亞馬遜CTO:安全不只是技術問題 沒有人能置身事外
劉佳
“安全并不是安全團隊的任務,而是每個人都應該有安全的職責。”在中國互聯網安全領袖峰會(CSS 2019)上,亞馬遜CTO沃納·威格爾(Werner Vogels)說道。
在一眾穿著正裝演講的嘉賓里,Werner Vogels的打扮格外不同,他留著濃密花白的胡子,身穿黑色的T恤和牛仔褲。?許是為了迎合安全的主題,他的T恤上印了一句“Encrypt everything”(加密一切)。
Werner Vogels曾服役于荷蘭皇家海軍,后來在美國康奈爾大學計算機系做了10年的研究工作。他在2004年他加入了亞馬遜,并在第二年被任命為CTO和副總裁。亞馬遜的云業務AWS在2006年開始探路商業化,Werner Vogels是AWS的靈魂人物,并負責驅動亞馬遜的技術創新。
談到安全話題,Werner Vogels在現場說,亞馬遜比以往任何時候都更加關注安全問題。因為亞馬遜是一家以零售為中心的公司,安全關系企業聲譽,同時,亞馬遜作為一家擁有海量用戶數據的公司,有責任確保用戶的數據安全,維護用戶利益。
他還提到了近日美國投資銀行第一資本Capital One的數據泄露事件。據悉,目前共有約14萬和社保賬號和8萬個與該行綁定的銀行賬號受到影響,這一事件還影響了1億美國用戶和600萬加拿大用戶,預計對該銀行造成1億-1.5億的收入損失。Werner Vogels稱,Capital One花了兩天時間才解決掉被攻擊問題和漏洞問題。
Capital One的數據泄露事件為企業敲響了警鐘。特別是越來越多的企業開始把自己的數據和業務遷移到云端。有數據稱,又名懷化站長網一家公司每周平均約有174000個安全警告需要檢查,基本靠人工無法完成。
再如,合理使用開源服務加快開發速度,也成為企業數字化升級的一個重要趨勢。Werner Vogels稱,在這樣一個開源世界中,不少安全問題出現,但開發人員并沒有采取措施進行防護。
Werner Vogels說,在過去,互聯網的安全保?有防火墻,企業可以使用防火墻保?置?郴?境ね?“房子或房子內部的各個房間”,但現在很多破壞都是破門而入。而比如軟件打包,等待警告的做法,也已經過時了。
企業該如何做安全保??
Werner Vogels的觀點是:安全不只是一個技術問題,而是需要企業從戰略視角進行系統性構建。
“在企業開始行動之前,必須對遷移過程有足夠的規劃,其中云安全應當從開發的早期就開始主動進行戰略規劃。”他提到,企業要做的不僅僅是阻止安全事件發生之類的被動防御,現在要變成主動規劃,先人一步考慮到不同黑客的攻擊,以及顧客的需求,“我們必須要以最快的速度來進行思考”。
據他介紹,在亞馬遜內部,給安全賦予了戰略級的優先權,通過系統性構建更好的安全防護體系,來保?自己和企業客戶的安全,
為了更好地給企業提供安全服務,Werner Vogels提到,亞馬遜致力于通過自動化工具和系統性安全體系建設。
據他介紹,過去幾年中亞馬遜建立了很多新的工具幫助客戶進行自我保?。“我們有靜態配置的檢查,包括一些配置變更的監測,可以幫助企業自動做出監測,可以告訴客戶面臨的安全變化,并給予警告。”
Werner Vogels提到,海量的數據在實時產生,很多客戶對于這類情況不是很清楚,不知道他們數據在哪里以及他們有什么數據。“例如某家公司有3-4個并購,可能每天都會產生很多數據,但他們根本不知道。如何更好對數據進行實時管理,不清楚他們可能的漏洞在哪里,因此他們需要使用自然語言分析的工具來知道數據在哪里,數據的漏洞在哪里。”
值得一提的是,亞馬遜也是全球云安全“責任共擔”模型的首倡者。Werner Vogels介紹,亞馬遜一直堅持安全性是AWS 與客戶的共同責任。其中,AWS 負責云本身的安全,企業客戶業應該加強關注并保?自身數據資產安全,建立責任共擔的意識。
對于Werner Vogels的觀點,騰訊公司云與智慧產業總裁湯道生深以為然,他提到,數字化將貫穿企業研發,生產,流通,服務等全過程,這其中無不涉及安全需求,要解決數字化的安全問題,就需要企業從經營戰略視角進行統一規劃,建立系統性的安全防御機制。“換句話講,安全不再只是CTO,CIO們的工作范疇,也需要CEO的戰略關注,成為CEO的一把手工程。”
一組對比數字或許不難理解為什么要把安全上升到企業戰略思維,而且需要每個人關注。不完全統計,我國每年有超過千億資金落入黑產口袋,但國內整個網絡安全產業規模一年只有500億。而騰訊集團副總裁馬斌也在今日一場演講提到,在金融安全相關領域,每年有約160萬騙子影響資產高達上萬億,“逼著老頭老太太,年輕人都成了反詐騙專家。”
萬物上云,只有以安全為前提,云上的產業才能順利發展。從趨勢來看,責任共擔是全球主流的云安全模式,但中國產業互聯網發展處于起步階段,還需要一個認知過程。
Werner Vogels認為,無論是亞馬遜還是騰訊,都需要通過多元化的方式,以產業鏈的協同發力,全面解決數字化的安全問題,護航數字化升級。
“安全與每個人都息息相關。” 他說。
