AWS是全球最重要的網路安全組織之一,但這家雲計算巨頭從未公布過安全相關的銷售數據。
目前AWS的年運營額為1100億美元,可以說是全球最大的安全廠商之一,市場上也不斷湧現新的產品、工具和功能。
AWS首席資訊安全官(CISO)Chris Betz表示,AWS沒有公布網路安全收入數據,因為這不是AWS制定其安全產品組合和市場策略的方式。
Betz表示:「EC2發布每款新產品的時候都在和我的團隊合作,我們正在深入研究Trainium2和Trainium3晶片組,深入研究應該具備的安全功能及其設計方式。安全性是AWS服務中內置的,重要的是要意識到安全性已經融入了您接觸的所有事物中。」
從基於英特爾和AMD的晶片到Nitro System和EC2,AWS不斷在其產品組合中構建安全功能。
此外,AWS還期望渠道合作夥伴通過AWS Marketplace、以及AWS將與之合作和競爭的獨立軟體供應商一起推動安全解決方案。
「我們認識到並沒有一種神奇的安全解決方案,因此利用這些合作夥伴所覆蓋的龐大市場,將是非常強大的舉措,」Betz說。
在接受採訪時,Betz談到了AWS的網路安全理念和總體戰略、新的AWS安全產品、以及AWS合作夥伴機會帶來的巨大機會。
他說:「我的工作和我們的工作就是確保整個AWS雲的安全。因此,我們需要確保為所有人提供我們所能提供的最高安全級別的基礎,但我的關心不止於此,因為我迫切希望確保在AWS上運營的客戶是最安全的。
AWS不會公布其網路安全銷售情況,因此很難將AWS與Palo Alto Networks、Fortinet等其他廠商進行比較。那麼AWS的安全業務和範圍有多大?
我們對安全性的看法是多層次的。因此,我的工作和我組織的主要工作,就是要確保AWS是安全的,我們在所有服務中都採取了措施,包括幫助提高客戶安全性的安全服務。
EC2發布每款新產品的時候都在和我的團隊合作,我們深入研究Trainium2和Trainium3晶片組,深入研究應該具備的安全功能及其設計方式。
因此,我們的Graviton4晶片內置了大量的安全功能,當你將Graviton4晶片用作工作負載的一部分時,就會擁有一系列防禦措施,可以防禦各種利用漏洞的入侵方式,以及針對不同攻擊套件的防禦措施。這是我的團隊一直在努力做的一件事情。
因此,當你劃一條線開始談論安全服務的時候,我們當然有新的GuardDuty功能等專門設計用於幫助客戶在其平台上保持安全的東西,但缺少的是我們剛剛內置到工具中的所有其他安全部件。
憑藉我們的身份IAM、晶片組、Nitro平台和S3,每項服務都具有專門內置的安全功能,大部分功能已經存在於解決方案中。AWS的各項服務中內置了安全性,重要的是要意識到安全性融入了你接觸到的一切。
AWS的安全態勢和總體戰略還有哪些重要組成部分?
另一部分是,在對我們有意義的地方,我們提供了非常具體的安全保護:分布式拒絕服務、我們的WAF技術、GuardDuty——我們提供了一系列的技術。
另一部分是,那些採用AWS平台的客戶,我們有大量合作夥伴通過AWS Marketplace為他們提供安全服務。
因為我們認識到,沒有一種安全解決方案可以滿足客戶的所有需求,沒有靈丹妙藥可以保證安全,安全必須融入到一切之中。
我們必須提供能夠利用雲的力量、我們的威脅情報和我們的能力的東西,我們比任何人都更有能力做到這一點。
我們認識到,沒有一種靈丹妙藥可以解決所有安全問題。因此利用這些合作夥伴所覆蓋的龐大市場,將是非常強大的舉措,這就是所有部分結合在一起的結果。
您能否詳細介紹一下AWS的安全功能是如何內置到AWS和非AWS晶片中的?還有哪些獨特的安全亮點?
我們提供英特爾晶片,我們提供AMD晶片,我們的MacOS產品中有Apple M系列晶片,我們提供多代基於ARM的Graviton晶片。
只要可以,我們就會利用這些機會將安全功能內置到這些晶片中,但這不僅僅止步於Graviton晶片級別,我們還會更上一層樓。
Nitro是我們在EC2中使用的虛擬機管理程序系統。Nitro系統旨在使負責運行所有虛擬機的虛擬機管理程序不必使用CPU的任何處理能力,它是一組獨立的系統,可以在CPU上運行虛擬機管理程序和其他所有東西,以便客戶可以充分利用CPU的功能。
但構建Nitro的團隊並沒有止步於此。他們說:「我們有這個非常好的機會,可以去實現它,讓AWS可以確保我們無法訪問運行在Nitro上的任何客戶數據。」
我們所做的就是構建系統來加密CPU和存儲、CPU和內存、CPU和網路之間的數據——所有這些功能。這種設計和驗證方式,讓操作員無法進入環境中。
我們將Nitro用於我們的英特爾、AMD和Graviton晶片中——因此無論你使用的是哪種CPU,當你使用一種基於Nitro的平台時,你都會知道你的工作負載只有你自己可以訪問,AWS是永遠無法訪問的,這些都是AWS可以為客戶提供的最好的東西。
請您談一談AWS最新和最出色的安全發布都有哪些?是什麼讓它們在網路安全領域如此獨特?
我們的VPC [虛擬私有雲]可以阻止公共訪問。
你可以在AWS VPC中運行很多不同的東西,這是你的網路邊界。你正在運行很多不同的服務。過去需要進行細緻入微的工作,以確保這些東西都不會在網際網路上宣傳。因為每項服務,你都可以進入並配置它,有時你想配置它,連接到網際網路,有時你不想——但要絕對確信它不會連接到網際網路,就需要一套規則了。所以客戶說,『天哪,我希望這能更容易一些。』所以VPC阻止公共訪問就是其中一種情況,我們採取了一些細緻入微的措施,為客戶實現安全性,並將其變成了一鍵式的解決方案。所以現在你是AWS上的開發人員,你希望應用中的任何內容都不能直接通過網際網路訪問,那麼你不必再考慮這個問題了,你不必去想,「我們如何在EC2、RDS或其他任何東西上做到這一點。」你所要做的就是點擊一個按鈕,我們在後台就已經大規模地運行了這種安全性。
另一個例子是我們稱為根賬戶集中管理的新功能。
很少有情況是需要root級別訪問賬戶的,但有些操作只有root才能對賬戶進行更改。這是現存最強大的證書。因此,對於擁有數十或數百個賬戶的人來說,確保在需要時擁有這些賬戶,同時還要保護這些賬戶,是需要付出巨大努力的。每個賬戶都存在安全風險。如果有人將錯誤的證書放在了錯誤的地方,可能會對這個賬戶產生很大的影響。
如何讓人們更簡單、更輕鬆地實現安全?我們讓賬戶不再需要root證書。相反,一項名為「集中管理root賬戶」的新功能允許組織所有者為賬戶提供具有特定功能的臨時證書,以防你遇到極少數需要這種訪問權限的情況。因此,該賬戶沒有root證書,這一點非常非常棒,因為它消除了一個風險領域(在這方面你必須維護但不能泄露的root證書)並為客戶完全消除了這些風險。
合作夥伴應如何利用這兩款新的AWS安全產品和功能進入市場?
當我們能夠簡化安全性時,我們的合作夥伴就可以輕鬆地進行檢查並確保我們所有的客戶,即使是最小的客戶,都能獲得最好的、開箱即用的安全性。
我們的整個合作夥伴生態系統對於幫助如此多的人能夠利用雲,是至關重要的。我想要做的就是幫助合作夥伴更輕鬆地保護客戶的安全。
至於VPC Block Public Access:如果你知道這組基礎設施永遠不應該與網際網路通信,只需在控制台中單擊一個按鈕,發出一個命令,就可以知道無論發生什麼情況,客戶的資源和VPC都不會暴露在網際網路上,這對合作夥伴來說是一種勝利。這使合作夥伴的工作變得容易得多,讓他們更有信心地確保客戶安全性已經到位。
根賬戶中的組織就是一個很好的例子,當根賬戶證書存儲在某個地方時,這就是風險。我們都知 道我們的中小企業有多忙,我們都知道合作夥伴要為所有客戶維護這個問題有多複雜。因此我們簡化了它,同時降低了風險,這是一個雙贏的結果。
您對AWS Marketplace的合作夥伴有什麼寄語?
我們相信選擇。人們需要不同的工具來解決不同的問題,這就是我們的Marketplace的優勢所在。
合作夥伴在向市場銷售產品方面擁有巨大優勢,因為他們可以讓所有客戶都能夠使用他們的產品,這讓他們能夠輕鬆選擇合作夥伴,而且更容易進行集成,因為你不希望集成過程中出現摩擦,這是一個巨大的槓桿。
同樣,對於能夠利用這些合作夥伴網路的客戶來說,他們能夠選擇一系列不同的解決方案,這些解決方案可以在AWS環境中開箱即用,我們的合作夥伴已經付出了額外的努力來打造這種無縫體驗,這就是為什麼我不想只從我們所做事情的角度來談論安全性,我們還應該從合作夥伴的角度來談論安全性。
