“安全并不是安全团队的任务,而是每个人都应该有安全的职责。”在中国互联网安全领袖峰会(CSS 2019)上,亚马逊CTO沃纳·威格尔(Werner Vogels)说道。
在一众穿着正装演讲的嘉宾里,Werner Vogels的打扮格外不同,他留着浓密花白的胡子,身穿黑色的T恤和牛仔裤。或许是为了迎合安全的主题,他的T恤上印了一句“Encrypt everything”(加密一切)。
Werner Vogels曾服役于荷兰皇家海军,后来在美国康奈尔大学计算机系做了10年的研究工作。他在2004年他加入了亚马逊,并在第二年被任命为CTO和副总裁。亚马逊的云业务AWS在2006年开始探路商业化,Werner Vogels是AWS的灵魂人物,并负责驱动亚马逊的技术创新。
谈到安全话题,Werner Vogels在现场说,亚马逊比以往任何时候都更加关注安全问题。因为亚马逊是一家以零售为中心的公司,安全关系企业声誉;同时,亚马逊作为一家拥有海量用户数据的公司,有责任确保用户的数据安全,维护用户利益。
他还提到了近日美国投资银行第一资本Capital One的数据泄露事件。据悉,目前共有约14万和社保账号和8万个与该行绑定的银行账号受到影响,这一事件还影响了1亿美国用户和600万加拿大用户,预计对该银行造成1亿-1.5亿的收入损失。Werner Vogels称,Capital One花了两天时间才解决掉被攻击问题和漏洞问题。
Capital One的数据泄露事件为企业敲响了警钟。特别是越来越多的企业开始把自己的数据和业务迁移到云端。有数据称,一家公司每周平均约有174000个安全警告需要检查,基本靠人工无法完成。
再如,合理使用开源服务加快开发速度,也成为企业数字化升级的一个重要趋势。Werner Vogels称,在这样一个开源世界中,不少安全问题出现,但开发人员并没有采取措施进行防护。
Werner Vogels说,在过去,互联网的安全保护有防火墙,企业可以使用防火墙保护“房子或房子内部的各个房间”,但现在很多破坏都是破门而入。而比如软件打包、等待警告的做法,也已经过时了。
企业该如何做安全保护?
Werner Vogels的观点是:安全不只是一个技术问题,而是需要企业从战略视角进行系统性构建。
“在企业开始行动之前,必须对迁移过程有足够的规划,其中云安全应当从开发的早期就开始主动进行战略规划。”他提到,企业要做的不仅仅是阻止安全事件发生之类的被动防御,现在要变成主动规划,先人一步考虑到不同黑客的攻击,以及顾客的需求,“我们必须要以最快的速度来进行思考”。
据他介绍,在亚马逊内部,给安全赋予了战略级的优先权,通过系统性构建更好的安全防护体系,来保护自己和企业客户的安全,
为了更好地给企业提供安全服务,Werner Vogels提到,亚马逊致力于通过自动化工具和系统性安全体系建设。
据他介绍,过去几年中亚马逊建立了很多新的工具帮助客户进行自我保护。“我们有静态配置的检查,包括一些配置变更的监测,可以帮助企业自动做出监测,可以告诉客户面临的安全变化,并给予警告。”
Werner Vogels提到,海量的数据在实时产生,很多客户对于这类情况不是很清楚,不知道他们数据在哪里以及他们有什么数据。“例如某家公司有3-4个并购,可能每天都会产生很多数据,但他们根本不知道。如何更好对数据进行实时管理,不清楚他们可能的漏洞在哪里,因此他们需要使用自然语言分析的工具来知道数据在哪里、数据的漏洞在哪里。”
值得一提的是,亚马逊也是全球云安全“责任共担”模型的首倡者。Werner Vogels介绍,亚马逊一直坚持安全性是AWS 与客户的共同责任。其中,AWS 负责云本身的安全,企业客户业应该加强关注并保护自身数据资产安全,建立责任共担的意识。
对于Werner Vogels的观点,腾讯公司云与智慧产业总裁汤道生深以为然,他提到,数字化将贯穿企业研发、生产、流通、服务等全过程,这其中无不涉及安全需求,要解决数字化的安全问题,就需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制。“换句话讲,安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,成为CEO的一把手工程。”
一组对比数字或许不难理解为什么要把安全上升到企业战略思维,而且需要每个人关注。不完全统计,我国每年有超过千亿资金落入黑产口袋,但国内整个网络安全产业规模一年只有500亿。而腾讯集团副总裁马斌也在今日一场演讲提到,在金融安全相关领域,每年有约160万骗子影响资产高达上万亿,“逼着老头老太太、年轻人都成了反诈骗专家。”
万物上云,只有以安全为前提,云上的产业才能顺利发展。从趋势来看,责任共担是全球主流的云安全模式,但中国产业互联网发展处于起步阶段,还需要一个认知过程。
Werner Vogels认为,无论是亚马逊还是腾讯,都需要通过多元化的方式,以产业链的协同发力,全面解决数字化的安全问题,护航数字化升级。
“安全与每个人都息息相关。” 他说。