AI成为助推器，破解云端安全难题

2022年，我们看到全球网络安全形势依然严峻，各种攻击、勒索及数据泄露事件层出不穷，对生产、生活及企业安全造成了严重威胁。

可以看到，互联网的开放性，让网络攻击者的攻击成本大大降低，攻击方式也更加多样化，导致很难利用传统手段进行检测，再加上被攻击方自身防护薄弱，从云服务商到企业都面临着巨大考验。

正是基于如此严峻的安全形势，亚马逊云科技的全球云安全盛会2022 re:Inforce吸引了众多企业级用户。在美国站的大会上，通过主题演讲、技术分享和动手实践等上百场活动，与全球客户分享亚马逊云科技在云安全和合规领域的最新洞察、成功经验及最佳实践，并发布多项新的安全服务及功能。

而在2022 re:Inforce中国媒体沟通会上也同样精彩。亚马逊云科技大中华区产品部总经理陈晓建在演讲中表示：云上安全的态势时刻变化，日新月异，我们必须进行前瞻性的思考，保持敏锐的洞察，源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作，将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地，与中国客户一起解决云上安全和合规的棘手挑战，为他们云上业务创新保驾护航。

通过AI助推安全

安全的经验来自哪里？

当然是总结加学习，在这方面云服务商有着先天的优势。据陈晓建介绍，亚马逊云科技覆盖全球的各个数据中心，每天都会收到数十亿条的安全事件、各种日志，这么大规模的日志，人力去做是绝对不可能的。通过自动化的处理工具来自动识别这些安全风险，并且能够把各个用户之间的安全事件关联起来，实现对全局的理解。

此外，再通过海量运营去支持全球数百万客户的各种安全事件，还能够进一步把在某个客户中所取得的实践，复用到其他客户应用中来，从而取得规模效益。

Amazon GuardDuty就是这样的一种工具，它是很多客户都在使用的威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护云中账户、负载、程序及存储数据的安全。

Amazon GuardDuty有一个非常大的优点，每天都会“好好学习，天天向上”，因为它内置有机器学习的引擎，通过内嵌的机器学习能力，不断改进对威胁的探测。亚马逊云科技会从所有客户的实践中学习，所以云的规模化使用会增强该类服务的能力。

Amazon GuardDuty能够非常有效地从云环境可以识别出潜在的恶意用户活动，通过机器学习的功能可以使得安全事件的误报率降低50%。

层层安全的洋葱模型

那么，安全防护应该呈现出一种什么形式呢？

陈晓建表示，亚马逊一直倡导的是：云中安全必须是洋葱式的多层防护，而不是一个鸡蛋。鸡蛋虽然是有一个坚硬的外壳，但它的防护就外壳这一层，如果一个点突破之后，整个安全体系就崩塌了。但是洋葱不一样，洋葱是多层防护的结构，所以不仅每层结构之间可以起到一个互相保护的作用，而且它会有层层递进的访问机制，这是亚马逊认为一个合理的安全机制所必须具备的。

整个亚马逊云科技的云安全是一个洋葱机制共分为五层，每层之间都是实现互相递进的安全防护能力，任何安全的防护是不能依托于某一个单点的员工或服务的，它依赖的是各个安全层次之间的配合。如果某一个层次被突破了，还会有其他层次作为互补，同样可以保证用户的安全。各种安全服务相互补充，构建起零信任架构的基础。

最小权限不容忽视

在全球很多安全事件中，有相当一部分数据泄露是来自于账号权限问题，并且这种从“内部”攻破的事件令人防不胜防。所以，亚马逊云科技才会关注最小权限这个概念。

这虽然是安全中的一个非常基础的要求，但却更容易出现纰漏。企业更需要做的是：

第一，要知道客户需要什么权限，他的工作需要他有什么权限。

第二，必须考虑到有效期。用户所需要的权限并不一定是永久的，任何一个权限的受理都应该有它合理的有效期。

第三，客户也应该定期去检查访问权限，来确保它的权限本身随着业务的变化仍然是合理和有效的。当然对管理者的权限也要实现时间控制。很多时候安全的风险都是来自于过于宽松的权限设置。

陈晓建表示，这些都是亚马逊云科技在开展云服务16年以来，服务全球数百万客户所积累的一些经验。我们认为安全的能力是在运营之中逐渐培养来得到的。通过服务于广大的客户，然后把这些客户服务的经验反哺到其他所有客户，这样就可以让更多客户都能从安全实践中获益了。

在国内，中国客户有着自己独特的安全合规要求和环境，亚马逊云科技深入到客户中，发现众多的来自于隐私保护、数据跨境、安全合规及云上安全建设方面的痛点。亚马逊云科技正在通过丰富的行业经验及完善的安全工具，帮助客户解决云上安全的棘手问题，助力它们在激烈的竞争中得到安全保障。