AWS Executive Insights / 安全 / ...
定義 Distinguished Engineer 角色
AWS Deputy CISO、VP 暨 Distinguished Engineer Paul Vixie 暢談 AWS 安全文化
AWS 以擁有特殊文化聞名,我們的安全組織也不例外。透過與 AWS Deputy CISO、VP 暨 Distinguished Engineer Paul Vixie 聊天,進一步了解 AWS 安全文化與眾不同的原因。
本訪談的部分內容也有音訊版本。按一下下方您喜愛的播放器圖示收聽播客,並訂閱 AWS 領導者訪談播客,以免錯過任何一集。
觀看 AWS Director of Enterprise Strategy Clarke Rodgers 採訪 Paul,了解他加入 AWS 的原因,以及他到目前為止的經驗。您將進一步了解關於 Paul 作為網際網路發展早期影響者的著名職業生涯、他如何入選網際網路名人堂,以及他現在擔任 AWS Deputy CISO 與 Distinguished Engineer 所從事的工作。
如果您喜歡這次對話,請務必查看 Paul 暢談 AWS 如何透過雲端創新保護網際網路。
Paul Vixie 暢談加入 AWS 擔任 Distinguished Engineer 暨 Deputy CISO
Clarke Rodgers (00:11):
Paul,非常感謝您參加我們今天的訪談。
Paul Vixie (00:13):
我很高興能來到這裡。
Clarke Rodgers (00:15):
請您介紹一下您的背景。就某種程度而言,這位傑出的創新者與思想領袖協助發明了網際網路的 DNS。請詳細說明您的經驗。
Paul Vixie (00:30):
我確實在早期發揮一定影響力,但我不是 Al Gore,我並非發明者。至於 DNS,我最初只是試圖解決自己面臨的問題。八十年代末,我在一家小型電腦公司工作,當時的軟體很糟糕,通訊協定不是那麼好了解。因此,最初是為了自我防衛,後來這成為了常態,我最終創立了一家公司來維護這些業務。後來我離開那家公司,在安全領域成立新創公司。
在這整個過程中,我突然有天獲選進入網際網路名人堂,同時在日本慶應義塾大學取得博士學位。從我 1980 年從高中輟學後的這一連串發展,著實讓我意想不到。
Clarke Rodgers (01:18):
太厲害了。讓我們稍微聊聊這一點。是什麼原因導致您高中輟學,然後轉而進入科技領域?
Paul Vixie (01:28):
當時,我一直在小型電腦領域做些兼職的工作。所以,當我的指導顧問說:「是的,明年你會重讀高三」,那是因為我把所有時間都花在電腦實驗室。
Clarke Rodgers (01:43):
太厲害了。
Paul Vixie (01:44):
所以,我意識到情況可能不會好轉,我想我應該離開這裡。後來,我離開了兼職工作,以當時的年紀來說這是很常見的選擇。是的,一切都始於我的成績很差,因為我花了太多時間設計電腦程式。
Clarke Rodgers (02:00):
我想對你來說最後是個好結局。
Paul Vixie (02:03):
我很滿意自己做過的所有奇怪決定。
Clarke Rodgers (02:08):
可否請您談談您在 AWS 的職責?
AWS Distinguished Engineer 的工作內容是什麼?
Paul Vixie (02:13):
我有兩到三項職責。我獲聘為 Vice President、Distinguished Engineer,這是一小群經驗非常豐富的人士。這個角色極具自主性。作為 Vice President、Distinguished Engineer,工作職責就是找出問題,深入探究。很少有人會說:「Paul,我們真的需要你做某件事。」 因此,在這種規模的公司被放任自由探索,是莫大的榮幸,特別在事隔二十五年後,我們還是不了解自己如何走到這一步。所以,非常榮幸。
我在夏季獲任命為 AWS Deputy CISO ,同時湊巧被要求領導 CISO 辦公室。您可以將 CISO 辦公室,視為高層主管解決方案架構師。當與客戶對話時,如需高層主管出席,我們通常會希望 CISO 參與現場的工作。問題是,我們只有一位 CISO,但需要的場合很多,因此我們扮演的角色就像是 CISO 的後備樂團,由六名業界領先人士組成,他們絕對是此領域的頂尖高手。我一直與他們合作,事實上,我參與他們的行動以便與客戶取得聯絡。我認為這就是我為什麼獲選為團隊主管的原因。
Clarke Rodgers (03:44):
是什麼原因真正吸引您加入 AWS?
Paul Vixie (03:47):
工作職責所在。換句話說,如果當初他們要我來這裡只是擔任 VP,負責某個職能部門,那我會說:「是的,這些我都做過了。」 但這主要是技術職位,至少我任職的 Distinguished Engineer 基本上是高層主管層級的個人貢獻者。讓我說明一下,這點為什麼那麼令人興奮:我上一次使用「工程師」這個職稱時,也是最後一次有我以外的人寫錄取通知信給我;然後,自 1993 年以來,就再也沒用過這職稱。所以,我只是新創公司的 CEO,我的確一直都是會編寫程式的 CEO,但還不算是真正的專業工程師。無論在任一家公司,這都不是我的主要工作。
如果沒有這些新創公司,我不會走這一條路,因此,能夠重新回到最初的軌道上,並成為個人貢獻工程師,我感到受寵若驚。我沒想過自己還能做到這點。從某個角度來說,是他們說服我這麼做的。但在他們說明職位後,這件事就在我腦海中盤旋,他們對我說:「是啊,你真的很想重回這個領域。」 當時我不確定。我不知道自己還能成為別人的員工,因為我在網際網路與安全行業是小有名氣的公眾人物,而且有些做法可能被視為違反常規。所以,我本來認為自己爭議太多,不適合這份工作。但他們不這麼認為。到目前為止,他們是對的。
Clarke Rodgers (05:22):
您來到這裡有一段時間了。您已經能夠四處探索。對於 AWS 的安全文化,您的印象為何?
AWS 安全組織有何不同?
Paul Vixie (05:32):
我在我的各種新創公司中,向類似這樣的公司出售產品。不論在哪裡,企業管理都大同小異,但是這裡的安全團隊行之有年,所以我們可以合理主張安全是首要之務,而這不只是說說而已。這點反映在公司由上至下的整體結構,不論是組織圖、營運計畫,還是預算優先順序都是如此。
換句話說,我們在這裡當然是為了向客戶提供服務,也希望任何公司都是要向其客戶提供服務。差別在於,如果客戶會因為某件事情變得不安全,那我們絕不會做那件事情。我們永遠不會把安全排除在外。這就是其中的不同之處。
Clarke Rodgers (06:20):
所以,當您與服務團隊深入研究時,例如在履行 Distinguished Engineer 職責時,能否說說看幕後的情況:討論功能發佈和安全性修正時,是否存在衝突? 或者說:「不,安全性修復非執行不可。」 你們是怎麼討論的?
Paul Vixie (06:42):
我們從未收到這類投訴:「天啊,如果你們因為應用程式安全測試結果等原因而阻止發佈,那就來不及了。我們會錯過自己的時間點,而且這早已經在進行了。」 不會發生這種事。這種情況會刻意避免,而且明確不允許發生。我們有時會遇到「應該如此」但非「絕對必須如此」的情況,此時,我或 AWS 安全代表的其他人會說:「這有問題,而且稍後再修復的費用會更昂貴。」 這裡的服務團隊在這個層面擁有自主權。
他們可以決定何者重要,但他們知道,如果存在安全問題,那麼我們與他們討論的事實將列為記錄。他們就必須提出解釋。所以沒錯,有時候很緊張,因為每個人一定都有上級長官,如果長官說,我們必須在某個日期達成目標,那麼你就會努力實現,我們對這一點很敏感。我們不想搞砸任何事情。但我們知道,我們的合作人員主要目標是達成指標,而我們是第二個最高指導原則。
Clarke Rodgers (08:09):
讓我們聊聊您的另一個職責,也就是管理 CISO 辦公室,您有很多接觸客戶的機會,並且以面對面或虛擬方式在世界各地與其互動。您在 AWS 參與的其中一項活動是 AWS CISO 社群。可否就這點,以及您的經驗稍作分享?
對於 AWS CISO 社群計畫,您有何看法?
Paul Vixie (08:30):
他們口中的 CISO 社群是:「嘿,Paul,你能去……」(當時是在馬德里)「參加 CISO 社群嗎?」 所以我得問他們:「那是什麼,我需要怎麼樣參與?」 當時,我才來這裡一年。以我現在擁有的專業知識而言,這可能需要比我更專精的人士,對於我們的身分,以及如何走到這一步有更深入的認識。我參與了,整個活動很棒,因為現場匯聚了一群來自特定行業的 CISO。而且整個活動是以 NDA 形式進行,同處一室的其他人不會轉述你說的內容,因此你可以暢所欲言。
Clarke Rodgers (09:20):
「查塔姆研究所規則」。
Paul Vixie (09:21):
「查塔姆研究所規則」,在某些情況下,這些人是競爭對手。他們可能是在同一行業或同一地區公司的 CISO,通常不會分享想法或經驗。但因為他們前來參加活動,我們也在現場主持討論,同時透過關於各種技術領域的部分簡報,播下討論話題的種子,進而鼓勵開始討論、鼓勵提出挑戰,並在不斷鼓勵下,最終演變成他們彼此之間的論戰。
這是一幅美妙景象,因為這是任何中大型公司都必須能做的事情之一,就是受益於競爭對手的經驗。我們不應該根據誰更安全來競爭,因為如果你我處在同一行業,而你遭到攻擊,我還是會受到傷害,而且可能表示我是下一個攻擊目標。所以透過這種方式……
Clarke Rodgers (10:24):
分享資訊與最佳做法……
Paul Vixie (10:26):
是的,即使我們在部分領域彼此競爭,還是需要在某些領域並肩合作。而且他們最後會互相認識,了解在不必冒著洩露公司秘密等等的情況下,他們可以信任彼此到什麼程度。目的是希望他們在活動結束後保持聯絡。當然,這代表一定會有人說:「哦,我有一天透過雲端使用某些 API 時,體驗很糟糕」,有些人則會說:「我倒是沒遇到什麼問題。」如果他們後來互相抱怨起我們,我們也確實值得抱怨,那也只能接受了。
這是任何中大型公司都必須能做的事情之一,就是受益於競爭對手的經驗……即使我們在部分領域彼此競爭,還是需要在某些領域並肩合作。」
如果我們不知道出了什麼問題,就無法向客戶提供更好的服務。因此,事實證明這對我們來說是大量的商業情報來源。「哦,真希望我有……」有時你可以說:「其實,這早就有了。」 我們的公司相當龐大,並且大量推出創新技術,開發新功能或新技術的速度之快,任何客戶都無法跟上。我的意思是,這是我的工作,但連我都難以跟上。
因此,我們必須擁有客戶介面,讓某些人了解客戶的問題、行業的問題、他們在做什麼,以及他們的方法和痛點。事實證明,我們已經有人這麼做了,但客戶不知道自己應該定期找時間與這些人會面。如果 CISO 社群有助於推動此事,我希望能一傳十、十傳百,然後透過口碑推薦成為一股運動。
Clarke Rodgers (11:59):
太棒了。Paul,非常感謝您參加我們今天的訪談。
Paul Vixie (12:02):
很開心與您交談。再次感謝您邀請我。
領導者簡介
Paul Vixie 博士
AWS Deputy CISO、VP 暨 Distinguished Engineer
Paul Vixie 是 VP 兼 Distinguished Engineer,在其 29 年的職涯中創辦並擔任五家新創公司的 CEO,之後加入 AWS Security。這些公司涵蓋 DNS、防垃圾郵件、網際網路交換、網際網路傳輸與託管,以及網際網路安全等領域。Paul 於 2011 年在慶應義塾大學獲得電腦科學博士學位,並於 2014 年入選網際網路名人堂。他也是 Cron 等開源軟體的作者。
Clarke Rodgers
AWS 企業策略總監
身為具安全專業背景的 AWS 企業策略總監,Clarke 樂於協助高階主管探索雲端可以如何實現安全轉型,並且與這些主管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其加入團隊之前便已熟悉 AWS 安全的諸多優勢。他曾是一家跨國保險 / 再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。
邁出下一步