亚马逊测试了两种工具来帮助保持云的安全

亿欧智库 > 智库观点 > 亚马逊测试了两种工具来帮助保持云的安全

云计算
weird
孙清
2019-01-23 · 18:11
[ 亿欧导读 ] AWS是全球最大的云服务提供商,因此它的安全性直接影响到无数的网站和在线服务。客户将各种数据集和原始信息存储在AWS存储库中,这些存储库随后成为其自身基础设施的一部分。
亿欧智库分析解读,

AWS是全球最大的云服务提供商。因此它的安全性直接影响到无数的网站和在线服务。这些担忧不仅仅是理论上的,危险的失误时有发生。客户将各种数据集和原始信息存储在AWS存储库中,这些存储库随后成为其自身基础设施的一部分。如果客户在设置过程中犯了错误,或者不理解AWS特性的全部含义,那么它可能会使客户面临未经授权访问和数据泄漏的风险。

AWS账户的错误配置暴露了一切,从选民登记到联邦快递客户数据、保险信息,甚至是埃森哲(Accenture)这家大型会计和咨询公司的系统。不过两种新工具可能有助于缓解这一问题。来自AWS自动推理组的产品Zelkova和Tiros分析了关键的AWS安全配置,评估了访问控制方案,并从S3 bucket映射到开放互联网的可能路径。它们还提供关于不同设置的实际结果的自动反馈,帮助管理员避免危险的错误。

对冲基金Bridgewater Associates的安全架构师Greg Frascadore在纽约市的AWS大会上说,“我们希望从我们的系统中获得一种可证明的安全性。”“所谓可证明的安全,我不是指我们得到的是绝对可靠的安全。相反,我们想要得到的是一种正式的分析,一种系统的方法,我们已经验证了我们实施的安全控制是按照我们认为的方式工作的。我们的安全目标是阻止AWS的数据泄露。

Tiros映射网络机制之间的连接,对于检查来自开放internet的意外访问特别有用。同时,Zelkova可以为不同S3 bucket或其他AWS组件之间的比较创建基准,帮助开发人员了解与现有基础设施或模型S3 bucket相比,他们的设置是多么宽松。Zelkova还使用自动逻辑将配置发挥到可能的极限。这两种工具可以在错误发生之前帮助发现错误。

Frascadore说:“这些工具非常重要的一点是,你可以在设计阶段验证这些东西。”“我们真正希望能够做的一件事是,在我们对实际的AWS基础设施进行更改之前进行安全验证,也就是在我们将漏洞放入账户之前。”

Frascadore和Bridgewater技术与安全主管Tim Kropp指出,Tiros和Zelkova仍然是基本的内部工具,具有复杂和不友好的用户界面。布里奇沃特曾与AWS合作测试这些工具,并投入了自己的资源,以换取使用这些工具的机会,但弗拉斯卡多雷和克洛普现在正帮助产生兴趣,促使AWS推动将这些工具提炼成消费者级产品。AWS的一名发言人说,公司无法评论是否会更广泛地部署Tiros和Zelkova,但指出Zelkova已经在S3仪表板中用于自动检查哪些存储桶可以公开访问等内容。

AWS更公开地讨论这些工具的事实表明,该组织正在认真考虑部署这些工具的最佳方式。而更广泛地分发这些数据的想法,与AWS负责安全工程的副总裁兼首席信息官斯蒂芬•施密特(Stephen Schmidt)从根本上改变AWS的人与数据交互方式的更大愿景有关。施密特上周告诉《连线》杂志,他为公司的每一位副总裁设定了一个安全目标,“从根本上限制和监控人们对数据的访问”。

“激进”一词的使用并不是轻描淡写。施密特说:“我所使用的数据减少了80%。“人们的反应是‘你疯了,这是不可能的。’”这正是我选择这个数字的原因,因为没有自动化是不可能实现的。我们的目标是指导人们为他们本可以手工完成的事情构建工具。

Tiros和Zelkova是这一趋势下的工具类型,但施密特希望AWS继续构建各种保护客户的机制。施密特说:“人类对数据的访问是我们做生意所需要的,每个人都是这样。”但这并不意味着所有的访问都是合适的。“通常组织会让他们的管理员过度访问数据,因为这是最简单的事情,也是最方便的事情。”我非常非常强烈地感觉到,作为一个行业,我们需要在并非绝对必要的情况下严格限制这种访问。如果你让人类远离数据,你就消除了所有类型的攻击。

这个过程符合AWS的一个长期计划,即把自己锁在对客户基础设施和数据的访问之外。这使得AWS在提供客户支持和可靠性管理方面变得更加复杂,但施密特坚信这是降低风险的唯一途径。他还想进一步限制访问。那么,到目前为止,公司内部80%的裁员是如何进行的呢?

施密特说:“有些团队绝对会成功。“有一些球队取得了很大的进步,但今年不会实现所有目标。实际上,这是一个大胆的要求。好消息是,现在每个人都参与进来了,每个人都在投资。甚至那些反对者过了一段时间也意识到,这实际上对我有好处。


2019大湾区国际科创峰会.jpg

由亿欧公司主办、粤港澳大湾区研究院(广外)联合主办的“2019大湾区国际科创峰会(BATi)”结合湾区科创和青年特色优势,将第二届大湾区国际科创峰会的主题定位于“科技赋能、青年引领”,将围绕5G生态、硬件创新、工业数字化、AI企服、科技出海等热点展开探讨,欢迎科技创新的观察者参与!

报名链接:https://www.iyiou.com/post/ad/id/875


版权声明

本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。

打赏支持

5
5
10
20
50
80
100
其它金额
任意赏:

参与评论

1、 若贵平台是网站或者APP,在进行单篇原创文章转载时,需在文章标题或者导语下方,注明文章来源以及作者名称;若寻求5篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。

【若贵司平台转载亿欧公司原创文章已经超过5篇,请及时与我们联系补签转载合作协议,计算时间以2019年2月10日之后为准】

2、 若贵平台是微信公众号,在进行单篇原创文章转载时,请联系亿欧公司内容运营人员进行单篇文章的白名单开通,同样需要注明文章来源及作者名称;若寻求2篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。可将公司全称(简称)、公司网址、微信公众号、微信或者电话等信息发送至hezuo@iyiou.com,会有工作人员与您取得联系。

关闭
快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道