AWS Executive Insights / 安全 / ...
AWS 如何幫助客戶達到其安全、風險及合規目標
Hart Rossman 的任務是幫助客戶建立信心和技術能力,以便在雲端中使用 AWS 操作他們最敏感的工作負載。他的團隊無時無刻在思考如何不斷提高客戶體驗的標準,以滿足安全、風險及合規方面的緊迫需求。
AWS 企業策略師 Clarke Rodgers 與 Hart 談論如何透過深入傾聽以下各方面並確實理解來找出解決方案:什麼對客戶而言利害攸關、他在為團隊招聘時尋找什麼樣的人才、哪些服務與客戶將其安全服務遷移至雲端的趨勢保持一致,以及 AWS 如何超越一切,確保其工具和合作夥伴齊頭並進且實現最佳化。
Clarke (00:58)︰
跟我們說說您的背景,您是如何來到 AWS 的,以及您目前的職務是什麼?
Hart (01:05)︰
沒問題。在 AWS 之前,我在國防承包商情報領域工作,做很多系統整合方面的工作,我確實很喜歡這項任務,喜歡為美國政府和世界各地政府提供支援,以及他們所做的事情和一些受監管產業也是如此。但我始終要確保這份名單受頂級安全公司的保護,對吧。在我職業生涯的早期,這些主要針對消費者。就像桌面上的防毒軟體、個人防火牆之類。但隨著時間的推移,這份名單則遷移至提供基礎設施的公司,以確保世界運轉。例如 Amazon 這樣的公司,以及其他大型基礎設施供應商。而我處於職業生涯的某個階段,正致力於尋找下一步行動。我想去真正在安全方面進行創新的地方。這不僅能夠對少數非常重要的客戶產生影響,而且對整個世界都是如此。因此,我抓住機會來到 AWS。
Clarke (02:02)︰
您目前在 AWS 的職位是什麼?
Hart (02:39)︰
目前,我是安全和基礎設施全球專業實務及專業服務主管,這有點拗口。但其實,我的任務是幫助客戶建立信心和技術能力,以便在雲端中透過我們操作他們最敏感的工作負載。
Clarke (02:58)︰
原來如此。在您探究您的團隊為客戶提供,或客戶可使用的不同專業服務產品時,您是否遵循任何特定機制,以確保您提供的產品確實是客戶想要的或需要的?
Hart (03:14)︰
我來舉一個非常具體的例子。幾年前有一段時間,我們有幾個客戶考慮將支付卡系統遷移至雲端。他們真正需要的是,既具備雲端運算和支付卡系統現代化營運面專業知識,又了解 PCI 標準的團隊。因此,第一次發生這種情況時,我們認為應引入具備 PCI 能力的合作夥伴。這確實很有效。通常情況下,客戶在與 AWS 和合作夥伴開展合作時會取得最佳成果。
我們還聽說,他們希望確保從 AWS 取得的專業知識和指導是權威的,但合作夥伴本身 (如 PCI) 就已符合資格。我們最終做的是寫了六頁的敘述,反向操作並建立一個 AWS 安全保證服務團隊,其最終成為全資子公司,這是一間 PCI QSA 公司。現在也是高度受信任的評估者。
我們聽取客戶的初步意見,進行一些實驗,引入合作夥伴,並最終建立一項新業務,以真正讓客戶滿意。並讓合作夥伴參與進來。
Clarke (05:17)︰
這太妙了。那麼,如果客戶沒有要求,則沒有提供 X 服務的內部程序?
Hart (05:27)︰
沒有。我已經在 AWS 工作了九年多,實際上,在我參與的對話中,這經常令人沮喪。常見的比喻或迷因是,您會在會議上說些什麼,有人會說:Hart,這真的很有見地,我們很欣賞這種觀點,但您的客戶會說什麼? 並不是他們在貶低我的專業知識,而是我們都體認到,當我們深入傾聽時,當我們透過一些意見回饋來協助客戶思考他們的解決方案時,我們才能為客戶找到適當的解決方案,並且推進。然後透過專業知識對其進行篩選。並確定獨特的 Amazon 解決方案,再將其轉達給客戶。
Clarke (06:09)︰
所以我認為,在您的組織中,您必須不斷聘請新的顧問來滿足客戶的需求。在您正在招聘的下一位出色的 AWS 安全顧問中,您要尋找什麼? 一種深入而廣泛的安全專業知識嗎? 還是「我只想解決問題」的這種建置者心態? 當您為 Proserve 招聘時,您真正需要什麼樣的背景和人才?
Hart (06:39)︰
我們需要的是幾項要素,但其核心是尋找技術能力和文化契合度。文化契合度是指與我們的領導原則一致,以及思考和內化這些原則的能力,並協助我們在前進時進一步釐清領導原則。我們還會關注技術能力,像是對方有何獨到之處? 真正尋找的是特定領域的專業知識,以及在互補領域工作的能力。
如果您是身分領域的專家,是否也證明您可以將其運用於密碼學? 或者能夠運用到法醫或其他自然領域? 因為,我們發現,我們引進在各自領域絕對是專家的人才。他們具有專業領域的深度知識,但這種深度其實能推動廣度。因為每個人都希望您的專業知識可以協助解決其問題,這與您日復一日的工作略有不同。因此,我們尋求敏捷性、靈活性、廣泛性能力,以及以非傳統方式運用實務的能力。
我們當然是在尋找建置者。我們堅持讓 EA 中的每個人,透過我們的交付顧問及經理都能在平台上取得技術熟練度。因此,我們的工作就是為客戶排憂解難。如果您從未將 CAT 圖片上傳至 S3,或從未啟動 EC2 執行個體,或者已在 Lambda 中部署一些程式碼,那麼您就無法可靠地與客戶談論他們該如何解決問題,或在這些相同的服務上建置下一項業務。因此,能夠著手確實善用技術並建置可靠解決方案,對我們來說非常重要。
Clarke (11:55)︰
您會與很多客戶的高階主管見面,當然您的顧問也遍佈世界各地,致力於解決客戶問題並協助他們建置不同的功能。就透過 AWS ProServe 預訂之客戶最近需要的安全產品而言,您是否看到任何特別的趨勢?
Hart (12:16)︰
有一點必須要釐清的是,真正回到業務開始時,客戶真的不想購買不安全的基礎設施。當然,在 AWS,我們提供一套非常安全可靠的服務。客戶想知道針對其特定業務需求進行實作的最佳方式。例如,這一陣子,容器已然成為主流技術。每個人都在容器化,正在實作新的容器,或者正在使用容器來加速遷移並順利完成遷移。資深管理人員對如何正確使用容器安全模型非常感興趣。如何取得有關其容器和容器安全性的操作安全事件,如漏洞管理、掃描等。而另一個領域是事件回應。遺憾的是,我們在新聞中看到很多關於勒索軟體和其他類型攻擊的問題。
同樣,大家都想了解可以在 AWS 上使用哪些功能,以便最有效地防範此類隱蔽活動。之後,思考如何在雲端中有效回應,因為這對大眾來說可能是新事物。許多人可能在內部部署方面非常出色,但現在他們要在一組不同的環境中搭配使用。因此,我們看到很多人對回應感興趣。還有一個領域是安全工程。很多客戶來找我們說,我們想以 Amazon 的方式建置。我們對您的服務感到滿意。我們認為您做得非常好,公開 API 的方式也非常棒,我們希望以您的方式強化我們的 API。我們希望擁有與您一樣之運維類型的軟體開發生命週期。實際上,我們最近開發了一種非常強調安全性的客戶工程功能。我們也在與客戶合作。
Clarke (17:19)︰
當客戶剛開始時,他們可能會使用 Proserve,可能會透過合作夥伴來協助確定其初始登陸區域。當然,我們現在透過 Control Tower 和其他方法來實現。你們提供什麼類型的服務,或者文件資源? 這個問題有兩個部分,首先是作為客戶,如何了解是否設定了內容、是否引用、方式是否正確,以及是否與 AWS 最佳實務相符;另一方面,即使做了所有這些事情,也可能會遺漏一些環節,可能會遇到問題,無論是勒索軟體事件還是類似攻擊,而 Proserve 是否也會提供協助?
Hart (18:04)︰
Clarke,很高興您問這個問題。您這個問題的兩個部分都有幾個方面可談。關於問題的第一部分,我總是喜歡確保讓客戶對我們的熱門服務非常熟悉,假設檢查工具,需要對精心設計的工具感到滿意。提供一套很好的指引,需要熟悉 Trusted Advisor,需要熟悉 Security Hub 和 Guard Duty。這些服務可幫助您了解自己的狀況。是否已經實作這些基礎服務,是否以您期望的方式運作。接著,從更廣泛的指導和規劃的角度來看,我們可以關注 APG、AWS 方案指引等服務。這是從 Amazon 和我們的合作夥伴學到的,關於我們如何實作之最佳實務和經驗的豐富資源庫。
我們最近推出了安全參考架構,這是詳實的文字和程式碼規範指引。我們在某些文章中討論了各種使用案例和架構原則,在我們開發該安全參考架構時,對我來說重要的是這並非只是概念。更像是真實的架構圖,從安全角度向您展示 AWS 服務如何在您的帳戶中執行。這不僅僅是含糊其辭的白板展示和肢體解說,實際上是一種在書面上的安全物理學,更是對實際實作的補充。因此,安全參考架構指引中的每個使用案例都附帶來源程式碼,向您展示如何在實際參考實作中來實施。這就是我們將逐一建置的內容。
我們將新增不同的觀點。我們已經取得了客戶相當正向的意見回饋,他們不僅喜歡使用,而且會說,這個使用案例怎麼樣? 我擁有的這個使用案例怎麼樣? 所以,我們也在考慮對此進行反覆運作。您還詢問了事件回應。最近,我們在 Reinforced 談到客戶事件回應團隊的能力。我們轉向 Proserve。這確實是我們做兩件事的機會。首先,最重要的是,協助客戶了解狀況並提前規劃。這樣,我們就能防止任何事件發生。但如果確實發生了某些事件,可以從突發事件中恢復正常。沒錯。藉由我們的支援系統,如果您有安全事件並且需要 AWS 內的一些高階或升級協助,我的組織中確實設立了此類客戶事件回應團隊。
他們的存在就是為了協助客戶擺脫困境。因此,他們在解決事件方面提供大量實際支援和指引。在大多數情況下,客戶非常善於回應事件和進行事件管理。我認為對他們來說,麻煩通常是新的問題。他們可能以前在雲端中沒有這樣做過,或者可能不了解攻擊。因此,他們真正要尋找的是組織外部的一些專家。提供另一種觀點,能夠賦予權利。有點像是展開相關對話。
作者簡介
Hart Rossman
AWS 全球安全與基礎設施實務總監
Hart Rossman 是 AWS 全球服務的安全總監。他在此職位主要負責以下工作:與客戶一起建置、與 AWS 服務團隊一起建置、合作夥伴支援、成長策略、參與式安全,以及參與式營運。作為客戶或合作夥伴,您可能曾親自體驗過我們的一些創新工作,AWS Cloud Adoption Framework Security Perspective、AWS Security Reference Architecture、Jam Service & Events、Security Epics 或 Control Tower Account Factory for Terraform。
Clarke Rodgers
AWS 企業策略師
作為一名 AWS 企業安全策略師,Clarke 熱衷於協助高管探索雲端可如何實現安全轉型,並且與這些高管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其成為加入團隊之前便已開始利用 AWS 安全的諸多優勢功能。他曾是一家跨國保險/再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。
邁出下一步