亚马逊云科技reInvent2022云上安全让客户更高效更安全更省钱

　　亚马逊云科技re:Invent 2022落下帷幕，但覆盖多座城市，旨在展示全球大会的最新产品和技术、前沿趋势以及最佳实践的中国巡展活动正如火如荼地展开，每年的 re:Invent ，总会让人耳目一新，印象深刻。
　　一方面，亚马逊云科技作为云计算领域的领头羊，以重塑的方式展现自己不断创新的进步和努力；另一方面，亚马逊云科技通过自己的实践帮助客户如何更高效、更安全、更省钱。
　　亚马逊云科技的创新值得业界学习的地方在于，它丝毫不在意、不触及热门的概念，而是从企业的需求出发，发现其共性，推出一项一项的托管服务，为托管服务不断增加新功能，为客户提供工具。
　　而最值得注意的是：全球数百万客户选择亚马逊云科技，其中重要原因之一就是安全。亚马逊云科技安全合规的全球云基础设施及云服务是全球数百万客户选择亚马逊云科技的基础。
　　事实上，亚马逊云科技＂三驾马车＂战略落地中国的成功，无论是服务本地企业，还是协助中国企业出海，亦或是国外企业进驻中国，安全合规和云上安全是众多企业选择亚马逊云科技始终考虑的关键因素之一。
　　云上安全是准绳 一切围绕Job Zero
　　随着全球应用迁移到云计算的力度和步伐越来越大，尤其是在多云环境下，云上安全一直是悬在企业头顶的一把利剑，威胁时常存在而且趋势愈发明显。首先是，随着应用深入，IT架构复杂程度增加，数据类型多样化且分布广泛；其实是小概率事件威胁云上安全的概率大幅增加；最后是由于国际、地域、竞争、安全等的多种因素，安全合规各地法律更加严苛。
　　事实上，云上安全始终是亚马逊云科技的重头戏，为此，亚马逊云科技还举办re:Inforce全球云安全大会,而亚马逊云科技创立时就提出＂安全是我们的‘Job Zero’。＂其意思是安全比任何事情都要更重要，在所有工作中拥有最高优先级。在过去16年里，＂Job Zero＂始终是亚马逊云科技一直坚守的重要企业文化。
　　亚马逊云科技大中华区产品部总经理陈晓建说：＂客户选择亚马逊云科技其中有一个非常重要的原因，就是在亚马逊云科技上它的应用程序和数据安全要明显优于他们自己在本地基础设施或其他的云。由于我们的规模，每天要处理海量的请求，同时也需要去跟踪和监测千万亿级别的事件，我们需要从中找到一些可能有的安全事件，并且能够采取统一的措施让所有客户都受益。＂
　　具体实操层面，亚马逊云科技搭建了＂安全责任共担模型＂，为云安全的建设设定了基本的原则。亚马逊云科技负责云自身的安全，客户则负责云中自身业务的安全。而且，亚马逊云科技会提供多层次的安全防护服务帮助提升客户云中的安全防护。
　　亚马逊云科技大中华区安全合规与治理产品总监白帆认为：＂威胁背后其实还是制造威胁的人。在云上我们看到越来越多的威胁，恰恰是因为云上的数据越来越宝贵，黑客、那些恶意软件的制造者，开始向云上的珍贵数据进行针对性的攻击了。＂
　　其实从整体趋势来看，攻击方式并没有改变，只是攻击的目标改变了，以前攻击线下，现在攻击云上了，这也是亚马逊云科技为什么要推出越来越多新的数据服务。
　　亚马逊云科技各种新的云服务层出不穷，为了保障云中服务的安全性，＂有一条非常重要的原则：将安全融入产品或服务的开发生命周期和运营当中。＂白帆说。设置安全守护者小组，按照一定比例在产品团队中设置安全人员岗位，他们为产品和服务的所有安全负责，同时还设置了独立的应用安全审查流程，适用于所有产品的服务的更新与发布。因此，亚马逊云科技上的所有服务和应用都是在这样的安全理念下诞生的，从产品设计的最初就充分考虑到了安全的问题。
　　以用户为中心 树立四大目标
　　亚马逊云安全有四个目标：帮助用户快速提升安全水平，降低安全的成本，减少安全事件的处理时间，提升企业的安全效率，总结来讲就是帮助客户更安全、更高效，而且更省钱。
　　Nitro芯片硬件提升安全水平
　　亚马逊云科技云安全整个合规有一个责任共担模型之外，所有云系统里都有自己开发的硬件Nitro卡，除了带来性能的提升，也具备更高的安全性，自身有一个安全芯片，可以尽可能减少攻击。
　　另外，Nitro有一个Enclaves的特殊硬件环境，这个硬件环境有一个非常好的隔离，使得用户业务和数据在整个Enclaves执行的时候，数据和业务是安全的，不会逃逸到Enclaves以外。Nitro还有一个TPM的芯片，是专用的安全芯片，可以让用户更好地依赖于TPM的一些应用程序和操作系统。
　　将授权和业务逻辑分离降低安全成本
　　亚马逊云科技一直认为，安全是水和空气，不会因为水和空气从用户获得利润，但亚马逊云科技的职责是把最好的水和空气提供给用户。
　　在本次re:Invent中，亚马逊云科技发布了Amazon Verified Permissions，通过将授权和业务逻辑分离，来加速应用程序的开发，通过把全新的集中和自动化的分析，来简化合规的审计工作，通过动态的自动授权，来构建一个零信任架构的应用。
　　侦测潜在威胁减少威胁事件处理时间
　　陈晓建说：＂亚马逊云科技收集大量的来自于各个方面的数据源，从中做各种交叉分析，才能发现有可能会有的安全隐患。＂
　　Amazon Security Lake是业界第一个为安全所专门定制的数据湖，它可以通过汇聚分析和响应来自于亚马逊云科技云服务、用户自身的业务、和其它安全合作伙伴的数据，来构建一个数据湖，为安全分析提供价值。客户只要经过几次单击，就可以创建一个使用于安全的数据湖，也可以自动编排数据湖的创建，数据聚合，包括数据的规范和数据使用等流程。
　　Amazon Security Lake的出现，以大数据分析能力来汇集不同的数据，缩短数据处理所需要的时间。
　　另外，亚马逊云科技在最近的六个月内处理了超过 2.24 亿个恶意软件样本，28,673 种不同类型的恶意软件。Amazon GuardDuty是一个威胁检测服务，它内在的机器学习能力可以帮助我们智能地监控帐号和所有工作负载，再看这些服务里是不是有安全风险，防范于未然。
　　升级密钥管理提升安全效率
　　re:Invent 2022，亚马逊云科技发布了External Key Store（XKS）for Amazon KMS，KMS已经是业界使用非常广泛的密钥管理系统，很多客户依赖KMS来进行数据加密和解密，但也可能会有客户觉得KMS是一个非常好的工具，但密钥管理系统实在太重要了，我觉得还是用自己的更好。
　　亚马逊云科技推出的XKS，让用户可以使用自己的密钥管理系统，通过这些加密密钥来保护自己的数据。这项功能的好处在于已经和100多项亚马逊云科技的云服务集成了，用户可以不用再去做一些烦琐的自己集成的开发工作，就可以使用自己的密钥管理系统。
　　结 语
　　陈晓建说：＂亚马逊云科技将持续在安全中投入，我们理解安全对于用户业务的重要性，我们将通过更好的配置、更好的工具、更智能的分析以及更好的监控和警告机制，帮助用户在云中提升安全的态势。＂
　　当前，数字化转型正如火如荼地进行，但79%的企业出现了＂不能转、不会转、不敢转＂的困难境地，亚马逊云科技以强大的网络、数据、存储和安全能力，为广大企业保驾护航。
　　我只想说，你所关心的，正是亚马逊云科技所关注的。