身即可充当传感器，能够对潜在威胁提供广泛且深入的见解。此项功能也让亚马逊云科技能够迅速、有效地做出响应，保护其客户并提升互联网的整体安全水平。

威胁情报的重要意义

威胁情报可谓亚马逊云科技安全战略的基石。通过跟踪并分析恶意活动，亚马逊云科技能够在威胁对客户造成影响之前先发制人将其解决。Betz还列举了MadPot工具实现安全保障的例子，这是一套蜜罐框架，已经分析了数十亿次与恶意攻击者间的交互。此项分析有助于亚马逊云科技将威胁情报自动推送至GuarDuty、AWS WAF和AWS Shield等亚马逊云科技服务当中。

这种方法已经在亚马逊云科技庞大的运营规模中实现了显而易见的实际效果。亚马逊方面在一篇博文中透露称，“自2023年5月至2024年4月期间，Sonaris拒绝了超过240亿次针对Amazon Simple Storage Service (Amazon S3)中所存储客户数据的扫描尝试，并阻止了近2.6万亿次客户在Amazon EC2虚拟服务器上运行易受攻击服务的行为。这一切在幕后对应着惊人的工作量，也保障客户的业务能够不间断地持续健康运转。”

这些数字凸显出亚马逊云科技管理体系所面临威胁的严重性，及其采取的主动安全措施的有效性。

责任分担模型

云安全的一大关键方面就是责任分担模型，其划定了亚马逊云科技与客户各自需要承担的安全义务。Betz强调，云基础设施的保护责任由亚马逊云科技负责，而客户则需要将云端运行的应用程序和存放的数据保护起来。这种模式需要一种协作安全方法，超越单纯的合规性要求，推动服务商与客户间建立起成功的合作伙伴关系。

但客户在理解和实施这种模式时必然面对一定挑战。Betz也承认这些挑战的客观存在，并强调亚马逊云科技一直在为引导和教育客户付出努力，确保他们了解自身责任并有效利用由亚马逊云科技提供的安全工具。

Betz表示“安全是我们的首要任务”，并强调了防范安全问题、避免客户业务遭受损害的重要性。

培养安全至上的企业文化

除了技术解决方案之外，亚马逊云科技还非常重视培养安全至上的企业文化。Betz描述了安全性如何融入亚马逊云科技运营的方方面面，从领导层到每一位开发人员。他分享称，亚马逊云科技的CEO及领导团队每周都会拿出一个小时与各个工程团队讨论安全问题。此举就是为了确保安全始终成为公司的首要任务，并将经验教训不断融入亚马逊云科技的业务流程当中。

Betz还介绍了“安全棘轮”的概念，这是一种确保安全实践得以持续改进的机制。每个关乎安全的经验和教训都会被编入工具及流程当中，从而产生棘轮疚，即保证安全措施随时间推移而变得愈发强大。这种方法有助于亚马逊云科技保持住高安全标准并适应不断变化的威胁态势。

为客户赋能

亚马逊云科技对安全的承诺还延伸到为客户赋能领域。Betz解释称，通过提供先进的安全工具和明确的指导，亚马逊云科技会帮助客户保护自己的环境及数据。

他还强调了客户控制的重要性，特别是在生成式AI及其他新兴技术迅速普及的背景之下。亚马逊云科技会确保客户拥有保护其数据的必要工具和知识，以坚定的信心开展各类创新。

展望未来

随着亚马逊云科技不断创新并扩展其服务，Betz向与会者们保证，安全将始终成为这家云巨头的关注重点。

Sonaris等工具的引入，以及对威胁情报及强大安全文化的重视，都是亚马逊云科技致力于保护其云服务客户以及更广泛互联网生态系统的有力例证。Betz在会前简报中分享的见解不仅强调了亚马逊云科技安全策略的现状，更证明其在面临新挑战时仍在不断努力增强安全水平。

本届AWS Re: Inforce大会吸引到数千与会者齐聚费城，亚马逊云科技在会上公布的全面安全方法（包括整合高级威胁情报、培养安全至上文化及为客户赋能等）也为云行业树立起新的保障标准。