亞馬遜云科技對(duì)安全的重視體現(xiàn)在企業(yè)文化上，具體而言，主要體現(xiàn)為三點(diǎn)：

內(nèi)部每周五召開的安全會(huì)議每次都有CEO參與，雷打不動(dòng)；

內(nèi)部推崇應(yīng)用開發(fā)階段就考慮安全問題，讓開發(fā)人員變成懂安全的開發(fā)人員；

當(dāng)發(fā)現(xiàn)安全問題時(shí)，員工都有權(quán)力將問題升級(jí)到較高的級(jí)別，讓問題快速得到解決，并且，員工還會(huì)因此得到獎(jiǎng)勵(lì)。

亞馬遜云科技常說的責(zé)任共擔(dān)模型模型，亞馬遜云科技自己負(fù)責(zé)一部分安全任務(wù)，用戶也要負(fù)責(zé)一部分安全任務(wù)，光自己懂安全是不行的，用戶也要懂安全，才能獲得上云的勇氣。

作為幫助客戶和員工了解和掌握最新的安全最佳實(shí)踐的平臺(tái)，re:Inforce已經(jīng)是最高調(diào)的安全活動(dòng)了。除此之外，亞馬遜云科技還會(huì)提供包括培訓(xùn)和認(rèn)證計(jì)劃、安全研討會(huì)和在線資源。

2024年re:Inforce的懸念：會(huì)有幾個(gè)關(guān)于生成式AI的新服務(wù)？

2024年科技界的頂流是生成式AI，很多人期盼著生成式AI在更多領(lǐng)域里大放光彩。

我很好奇，生成式AI對(duì)于安全有何影響，也很想知道，亞馬遜云科技作為最大的云廠商，要怎么看待生成式AI對(duì)安全的影響？

大會(huì)開始前，我去活動(dòng)舉辦地費(fèi)城的街頭轉(zhuǎn)了轉(zhuǎn)，看見人流如織的地方有一座比較莊嚴(yán)的建筑。

我順手拍了照片問ChatGPT這是什么，結(jié)果被告知說，這個(gè)地方叫Independence hall，紀(jì)念美國(guó)宣布獨(dú)立。

當(dāng)我追問ChatGPT，紀(jì)念館前的雕像是誰(shuí)，它一會(huì)兒說是華盛頓，一會(huì)兒說是富蘭克林，搞得我很亂。最后，我手動(dòng)查了很多資料之后，才敢確定這就是華盛頓。

這件事可以說明，生成式AI作為一項(xiàng)技術(shù)，其本身存在明顯的缺陷和問題，當(dāng)它作為一項(xiàng)要讓別人付錢的服務(wù)時(shí)，它會(huì)存在更多的挑戰(zhàn)。

這種缺陷和問題又會(huì)對(duì)安全有什么影響呢？尤其是作為提供云服務(wù)的專業(yè)廠商，要怎么與生成式AI相處呢？

已有多項(xiàng)安全服務(wù)采用了AI和ML技術(shù)

2024年6月11日，re:Inforce大會(huì)開始了，聽完亞馬遜云科技首席信息安全官（CISO）Chris Betz的主題演講，我注意到，直接與生成式AI相關(guān)的新服務(wù)只有一項(xiàng)，那就是讓生成式AI來分析托管數(shù)據(jù)湖服務(wù)Amazon CloudTrail Lake里的安全日志。

Amazon CloudTrail Lake存放了大量用日志數(shù)據(jù)，生成式AI允許用戶用自然語(yǔ)言來分析這些數(shù)據(jù)，系統(tǒng)自動(dòng)生成SQL語(yǔ)句，讓安全日志分析的過程變得更簡(jiǎn)單和直觀。例如，用戶直接問：“告訴我有多少數(shù)據(jù)庫(kù)實(shí)例在沒有快照的情況下被刪除了？

這一做法非常合理，但顯然沒有讓我盡興。

CISO Chris Betz在采訪環(huán)節(jié)表示，生成式AI只是用來解決問題的眾多工具之一。除了生成式AI技術(shù)以外，還有很多其他重要的話題要討論。而且，亞馬遜云科技在多個(gè)技術(shù)領(lǐng)域都有安全專家，可以確保包括生成式AI在內(nèi)的各項(xiàng)技術(shù)服務(wù)能以安全可靠的方式提供。

隨后，在采訪負(fù)責(zé)亞馬遜云科技云平臺(tái)副總裁Kurt Kufeld時(shí)，我還是很好奇是否會(huì)更多地采用生成式AI技術(shù)來強(qiáng)化或者發(fā)布相關(guān)產(chǎn)品。

Kurt Kufeld表示，亞馬遜云科技長(zhǎng)期以來一直在其安全服務(wù)中使用AI 和 ML技術(shù)。未來，亞馬遜云科技將繼續(xù)在所有安全服務(wù)和其他服務(wù)中采用生成式AI和機(jī)器學(xué)習(xí)技術(shù)。當(dāng)前的重點(diǎn)不是開發(fā)更多的新服務(wù)，而是將現(xiàn)有的服務(wù)整合起來提供更清晰和一致的解決方案。

據(jù)了解，亞馬遜云科技的多個(gè)產(chǎn)品服務(wù)已經(jīng)在使用AI和ML技術(shù)。

比如，Amazon Q和Amazon Inspector可以在代碼開發(fā)過程中檢測(cè)和修復(fù)漏洞；Amazon Config和Security Hub允許開發(fā)團(tuán)隊(duì)用自然語(yǔ)言查詢和管理資源策略；Amazon Detective可以幫助安全團(tuán)隊(duì)快速理解和解決復(fù)雜的安全問題。

然而，Chris Betz并不認(rèn)為生成式AI會(huì)替代傳統(tǒng)的安全工具。在他看來，生成式AI技術(shù)只是一個(gè)能夠提升安全工作的效率和深度的技術(shù)，但不會(huì)替代傳統(tǒng)的安全工具，兩者是相輔相成的關(guān)系。

新的安全服務(wù)，用戶已經(jīng)打算開始用了

至少目前可以肯定的是，亞馬遜云科技在短時(shí)間里，不會(huì)有非常重磅的、全新的、主要靠生成式AI技術(shù)來支撐的重磅安全服務(wù)。更多安全相關(guān)服務(wù)還是遵循原來服務(wù)演進(jìn)路線，對(duì)已有產(chǎn)品進(jìn)行完善，這些才是跟用戶實(shí)際相匹配的部分。

亞馬遜云科技在2017年發(fā)布了威脅檢測(cè)服務(wù)Amazon Guarduty，它使用了機(jī)器學(xué)習(xí)技術(shù)來監(jiān)控潛在威脅。只不過，它原來支持在Amazon EC2、EBS、Serverless和容器場(chǎng)景使用。這次更新后，開始支持對(duì)Amazon S3進(jìn)行掃描，適用范圍更大了。

作為基礎(chǔ)服務(wù)的IAM也有許多更新。IAM Access Analyer，可以針對(duì)未使用的訪問權(quán)限的提供可操作建議，比如管理員給了一些權(quán)限，但這些權(quán)限并沒有被使用，新的功能就可以提醒管理員關(guān)掉這些權(quán)限。這體現(xiàn)的是亞馬遜云科技在安全方面所推崇的，達(dá)成最小權(quán)限的原則。

IAM這次還新增了另外一個(gè)提高便捷性的功能，現(xiàn)在可以使用Mac的TouchID和Windows Hello來支持用戶使用passkey進(jìn)行賬號(hào)登錄，提高賬號(hào)的安全性。此外，AWS IAM Access Analyer還能為一些關(guān)鍵資源的訪問設(shè)置提供檢查，能為審查流程帶來了一些便利。

這些安全服務(wù)，看上去并沒有很吸引眼球。然而，據(jù)亞馬遜云科技大中華區(qū)安全合規(guī)與治理產(chǎn)品總監(jiān)白帆表示，這些新服務(wù)發(fā)布完后的當(dāng)天晚上，就已經(jīng)有部分客戶在打聽這些新服務(wù)，咨詢?nèi)绾螌?shí)際使用了。

看來，用戶想要的，跟大眾關(guān)注高的，兩者之間有不小的錯(cuò)位，特別是在生成式AI方面。

亞馬遜云科技員工和用戶之間的雙向流動(dòng)

每年的re:Inforce活動(dòng)訴說著兩個(gè)重要的事實(shí)，一個(gè)是亞馬遜云科技有自己的安全文化，從上到下都很重視安全。

另外一個(gè)事實(shí)是，亞馬遜云科技的安全專家跟用戶經(jīng)常有深入的溝通，很多安全服務(wù)都是客戶溝通中商量著做出來的，產(chǎn)品演進(jìn)并沒有一個(gè)清晰的Roadmap。

2024年的re:Inforce期間，我又注意到亞馬遜云科技的客戶和自己?jiǎn)T工之間存在一種我看著很神奇的相互流動(dòng)關(guān)系。

典型如新任CISO Chris Betz，原來在CapitalOne工作，本身就是亞馬遜云科技的老客戶，一直在從事安全方面的工作。采訪的時(shí)候Chris Betz也直接提到，去年他是以客戶的身份來參加re:Inforce，今年，直接成主辦方的CISO了。

在跟白帆的溝通中注意到，亞馬遜云科技現(xiàn)在也有很多員工就是原來的用戶，并且，亞馬遜云科技與客戶之間的流動(dòng)現(xiàn)象還挺多。

背后原因，反映出了安全行業(yè)本身的一些特點(diǎn)：想做好安全工作，既要懂安全技術(shù)服務(wù)，也要懂業(yè)務(wù)。

剛好這兩撥人的雙向流動(dòng)，就會(huì)出現(xiàn)很多既懂技術(shù)又懂行業(yè)業(yè)務(wù)的人才。這或許就是亞馬遜云科技能做好云相關(guān)的安全工作的秘密吧。

zhupb