作者:赵晓勤
AWS是全球最重要的网络安全组织之一,但这家云计算巨头从未公布过安全相关的销售数据。
目前AWS的年运营额为1100亿美元,可以说是全球最大的安全厂商之一,市场上也不断涌现新的产品、工具和功能。
AWS首席信息安全官(CISO)Chris Betz表示,AWS没有公布网络安全收入数据,因为这不是AWS制定其安全产品组合和市场策略的方式。
Betz表示:“EC2发布每款新产品的时候都在和我的团队合作,我们正在深入研究Trainium2和Trainium3芯片组,深入研究应该具备的安全功能及其设计方式。安全性是AWS服务中内置的,重要的是要意识到安全性已经融入了您接触的所有事物中。”
从基于英特尔和AMD的芯片到Nitro System和EC2,AWS不断在其产品组合中构建安全功能。
此外,AWS还期望渠道合作伙伴通过AWS Marketplace、以及AWS将与之合作和竞争的独立软件供应商一起推动安全解决方案。
“我们认识到并没有一种神奇的安全解决方案,因此利用这些合作伙伴所覆盖的庞大市场,将是非常强大的举措,”Betz说。
在接受采访时,Betz谈到了AWS的网络安全理念和总体战略、新的AWS安全产品、以及AWS合作伙伴机会带来的巨大机会。
他说:“我的工作和我们的工作就是确保整个AWS云的安全。因此,我们需要确保为所有人提供我们所能提供的最高安全级别的基础,但我的关心不止于此,因为我迫切希望确保在AWS上运营的客户是最安全的。
AWS不会公布其网络安全销售情况,因此很难将AWS与Palo Alto Networks、Fortinet等其他厂商进行比较。那么AWS的安全业务和范围有多大?
我们对安全性的看法是多层次的。因此,我的工作和我组织的主要工作,就是要确保AWS是安全的,我们在所有服务中都采取了措施,包括帮助提高客户安全性的安全服务。
EC2发布每款新产品的时候都在和我的团队合作,我们深入研究Trainium2和Trainium3芯片组,深入研究应该具备的安全功能及其设计方式。
因此,我们的Graviton4芯片内置了大量的安全功能,当你将Graviton4芯片用作工作负载的一部分时,就会拥有一系列防御措施,可以防御各种利用漏洞的入侵方式,以及针对不同攻击套件的防御措施。这是我的团队一直在努力做的一件事情。
因此,当你划一条线开始谈论安全服务的时候,我们当然有新的GuardDuty功能等专门设计用于帮助客户在其平台上保持安全的东西,但缺少的是我们刚刚内置到工具中的所有其他安全部件。
凭借我们的身份IAM、芯片组、Nitro平台和S3,每项服务都具有专门内置的安全功能,大部分功能已经存在于解决方案中。AWS的各项服务中内置了安全性,重要的是要意识到安全性融入了你接触到的一切。
AWS的安全态势和总体战略还有哪些重要组成部分?
另一部分是,在对我们有意义的地方,我们提供了非常具体的安全保护:分布式拒绝服务、我们的WAF技术、GuardDuty——我们提供了一系列的技术。
另一部分是,那些采用AWS平台的客户,我们有大量合作伙伴通过AWS Marketplace为他们提供安全服务。
因为我们认识到,没有一种安全解决方案可以满足客户的所有需求,没有灵丹妙药可以保证安全,安全必须融入到一切之中。
我们必须提供能够利用云的力量、我们的威胁情报和我们的能力的东西,我们比任何人都更有能力做到这一点。
我们认识到,没有一种灵丹妙药可以解决所有安全问题。因此利用这些合作伙伴所覆盖的庞大市场,将是非常强大的举措,这就是所有部分结合在一起的结果。
您能否详细介绍一下AWS的安全功能是如何内置到AWS和非AWS芯片中的?还有哪些独特的安全亮点?
我们提供英特尔芯片,我们提供AMD芯片,我们的MacOS产品中有Apple M系列芯片,我们提供多代基于ARM的Graviton芯片。
只要可以,我们就会利用这些机会将安全功能内置到这些芯片中,但这不仅仅止步于Graviton芯片级别,我们还会更上一层楼。
Nitro是我们在EC2中使用的虚拟机管理程序系统。Nitro系统旨在使负责运行所有虚拟机的虚拟机管理程序不必使用CPU的任何处理能力,它是一组独立的系统,可以在CPU上运行虚拟机管理程序和其他所有东西,以便客户可以充分利用CPU的功能。
但构建Nitro的团队并没有止步于此。他们说:“我们有这个非常好的机会,可以去实现它,让AWS可以确保我们无法访问运行在Nitro上的任何客户数据。”
我们所做的就是构建系统来加密CPU和存储、CPU和内存、CPU和网络之间的数据——所有这些功能。这种设计和验证方式,让操作员无法进入环境中。
我们将Nitro用于我们的英特尔、AMD和Graviton芯片中——因此无论你使用的是哪种CPU,当你使用一种基于Nitro的平台时,你都会知道你的工作负载只有你自己可以访问,AWS是永远无法访问的,这些都是AWS可以为客户提供的最好的东西。
请您谈一谈AWS最新和最出色的安全发布都有哪些?是什么让它们在网络安全领域如此独特?
我们的VPC [虚拟私有云]可以阻止公共访问。
你可以在AWS VPC中运行很多不同的东西,这是你的网络边界。你正在运行很多不同的服务。过去需要进行细致入微的工作,以确保这些东西都不会在互联网上宣传。因为每项服务,你都可以进入并配置它,有时你想配置它,连接到互联网,有时你不想——但要绝对确信它不会连接到互联网,就需要一套规则了。所以客户说,‘天哪,我希望这能更容易一些。’所以VPC阻止公共访问就是其中一种情况,我们采取了一些细致入微的措施,为客户实现安全性,并将其变成了一键式的解决方案。所以现在你是AWS上的开发人员,你希望应用中的任何内容都不能直接通过互联网访问,那么你不必再考虑这个问题了,你不必去想,“我们如何在EC2、RDS或其他任何东西上做到这一点。”你所要做的就是点击一个按钮,我们在后台就已经大规模地运行了这种安全性。
另一个例子是我们称为根账户集中管理的新功能。
很少有情况是需要root级别访问账户的,但有些操作只有root才能对账户进行更改。这是现存最强大的证书。因此,对于拥有数十或数百个账户的人来说,确保在需要时拥有这些账户,同时还要保护这些账户,是需要付出巨大努力的。每个账户都存在安全风险。如果有人将错误的证书放在了错误的地方,可能会对这个账户产生很大的影响。
如何让人们更简单、更轻松地实现安全?我们让账户不再需要root证书。相反,一项名为“集中管理root账户”的新功能允许组织所有者为账户提供具有特定功能的临时证书,以防你遇到极少数需要这种访问权限的情况。因此,该账户没有root证书,这一点非常非常棒,因为它消除了一个风险领域(在这方面你必须维护但不能泄露的root证书)并为客户完全消除了这些风险。
合作伙伴应如何利用这两款新的AWS安全产品和功能进入市场?
当我们能够简化安全性时,我们的合作伙伴就可以轻松地进行检查并确保我们所有的客户,即使是最小的客户,都能获得最好的、开箱即用的安全性。
我们的整个合作伙伴生态系统对于帮助如此多的人能够利用云,是至关重要的。我想要做的就是帮助合作伙伴更轻松地保护客户的安全。
至于VPC Block Public Access:如果你知道这组基础设施永远不应该与互联网通信,只需在控制台中单击一个按钮,发出一个命令,就可以知道无论发生什么情况,客户的资源和VPC都不会暴露在互联网上,这对合作伙伴来说是一种胜利。这使合作伙伴的工作变得容易得多,让他们更有信心地确保客户安全性已经到位。
根账户中的组织就是一个很好的例子,当根账户证书存储在某个地方时,这就是风险。我们都知 道我们的中小企业有多忙,我们都知道合作伙伴要为所有客户维护这个问题有多复杂。因此我们简化了它,同时降低了风险,这是一个双赢的结果。
您对AWS Marketplace的合作伙伴有什么寄语?
我们相信选择。人们需要不同的工具来解决不同的问题,这就是我们的Marketplace的优势所在。
合作伙伴在向市场销售产品方面拥有巨大优势,因为他们可以让所有客户都能够使用他们的产品,这让他们能够轻松选择合作伙伴,而且更容易进行集成,因为你不希望集成过程中出现摩擦,这是一个巨大的杠杆。
同样,对于能够利用这些合作伙伴网络的客户来说,他们能够选择一系列不同的解决方案,这些解决方案可以在AWS环境中开箱即用,我们的合作伙伴已经付出了额外的努力来打造这种无缝体验,这就是为什么我不想只从我们所做事情的角度来谈论安全性,我们还应该从合作伙伴的角度来谈论安全性。
查看原图 226K