AWS公司首席安全官分析和探討AWS公司的規(guī)范性安全性

盡管AWS公司提供了多種云安全工具，但其理解和實施因用戶而異，這可能導(dǎo)致危險的結(jié)果。

隨著云安全變得越來越復(fù)雜，作為全球最大的云計算提供商，AWS公司在建議和協(xié)助客戶避免常見陷阱方面發(fā)揮了更加積極的作用。Steve Schmidt對AWS公司對客戶安全采取了更具規(guī)范性方法的原因，以及它如何影響事件響應(yīng)等領(lǐng)域進行了分析和討論，并解答了為什么限制對云計算資源公共訪問這樣的問題。隨著越來越多的企業(yè)將業(yè)務(wù)遷移到云平臺并需要不同級別的指導(dǎo)，AWS公司擴展了一些方法以提供默認和規(guī)范的實施需求。

Schmidt表示，盡管目前采用云共享責(zé)任模型，但優(yōu)先考慮客戶服務(wù)對于云計算提供商來說是必須采取的措施。他探討了AWS公司近年來為減少錯誤配置所做的更改，以及它在事件響應(yīng)中的作用以及AWS公司如何解決云服務(wù)的漏洞。

你曾經(jīng)在一次主題演講中談到了限制用戶對AWS云計算資源的公共訪問。這似乎在影響客戶的大量常見錯誤配置方面取得了進展，因為我們看到的意外數(shù)據(jù)泄露或違規(guī)事件越來越少，這是怎么做到的?

Schmidt：在三年前，我們在默認情況下為S3啟用了“阻止公共訪問”。對于默認關(guān)閉的實例，我們一直采用安全組防火墻規(guī)則。自從開始提供服務(wù)以來就是這種情況。這是我們長期以來認真對待的事情。而且我認為很多客戶對提供的安全工具有了更多的了解;例如，如果使用GuardDuty，它會告訴用戶是否有暴露的資源，并會發(fā)出警告?，F(xiàn)在，用戶決定做什么取決于他們自己。我們作為云計算供應(yīng)商并不知道他們的業(yè)務(wù)是什么。他們可能正在運行一個網(wǎng)站，在這種情況下，開放它可能是完全合理的。我們對這些不知情是因為沒有看到他們的數(shù)據(jù)。但與此同時，我們必須向他們提供阻止公共訪問這樣的信息，并向他們說，“請檢查一下，可以嗎?”

你是否了解AWS公司就公共訪問與客戶聯(lián)系的頻率?

Schmidt：除非是特殊情況，否則我們的安全團隊不會主動與客戶聯(lián)系。例如，當(dāng)Log4J漏洞事件發(fā)生時，我們確實聯(lián)系那些可能易受攻擊的客戶，并在這種情況下向他們發(fā)出警告。但是，在大多數(shù)情況下，客戶訂閱的工具會通知他們。GuardDuty就是警告他們的工具。

具有諷刺意味的是，我的團隊很久以前就構(gòu)建了GuardDuty，這是一個關(guān)于用戶界面的非常棒的工具。很多人并沒有意識到為了啟動GuardDuty需要進行大量的配置?；ㄙM一段時間才啟動它的原因之一是我們構(gòu)建了用戶界面，所以實際上只有一個復(fù)選框可以打開它。它成功了。我們看到的效果是驚人的。但是它的啟動需要更加簡單一些，可以讓客戶輕松做出決定。

你是否從客戶那里得到了很多關(guān)于如何進行配置和正確設(shè)置資源以使其不公開的反饋?看起來，盡管云服務(wù)的設(shè)計比客戶管理自己的基礎(chǔ)設(shè)施更容易，但云計算客戶仍然在與所有安全控制、設(shè)置和配置作斗爭。

Schmidt：我們并沒有聽到多少這樣的反饋。我們從客戶那里聽到的是要求給他們更多規(guī)范性指導(dǎo)的請求。他們希望我們告訴他們做事的正確方法。所以我們選擇做的是在開始引入的一些服務(wù)中體現(xiàn)這一點，例如GuardDuty;它有一套非常規(guī)范的標(biāo)準(zhǔn)規(guī)則。如果客戶愿意，可以選擇關(guān)閉它們，但它們在默認情況下存在，而客戶告訴我們，“你比我更了解這些情況，所以要告訴我應(yīng)該怎么做?！?/p>

在規(guī)定性指導(dǎo)上，這種方法是出于客戶的要求而采取的必要措施?還是隨著云安全變得越來越復(fù)雜，最終不得不這樣做?

Schmidt：兩者兼而有之。我們首先要做的是了解客戶希望能夠使用的選項，然后我們構(gòu)建了這些選項。然后我們說，“我們現(xiàn)在有很多選擇?！倍蛻敉Ｍ雍唵?。有些客戶需要默認設(shè)置，有些需要指導(dǎo)，還需要規(guī)范性實施。而在另一方面是真正的大客戶，他們希望采用定制服務(wù)，而這些客戶是真正希望自己有控制權(quán)利的人。我們必須為這兩種客戶提供服務(wù)。現(xiàn)在，客戶看到的是GuardDuty之類的復(fù)選框?qū)⒏綆У膬?nèi)容，所有功能均已啟用。但在幕后，有些客戶可以根據(jù)具體情況調(diào)整這些規(guī)則中的每一條，但是我們從認為合適的默認值開始。

如何將事件響應(yīng)因素納入這一規(guī)定性方法?讓我們以Zoom為例，AWS公司已經(jīng)與該公司合作，幫助擴大其事件響應(yīng)團隊，并提供培訓(xùn)和指導(dǎo)。但是假設(shè)遭遇一次重大的網(wǎng)絡(luò)攻擊。即使網(wǎng)絡(luò)攻擊與AWS公司的技術(shù)無關(guān)，那么AWS公司在事件響應(yīng)方面的作用是什么?是否調(diào)動了安全團隊并讓客戶與他們聯(lián)系?

Schmidt：是的。客戶可以聯(lián)系服務(wù)團隊和技術(shù)經(jīng)理。通常情況下，我們會了解客戶在做什么以及需要什么幫助。然后我們將讓相關(guān)方參與。我們會為他們提供幫助。這通?？梢宰鲆恍┦虑?，例如展示他們需要查看的日志以確定正在發(fā)生的事情，并為這些日志構(gòu)建查詢，這將為他們提供幫助。還教客戶如何啟動EMR集群(如果他們以前沒有這樣做過的話)來解析日志。我們還可以幫助客戶做一些事情，例如確保他們適當(dāng)?shù)貙Υ疟P進行快照，以便他們可以對快照進行取證。

這取決于客戶。我們通?？梢宰鲂┦裁礊樗麄兲峁椭@將使他們的員工騰出時間去做自己的事情。例如，我們可以很容易地幫助他們提供快照，因為這是從外部進行API調(diào)用的。但我們不能去查看他們的日志，并指出哪些日志有意義，因為那是他們的應(yīng)用程序，所以這在多個方面進行分工，并確保他們擁有正確的專業(yè)知識來提出正確的問題。

這種方法似乎是對云計算責(zé)任共擔(dān)模型的一種轉(zhuǎn)變。在這種模式下，如果在客戶的環(huán)境中發(fā)生安全事件，那就是客戶的責(zé)任，而不是云計算提供商的責(zé)任?

Schmidt：盡管我們有共享責(zé)任模式，但總是在客戶遇到問題時為他們提供幫助。這就是亞馬遜公司秉承的一種企業(yè)精神。這正是我們內(nèi)部建立客戶服務(wù)流程的方式。我們所有高管都經(jīng)歷過一個客戶連接客戶服務(wù)(C2CS)的過程。例如坐下來接聽客戶服務(wù)電話，回答客戶問題。首先，可以了解客戶的真實感受以及他們的工作方式。但這也是一個讓客戶開心的機會，因為我們會說，“沒問題，我們可以解決這個問題”。我們不會說，“對不起，那是你的問題”，因為這不是我們開展業(yè)務(wù)的方式。其次，告訴客戶“對不起，你只能靠自己了”可不是什么好生意。這不會更好地為客戶提供服務(wù)。

隨著云計算提供商在安全方面發(fā)揮更積極的作用，并積極參與應(yīng)對事件，分擔(dān)責(zé)任似乎正在發(fā)生一些變化。你是否擔(dān)心AWS公司會被進一步納入事件響應(yīng)流程?

Schmidt：我認為這取決于個人客戶。我們提供了所有客戶可以訂閱的正常服務(wù)。我認為這是重要的事情之一——我們將盡所能幫助客戶。我們往往“盡力而為”，在這種情況下，我們必須在特定的服務(wù)水平協(xié)議(SLA)內(nèi)做出響應(yīng)。對于那些想要獲得幫助的客戶，他們通常簽署了支持合同。對于其他情況，我們將在適當(dāng)和合理的情況下盡可能地提供服務(wù)。在那里，合理性是一個相對重要的術(shù)語。如果有客戶說，“請你幫我分析2EB的日志?”然后我們會告訴他們這有點困難。

云計算漏洞的話題最近一直是信息安全社區(qū)關(guān)注的一個重點，因為沒有像傳統(tǒng)軟件漏洞那樣記錄它們的通用漏洞披露(CVE)系統(tǒng)。一些專家試圖通過啟動他們自己的云計算漏洞開放數(shù)據(jù)庫來啟動這項工作。你是否認為需要包含云計算漏洞的更好的通用漏洞披露(CVE)系統(tǒng)，即使這些錯誤不需要與客戶的那部分交互?這會讓客戶受益嗎?

Schmidt：我不這么認為，其原因是客戶的數(shù)據(jù)已經(jīng)存在。如果他們在選擇的搜索引擎中搜索“AWS安全公告”，將直接進入我們詳細描述所有內(nèi)容的頁面。還有一個必須去看看的地方，這不會是權(quán)威的信息，我認為這對客戶沒有幫助。它可能會幫助那些出售工具的人。但是數(shù)據(jù)就在那里，這很重要。在特定的數(shù)據(jù)中，我們真正關(guān)心的是客戶是否必須做些什么。這就是為什么我們總是把它列入安全公告的原因。它非常明確地指出客戶需要采取行動，或者客戶應(yīng)該更新到版本X或其他任何內(nèi)容。

我們非常努力地找出正確的信息級別，以便它有用且不嘈雜。噪音部分是一個問題，因為如果互聯(lián)網(wǎng)上的每一個異常都被報告到某個地方，那么人們就會迷失方向，錯過真正重要的東西?？蛻粜枰喿x的部分是采取行動的部分，也就需要更新軟件。我們不只是發(fā)布公告。實際上我們有一個流程，可以向客戶推送警報。如果我們知道客戶正在運行RDS MySQ L 3.8.4，將會向他推送一條消息，說明3.8.4版本中存在需要更新的漏洞。客戶需要選擇在維護窗口期間接受我們提供的軟件更新或立即自行更新。