相关文章

亚马逊CTO :以“自动化”产品及安全生态服务,推进企业加速安全建设

物流指闻   |   来源: 物流指闻   |   2019-07-31   |   0 0

企业安全建设应该“先人一步”纳入战略思考范畴

全球经济处于新旧动能转换的窗口期,全球云化、产业升级的背景下,各行各业如何在全球云化的产业互联网时代确保安全发展?

亚马逊首席技术官、副总裁Werner Vogels在第五届互联网安全领袖峰会上,结合亚马逊AWS推进全球数字化升级的实践,分享了应对之策。

Werner认为,随着上云成为越来越多企业的趋势性选择,全球正在变成一个开源的世界,安全的威胁越来越大,造成的损失也越来越多。“所有人都应该将安全纳入战略思考的范畴,云服务平台可以通过安全操作自动化让更多企业拥有构建自身业务安全的能力。”

随着产业数字化升级后万物上云时代的到来,越来越多的企业都寻求将数据和业务迁移到云端。但在企业开始行动之前,必须对迁移过程有足够的规划,其中云安全应当从开发的早期就开始主动进行战略规划。

Werner认为,在过去,互联网的安全保护有防火墙,企业可以使用防火墙保护“房子或房子内部的各个房间”,但现在很多破坏都是破门而入。“因此每个人都应该有安全的职责,企业要将安全纳入战略思考的思维。”

他提出,数字化升级下的安全建设,不仅需要阻断威胁,还需要通过安全规划前置,让企业获得最大范围的保护。“企业的安全建设,需要先人一步考虑不同情况下黑客的攻击,用户的数据保护,要求企业以最快的速度进行应对。

在今年的CSS峰会上, 腾讯副总裁丁珂提出,借助成熟的平台和行业经验,是企业加速数字化转型的最佳选择。“腾讯作为产业互联网的引领者,有能力、有义务把我们积累的顶尖的安全能力拿出来,通过开放安全中台,做好产业安全战略官,降低企业客户的安全门槛,帮助企业客户构建系统化的安全能力,同时满足企业客户成本和效率两方面的平衡,让产业互联网时代的安全举重若轻,护航产业互联网的安全发展。”

合理使用开源服务加快开发速度,已经成为企业数字化升级的一个重要趋势。Werner表示,在这样一个开源世界当中,很多安全问题出现了,但开发人员并没有采取措施进行防护。

为了更好地给企业提供安全服务,Werner提出,安全应该实现自动化。“我们应该尽可能把安全操作都进行自动化,这样可以更好保护客户,让他们进行自我保护。”对于自动化,Werner表示,过去几年中亚马逊建立了很多新的工具帮助客户进行自我保护。“我们有静态配置的检查,包括一些配置变更的监测,可以帮助企业自动做出监测,可以告诉客户面临的安全变化,并给予警告。”

WechatIMG79.jpeg

以下为Werner演讲全文:

大家早上好!非常感谢汤道生邀请我来到这里跟大家分享,我的演讲将关注几个内容,尤其我认为对于安全并不是安全团队的任务,而是对于每一个工程师都需要关注到的内容。

我认为每年当我们考虑到安全时,从四到五年前,作为一个良好的生态系统,汤道生今天早上提到关于安全的一些问题,就是不同资本市场都在考虑不同的一些内容。安全问题会给我们带来更多的损失,尤其会受到很多影响。

在我的祖国荷兰这样一个小国也可能会遭受到很多安全问题。从去年开始,我们有超过15000个左右的安全问题,这是在一个小国发生的问题。在全世界范围之内可能非常普遍,我们想阻止这些安全问题,不仅仅是安全的团队,而是所有人都应该加入到其中,要有将安全纳入战略思考的思维。

这里涉及到变革的社会,我们考虑到一些软件能力,必须要确认对于安全问题不仅仅是对于阻止安全事件的发生,而且需要先人一步考虑道不同黑客的攻击,以及顾客的需求,我们必须要以最快的速度来进行思考。

对于安全问题,不仅仅是需要阻断,而是需要通过这些方式进行更好的管控。

安全团队有运营、工程、应用与合规的,新的团队中心应该有开发人员,公司的每一位工程师都需要承担起安全方面的职责和任务。过去,当在6个月、9个月时间开发了一个软件,这个安全问题来了,看一下你的代码,如几千、几万行的代码,就放了一些防护的东西就以为安全了。看一些过去数据破坏情况,用过去方法开发的软件放在线,其实不应该放到线上。过去有防火墙,用防火墙保护个人的房子或房子内部的各个房间。

很多数据的破坏是破门而入,这就是社会工程师看到的情况。比如很多员工收到了新邮件,里面有一个链接,打开链接,你的系统就被攻击了,有些java系统在下载时就被攻击了。现在所有东西都已经开放了,因此每个人都应该有安全的职责。安全分析也变得非常重要。

在一个公司,每周大概有174000个警告需要去进行检查,基本用人工的话没有这个时间,比如Capital One金融机构问题,出现问题,他们花两天时间才解决掉被攻击问题、解决漏洞问题。在这样一个开源世界当中,很多安全问题出现了,但开发人员并不关注安全问题,并没有采取措施,因为他们觉得并不是他们的任务。现在使用一些开源软件,所以每个人都应该关注安全问题,因为这是每个人的职责、每个人的任务。

安全应该实现自动化,我们能够在多大程度上尽可能把安全操作都进行自动化,这样可以更好保护客户,让他们进行自我保护。

在哪里做这些安全保护?开发人员需要承担起相应的职责。过去在6个月的开发人员开发过程中,现在进入到了部署阶段,开发人员也在等待这一天要去进行持续的部署。如果是一天部署了几百次,如何能够保证你所开发的软件依然是合规的,依然能够满足安全的问题,依然能够保护客户呢。

看一下整个开发管道,有两方面需要给予足够关注,需要不同类型的安全,首先是关于管道本身,如部署的服务器以及构建的服务器都必须得到很好的保护,应该有一些访问权限,或者构建服务器节点需要硬化。二是在CI/CD管线当中的安全,安全应该融入到管道当中每一部分。

如图,在一个持续部署环境当中,可以看到部署服务器传统情况,但现在每一步都需要加上安全的措施,需要有这样的一些挂钩来做连续的安全保护。比如阻挡资质。有一些版本控制的软件,有一些软件可能会根据库不断进行更新,几乎每天都会有新的客户进来,新的客户把他们一些阻挡资质放进来,所以我们需要进行验证,也希望我们系统能够进行自动安全的验证,而不是由人工去做。

你的基础设施需要做一个代码,也就是安全性应该作为一个代码来进行保护的、进行描述的。需要对其进行不断的检查。关于基础设施每一个方面的改变都需要进行检查、进行测试,来保证其安全性。

另外也需要API驱动,可以建立相应工具,这样就可以对这个系统进行自动安全检测,一旦配置发生一些改变,整个系统工具能够对其进行自动安全方面的检查。不仅仅是要拦截,有的时候需要去分析为什么会出现这样一些攻击,需要去分析,而不仅仅是出现之后进行拦截。

以前的一些做法,如软件打包,等待警告,实际上已经完全过时了,非常脆弱,非常容易被攻击。我们需要不断地进行检查,进行代码部署之前或之后都需要不断检查,在之前要尽可能进行控制和验证。如,过去的做法,如果有警告的话,就在你的库里加入一个新的内容或基础设施上加入一个新的内容,或进行拦截。

应该关注非常敏感的API,对这些敏感的API要一直进行追踪,比如安全组或防火墙,以及加密密钥,如果出现任何一些变化,都需要对其保持警惕。

触发器。触发器也是基于事件的,当然每天也都会有一些变化,是基于API,也是基于事件一些日志,如果整个基础设施出现任何变化的话,就会有一些警告,需要有人对其进行检查,看一下具体问题是什么。

如何把这样一些过程自动化呢?在过去几年中,我们建立了很多新的工具来帮助客户能够进行自我保护。举例,我们有静态配置的检查,包括一些配置变更的监控,可以帮助自动作出一些检查,可以告诉你出现的任何变化,关于配置方面任何变化也都需要给予警告。通过这些警告,可以新旧对比,看到出现的变化在哪里。

实时、合规的检查,不仅仅是合规,还包括漏洞方面的问题。这是非常好的工具,客户利用这个工具对他们部署的环境不断进行检查,告知他们整个部署环境是否合规,让他们知道可能出现的漏洞在哪里,而且他们也通过这个工具会知道他们的弱点到底在哪里。通过这个工具可以帮助他们实时检测他们的软件。这也是安全领域非常热的一个话题,都是基于机器学习的。

很多时候数据集是在快速迭代、快速增加的,实时的一些数据产生的非常快、产生的量非常大,是前所未有的。更为重要的是,很多客户对于这类情况不是很清楚,不知道他们数据在哪里,他们有什么数据。比如有一些公司有3-4个并购,可能每天都会产生很多数据,但他们根本不知道。如何更好对数据进行实时管理,清楚他们可能的漏洞在哪里,因此他们需要使用自然语言分析的工具来知道数据在哪里,同时也知道数据的漏洞在哪里。

机器学习可以用于网络安全,通过机器学习可以大量处理这些数据,可以确保数据得到更好的使用,而且可以减少误报的问题。对于每一个客户来说都是不一样的。

如,他们在控制数据访问方式,每个客户都不一样,因此需要去了解每个客户的不同点在哪里,而且这个客户的行为也都是在不断变化的,需要了解客户的行为变化是什么,对他的行为进行分析,这样可以更好地了解他的基线正常行为是什么,以为客户定制一个属于他们情况的系统。

同时也可以根据客户竞争对手一些情况进行分析。可以利用行为分析来确定基线一些正常的行为类型,然后可以根据访问的数据价值设定情境化,其目的就是为了更好地避免误报的问题,收集所有的数据,做特点的分析,然后映射用户时间线,找他的对等组,预测用户的行为,升级相应模型,识别异常行为等等。

机器学习也可以驱动内容的分类,让你了解为什么一些人是这样的信息,还有他们的证书、隐私问题、存储在文件当中的内容,来确保他们可以得到更好的理解,从而能够对客户进行更好的保护。

腾讯的同事希望我说一下硬件方面的创新,如何通过硬件创新来保护客户呢?在云上,我们提出了一个共享责任的模型,即我们对云的安全负责,不管是软件、硬件,所有关于云的一切安全我们都负责,客户要对他们自己负责,也要对他们自己进行更好的保护,如果他们能利用我们所提供的工具,就会很好确保对自己进行正确的保护。

同时这个模型,作为云的提供者,可以帮助他们进行基于云的创新,客户之前从来没有看到过这样的创新,我们正在做的一个重要创新是在非常高的层面。

从传统模式到现在的转换,会通过软件解决一些问题,这对我们而言是非常重要的一点。事实上我们可以看到我们有4个不同的内容,我们非常高兴软件可以解决这些问题,而且同时在涉及到不同的领域,同时会有很多情况以及突破。

有些时候我们想说是否能用不同方式来进行转换呢?而且同时我们是否能够创造出一个全新的系统?在这里会有更多要求,同时我们会有更多内容。

举例,我们有一个不同的版本,会有更多转换,而且这些并不是良好的计划,所以我们需要有一个更好的转换,这是我们基本上所考虑到的一些内容。

我们在这里会涉及到不同的情况,通过不同方式能够进行更好转换,对于API或其他方式可以进行更好的进化。通过软件以及硬件可以进行更好的结合。

我们对于所有软件可以创造出一种相应的方式,以及环境,这些之前可能都没有发生。我们通过这些方式可以涉及到不同领域,尤其是涉及到一些方式。在这里会有更多方式,这是我们现在所需要考虑到的,有些时候过去并不能实现这个过程。

所以我们考虑到不同的情况,当系统能得到发展的时候,涉及到信任度,在这里有更多转换,而且同时我们所做的事情是在这里有更多的发展,通过所有的方式能够进行一些转换,同时我们会有其他一些协议的破坏者,或通过其他一些方式会有更多转换,基本上这些都是非常重要的。可以看到在之前从来就不是那么复杂。同时会涉及到不同的方式,而且会有非常好的架构,我们讨论到从主板到现在的转换,之前可能没有谈论到,在这里可能只有一种方式涉及到被动沟通方式,涉及到不同的情况。

基于此,我们可以在基础设施上进行更好的转换,而且同时我们会有更多方式,我们会有更好的PCI的方式,而且在这里会提升能力。非常重要的一点,对于一些自然控制语言,可以发现随着我们能进行更好的转换、能进行更好的控制,或者在另外一种方式我们会进行更好的管控,我们也同时会知道一些自然的控制,给我们带来更多方式以及确信度,我们通过这些方式可以进行更好的实践。

我们涉及到加密等情况,在一些控制层面上可以作出其他的一些加密。还有其他一些方式,平台上可以作出很多创新,比如涉及到微型平台及微型系统,我们有更好的数据容器,通过这些方式能够进行更好的掌控。

想让大家理解到的是,所有安全问题需要所有人都负起责任来,这就是我今天带来的演讲。谢谢!

* 文章内容为作者独立观点,不代表物流指闻立场。转载此文章需经作者同意,同时注明作者姓名及来源。

推荐阅读

参与评论

最新评论

0

0

我们期待与您互动,不要吝啬您的建议与意见。

黄刚老师深入交流请加微信:huanggang36
商务合作、爆料、投稿请加微信:logvip56
猎头、跳槽、招聘服务请加微信:headscmhrv

汉森商学院学员申请咨询请加微信:scmschool
线下活动、峰会合作请加微信:scmgroup
投稿邮箱:tougao@headscm.com

扫描二维码
关注物流指闻微信公众平台
更多深度策划、最新资讯、行业报告、现场视频,欢迎在微信中搜索“物流指闻”,或用微信扫描二维码,添加关注,将行业收录指尖。

汉森总部电话11:010-62656566(工作时间:周一至周五 9:30-18:30)   地址:北京市亦庄经济技术开发区荣华南路13号中航国际广场L1栋9层

汉森供应链管理集团有限公司 版权所有    备案号:京ICP备10020813号-1