作为世界上最大的云平台,不仅承担着您的客户,而且还承担着监管机构,政府和整个互联网的责任。
安全性和隐私是任何云提供商都可以维护和维护的核心支柱,但是赌注没有比亚马逊网络服务(AWS)高得多的赌注 - 毕竟,跌倒是很长的路要走。
我们在最近以安全为中心的AWS:Inforce 2023事件上与来自亚马逊的云计算部门的领导人进行了交谈,以深入了解云安全的新兴趋势,由于生成的AI Boom的变化以及使基本知识的重要性。
你可能喜欢
如何捍卫您的云环境:7个主要规则
在数据主权的引擎盖下
2025年最佳云计算提供商
双方的AI
自2022年11月公开发行Chatgpt以来,生成AI已迅速发展以占据市场,现在使用强大的自动化工具可供任何访问Internet的人使用。这包括威胁参与者,他们可以立即说服网络钓鱼电子邮件来编码恶意软件。那么防御者如何保护云免受这种强大的新威胁的侵害?阅读更多
> AWS在反对不断发展的威胁的斗争中采取了新的安全措施
> IT团队由于人手不足而无法完全利用云安全解决方案
>亚马逊可能面对有史以来最大的GDPR罚款
AWS CISO办公室主任Mark Ryland认为,尽管新危险是真实的,但我们需要将如此高级的威胁视为视角:
“在[网络钓鱼等]上,我们需要做得更好很多,我们需要有所帮助:我们有很多自动化,许多工具,许多功能,许多功能和能力,这些功能和能力使管理基础架构更容易管理,使其远离所有低级技术,您必须在前提上管理更高级别的服务,因此可以继续使用一个主题。
“我有一个销售团队说“我的客户想和您谈谈不断发展的威胁格局 - 最复杂的演员,他们在做什么?&rsquo“这是一个有趣的话题击中所有人,如果您没有最后一个Windows CVE的补丁,那么您会遇到麻烦,这不是很令人兴奋,这不是很性感 - 这只是例行公事,但这就是您应该真正关注的事情,那么您可以谈论高级演员。”
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
(图片来源:Shutterstock / Ryzhi)
当涉及到战斗的另一端部署AI时,AWS全球安全副总裁Hart Rossman认为,需要在开发这种防御工具的开发中进行体贴:
“The way I’ve been talking to customers and our team about it is by trying to push some of the hype to the side and talk about the practical applications. And so, the mental model I've been using is kind of: AI is the new DevOps. If you go back a little more than a decade, particularly in the security space… we were moving some traditional development methodologies to… DevOps, and it took about a decade for the world to get comfortable with那和地狱,这就像现在建立应用的现代方式。”
“ AI和机器学习的一些先进应用程序正在分水岭和地狱;我们将在哪里进行民主化,我们将为每个人都广泛使用,现在是时候开始考虑实用应用了。”
“今天,这在大多数情况下似乎是我们用来称为专家系统的东西 - 因此,自动化可以帮助某人更好,更快,更聪明,更便宜,但不一定显示出突破性的新功能;我认为这并不遥远。”
“而且我知道我们正在研究Cool&Hellip;但是今天,我真的鼓励团队寻找实用的应用;再次教他们有关表现出有意义成果的技术(安全),然后真正利用它来在接下来的几年中为创新泵加油,以照顾我们今天的需求。”
“因此,我确实试图提醒人们继续专注于当今的客户,这对当今的客户表现出了真正的物质利益。”
今天的安全问题
因此,尽管安全的基本面仍然像云中一样重要,但AWS如何解决它们?
罗斯曼(Rossman)对雪松(Cedar)充满热情,雪松(Cedar)是新开发的开源语言,来自AWS,旨在编写访问控件:
“雪松从根本上是两件事:这是一种人类可读的安全验证的政策语言 - 因此,它使人们更容易制定正确的授权政策 - 然后有一种引擎和地狱;以某种方式解析这些政策,以证明是正确的。”
“我们的自动推理组…使用数学和逻辑来证明一种特定算法按照广告的方式进行,并且只按预期进行 - 我们称其为计算正确。因此,雪松是我所知道的第一个开源授权政策语言 - 当然是我所知道的,但我认为这是一个正确的原理和自动的,并且是自动; it its&s□推理。”
“那么,这是怎么做的?它增加了对用户的信任,它增加了开发人员的实施便利性,如果您处于合规性或审计中,它也可以阅读,因此您实际上可以查看策略和地狱;当您对PCI的对话进行对话时,许多关于对身份的访问和网络的访问 - 是否可以访问和网络 - 对其进行访问 - 是否可以访问和网络访问;一个QSA来确定您是否符合您的要求。”
“那么我们真正关心的是:它在应用中有效吗?这就是验证性所在的地方。因此,您有合规性和审核的说法,“您正在做正确的事情,并且很容易弄清楚这一点 - 然后您已经实现了该系统的实施,这使安全有价值。”
“我很兴奋,有很多人谈论雪松&地狱;大多数授权语言和授权引擎都是封闭的,并内置在服务&Hellip;而雪松的酷事是任何人 - 它可能是车库中的一个人,它可以是跨国公司 - 现在可以证明是在大规模的授权和验证的范围内,可以在任何应用程序中进行验证,并在任何应用程序中使用它 - 可以在任何应用程序中使用它。地球上任何人的安全性。”
(图片来源:未来)
这样的大型且宽敞的云服务(如AWS)的另一个关键考虑是确保元素有效分区,以便如果未经授权的访问将在一层中进行,那么整个王国的钥匙就不会被移交给您。Ryland解释说:
“即使是网络不仅是外部的”,而且内部也是内部的 - 即使是在内部,我们也应该拥有所有这些子内部,子环境,在这种情况下,横向移动更加困难或不可能,因为在您的系统中确实不需要在您的系统中与您不需要的一部分,因此您不需要与您进行过限制,因此您不需要一个限制,因此,您却没有一个限制了一个限制,因此,您的侧面不需要一个,并且不需要一个限制。
“在云中多年以来,我们拥有这个称为安全组的功能,它是在EC2环境中构建的,并且非常易于使用动态的软件定义的防火墙技术,您可以从字面上可以配置与安全组相互交流的任何服务器,他们可以与他们交谈,但他们可以与其他事物和地狱般的ect ect&其他ect equent; equest;[它]在网络上加倍,但是只需将其制作,这样就可以较小,并且在存在问题的情况下包含更多,然后在任何可能的地方添加基于身份的信号。”
Ryland确实指出,“有时需要升级应用程序或将代理放入,因为有传统技术不了解网络路径中的身份信号 - 但是有越来越多的方法可以解决问题,而且我们看到人们越来越多地看到人们构建这些功能,并且它是一个很好的趋势。”
罗斯曼(Rossman)同样解释了:
“服务是通过多种方式孤立的 - 一直回到一个两个披萨团队的想法,您知道,您拥有一个单一的开发团队,该团队深深地拥有一项功能或服务,从端到端向后工作,从客户那里向后努力,推动创新,因此,从某种意义上说,就像在vpc&hellip中一样,我们会限制了一个不同的范围。特定的服务实施&Hellip;特定的VPC,特定的子网。”
客户隐私
(图片来源:未来)
凭借所有能够成功实施大规模云计算的功能和安全功能,无论威胁参与者还是AWS本身如何保存客户隐私?因为有了大量的敏感数据,用户正在向云提供商灌输大量的信任,以使其远离撬动的眼睛 - 他们的身份。
Ryland说:“现在这很有趣的一件事,这是非常有趣的,这是保护隐私的数据共享&Hellip;例如,我可以以某种方式与您共享数据,以限制您对数据的可见性。”
“我们提供了不久前推出的名为“清洁室”的服务,专门为不想完全信任的各方之间的数据共享而设计,但他们需要在数据上进行协作,它为您提供了许多非常复杂且丰富的访问控制和限制,以了解谁可以看到什么,时间限制的访问 - 诸如此类的事情。”
“此外,当与我们提供的客户端软件一起使用时,以仍然允许搜索性和查询的方式加密数据,那么您确实可以做一些有趣的事情来创建可以与某人协作的共享数据环境。”
Ryland给出了共享IP地址的相当无害的例子,正如他指出的那样,“根据许多数据法规,被认为是个人身份的信息:如果是您的家用路由器的IP地址,则被认为是PII。”
“我可以与您共享IP地址,但是,如果您在数据库中也有相同的IP地址,我拥有它,并且我们对其进行了加密,我们认识到,我们认识到,嘿,我们都有这个。必须共享数据。”
“许多核心用例都是市场营销和广告和地狱;因为他们想了解人口统计和用户之类的东西而无需共享数据,但是在这种技术和地狱中的广泛适用性;因此,如果您在平台上与欺诈行为一起工作,那么您会在平台上工作,您会在平台上工作,您会告诉您其他等同的业务。您“由于存在隐私问题,您无法以原始形式共享数据。”
“但是,如果您可以对数据进行关联,并说:“如果您看到这一点,那么,对于我们来说,这是一个欺诈性用户的指标,我们有可能以保留隐私的方式来做到这一点,并且可以这样做,这样就可以与某些公司一起工作,如果我们可以与其他公司一起工作。”
“如果您愿意的话,我们会得到很多鼓励,或者是美国政府和其他政府的压力,要求他们做更多的工作,以防止欺诈性地使用云基础设施和地狱;因为您不希望使用云的坏演员使用糟糕的演员。”
关于这些坏演员的入学点,Ryland再次解释说,基本方法仍然有效,称他们经常陷入困境:“损害了没有援助基础设施和地狱的无辜客户;
(图片来源:未来)
在保护AWS&rsquo的隐私方面Ryland的客户将云与一个信封进行比较:“我们看不到信件 - 我们看到了外部,看到流量即将来临,我们会看到DNS查找(如果您使用我们的DNS服务),我们会看到 - 作为您的帐单信息的一部分 - 您使用的是您的存储量以及所有这些数据 - 所有这些内容 - 所有这些内容 - 所有这些都可以在meta数据附近围绕您的环境,我们围绕着您的环境。
“我们仍然非常仔细地保护这些数据,并使人类远离它,但这是云的一部分。但是,在您的计算节点,存储内部,数据库内部的存储空间内部 - 对我们来说是有毒的:我们不想看到,我们不想看到它,并且我们有很多保护,并且我们有很多保护和保持这种隔离。”
“我们现在有了一些服务,我们将其称为赫尔米式服务,我们可以看到它 - 我们没有任何技术手段可以在您的工作量中看到您的工作量,并且最重要的是包括我们的核心计算服务,EC2 Nitro Architecture&Hellip;我们从一开始就从一开始就设计出来的是,我们也将其完全隔离,因此我们也从未有任何存储中的存储者,因此我们的内部是内部的,因此我们已经在内部进行了内部,因此,我们也可以在内部进行内部的内部及其内部的方式,因此,我们也可以将其与众所周知,因此,我们也可以从中及其进行整理。这样 - 就用于加密所有数据的加密密钥而言。”
“在这些核心服务和从中传播的情况下,我们建立了越来越多的保护措施,使我们再次看到您的工作量的外部边缘,但是我们看不到内部。然后我们与审计团队和合规组织一起工作,以提供证据,以证明这一效果可以依靠客户来依靠这一工作,从而依靠这一行动来确定态度。
尽管如此,Ryland说,AWS中仍然有一些实例,完全隐私并不总是可能的:
“It's an ongoing trend, and we still have some services where it’s hard to operate in a completely ‘lights out’ way; probably the longest challenge will be when you run commercial database engines… and so forth - those were never really designed for completely automated operation, they always kind of assumed that a DBA could log in and do certain things: rebuild an index or drop a table because of this or that.”
“因此,即使我们有很多自动化来执行其中一些DBA功能,有时候人类必须登录并做某事 - 这是罕见的,但有时会发生这种情况,只是为了保持系统启动并运行并遇到SLA。”
“因此,现在我们正在开发技术,以告知客户那些罕见(但不是零)操作。从长远来看,可能会提供能够为您提供工作流程的能力,您可以说是或否&Hellip;我们可以说“可用”,但如果您不想登录我们,我们会登录我们,我们会赢得,我们会赢得’ t。””。
“但是,许多核心技术已经有效地达到了我们特权运营商根本看不到您的数据的水平,这就是我们想要的东西和通常的客户想要的东西 - 我们有一些客户,例如希望我们能在所有数据内看到的执法部门。”
“因此,我们与执法机构进行了这些奇怪的对话和地狱;他们就像…‘“这是法院命令,请给我访问...对数据’ - 我们从字面上看不见;我们没有技术;我们没有技术。”
“然后另一个政府机构就像,感谢上帝,我在AWS上运行工作量,我肯定希望没有人能看到内部!’这是保留您的非本地数据保护的最好的云防火墙
