“re:Inforce 2022”：再谈“云安全”，亚马逊云科技谈些什么？

　　将“云安全”在云产业中的地位专门做明确，在完整涉猎云产业方方面面的“re:Invent”大会之外专门举办“re:Inforce全球云安全大会”，这是亚马逊云科技在最近的四年间形成的一种习惯，彰显安全理念重要性的同时，也意在呈现亚马逊云科技在安全方面的不懈努力。

　　安全理念：防患于未然，人与数据分开，建立多层防护结构

　　“防患于未然”，依旧是亚马逊云科技在云安全方面最重要的理念。

　　当前，亚马逊云科技覆盖全球的各个数据中心每天都会收到数以十亿条的安全事件、各种日志，在这样的背景下，亚马逊云科技强化安全能力的方式是，通过自动化的处理工具自动识别这些安全风险，并且把各个用户之间的安全事件关联起来，形成全局化的理解。在笔者看来，这有些类似围棋的布局，在开局时，甚至要对最终可能的胜负手进行考量。

　　亚马逊云科技“防患于未然”中的具体工作，就是“发现那些有可能发生的、极小的概率事件”。

　　因此，就有了可持续监控恶意活动和未经授权行为的Amazon GuardDuty，用来保护云中账户、负载、程序及存储数据的安全，更重要的是，它可以通过内嵌的机器学习能力，不断改进对威胁的探测。有效从云环境中识别出潜在的恶意用户活动，并通过机器学习的功能使安全事件的误报率降低，这是Amazon GuardDuty可以实现的。

　　关于“极小概率安全事件”的解决，亚马逊云科技则形成了独特机制，通过将安全代表派驻到业务团队中，将安全理念和安全工作嵌入日常流程，同时建立应用安全审核流程，以集中的安全团队对发布或更新的审核作为配合。

　　云安全的“洋葱模型”，仍是亚马逊云科技在实操中提倡的，陈晓建再次表示：“每层结构之间可以起到互相保护的作用，以及层层递进的访问机制，是我们认为合理的安全机制所必须具备的”。

　　新品发布：云安全产品继续焕新，中国出海企业可即时使用

　　理念传承的同时，云安全产品继续焕新，在中国媒体沟通会上，陈晓建还表示，此次在“re:Inforce”大会期间发布的多项产品和服务，中国的出海伙伴都已经可以立即使用。

　　包括：

　　Amazon IAM Roles Anywhere, 通过该服务，客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外，不但降低了运维成本和复杂度，还进一步提高了客户工作负载的安全性。

　　Amazon Detective for EKS，将Amazon Detective覆盖的数据源扩展至Amazon EKS，可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动，并找出根本原因，客户以此可以快速采取措施来解决问题，提升安全性。

　　Amazon GuardDuty Malware Protection，可帮助客户检测运行在其云环境中的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。当检测到恶意软件时，Amazon GuardDuty Malware Protection可自动向Amazon GuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective发送恶意软件调查结果及其潜在来源，客户可根据相关结果迅速采取对应措施。产品从一开始就已经把上述能力和亚马逊云科技其他的安全产品集成好了。

　　Amazon Config，服务可评估、审计和评价用户的 AWS 资源配置。借助该服务，用户可以查看配置更改以及 AWS 资源之间的关系、可以发现一些不合规的配置并迅速告警。过往这种合规性只能依赖于告警，这次我们新增了评分的功能，让这种资源的合规状态更加直观。Amazon Config新增合规性分数功能，帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能，该功能以百分比的形式展现客户相关资源的合规程度，方便客户逐步对照并解决合规问题。

　　在全球范围内提出这些云安全新举措的同时，更针对中国市场，亚马逊云科技发现有几个大的热点，是中国客户特别关注的，分别是：隐私保护、数据跨境、云安全建设。

　　最近，亚马逊云科技发起了一个项目，让客户有更好的安全策略，让云上业务就能够顺利发展。陈晓建说：“我们做这个工作也是基于我们跟客户之间的合作，就是说我们在最开始讲到反哺机制，因为我们整个安全能力的建设和成长，都是围绕我们和用户的深度合作，来不断提升我们双方的能力所达成的，就是Stronger Together(相倚为强)，也是我们一直秉承的理念。”