亚马逊云科技：安全工作好比消防，与其去救火，不如防患于未然

近日，亚马逊云科技一年一度的全球云安全盛会 2022 re:Inforce 在美国波士顿落下帷幕。这是亚马逊云科技连续第四年举办全球安全大会，今年更是通过主题演讲、技术分享和动手实践等上百场活动，与全球客户分享亚马逊云科技在云安全和合规领域的最新洞察、落地经验及最佳实践，并发布多项新的安全服务及功能，帮助客户更有效地构建云上安全环境及满足合规要求。

亚马逊首席信息安全官 Steve Schmidt 在主题演讲中表示，“亚马逊云科技在全球拥有数百万客户，每天追踪的事件达数十亿条，这使得亚马逊云科技能检测到更多的安全威胁。亚马逊云科技会迅速定位和解决这些安全威胁，并将这些能力更新到安全服务中让更多的客户受益。他还分享了亚马逊云科技的安全实践，包括在研发团队设置安全守护者角色以及增设应用安全审查流程将安全融入到产品或服务的开发生命周期和运营中，从人和数据两个角度设计安全，以及提倡构建多层次的纵深防护等”。

亚马逊云科技大中华区产品部总经理陈晓建表示：“云上安全的态势时刻变化，日新月异，我们必须进行前瞻性的思考，保持敏锐的洞察，源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作，将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地，与中国客户一起解决云上安全和合规的棘手挑战，为他们云上业务创新保驾护航。”

亚马逊云科技大中华区产品部总经理陈晓建

艾伦图灵讲了一句话“We can only see a short distance ahead，but we can see plenty there that needs to be done。”中文的意思是：我们每一个人的目力是有限的，我们只能看到有限距离之内的东西，但是仍然留给我们做的东西非常多。安全的问题也是这样，每家企业能做的工作是有限的，我们不可能去预见所有安全的风险，去解决所有安全的漏洞，但是我们能做的工作还是非常多的。

亚马逊云科技的云安全理念是什么？陈晓建做了一个比喻，如果把安全比作消防，消防能解决的问题是火灾发生的时候去救火，但是回过头来看，防患于未然才是解决问题的根本。安全也是这样，与其去救火，更需要做的是提前做好防范，这是亚马逊云科技云安全一直在承诺的理念。

为给用户带来更好的安全防护，亚马逊云科技不断根据客户的需求持续丰富其安全服务及功能。在加密领域，为了应对未来量子计算的快速发展，亚马逊云科技推出混合后量子密钥交换，目前已经为 Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager 三种服务提供了量子安全算法。亚马逊云科技还借助自动推理，通过数据逻辑的应用来检测可能存在的安全风险和配置错误，为云本身和云中的安全性提供更高的保障，并推动可证明的安全性的发展。亚马逊云科技在此次 re:Inforce 上发布了众多安全领域的新服务和功能，涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面，并推出安全合作伙伴网络相关的新举措。

• 推出 Amazon GuardDuty Malware Protection，可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了 Amazon GuardDuty 的威胁检测范围。Amazon GuardDuty 可扫描多种文件系统，包括 Windows 和 Linux 文件、 PDF 文件、归档文件、二进制文件、安装文件、邮件等，在扫描过程中，不会对云中相关资源的性能造成影响。当检测到恶意软件时，Amazon GuardDuty Malware Protection 可自动向 Amazon GuardDuty 控制台、Amazon Security Hub、Amazon EventBridge 和 Amazon Detective 发送恶意软件调查结果及其潜在来源，客户可根据相关结果迅速采取对应措施。

• 推出 Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，将 Amazon IAM 对工作负载的管理能力扩展至客户的云环境之外。通过该服务，客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，并使用与云端工作负载相同 IAM 角色和策略来访问相关资源。客户可以在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程，这样不但降低了运维成本和复杂度，还进一步提高了客户工作负载的安全性。

• 推出 Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，将 Amazon Detective 覆盖的数据源扩展至 Amazon EKS，可帮助客户更加轻松分析和调查在 Amazon EKS 集群上的 Kubernetes 潜在的安全问题或可疑活动，并找出根本原因，客户以此可以快速采取措施来解决问题，提升安全性。

• Amazon Config 新增合规性分数功能，帮助客户跟踪资源合规性。该新功能是 Amazon Config 的一项增强功能，以百分比的形式展现客户相关资源的合规程度，方便客户逐步对照并解决合规问题。

• 针对亚马逊云科技 Marketplace 上的第三方应用和服务，亚马逊云科技推出了 Marketplace Vendor Insights（预览版），简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务，加速了对供应商的评估，缩短了客户对亚马逊云科技 Marketplace 服务的采购周期，实现其业务的快速上线。