亚马逊云科技2022 re:Inforce前沿趋势:加密、量子计算、开源
安全是云计算行业立身之本。安全圈最新的一个事件是8月28日某流行企业财务软件 0day 漏洞或被大规模勒索利用。值得注意的是,据官方公告称,此次受影响的是部分服务器私有部署的客户,而公有云客户及应用了安全策略的专属部署方式客户均安全运行。云计算的安全能力再一次被证明。
对云计算安全质疑的传统观念也在慢慢发生改变。云计算行业在早期一直被客户追问的问题是如何保障安全。经过近20年的发展,云计算已经成为企业数字化转型的必选项。
对于全球云计算行业的领导企业,亚马逊云科技对于云安全的理解更为深刻。亚马逊云科技大中华区产品部总经理陈晓建认为:“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,为他们云上业务创新保驾护航。”
每年除了re:Invent大会外,亚马逊云科技专门把安全部分单列出来,举办re:Inforce全球云安全大会。最新的前沿趋势,新的产品和技术是每年一度re:Inforce最吸引人的地方。
2022 re:Inforce前沿趋势:加密、量子计算、开源
今年re:Inforce的一个重要方向是聚焦在加密领域。亚马逊云科技提供两种密钥管理方式:静态加密功能,由亚马逊来管理和控制密钥;Amazon KMS,由用户自行管理控制密钥,同时可根据业务负载自动扩容。
同时,亚马逊云科技还提供Amazon CloudHSM专用安全模块,可帮助用户实现硬件加密。
在最前沿的量子计算领域,量子计算让现有加密技术不再安全,尤其是非对称加密技术,因此诞生了“抗量子计算密码学”
美国国家标准与技术研究所NIST公布了首批后量子密码标准,四种算法胜出,亚马逊云科技是其中两种算法的作者之一。
亚马逊云科技不但参与新技术的研究与标准的制定,同时也开展新技术的落地与产品化,包括:
实现了混合后量子密钥交换技术,正在将后量子密码标准整合到我们的服务中。
把signal-to-noise代码库中实现TLS的代码进行了开源
已经为三种服务的 TLS 连接提供了这些量子安全算法和选项:Amazon KMS、Amazon Certificate Manager 和 Amazon Secrets Manager
与互联网的标准制定方IETF机构合作研究新的TLS技术标准
在开源方面,亚马逊云科技研发开源加密库LibCrypto。LibCrypto可用作开源加密库的替代品,如OpenSSL,LibCrypto针对云服务进行优化,可以在Gravition芯片上跑得更快。申请LibCrypto FIPS 认证,FIPS是NIST发布的联邦信息处理标准,许多机构仍然将FIPS视为一项信息加密处理的高标准背书。亚马逊云科技同时宣布,未来三年内将向开源安全基金会OSSF 投资1000 万美元。
亚马逊云科技另一成果是自动化推理Provable Security,为安全提供真实证明:使用数学推理所有具体值、请求、网络、代码路径。亚马逊云科技推动了可证明的安全性的发展,我们将自动化推理应用于核心服务,以确保它们的结果是数学上可证明的。
客户如何在加密方面获得主动和先机,亚马逊云科技在 re:Inforce给出了相应建议:
a)万事皆需加密:加密是良好数据保护策略的核心组成部分
b)禁止公开访问权限,这对于Amazon S3服务尤其重要
c)启用多因素认证(MFA), Amazon MFA是为访问云提供额外安全的最简单和最好的方法之一
新产品新技术亮相2022 re:Inforce
在此次re:Inforce上,Amazon IAM、Amazon EKS、Amazon GuardDuty 、Amazon Config等新产品、新技术相继亮相。
1、Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
2、推出Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
3、推出Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的的恶意软件。
该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。Amazon GuardDuty可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。
Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。使用该集成功能了解客户组织的整体安全状态,轻松搜索、过滤、分类、调查存在的任何安全发现,并采取行动。
Amazon GuardDuty拥有专业合作伙伴提供恶意软件检测方案,还提供修复能力和机器学习能力。
4.Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
中国市场:隐私保护、数据跨境和云上安全建设
在亚马逊云科技看来,中国客户有着自己独特的安全合规要求和环境,随着深入到客户当中,发现众多的问题集中在隐私保护、数据跨境和云上安全建设,亚马逊云科技希望能帮助客户解决云上安全合规最棘手的问题。
在回答199IT关于亚马逊云科技如何看中国市场轰轰烈烈的隐私计算趋势的问题。陈晓建表示,隐私计算是目前非常热的一个技术课题,在中国有非常多行业的领导者,都在从事这方面的研究和产品化的工作。亚马逊云科技在很早之前就已经做了一些这方面的工作。包括研发了Amazon Nitro Enclaves这样的产品,它本身就是在EC2的计算实例里面提供的隔离的计算环境,它的工作就是为了实现可靠隐私计算。
举个例子来说,Amazon Nitro Enclaves把用户的一些个人信息、行业的敏感信息,比如医疗保健的数据、金融的数据等等放在里面,Amazon Nitro Enclaves是亚马逊云科技实现的特殊的技术,可以形成CPU和内存的隔离,从而保证用户在使用的时候,本身的代码和数据是可以得到保护的,从而实现隐私计算的能力。这个能力在亚马逊云科技整个产品层面已经是存在了很多年,它们对于中国客户来说同样适用,同样可以实现用户所需要的隐私计算的功能。
据陈晓建介绍,除了通用的隐私计算之外,亚马逊云科技也在做一些机器学习相关的隐私计算的工作。
亚马逊云科技在云安全上的两重角色:技术和产业化引领者
亚马逊云科技在安全技术方面的精耕细作。例如后量子的密钥交换技术,这个能力从目前来说还不是每个客户都需要去采用的技术,比如像TLS,亚马逊云科技参与到这个技术后面新的标准的颁布和整个工程化产品化的工作中来。这些工作是亚马逊云科技持续以来一直在做的事情。
陈晓建表示,亚马逊云科技的角色有两个:“第一,我们是技术引领者。第二,我们是产业化的引领者。亚马逊云科技在这两个层面都做了非常多的工作。从整个后量子密钥交换技术来看,确实两方面的工作都需要去做的。这是第二个层面,就是我们在安全的技术层面深耕细作,能够把我们的技术优势在用户需求层面发挥出来,能够真正满足用户的需求。“
在安全防护方面,亚马逊云科技一直认为多层次的安全保护依然是最有效的防护的措施。所以亚马逊云科技秉承着像洋葱模型这样的方式。“比如我们今天所发布的这些特性,怎么能够把用户原先在公有云上面的身份控制的能力扩展到私有云。1. Amazon Identity and Access Management (Amazon IAM) Roles Anywhere能够帮用户实现各种场景下持久化统一的用户身份管理策略,降低用户使用门槛,降低复杂性,提升效果,也能够加强安全的可靠性。“陈晓建如是说。
计世资讯首席分析师任伟巍认为:“在企业数字化转型的过程中,安全和合规是上云和用云的基石。越来越多的企业认识到构建云安全战略是一项持续性工作,需要有自上而下的顶层设计,要以安全为出发点构建云上应用。亚马逊云科技在自身的实践中,将安全融入到产品或服务的开发生命周期和运营中,在研发团队设置安全守护者角色以及增设应用安全审查流程,从人和数据两个角度设计更严谨的安全,并提倡构建多层次的纵深防护,能够为企业数字化转型提供了更安全规范的保障。”