他进一步表示,亚马逊云科技将持续加大在中国区域安全合规领域的投入,在为客户提供安全合规的基础设施和云服务基础上,与光环新网及西云数据共同加速安全合规服务和功能在中国的落地,并且持续加强与亚马逊云科技合作伙伴的合作,全方位地帮助客户提升云上安全与合规。
新品扎堆发布 出海企业可立即使用
据陈晓建介绍,中国的出海客户,现在可以立即使用亚马逊云科技全球区域可用的服务,包括此次在re:Inforce大会期间发布的多项产品和服务,它们包括:
1、Amazon IAM Roles Anywhere, 通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
2、Amazon Detective for EKS,将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
3、推出Amazon GuardDuty Malware Protection,可帮助客户检测运行在其云环境中的恶意软件。
•该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。Amazon GuardDuty可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。
•Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。使用该集成功能了解客户组织的整体安全状态,轻松搜索、过滤、分类、调查存在的任何安全发现,并采取行动。
•Amazon GuardDuty拥有专业合作伙伴提供恶意软件检测方案,还提供修复能力和机器学习能力。
4、Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,借助该服务,用户可以查看配置更改以及 AWS 资源之间的关系、可以发现一些不合规的配置并迅速告警。
多项新举措、新动向推动安全全面开花
亚马逊云科技推出的一系列新举措。
在产品级方面:
1、推出了亚马逊云科技Marketplace Vendor Insights(预览版),该产品将简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务,加速了对供应商的评估,对用户而言,这将大幅减少他们的采购评估时间,预期将从过去8-12周评估时间缩短到1周,从而实现业务的快速上线。
2、推出了专门为云计算设计的合规审计培训课程:Cloud Audit Academy,亚马逊云科技大中华区计划在今年将CAA的课程引入到中国,通过CAA 可以指导用户把云的技术应用到日常的审计工作中来,可以应用于安全、合规、审计、风控等部门。该课程重点还增加符合本土国情的“等级保护”内容。
3、公开亚马逊云科技内部员工安全培训内容,让更多的用户受益。亚马逊云科技认为,安全不只是CEO的责任,也不只是公司安全团队的责任,而是公司每个人的责任。亚马逊云科技一直强调安全是Job Zero,其内部安全培训内容将会公开在亚马逊云科技官网,企业可以将这些内容用于自己员工的培训。
在市场级方面:
1、亚马逊云科技认为,安全的能力是在运营之中逐渐培养来得到的。亚马逊云科技在开展云服务16年以来,服务全球数百万的客户所积累起来的一些经验。亚马逊云科技将通过反哺机制,把这些客户服务的经验反哺到其他所有客户。中国本土客户有着自己独特的安全合规要求和环境,围绕与客户建立的深度合作,持续深入到客户真实环境当中,帮助客户解决云上安全合规最棘手的问题,如客户面临的隐私保护、数据跨境和云上安全建设等难题。
2、亚马逊云科技将持续加强其安全合作伙伴网络的建设。据介绍,亚马逊云科技已在全球建立了一个完善而庞大的合作伙伴网络,其中也包括安全合作伙伴,目前已有更多的合作伙伴通过了其安全能力认证,亚马逊云科技把所有合作伙伴的能力分为八个类别,客户可以通过亚马逊云科技的安全门类、安全的服务来找到最适合自己的安全合作伙伴。
3、CISO对话:今年开始亚马逊云科技在中国举办CISO对话,CISO对话将创造一个互相交流的平台,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。
为后量子时代提供加密支持
密码学是计算机底层的技术标准,它构建了安全的信息交换,但量子计算的出现正在对传统密码学提出挑战。对此,亚马逊云科技已将抗量子计算密码学标准整合到了他们的服务当中,亚马逊云客户可以第一时间享受最新的安全加密标准,不必担心来自未来量子计算的潜在解密威胁。
据陈晓建介绍,NIST前不久公布了首批后量子密码标准,其中优选的四种算法当中的两种算法,亚马逊云科技都是其中作者之一。亚马逊云科技不但参与新算法的研究与标准的制定,同时也开展新算法的落地与产品化:
1、实现了混合后量子密钥交换技术,正在将后量子密码标准整合到亚马逊云科技的服务中。
2、把signal-to-noise代码库中实现TLS的代码进行了开源。
3、已经为三种服务的 TLS 连接提供了这些量子安全算法和选项:Amazon KMS、Amazon Certificate Manager 和 Amazon Secrets Manager。
4、与互联网的标准制定方IETF机构合作研究新的TLS技术标准。
陈晓建分享指出,亚马逊云科技提供两种密钥管理方式:静态加密功能,由亚马逊云科技来管理和控制密钥;Amazon KMS,由用户自行管理控制密钥,同时可根据业务负载自动扩容。他强调,亚马逊云科技数据加密着重考虑价格和性能因素,价格设计得非常低,并且尽可能不影响性能,还提供Amazon CloudHSM专用安全模块,可帮助用户实现硬件加密。
关于未来 要满足各行各业的安全需求
在接受采访谈及未来亚马逊云科技安全服务构建时陈晓建指出,亚马逊云科技90%的安全服务均来自客户的反馈,即通过逆向工作法,从市场需求挖掘未来应用。但总体梳理他认为,客户来自不同的行业,他们对安全的需求也大不相同,对于亚马逊云科技而言最重要的是能够向各行业提供他们需要的细分安全需求。
要满足全行业的安全需求,其中一部分源于亚马逊云科技底层基础能力,比如最新加密技术的应用,关于IAM身份控制能力的场景化应用调整等等。对于特定行业,其安全产品和服务将通过满足于相关标准认证前提下,为企业客户满足强监管安全应用部署提供保障,而在这方面,亚马逊云科技具有多年的全球实践经验。
同时亚马逊云科技还将通过庞大的合作伙伴网络,其中就包括安全合作伙伴网络,来解决全行业客户的细制化安全需求。“我们自己会有一些基础的通用型安全产品,也会有一些不同行业的解决方案,包括认证,但同时我们也会通过积极地跟行业合作伙伴的合作,来建立起一个合作的服务生态,来满足各行各业的客户需求。”陈晓建表示。
京公网安备 11010802033237号
