亚马逊云科技CISOCJMoses分享了组织如何根据客户反馈创新安全产品,利用自动化和安全湖提高安全性,同时强调以人为本的安全文化和共享责任模型。
SEC214-L | 亚马逊云科技 re:Invent 2022 - 我们可以从客户那里学到什么:加速亚马逊云科技安全性创新
关键字: [Amazon Web Services re:Invent 2023, Amazon Security Lake, Security, Cybersecurity, Resiliency, Automation, Culture]
本文字数: 2800, 阅读完需: 14 分钟
视频
导读
在本次领导力会议中,亚马逊云科技首席信息安全官 CJ Moses 展示了亚马逊云科技独特的创新文化的一部分——从后向前的工作方式,以及在考虑到客户的基础上构建新的安全产品、服务和功能。亚马逊云科技安全团队会根据客户反馈进行持续创新,这样组织就可以在将强大的安全架构融入业务和运营的核心的同时,加快创新步伐。听听 CJ 介绍组织如何利用亚马逊云科技最新的安全创新更安全、更快速地交付,并最大限度地发挥团队的价值。
演讲精华
以下是小编为您整理的本次演讲的精华,共2500字,阅读时间大约是12分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。
在2022年re:Invent的主题演讲中,亚马逊云科技的首席信息安全官(CISO)斯蒂芬·施密特(Stephen Schmidt)登台亮相。他身着一双灵感源自赛车运动的华丽鞋子,展现了他在保护亚马逊云科技和汽车比赛两方面的热情。他承诺将在现场与约7000名参会者分享这份热情。
施密特首先回顾了迄今为止re:Invent上的诸多令人振奋的宣布,以及更多激动人心的内容即将揭晓。他尤其期待稍后与联合航空公司CISO德尼·德夫(Denine DeFoe)共同登上舞台,作为企业如何利用亚马逊云科技的安全功能的一个范例。
在自我介绍时,施密特回忆了他在15年前的本月,即2007年12月加入亚马逊云科技的时光。他开玩笑地说,时间过得太久,让自己感觉自己已经老了。在他的任职期间,曾参与过基础服务,如亚马逊云科技虚拟私有云(VPC)、亚马逊云科技政府云和亚马逊云科技专用云。如今,他领导着团队建设用于保护全球数百万客户使用的亚马逊云科技服务的技术。施密特表示,他仍然热衷于了解亚马逊云科技能为客户解决的问题,并将继续努力工作以提高安全性。
与所有亚马逊云科技员工一样,施密特认为自己是一名建设者。除了担任CISO之外,他还是一名职业赛车手,参加SRO GT America系列赛。他将赛车与安全进行了比较——两者都是数据驱动的,依赖于团队合作以确保安全,并且拥有零错误容忍空间。
回顾加入亚马逊云科技之前的日子,施密特讲述了他曾在FBI从事反恐工作的经历。他的团队分析了为反恐任务收集的每一件数字媒体,将其相关联以识别威胁并防止伤害。他在亚马逊云科技的目标仍然是防止坏事发生在好人身上。
施密特解释道,在21世纪初,他的FBI团队面临着海量数字数据——每周有太字节,今天相当于拍字节。他们迫切寻求可能在数据堆栈中找到威胁的针。生命处于危险之中,他们的错误容忍度为零。获得足够的硬件一直是一个挑战。
亚马逊云科技推出了弹性计算云服务,这让施密特感到好奇。突然之间,不再是有一台计算机处理1000小时的数据,而是有1000台计算机一起处理一个小时。亚马逊云科技可能拥有联邦调查局所需的大小。然而,尽管与亚马逊云科技首席布道者杰夫·巴尔进行了数月的讨论,但亚马逊云科技仍然无法处理机密工作负载。但是亚马逊云科技希望解决这个限制,以解决一个重要的国家安全问题。
因此,亚马逊云科技向施密特和一些联邦调查局的同事提供了加入并构建所需技术的机会。他们的目标是满足像联邦调查局这样的机构以及运行大规模敏感业务关键工作负载的企业的需求。施密特于2007年12月加入亚马逊云科技,成为首批专门关注公共部门安全的员工之一,致力于在亚马逊云科技上实现高度监管的工作负载。
施密特随后描述了亚马逊云科技在早期的一些情况。他讲述了一个关于敲开数据中心门以获取访问权限的有趣轶事。当时的数据中心安全远不如现在严密,只有现在的几层。团队被分配了一个空荡荡的角落房间来工作,不得不沿着走廊拉出以太网线,因为禁止WiFi。他们从坐豆袋椅升级到从正在缩减规模的AOL那里获得的二手小隔间。这是一个简陋的创业环境。
在这样的简陋条件下,施密特和他的团队在网络层面迭代了隔离工作负载的想法。他们分析使用VLAN或虚拟化网络层来为每个客户划分空间。这不是一件容易的事,他们不得不创建自己的网络协议称为NOBIS。但是他们的解决方案得到了改进并且可以扩展。仅仅几个月后,他们就基于他们的工作推出了奠基性的虚拟专用云(VPC)服务。
施密特回忆了向公共部门客户展示这项技术的情景,他们对满足他们需求的解决方案感到震惊。从本地数据中心爆发到云中的能力是一个开创性的突破。这标志着亚马逊云科技将提供的服务的开始。早期的公共部门客户,如橡树岭国家实验室,欣赏了亚马逊VPC对其敏感工作负载的安全和隔离优势。
自初始的几项服务起,施密特便见证了亚马逊云科技令人惊叹的成长,如今已发展成为年营业额高达820亿美元的业务,吸引了数百万客户使用超过200项服务。作为全球最大的云服务提供商之一,亚马逊云科技具备足够的规模和丰富的经验,能够支持甚至是最敏感的工作负载客户安全运营,涵盖政府机构和受监管企业。
施密特随后回归到核心主题,强调客户是推动亚马逊云科技创新的关键因素,因为他们热衷于追求杰夫·贝索斯所提出的“美妙而美好的不满足”。即使满意的客户也无法预测他们未来需求。这种不断满足客户需求的动力激发了亚马逊云科技为他们创造创新的解决方案。
施密特表示,不满意的客户实际上是一份礼物。他们的问题是亚马逊云科技的机会,促使公司开发新功能,帮助客户更轻松地实现目标,例如联合航空公司借助亚马逊云科技实现安全性、风险性和合规性目标。亚马逊云科技紧密的客户反馈循环(从问题出发进行反向分析)是其关注客户需求并推动创新的核心所在。
为了强调这一点,施密特透露一个数据,超过90%的亚马逊云科技服务直接源于客户需求。剩余的10%则是公司为主动满足客户需求而研发的。接着,他强调了亚马逊云科技的共享责任模式——亚马逊云科技负责保障云计算基础设施的安全,而客户需要负责保护云工作负载的安全。
然而,施密特强调,亚马逊云科技在安全领域绝不会抛弃客户。亚马逊云科技将在幕后持续努力,通过更先进的默认设置、工具、分析和监控,让客户的安全管理变得更加轻松。这样一来,即使在客户不确定如何保护自己的情况下,也能提高安全标准。
最后,施密特解答了一个常见疑问——亚马逊云科技在外部安全威胁方面发现了什么?他承诺将分享比通常更多的亚马逊云科技内部信息。他列举了一些常见的已知威胁,这些都可以通过扎实的安全基础来防范。
首先,DDoS攻击仍然是主要威胁之一,不仅针对基础设施,还针对应用可用性。据亚马逊云科技统计,从2022年1月到9月,DDoS攻击数量同比增长了35%。应对策略包括使用亚马逊云科技盾牌和亚马逊云科技WAF构建抵御DDoS攻击的强大防御体系。大型客户如Netflix已经利用亚马逊云科技盾牌保护自己免受DDoS攻击的影响。
持续威胁之一便是攻击者利用应用程序漏洞来破坏EC2实例。据亚马逊云科技在2022年第三季度的报告,相较于2021年第四季度,受损EC2实例的数量增长了256%。为了保护EC2工作负载,Schmidt建议采取适当的安全控制措施、进行安全扫描,并运用Amazon GuardDuty的异常检测和威胁情报功能。
Schmidt还特别强调了保护凭据免受意外泄露的重要性。亚马逊云科技的研究显示,这是客户安全事件的常见根源,往往导致勒索软件的出现。他提倡启用多因素身份验证(MFA)、限制根凭据的使用、通过亚马逊云科技IAM进行集中的访问管理,以及制定有效的事件响应计划。
展望2023年,Schmidt预计随着云计算应用的普及,安全问题将变得更加重要。他认为安全正逐渐演变成一个数据科学问题。然而,大部分安全数据在各来源中孤立存在,这妨碍了分析。
正因如此,Schmidt推出了亚马逊安全湖,该服务自动将安全数据汇集到专门构建的数据湖中。这使得客户能够更轻松地分析安全数据,从而实现组织安全的统一视角。早期采用者如CrowdStrike已将其PB级的数据集输入至集中式安全数据湖中。
此外,Schmidt介绍了作为亚马逊云科技密钥管理服务(KMS)一部分的全新功能——外部密钥存储。这一功能允许政府机构等在外部管理密钥,以满足严格的加密密钥存储规定。这体现了亚马逊云科技对数字主权和客户控制的承诺。
在人力资源方面,Schmidt强调应在各个层次关注安全教育,建立安全优先的企业文化,招聘和发展安全领域的领导者,将安全理念提前融入业务流程,并支持具备不同背景的安全专业人才。他认为,为了满足日益增长的需求,培养来自不同背景的安全专家至关重要。
最后,Schmidt公布了名为“亚马逊验证权限”的一项新功能,这是一种全新的细粒度权限管理服务,旨在为开发者提供一种可扩展的方式来自定义和管理跨应用程序的权限。此举与当今应用安全的零信任原则相一致。
在展望2023年时,施密特预测多因素认证(MFA)将在更广泛的场景中得到应用。亚马逊云科技已经支持用户注册多个MFA设备,以确保在提高安全性的同时不影响用户体验。在re:Invent上,亚马逊云科技甚至提供免费的安全密钥,以支持美国国家网络安全计划并推动其广泛应用。
施密特还表示,他预测机器学习和人工智能将为云计算安全带来更多的自动化。亚马逊云科技已经在现有的协议和服务中嵌入了后量子密码标准,以应对未来量子计算可能对企业密码学带来的影响。
在此背景下,施密特邀请了联合航空公司首席信息安全官德尼·德弗上台,共同探讨亚马逊云科技的安全之路。德弗解释道,联合航空公司非常重视弹性,并认识到安全对于弹性的重要性。她还分享了联合航空公司如何通过使用GuardDuty的自动化功能并结合定制环境中的威胁检测来提升自身的能力。
德弗强调了通过针对不同角色的安全培训和赋予员工在一定指导下的自主权,从而建立起一种安全的企业文化。展望未来,她列出了联合航空公司在安全基础、能力提升和安全支持业务增长(包括连接飞机)等方面的优先事项。作为总统基础设施咨询委员会的唯一航空公司代表,她的目标是解决跨行业的系统性数字风险。
最后,施密特总结了演讲的主要内容,包括亚马逊云科技如何根据客户需求进行创新、共享责任模型、当前的安全趋势、2023年的预测以及构建以人为本的安全文化。亚马逊云科技的公告,如Security Lake和Verified Permissions,展示了对客户安全需求的持续关注和努力。
施密特感谢了积极参与的观众,并邀请他们继续参加re:Invent后的活动。他以沙哑的声音表示,期待明年能在重播派对和Reinforce活动中再次与大家相见。
这次具有深刻见解的主题演讲使我们更深入地了解了亚马逊云科技以客户为中心的安全创新文化。亚马逊云科技的规模使它能够独特地洞察威胁以及如何运用机器学习等技术来协助客户保护关键工作负载的途径。然而,施密特强调,以人为本的优先事项,例如教育和文化,才是安全的基石。通过详细介绍当前的挑战和未来趋势,以及具体的数据和客户案例,亚马逊云科技展示了其致力于与客户共同展开安全之旅的透明度。
下面是一些演讲现场的精彩瞬间:
领导者展示了其色彩鲜艳的鞋子,这体现了他对赛车和亚马逊云科技的热情。
通过推出虚拟专用云,客户可以在自己的隔离网络环境中使用云计算,这一创新具有突破性的意义。
亚马逊云科技备份锁可以保护数据免受最强管理员的访问,结合周边安全和访问控制,提供更深入的防御。
亚马逊安全湖能够自动集中安全数据,以便全面了解组织的安全状况。
演讲者提到了实施访问控制的挑战,这对于业务的灵活性和安全性至关重要,但对开发人员、合规和安全团队来说却具有一定难度。
亚马逊云科技正采用现有的并行算法,实施混合式后量子加密技术,以确保未来的安全性,同时维持当前的基础。
领导者强调,各行业应共同努力,提高关键基础设施的网络安全和数据保护。
总结
亚马逊云科技的首席信息安全官Stephen Schmidt近期发表了一场关于亚马逊云科技所观察到的安全趋势、客户最佳实践以及助力组织更安全稳定运行的新功能深度剖析的演讲。Schmidt详细阐述了亚马逊云科技如何通过运用其全球基础设施的威胁情报持续改进如GuardDuty和Inspector等安全服务。当前的关键趋势包括分布式拒绝服务(DDos)攻击的增长以及被入侵的亚马逊弹性云计算单元(EC2)实例,这凸显了多因素身份验证和最小权限访问的必要性。Schmidt强调,尽管工具非常重要,但通过教育培训、自动化、多样化和授权团队来实现安全成果,构建以安全为核心的企业文化至关重要。展望未来发展,Schmidt重点介绍了亚马逊安全湖(Amazon Security Lake)如何助力大规模集中安全数据,并探讨了新加密技术如何为量子计算做好充分准备。总之,Schmidt强调安全是一项共同责任,而亚马逊云科技致力于为客户提供更易实现安全和合规目标的功能。
演讲原文
想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
2023亚马逊云科技re:Invent全球大会 - 官方网站
点击此处,一键获取亚马逊云科技全球最新产品/服务资讯!
点击此处,一键获取亚马逊云科技中国区最新产品/服务资讯!
即刻注册亚马逊云科技账户,开启云端之旅!
【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”
亚马逊云科技是谁?
亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务,涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及 31 个地理区域的 99 个可用区,并计划新建 4 个区域和 12 个可用区。全球数百万客户,从初创公司、中小企业,到大型企业和政府机构都信赖亚马逊云科技,通过亚马逊云科技的服务强化其基础设施,提高敏捷性,降低成本,加快创新,提升竞争力,实现业务成长和成功。
扫一扫
346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
