写点什么

从 CIO 视角出发审视云环境下的安全议题

  • 2015-06-03
  • 本文字数:3730 字

    阅读完需:约 12 分钟

“很多人都在过度强调安全而非机遇,这就像是一个人更害怕生存而非死亡。”

- James F. Bymes

安全如今已经成为一个广泛的议题,并且渗透到了 IT 事务中的方方面面。纵观我在技术业界打拼的这么多个年头,我发现“安全”已经成了一个能够迅速扼杀任何创新型努力的词汇。在云计算发展的早期阶段,那些对云技术了解不深的人们总会就其安全性水平问东问西。相较于更为重要的、如何利用这项新技术帮助企业自身实现商业价值,他们往往首先把安全性作为技术演进的最大障碍。举例为说,2012 年我就开始利用 AWS 支持企业级项目,当时我所能依靠的只有自己的同事、团队以及他们所拥有的解决问题的经验。然而我们的研究结果大大坚定了自己的信心,事实上 AWS 为我们提供了一种远优于孤军奋战的系统安全保护途径。

作为一位前任 CIO 兼 AWS 客户,下面我将结合自身经历聊聊自己眼中的云环境安全性问题:

我知道,安全性目前是、未来也将继续是 AWS 所关注的核心议题之一。因为只有这样,AWS 才能为来自众多行业及政府机构的如此广泛且多样化的客户提供服务。我们拥有 PCI 系统、PII 数据、SOX 要求以及需要保护的知识产权信息。在了解到其它企业有能力在云环境下开发出足以顺利满足上述控制框架要求的、令人满意的解决方案之后,我们既受到启发、又对云技术的未来充满信心。

可以确定的是,AWS 方面投入了大量资源进行其服务平台的保护工作,相关资源总量远远超过我们用于运营支持的资源总和——而这还仅仅是在安全层面。与其它运行着自有数据中心的企业类似,我们也一直不断对成本、上市时间、质量以及安全性作出权衡。在这方面作出决策绝非易事,而且我们往往很难弄清自己是否做出了正确的选择。没能认真评估防火墙变更、线缆配置错误或者过于躁进地进行操作系统配置有可能影响我们的安全水平。如果大家在企业环境中拥有长期工作经历,我相信各位绝对能明白这两者之间的联系。光是想想单纯因为我们自身因素而造成的安全风险,就已经足够把我们吓得魂不附体。而且如果把安全性当成企业运营中的头等大事,大家几乎没办法继续完成其它业务工作。

我知道,缩小受攻击面能够让我们将精力集中在自身的差异化特性当中。充分运用 AWS 所提供的安全机制能够帮助我们将一部分原本用于实施裸机保护的资源解放出来,转而用于保护应用程序。已知安全漏洞的逐步增加以及黑帽社区的日益壮大意味着我们必须进一步强化针对托管基础设施的应用程序安全保护力度。在 AWS 的帮助下,我们能够在增添新型资源的同时、又不至于让其它方面的配额过于捉襟见肘,这样一来我们对于安全保障工作的心态也更加平和。当然,这种共同分担的责任模式并不代表客户方面可以完全卸下包袱,但由此带来的助益却是不容否定的。至少就个人而言,我是乐于运用一切可资利用的帮助。

根据我掌握的情况,AWS 在全球安全发展前景方面的前瞻性要远远强于我们这单位一家企业的水平。我当然也希望能够充分享受由此带来的规模经济收益。事实上,我们也希望能够将 AWS 服务改进所带来的收益分享给自己的每一位客户。

在我看来,自动化机制能够大大降低出现人为错误的可能性,而且这一点在安全性以及应用程序开发领域也同样适用。我们希望尽可能多地将自动化方案引入那些需要反复进行的技术任务。根据我了解到的情况,AWS 高度依赖于自动化技术以实现规模化提升,同时降低人为错误的发生空间,并借此改进自己的安全性模型。能够拥有这样一位出色的合作伙伴,将鼓励并引导我们同样利用自动化手段实现收益增长。

CIO & LEADER 网站最近采访了 AWS CISO Stephen Schmidt,并就一系列安全议题展开探讨。在此次采访中,Stephen 谈到了 AWS 在安全性领域所采取的规模化、投资以及自动化机制等举措。我认为此次采访进一步增强了自己的信心,并坚定了我建议合作伙伴采用或者考虑采用 AWS 的决心。本次采访内容发布在 2014 年 12 月的 CIO & LEADER 实体杂志当中,以下转述内容全部得到了 CIO & LEADER 网站的授权。

CIO & LEADER: 大多数企业信息安全负责人都没能成功顶住 DDoS 以及 APT 等下一代安全威胁带来的压力。您面临的此类安全威胁是否更大?您又是如何加以化解的?

Stephen Schmidt:我们见证着一切在互联网上的发生。我希望分享一些有趣的数据来给大家提供更为直观的量化印象。在每 500 个 IP 地址当中,就有 1 个通过互联网被路由至 Amazon 网络当中,而且 700 个 IP 地址当中约有 1 个被映射至 EC2 实例处。大家可以把我们看作一套规模极为庞大的望远镜阵列,旨在发现一个极小的目标。这套设施允许我们识别出针对客户的安全威胁,并建立起自己的服务以帮助这些客户抵御此类威胁。举例来说,很多 APT 攻击者试图收集大量合法的用户名与密码内容。正是出于这个理由,我们不允许在网络中传输的用户名与密码中包含客户数据。我们还推出了多种智能验证令牌,这是因为利用物理设备进行验证更为安全、而且其更难被攻击者们所盗取。

CIO & LEADER: 第三方风险同样受到安全从业人员的高度关注。作为一名 CISO,您如何处理这些风险呢?

Schmidt:为了最大程度降低此类风险,最重要的是确保我们的各合作第三方与我们遵循同样的安全标准。我们需要严格确保此类规则贯彻到位,并通过审计实现约束。举例来说,如果我们在某国建立了一套 CloudFront 主机代管设施,那么我们就要求该代管服务供应商提供与自身完全等同的安全水平。这部分内容在双方合作协议当中明确标定,而且我们会定期对其进行检查。

因此,我一个专项团队,其任务在于每年多次到访世界各地的每一座代管设施。我们采取突击检查的管理方式,以确保合作方能够根据既定规则完成自己的份内任务。我们的要求非常严格,而且在检查过程中要求对方员工全部撤离现场。举例来说,他们是否使用经过认证的固定件、螺钉或者螺母,这样我们才能保证自己无法从外部将其拧下。我们还会检查墙上的检修孔尺寸,确保其符合规定的规格要求,这样恶意人士就无法将手伸入实施破坏。我们也在检查中确保所有延伸出设施的线缆都包裹有保温导管。凭借着这一系列标准,我们才能通过检查来确保供应商满足我们的所有特殊要求。

CIO & LEADER: 看起来 AWS 确实拥有一套可靠的第三方风险应对策略。但您如何应对来自企业内部的安全威胁?

Schmidt:应对内部威胁的最佳途径就是限制指向数据的人为访问。因此,我们在内部采取的措施之一在于主动降低有能力访问信息的人员数量。

尽管如此,我们的业界规模一直处于疯狂增长当中,我们每一周都需要削减能够访问客户信息的内部员工数量。我们能够以自动化方式实现这一调整工作。举例来说,如果某人需要多次——超过一次或两次——重复同样的工作,那么我们就会将其纳入自动化流程。我们会有针对性地建立起一套能够自动完成该项任务的工具。此类方案拥有两大优势。首先,工具基本不会犯错,它们不仅能够顺利完成任务、而且可以保证每次都同样顺利完成任务。相比之下,员工则可能带来多种意外因素,并因此造成问题。其次,工具能够显著提高可用性。因此,自动化对安全性及可用性的贡献确实值得肯定。

CIO & LEADER: 那么,AWS 在 2015 年中设定了怎样的发展方向?贵公司将关注哪些技术成果及解决方案?

Schmidt:对 AWS 而言,我们下一步将高度关注的就是加密机制。加密机制将无处不在,也就是说加密技术将覆盖到每一个领域。我们的工程技术人员将高度重视的另一个领域在于向客户提供针对加密机制的控制能力,这样他们就能实现密钥内容管理。第三则是确保我们为客户提供一系列工具,帮助他们做出更理想的安全性决策。

过去供应商往往会告知客户,一旦有问题出现,他们将很快到场并加以修复。但在 AWS,我们选择了完全不同的解决思路。相比之下,AWS 给出的方案是:目前的这种状况还有提升的空间,而这里的这个按钮能够切实带来提升或者修正。总结来讲,我们为客户提供他们所需要的工具,此类工具成本极低甚至完全免费,这样他们完全可以自行解决问题。

CIO & LEADER: 那么作为一位 CISO,您下一步打算在哪些领域投入资金?

Schmidt:我们在自动化技术领域投入了大量资源,因此我们打造的主要成果之一就是工具。而我们还将大量自动化要素引入常见的安全测试、渗透测试以及配置管理测试等日常事务当中,旨在确保一切以计划中的方式顺畅运转。在这些领域,我们每一年都会投入大量资金。

采取上述举措的原因有二,其一当然在于安全效益,其二则单纯是因为我们无法在不借助自动化机制的情况下运营如此庞大的设施体系。随着规模的不断提升,如果我无法快速推广自动化机制,我们根本不可能雇佣到那么多水平出色的安全工程师来保护全部 AWS 服务。我们投入了大量资源以实现自动化技术。

为企业创建安全系统是每一位 IT 高管人士的核心信条。为什么不使用目前市面上最出色的工具来实现同样的效果?大多数专业的安全从业者都会告诉大家,这一切都取决于客户所具备的实际设备。出色的方案并不足以替代人才、实践以及艰苦的工作,但如果采用更强大的设备则能够带来良好的性能表现,并吸引客户加以使用。云服务虽然无法取代业务系统中的杰出人才、专业知识以及管理机制,但确实能够显著提高企业获得成功的可能性。

革命尚未成功,同志仍需努力。

原文链接: https://medium.com/aws-enterprise-collection/a-cio-perspective-on-security-in-the-cloud-5dd73db8a702

2015-06-03 06:411249

评论

发布
暂无评论
发现更多内容

web自动化测试(1):再谈UI发展史与UI、功能自动化测试

zhoulujun

大前端 自动化测试 UI自动化测试 web测试

详解轻量日志聚合系统Loki架构

运维研习社

Grafana 日志系统 Loki

[翻译] InnoDB 空间文件布局基础

keaper

MySQL 数据库 后端 服务端 innodb

Vue进阶(十八):router.beforeEach 与 router.afterEach 钩子函数

No Silver Bullet

Vue 钩子函数 路由 7月日更

架构实战营 - 模块 9- 作业

请弄脏我的身体

架构实战营

架构实战营 - 模块三作业

思梦乐

MySQL事务初始

卢卡多多

MySQL 事务 7月日更

Go语言:指针和unsafe.Pointer有什么区别?

微客鸟窝

Go 语言

[翻译] 使用 innodb_ruby 探索 InnoDB 的页面管理

keaper

MySQL 数据库 后端 服务端 innodb

Scrum Master的职责——《Scrum指南》重读有感(5)

Bruce Talk

Scrum 敏捷 随笔 Agile

赶紧收藏!花了1万多买的软件测试教程全套,包含所有软件测试工程师全栈知识点(功能测试理论基础+接口测试+Python自动化+持续集成+性能测试+测试开发+面试简历)软件测试项目实战+训练营学习教程持

程序员阿沐

Python 软件测试 自动化测试 接口测试 测试用例

企业架构师的职业发展

在天涯的海角

架构师 职业发展 企业架构师

实战架构营模块三作业-外包学生管理系统架构设计

王晓宇

C# BS方向 该如何规划学习?【学习路线指南】

Andy阿辉

C# 学习 编程 程序猿

挑选TOP10关键时刻的九大原则

石云升

读书笔记 用户体验 商业洞察 7月日更 体验设计

JVM知识整理

十二万伏特皮卡丘

JVM

这份Java面试八股文让329人成功进入大厂,堪称2021最强

北游学Java

Java 面试

4种Spring Boot中集成Elasticsearch的方法实战

北游学Java

Java Spring Boot ES

构建高效Presubmit卡点,落地测试左移最佳实践

大卡尔

ci 测试左移 Presubmit

究竟有没有世界上最好的编程语言?

escray

学习 极客时间 朱赟的技术管理课 7月日更

Vue进阶(六):组件之间的数据传递

No Silver Bullet

Vue 组件 7月日更 数据传递

第九课作业

杰语

架构实战营 模块三 作业

一雄

作业 架构实战营 模块三

架构实战营模块三作业

老猎人

架构实战营

使用MLlib进行机器学习(十-上)

Databri_AI

机器学习 spark 线性回归

在线诉讼区块链证据规则的理论逻辑与制度体系

CECBC

Flutter 命令本质之 Flutter tools 机制源码深入分析

工匠若水

flutter android dart Gradle

OpenCV 形态学操作之腐蚀与膨胀,开运算与闭运算,顶帽与黑帽,图像梯度运算相关知识点回顾

梦想橡皮擦

python从入门到精通 7月日更

[翻译] InnoDB 空间文件中的页面管理

keaper

MySQL 数据库 后端 服务端 innodb

golang学习之路--内存分配器

en

内存 Go 语言

没有隐私计算,区块链这个美丽的梦想就不能落地

CECBC

从CIO视角出发审视云环境下的安全议题_安全_Stephen Orban_InfoQ精选文章