安全如今已經(jīng)成為一個廣泛的議題，并且滲透到了IT 事務(wù)中的方方面面?？v觀我在技術(shù)業(yè)界打拼的這么多個年頭，我發(fā)現(xiàn)“安全”已經(jīng)成了一個能夠迅速扼殺任何創(chuàng)新型努力的詞匯。在云計算發(fā)展的早期階段，那些對云技術(shù)了解不深的人們總會就其安全性水平問東問西。相較于更為重要的、如何利用這項(xiàng)新技術(shù)幫助企業(yè)自身實(shí)現(xiàn)商業(yè)價值，他們往往首先把安全性作為技術(shù)演進(jìn)的最大障礙。舉例為說，2012年我就開始利用AWS支持企業(yè)級項(xiàng)目，當(dāng)時我所能依靠的只有自己的同事、團(tuán)隊以及他們所擁有的解決問題的經(jīng)驗(yàn)。然而我們的研究結(jié)果大大堅定了自己的信心，事實(shí)上AWS為我們提供了一種遠(yuǎn)優(yōu)于孤軍奮戰(zhàn)的系統(tǒng)安全保護(hù)途徑。

作為一位前任CIO兼AWS客戶，下面我將結(jié)合自身經(jīng)歷聊聊自己眼中的云環(huán)境安全性問題：

我知道，安全性目前是、未來也將繼續(xù)是AWS所關(guān)注的核心議題之一。因?yàn)橹挥羞@樣，AWS 才能為來自眾多行業(yè)及政府機(jī)構(gòu)的如此廣泛且多樣化的客戶提供服務(wù)。我們擁有PCI系統(tǒng)、PII數(shù)據(jù)、SOX要求以及需要保護(hù)的知識產(chǎn)權(quán)信息。在了解到其它企業(yè)有能力在云環(huán)境下開發(fā)出足以順利滿足上述控制框架要求的、令人滿意的解決方案之后，我們既受到啟發(fā)、又對云技術(shù)的未來充滿信心。

可以確定的是，AWS 方面投入了大量資源進(jìn)行其服務(wù)平臺的保護(hù)工作，相關(guān)資源總量遠(yuǎn)遠(yuǎn)超過我們用于運(yùn)營支持的資源總和——而這還僅僅是在安全層面。與其它運(yùn)行著自有數(shù)據(jù)中心的企業(yè)類似，我們也一直不斷對成本、上市時間、質(zhì)量以及安全性作出權(quán)衡。在這方面作出決策絕非易事，而且我們往往很難弄清自己是否做出了正確的選擇。沒能認(rèn)真評估防火墻變更、線纜配置錯誤或者過于躁進(jìn)地進(jìn)行操作系統(tǒng)配置有可能影響我們的安全水平。如果大家在企業(yè)環(huán)境中擁有長期工作經(jīng)歷，我相信各位絕對能明白這兩者之間的聯(lián)系。光是想想單純因?yàn)槲覀冏陨硪蛩囟斐傻陌踩L(fēng)險，就已經(jīng)足夠把我們嚇得魂不附體。而且如果把安全性當(dāng)成企業(yè)運(yùn)營中的頭等大事，大家?guī)缀鯖]辦法繼續(xù)完成其它業(yè)務(wù)工作。

我知道，縮小受攻擊面能夠讓我們將精力集中在自身的差異化特性當(dāng)中。充分運(yùn)用AWS所提供的安全機(jī)制能夠幫助我們將一部分原本用于實(shí)施裸機(jī)保護(hù)的資源解放出來，轉(zhuǎn)而用于保護(hù)應(yīng)用程序。已知安全漏洞的逐步增加以及黑帽社區(qū)的日益壯大意味著我們必須進(jìn)一步強(qiáng)化針對托管基礎(chǔ)設(shè)施的應(yīng)用程序安全保護(hù)力度。在AWS 的幫助下，我們能夠在增添新型資源的同時、又不至于讓其它方面的配額過于捉襟見肘，這樣一來我們對于安全保障工作的心態(tài)也更加平和。當(dāng)然，這種共同分擔(dān)的責(zé)任模式并不代表客戶方面可以完全卸下包袱，但由此帶來的助益卻是不容否定的。至少就個人而言，我是樂于運(yùn)用一切可資利用的幫助。

根據(jù)我掌握的情況，AWS在全球安全發(fā)展前景方面的前瞻性要遠(yuǎn)遠(yuǎn)強(qiáng)于我們這單位一家企業(yè)的水平。我當(dāng)然也希望能夠充分享受由此帶來的規(guī)模經(jīng)濟(jì)收益。事實(shí)上，我們也希望能夠?qū)WS服務(wù)改進(jìn)所帶來的收益分享給自己的每一位客戶。

在我看來，自動化機(jī)制能夠大大降低出現(xiàn)人為錯誤的可能性，而且這一點(diǎn)在安全性以及應(yīng)用程序開發(fā)領(lǐng)域也同樣適用。我們希望盡可能多地將自動化方案引入那些需要反復(fù)進(jìn)行的技術(shù)任務(wù)。根據(jù)我了解到的情況，AWS高度依賴于自動化技術(shù)以實(shí)現(xiàn)規(guī)?；嵘瑫r降低人為錯誤的發(fā)生空間，并借此改進(jìn)自己的安全性模型。能夠擁有這樣一位出色的合作伙伴，將鼓勵并引導(dǎo)我們同樣利用自動化手段實(shí)現(xiàn)收益增長。

CIO& LEADER網(wǎng)站最近采訪了AWS CISO Stephen Schmidt，并就一系列安全議題展開探討。在此次采訪中，Stephen談到了AWS在安全性領(lǐng)域所采取的規(guī)模化、投資以及自動化機(jī)制等舉措。我認(rèn)為此次采訪進(jìn)一步增強(qiáng)了自己的信心，并堅定了我建議合作伙伴采用或者考慮采用AWS的決心。

CIO &LEADER:大多數(shù)企業(yè)信息安全負(fù)責(zé)人都沒能成功頂住DDoS以及APT等下一代安全威脅帶來的壓力。您面臨的此類安全威脅是否更大?您又是如何加以化解的?

Stephen Schmidt:我們見證著一切在互聯(lián)網(wǎng)上的發(fā)生。我希望分享一些有趣的數(shù)據(jù)來給大家提供更為直觀的量化印象。在每500 個IP地址當(dāng)中，就有1個通過互聯(lián)網(wǎng)被路由至Amazon網(wǎng)絡(luò)當(dāng)中，而且700個IP地址當(dāng)中約有1個被映射至EC2實(shí)例處。大家可以把我們看作一套規(guī)模極為龐大的望遠(yuǎn)鏡陣列，旨在發(fā)現(xiàn)一個極小的目標(biāo)。這套設(shè)施允許我們識別出針對客戶的安全威脅，并建立起自己的服務(wù)以幫助這些客戶抵御此類威脅。舉例來說，很多APT攻擊者試圖收集大量合法的用戶名與密碼內(nèi)容。正是出于這個理由，我們不允許在網(wǎng)絡(luò)中傳輸?shù)挠脩裘c密碼中包含客戶數(shù)據(jù)。我們還推出了多種智能驗(yàn)證令牌，這是因?yàn)槔梦锢碓O(shè)備進(jìn)行驗(yàn)證更為安全、而且其更難被攻擊者們所盜取。

CIO &LEADER:第三方風(fēng)險同樣受到安全從業(yè)人員的高度關(guān)注。作為一名CISO，您如何處理這些風(fēng)險呢?

Schmidt:為了最大程度降低此類風(fēng)險，最重要的是確保我們的各合作第三方與我們遵循同樣的安全標(biāo)準(zhǔn)。我們需要嚴(yán)格確保此類規(guī)則貫徹到位，并通過審計實(shí)現(xiàn)約束。舉例來說，如果我們在某國建立了一套CloudFront主機(jī)代管設(shè)施，那么我們就要求該代管服務(wù)供應(yīng)商提供與自身完全等同的安全水平。這部分內(nèi)容在雙方合作協(xié)議當(dāng)中明確標(biāo)定，而且我們會定期對其進(jìn)行檢查。

因此，我一個專項(xiàng)團(tuán)隊，其任務(wù)在于每年多次到訪世界各地的每一座代管設(shè)施。我們采取突擊檢查的管理方式，以確保合作方能夠根據(jù)既定規(guī)則完成自己的份內(nèi)任務(wù)。我們的要求非常嚴(yán)格，而且在檢查過程中要求對方員工全部撤離現(xiàn)場。舉例來說，他們是否使用經(jīng)過認(rèn)證的固定件、螺釘或者螺母，這樣我們才能保證自己無法從外部將其擰下。我們還會檢查墻上的檢修孔尺寸，確保其符合規(guī)定的規(guī)格要求，這樣惡意人士就無法將手伸入實(shí)施破壞。我們也在檢查中確保所有延伸出設(shè)施的線纜都包裹有保溫導(dǎo)管。憑借著這一系列標(biāo)準(zhǔn)，我們才能通過檢查來確保供應(yīng)商滿足我們的所有特殊要求。

CIO &LEADER:看起來AWS確實(shí)擁有一套可靠的第三方風(fēng)險應(yīng)對策略。但您如何應(yīng)對來自企業(yè)內(nèi)部的安全威脅?

Schmidt:應(yīng)對內(nèi)部威脅的最佳途徑就是限制指向數(shù)據(jù)的人為訪問。因此，我們在內(nèi)部采取的措施之一在于主動降低有能力訪問信息的人員數(shù)量。

盡管如此，我們的業(yè)界規(guī)模一直處于瘋狂增長當(dāng)中，我們每一周都需要削減能夠訪問客戶信息的內(nèi)部員工數(shù)量。我們能夠以自動化方式實(shí)現(xiàn)這一調(diào)整工作。舉例來說，如果某人需要多次——超過一次或兩次——重復(fù)同樣的工作，那么我們就會將其納入自動化流程。我們會有針對性地建立起一套能夠自動完成該項(xiàng)任務(wù)的工具。此類方案擁有兩大優(yōu)勢。首先，工具基本不會犯錯，它們不僅能夠順利完成任務(wù)、而且可以保證每次都同樣順利完成任務(wù)。相比之下，員工則可能帶來多種意外因素，并因此造成問題。其次，工具能夠顯著提高可用性。因此，自動化對安全性及可用性的貢獻(xiàn)確實(shí)值得肯定。

CIO &LEADER:那么，AWS在2015年中設(shè)定了怎樣的發(fā)展方向?貴公司將關(guān)注哪些技術(shù)成果及解決方案?

Schmidt:對AWS 而言，我們下一步將高度關(guān)注的就是加密機(jī)制。加密機(jī)制將無處不在，也就是說加密技術(shù)將覆蓋到每一個領(lǐng)域。我們的工程技術(shù)人員將高度重視的另一個領(lǐng)域在于向客戶提供針對加密機(jī)制的控制能力，這樣他們就能實(shí)現(xiàn)密鑰內(nèi)容管理。第三則是確保我們?yōu)榭蛻籼峁┮幌盗泄ぞ?，幫助他們做出更理想的安全性決策。

過去供應(yīng)商往往會告知客戶，一旦有問題出現(xiàn)，他們將很快到場并加以修復(fù)。但在AWS，我們選擇了完全不同的解決思路。相比之下，AWS給出的方案是：目前的這種狀況還有提升的空間，而這里的這個按鈕能夠切實(shí)帶來提升或者修正?？偨Y(jié)來講，我們?yōu)榭蛻籼峁┧麄兯枰墓ぞ撸祟惞ぞ叱杀緲O低甚至完全免費(fèi)，這樣他們完全可以自行解決問題。

CIO &LEADER:那么作為一位CISO，您下一步打算在哪些領(lǐng)域投入資金?

Schmidt:我們在自動化技術(shù)領(lǐng)域投入了大量資源，因此我們打造的主要成果之一就是工具。而我們還將大量自動化要素引入常見的安全測試、滲透測試以及配置管理測試等日常事務(wù)當(dāng)中，旨在確保一切以計劃中的方式順暢運(yùn)轉(zhuǎn)。在這些領(lǐng)域，我們每一年都會投入大量資金。

采取上述舉措的原因有二，其一當(dāng)然在于安全效益，其二則單純是因?yàn)槲覀儫o法在不借助自動化機(jī)制的情況下運(yùn)營如此龐大的設(shè)施體系。隨著規(guī)模的不斷提升，如果我無法快速推廣自動化機(jī)制，我們根本不可能雇傭到那么多水平出色的安全工程師來保護(hù)全部AWS服務(wù)。我們投入了大量資源以實(shí)現(xiàn)自動化技術(shù)。

為企業(yè)創(chuàng)建安全系統(tǒng)是每一位IT 高管人士的核心信條。為什么不使用目前市面上最出色的工具來實(shí)現(xiàn)同樣的效果?大多數(shù)專業(yè)的安全從業(yè)者都會告訴大家，這一切都取決于客戶所具備的實(shí)際設(shè)備。出色的方案并不足以替代人才、實(shí)踐以及艱苦的工作，但如果采用更強(qiáng)大的設(shè)備則能夠帶來良好的性能表現(xiàn)，并吸引客戶加以使用。云服務(wù)雖然無法取代業(yè)務(wù)系統(tǒng)中的杰出人才、專業(yè)知識以及管理機(jī)制，但確實(shí)能夠顯著提高企業(yè)獲得成功的可能性。

革命尚未成功，同志仍需努力。