云时代+AIGC浪潮下,企业如何铸造安全、专注业务
随着云科技的迅猛发展,当前我们已经步入了云时代,云存储、云交互、云安全等也随之而来。其中,在数字化和万物上云的推波助澜下,云安全已然成为企业不可忽视的问题。
事实上,安全在企业中的份量日益提高,安全也成为企业举足轻重的战略规划,CISO(首席信息安全官)的职位也应运而生。CISO的职能也不言而喻,除了领导企业日常安全工作,还需观察时代变迁与技术发展等多重变革下的安全形势的变化。
《财富》1000强CISO社区RSAC执行安全行动论坛(ESAF)最近一项研究显示,58%的人承认,他们需要以高层领导能够理解的方式,向高层领导传达安全技术语言。企业高层领导不光关注业务进展,同时更为关注企业安全状况,因而需要重新思考和定位安全,将安全作为业务的起点。
何故此言?因为,安全性可以提升企业竞争力、增强企业打入新市场的信心、增强品牌力并提升营收、降低风险和损失、促进业务连续性、增加和保持客户信任度与忠诚度等等。没有安全支撑的业务,宛如空中楼阁,岌岌可危。
今年以来,AIGC异军突起,其浪潮席卷各个行业,安全行业同样不可避免遭受波及。那么在云时代+AIGC浪潮下的安全,CISO以及企业领导者该如何应对,成为一个新的思考点。
当地时间6月13日,亚马逊云科技re:Inforce 2023全球大会于在美国加州安纳海姆拉开帷幕。亚马逊云科技宣布推出十多项安全新服务及功能,比如零信任、安全合规等传统安全技术产品,亚马逊云科技首席信息安全官 CJ Moses还提到如何利用大型语言模型(LLM)强大功能的话题,新发布的多项服务都与AI相关,其中诸多理念与思考,也为中国企业的安全建设带来许多创新性的参照。
为何要将安全作为业务的起点
亚马逊云科技认为,数字化转型正在增加,数据安全风险同样如此,而云的广泛使用,意味着数据正在以指数级的速度在云中存储。数据显示,在2020年,人们每秒钟创造1.7MB的数据,而预测认为,到2025年这个数据将达到463MB。
数据的爆炸,企业的快速创新,使得企业在保障数据安全层面需下猛力,这对企业的持续增长和云的发展至关重要。因为数字化转型不仅仅是一种技术战略,它更使得企业能够利用技术实现新的商业模式、产品、服务和计划,并推动业务增长。
在此过程中,从数据中创造业务价值,以实现战略目标和业务成果。这也就是开篇提及为何要将安全作为业务的起点的缘由。当然,这些说法并非空口无凭,而是有权威调查和确切数据支撑。
Gartner最近一份报告显示,89%的董事会董事表示,数字化转型已经嵌入所有业务增长战略。但只有35%的董事认为他们已经实现或正在实现数字化转型目标。因此,作为企业战略的数字化转型,接下来还有相当漫长的路程要走,而安全必然与之伴生。
波耐蒙研究所(Ponemon Institute)的一项调查发现,82% 的受访者认为,他们的组织经历了至少一次数据泄露。只有 29% 的组织认为,已经做好应对与数字化转型相关的主要威胁的准备。
Verizon移动安全指数显示,73%的安全专业人员和开发人员感到,为了不放慢项目进度,不得不在安全性方面妥协。
由此可见,商业、业务和网络风险乃从根本上交织在一起,故而增加了数据泄露、数据篡改、DDoS、恶意软件(包括勒索软件)、零日攻击等威胁的风险和影响。
所以,安全作为业务的起点,是云时代下的必然要求,同时随着AIGC的迅猛发展,网络攻击威胁也日趋普及化与简易化,企业可能面临着随时随地的攻击,这对CISO以及企业领导者都将是一个巨大的挑战。
针对这些,亚马逊云科技基于自身技术产品和服务能力的角度,提出了相关解决方案,相信可以给安全业内人士带来一些参考与触动。
三大利刃铸就安全防护信心
俗话说,打铁还需自身硬。在面对安全威胁的时候,安全产品和服务不光起到防护盾的作用,而且还要担负起哨兵斥候的功能,故而对安全厂商自身的安全能力和技术积累有着极高的要求。
此外,未知攻焉知防,攻防始终对立统一。兵者诡道也,网络疆域的明枪暗箭不比古代沙场少。故而攻的一方始终也是求变求新,而防护的一方如果缺乏足够的经验认知,往往很难应对攻击者变幻莫测的攻击手法。
亚马逊云科技自然也认识到了这些问题,一直以来,他们也在这些层面不断发力,铸就了极高的安全修为。亚马逊云科技首席信息安全官 CJ Moses就在本次re:Inforce大会上强调:“安全是我们的首要优先级”。因此,在助力企业安全防护上,亚马逊云科技就拥有得天独厚的优势。尤其是如下三大利刃,更可让企业CISO及其领导者踏实安心。
1、高标准云基础设施
从时间角度来看,亚马逊云科技是一家拥有近二十年云科技安全技术的厂商,而这近二十年,刚好是互联网科技、数字化转型、万物上云以及网络信息安全迅猛发展的时期。
更为关键的是,亚马逊云科技最初在建设新Region的时候,都是3 AZ起步作为基础标准,以提升云基础架构的安全可靠性,造就了亚马逊云科技全球31 Region、99AZ的全球布局。而同时期业界在全球云计算节点标准上,往往以1AZ或2AZ开局,两者在底层建设逻辑和成本投入上差别相当明显。亚马逊云科技也由此积累了丰厚的技术基础和云安全能力。
因此,亚马逊云科技高标准云基础设施的安全合规性和云安全文化,客户可以全面继承。因为亚马逊云科技的安全性始于核心基础设施,其构建了安全的全球云基础设施,客户无论规模大小,均可获得一致的云安全体验。
这个很好理解,如果把攻击威胁视为随时存在塌陷危险的沙漠,而亚马逊云科技的高标准云基础设施则是建造在沙漠中的坚石平台,无论是大房子还是小房子,建造在平台上,都能享受同等的坚固基石,这就确保亚马逊云科技可以全心全力打造一座基石,使其越来越坚固安稳,而不必针对大小客户建造不同的平台,分散精力的同时,也容易让客户产生了差异化对待的负面情绪。
或许有人会觉得,亚马逊云科技的基础设施坚韧有余,可能灵活度不够。实际上并非如此,其基础设施不仅根据安全最佳实践和最高标准来建立和管理,还考虑到云的独特需求,采用冗余和分层控制、持续验证和测试,大量使用自动化,确保底层基础设施得到7×24小时全天候的监控和保护。
所以,客户基于亚马逊云科技强大安全性的承诺,可以发掘新的高安全合规要求的商机,以此增加市场份额。这也印证了上文提及的将安全作为业务的起点,安全性可以提升企业竞争力。
2、AI/ML驱动安全自动化服务
今年re:Inforce大会的一个主要议题是由人工智能(AI)和机器学习(ML)驱动的安全服务。发布的产品是Amazon CodeGuru Security,这是一款静态应用安全工具,可以检测安全策略的违反和漏洞,提供解决安全风险的建议,并生成安全健康状况的指标。
安全自动化服务的优点不必多言,比如减少人力消耗和效率低下的人工排查、更快定位威胁和处理风险等等。自动化自然建立在工具使用上,工具本是死物,赋予其能力的便是人工智能和机器学习。
人工智能让工具拥有一定的鉴别能力,而机器学习则是让工具不断迭进能力,两者相伴相生。亚马逊云科技在人工智能和机器学习领域拥有深厚的能力积累,由AI/ML驱动的安全自动化服务,可以帮助客户更好应对事件,促进业务连续性。
今年re:Inforce大会上,CJ Moses强调:“我们AppSec工具链中的这项最新服务,与集成开发环境和CI/CD管道集成,并使用ML和自动推理,通过在开发生命周期的任何阶段检测代码中的漏洞,帮助构建更安全的代码……其增强的算法有助于工程和信息安全团队通过减少误报来节省时间。”
CJ Moses还指出,Generative AI 和大型语言模型(LLM)可以通过增强和补充现有的工具和流程,会对安全团队产生重大影响,同时照顾到较低层次的任务。例如,可以训练生成性人工智能模型来感知威胁,总结攻击事件数据,编写漏洞补救代码和编写渗透测试脚本,以自动创建YARA规则进行恶意软件检测等等。
事实上,AI技术可以视为一种中性化的工具,没有善恶之分,安全防护者可以用来增强安全防御,恶意攻击者同样也可以利用AI进行攻击威胁。现实中已经发生的案例也证实,Generative AI 可以使没有深厚经验的攻击者更容易创建恶意代码,比如可以生成更复杂和准确的钓鱼邮件等。
针对这类问题,亚马逊云科技也提供了保护用户免受其害的安全防护,因为亚马逊云科技的AI能力和ML能力远非一般攻击者可比,他们的安全自动化服务可以识别绝大部分由AI生成的威胁攻击。因此客户有必要使用基于人工智能和机器学习的防御措施来避免基于人工智能和机器学习的攻击。
此外,亚马逊云科技安全自动化服务和工具还有一项重要的能力,即可以帮助客户实现自动安全运营,使得安全团队腾出手来,专注于更重要的事务上,包括安全事件的检测、预防和应对等。
3、零信任安全架构理念
零信任已问世一二十年,但火爆于近三四年。可以说,云安全防护离不开零信任。因此,亚马逊云科技也一直强调零信任,重视零信任的研发工作。
亚马逊云科技高级首席工程师Becky Weiss在re:Inforce大会上指出,十多年来,亚马逊云科技一直支持零信任研发,着力于亚马逊云科技的身份和访问管理(IAM),IAM 服务现在每秒处理超过10亿次API调用。并介绍了亚马逊云科技构建零信任能力的两大产品:Amazon Verified Access和Amazon Verified Permissions。
Amazon Verified Access旨在为客户提供对在亚马逊云科技上运行的企业应用的安全访问,不需要VPN,同时又能执行零信任原则。
Amazon Verified Permissions则是一项使客户能够为其应用程序实施和执行细粒度的权限。其优势在于,可以让用户以易于理解的策略来实现精细的权限管理。
两大应用场景为安全保驾护航
在企业安全层面,合规是一个不可绕过的大坎。像保障数据安全、隐私保护、应用安全等,都成为企业必不可少之事。
在互联网相对不那么发达的年代,很多企业数据往往系统内部流通、本地流通、国内流通,而眼下出海已经成为许多企业生存发展不可或缺的战略,随之而来的就是数据出境、隐私合规以及应用合规等等。
由于各地区相关法律法规的不同要求,许多企业往往在这些方面十分头痛棘手,一不小心触碰当地数据隐私法律法规的红线,各种处罚便会纷至沓来。
针对此类问题,亚马逊云科技也始终在着力研发,在数据安全合规和应用安全合规两大场景下均拥有强大的产品服务能力。
在数据安全合规上,亚马逊云科技针对所有存储客户数据的117项都提供了加密数据的能力,且加密所有数据后,客户可以创建数据清单,以确定最需要保护的最敏感数据;支持数据在具有多个数据隐私治理规则的分散环境中操作;利用KMS加密客户所有内容,确保如果攻击者击败另一层防御,数据本身仍然受到保护;对于数据安全方面有更严格合规要求的客户,提供经单租户FIPS 140-2验证的加密硬件模块安全性来生成和使用客户的加密密钥等等。
亚马逊云科技认为,全球隐私相关法律的不断增加和完善,要求出海企业更加重视隐私合规。这包括两个维度:
一是隐私保护,使用技术、流程、合同等手段对隐私进行保护。亚马逊云科技云上提供覆盖数据传输、存储、使用等三个方面的安全服务,供出海企业选择来保护隐私;
二是数据跨境,这需要考虑到数据本地化以及减少非必要的数据传输。亚马逊云科技拥有全球最多的基础设施区域和可用区,以满足出海企业实现数据本地化的需求。在数据跨境的层面,亚马逊云科技作为技术提供方,提供了系列解决方案,帮助出海企业提升数据跨境的可见性和安全性。
此外,亚马逊云科技也能满足不同行业的数据安全合规要求。以支付行业常见的PCI-DSS为例,亚马逊云科技提供了满足 PCI 合规的全套云上解决方案,确保出海企业在持卡人数据环境 (CDE)下每一笔交易都安全可靠,全方位的安全服务可为出海企业提升 PCI 审计效率、减轻架构搭建压力、缩短产品交付周期提供了强大支撑。
当前,应用侧持续出现一些新的合规要求。在应用安全合规上,亚马逊云科技同样功底深厚。比如帮助区分合法用户和高风险账户注册;保护和轮换密钥;保护前端和后端API 在内的安全应用程序;针对应用程序、模型和数据进行安全集成访问,实施流量限制以防御DDoS攻击;持续监控和调查可疑行为等等。从应用底层维度进行加固,让应用无安全之忧,从而让客户专注于应用创新研发和落地推广。
以CSA联盟推出的针对IOT企业的Matter PKI合规要求为例。一直以来,智能家居应用存在“孤岛现象”。2022年末Matter标准发布,扭转了这个局面。对此,亚马逊云科技推出了PCA服务,可帮助客户快速构建Matter PKI证书体系,该方案具有成本低、安全性高的特性。
由此可见,随着数据的爆炸式产生,应用的多维度使用,以及数据流动的空间广度与应用环境复杂性都在提升,数据安全合规和应用安全合规都变得日趋重要且紧迫,亚马逊云科技多年来在这些层面所累积的能力,且其具备全球安全视野的优势,势必能为企业客户解决相应难题。
安全能力在实战中真实体现
众所周知,再强的安全能力,如果得不到落地应用,那也是镜花水月。亚马逊云科技的安全能力究竟如何,通过许多企业客户的真实使用,或可一窥端倪。
vivo品牌在国内大概耳熟能详,其手机门店遍布全国。事实上,vivo业务并不局限于国内,而正不断覆盖越来越多的国家和地区,这就造成一个问题,即营销系统的复杂化。
于是,vivo希望能够实现统一决策、全球一盘棋、精准营销,并将营销经验沉淀为平台能力;在技术上,vivo希望可以拉通数据、业务流进行数据化、全球快速部署、敏捷迭代新功能,同时提升运维效率,满足合规性要求。
经过多番考量,最终vivo选择亚马逊云科技产品和服务能力来构建系统,其充分继承亚马逊云科技在云基础架构层面的安全性和合规性,包括实现数据本地化合规,同时借助亚马逊云科技提供的各种安全工具进行构建,使自身专注于更上层的工作,从而有效支撑全球营销业务。
亚马逊云科技的安全能力是多方面的。眼下,国内的游戏业务发展得如火如荼,诸多知名国产游戏业出走海外,国外的优秀游戏也走进了国内,其中都免不了要解决数据的安全与稳定的问题。
比如,开发出《Blockman Go》游戏的国内游戏开发团队GVERSE,其游戏《Blockman Go》的数据服务部署在不同平台,新增游戏内容、版本测试以及配置管理等,都需要开发两套系统来进行适配,这就造成一定的维护成本和管理复杂度。
最终,GVERSE选择将游戏数据迁移到亚马逊云,拥有了高弹性、长期稳定、安全合规的服务保障。亚马逊云科技解决方案解放了基础设施对GVERSE的掣肘,使其主要精力放在拓展海外市场、更好地服务玩家方面,专注于企业创新进程中,无需担忧数据的安全与稳定。
此外,亚马逊云科技还为GVERSE部署了一系列安全产品,从基础设施保护等方面确保用户数据安全。此举有效消除了潜在风险,让GVERSE对所有业务运行在亚马逊云科技上感到放心,并充满信心。
写在最后:厚积而厚发
宋代词人苏轼在《送张琥》中提及:“博观而约取,厚积而薄发……”厚积薄发被后人作为成语,意为多多积蓄,慢慢放出。形容只有准备充分,才能办好事情。
但是,风险威胁往往如电光火石,攻防成败可能仅在瞬息之间。因而,亚马逊云科技在安全技术能力上始终厚积,但在对客户的服务支撑上则并不选择薄发,而是选择厚发,让每个客户都能体验到亚马逊云科技最好的技术能力和经验积累。
目前,亚马逊云科技提供300多项安全、合规和治理服务及功能;亚马逊云科技合作伙伴网络总共拥有来自150多个国家的10万多家合作伙伴,亚马逊云Marketplace还提供了数千种安全解决方案。
此外,亚马逊云科技将安全嵌入到业务发展的每一个阶段,包括设计、研发、布署和运维的不同阶段。加强应用安全建设,实现产品/服务的质量发展,加速业务创新和上线速度。
亚马逊云科技还将安全融入产品或服务的开发生命周期和运营当中,设置了安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,他们为产品和服务的所有安全负责,同时还设置了独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
由此,客户可以借助亚马逊云科技广泛的安全服务组合和合作伙伴解决方案,实现全面的数据安全和应用安全,加速业务创新,提高客户竞争力。在云时代+AIGC浪潮下,无论面临多么复杂的安全场景,企业客户都能利用亚马逊云科技的厚积厚发,成就企业自身的蓬勃而起。
即刻扫描下方二维码或点击阅读原文关注亚马逊云科技 re:Inforce 2023全球大会,将同步共享主题演讲和决策者论坛内容线上点播!
更多精彩敬请扫描上方二维码
关注亚马逊云科技re:Inforce中文网站