随着云计算应用的日益深入，用户考虑的不再仅仅是如何上云，而是更关注如何保证云上的安全。受近年来云安全事件频发的影响，用户对云上安全的需求越来越迫切。《网络安全法》、《数据安全法》、《个人信息保护法》等法规政策的出台，GDPR、CCPA等相关数据安全法律法规的发布，强化了企业安全合规的要求，进一步推动了云安全市场的快速发展。在这样的背景下，各大云厂商都在强化自身安全能力，同时将自身安全能力产品化输出。

“云上安全的态势时刻变化，日新月异，我们必须进行前瞻性的思考，保持敏锐的洞察，源源不断为客户提供像水和空气一样无处不在的安全防护。” 亚马逊云科技大中华区产品部总经理陈晓建表示。

亚马逊云科技大中华区产品部总经理陈晓建

亚马逊云科技始终将安全作为最高优先级的工作，将安全作为一种文化贯穿在亚马逊云科技的企业运营中。在近日举办的亚马逊云科技re:Inforce全球云安全大会中国媒体沟通会上，陈晓建从安全理念、安全文化和机制、新的产品服务的发布三个方面，深入介绍了亚马逊云科技在安全方面的布局。

防患于未然的安全理念

亚马逊云科技的云安全理念是防患于未然，要发现所有的安全问题，把基本问题在第一时间解决掉，并且将海量运营、以及支持全球数百万客户各种安全事件的经验和实践，复用到其他客户中，从而取得规模效益。同时，亚马逊云科技将安全融入产品或服务的开发生命周期和运营当中，设置安全守护者小组，按照一定比例在产品团队中设置安全人员岗位，为产品和服务的所有安全负责，设置独立的应用安全审查流程，适用于所有产品的服务的更新与发布。

洋葱型的、层层递进的防护机制是亚马逊云科技安全的一大特色，包括威胁检测与事件响应、身份认证与访问控制、网络与基础架构安全、数据保护与隐私、风险管控及合规五层。“客户对安全的需求，促使我们进步和提升，我们再把这些发现、经验和实践总结出来，告诉给更多的客户。最终的结果就是亚马逊云科技和用户一起携手进步，变得更强大。“

加强企业安全文化与机制的建设

安全不只是CEO的责任，也不只是公司安全团队的责任，而是公司每个人的责任。亚马逊云科技每周一次的安全会议，会有各个业务的负责人参加，确保业务需求并关注安全问题，这种机制加强了安全文化建设。亚马逊云科技还通过自动化工具来提高效率和竞争力，将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具，开发者可以清楚了解安全的边界，使得开发过程更安全，审查效率也更高。

亚马逊云科技在多年的服务客户的实践中，总结出来了四点最佳实践：首先是最小权限，考虑用户的角色和职责范围，对访问权限设置有效期。第二是漏洞报告，设置对内、对外两套漏洞报告机制，鼓励员工和客户发现并上报任何安全漏洞，而无需担心误报，亚马逊云科技后台的专业安全团队会评估和解决漏洞报告。第三是针对勒索软件，要发现问题并做好预报，此时，可以使用Amazon Inspector 提前检测漏洞，使用 Amazon GuardDuty 检测异常活动，使用 Amazon Backup 来实现存储备份功能。第四，对于Log4J漏洞，要严格限制来自互联网的访问，要拥有全面的软件清单及其使用方式，同时要保持第三方产品更新到最新版本，进行深度防御，做好日志记录。

除此之外，亚马逊云科技推出了Marketplace Vendor Insights的预览版，简化对供应商的安全合规评估并实现对风险的持续监测。通过该服务，可以加速对供应商的评估，将用户的采购时间从8-12周缩短到7天，从而实现业务的快速上线。亚马逊云科技还推出了专门为云计算设计的合规审计培训课程：Cloud Academy Audit，计划在今年将CAA的课程引入到中国，并增加等级保护的内容。

根据客户需求持续丰富安全服务及功能

在加密方面，亚马逊云科技提供静态加密功能和Amazon KMS。静态加密功能由亚马逊来管理和控制密钥，Amazon KMS由用户自行管理控制密钥，同时可根据业务负载自动扩容。

值得注意的是，为了应对未来量子计算的快速发展，亚马逊云科技推出混合后量子密钥交换，目前已经为Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。

在开源领域，亚马逊云科技研发了开源加密库LibCrypto。据陈晓建介绍，LibCrypto可用作开源加密库的替代品，如OpenSSL。LibCrypto还针对云服务进行了优化，可以在Gravition芯片上跑得更快。他透露，亚马逊云科技正在申请FIPS的认证，希望能够通过LibCrypto和FIPS的认证，帮助客户提供一个更有效、更安全的加密机制。

除了加密，亚马逊云科技推动了可证明的安全性的发展，将自动化推理应用于核心服务，以确保它们的结果是数学上可证明的。

针对企业安全建设，陈晓建也给出了三点行动建议。首先，加密是良好数据保护策略的核心组成部分，万事皆需加密。第二，要禁止公开访问权限，这对于Amazon S3服务尤其重要。第三，启用多因素认证（MFA）, Amazon MFA是为访问云提供额外安全的最简单和最好的方法之一。

re:Inforce堪称全球重要的安全行业大会，亚马逊云科技在此次大会上发布了众多安全领域的新服务和功能，涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面，并推出安全合作伙伴网络相关的新举措。包括Amazon GuardDuty Malware Protection，可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围；Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外。通过该服务，客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，并使用与云端工作负载相同 IAM 角色和策略来访问相关资源；Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，将Amazon Detective覆盖的数据源扩展至Amazon EKS，可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动，并找出根本原因；Amazon Config新增合规性分数功能，帮助客户跟踪资源合规性。

打造安全合规方面的交流平台

针对中国用户关注的隐私保护、数据跨境、云安全建设问题，亚马逊云科技从今年开始在中国举办了CISO对话，旨在创造一个互相交流的平台，输出亚马逊云在安全合规方面的经验和实践，同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。通过一起探讨安全管理，文化和技术，让安全与合规不再成为业务在云上快速增长的阻碍。