亚马逊CTO：安全不只是技术问题 没有人能置身事外

　　“安全并不是安全团队的任务，而是每个人都应该有安全的职责。”在中国互联网安全领袖峰会(CSS 2019)上，CTO沃纳·威格尔(Werner Vogels)说道。

　　在一众穿着正装演讲的嘉宾里，Werner Vogels的打扮格外不同，他留着浓密花白的胡子，身穿黑色的T恤和牛仔裤。或许是为了迎合安全的主题，他的T恤上印了一句“Encrypt everything”(加密一切)。

　　Werner Vogels曾服役于荷兰皇家海军，后来在美国康奈尔大学计算机系做了10年的研究工作。他在2004年他加入了亚马逊，并在第二年被任命为CTO和副总裁。亚马逊的云业务AWS在2006年开始探路商业化，Werner Vogels是AWS的灵魂人物，并负责驱动亚马逊的技术创新。

　　谈到安全话题，Werner Vogels在现场说，亚马逊比以往任何时候都更加关注安全问题。因为亚马逊是一家以零售为中心的公司，安全关系企业声誉；同时，亚马逊作为一家拥有海量用户数据的公司，有责任确保用户的数据安全，维护用户利益。

　　他还提到了近日美国投资Capital One的数据泄露事件。据悉，目前共有约14万和账号和8万个与该行绑定的银行账号受到影响，这一事件还影响了1亿美国用户和600万加拿大用户，预计对该银行造成1亿-1.5亿的收入损失。Werner Vogels称，Capital One花了两天时间才解决掉被攻击问题和漏洞问题。

　　Capital One的数据泄露事件为企业敲响了警钟。特别是越来越多的企业开始把自己的数据和业务迁移到云端。有数据称，一家公司每周平均约有174000个安全警告需要检查，基本靠人工无法完成。

　　再如，合理使用开源服务加快开发速度，也成为企业数字化升级的一个重要趋势。Werner Vogels称，在这样一个开源世界中，不少安全问题出现，但开发人员并没有采取措施进行防护。

　　Werner Vogels说，在过去，互联网的安全保护有防火墙，企业可以使用防火墙保护“房子或房子内部的各个房间”，但现在很多破坏都是破门而入。而比如软件打包、等待警告的做法，也已经过时了。

　　企业该如何做安全保护？

　　Werner Vogels的观点是：安全不只是一个技术问题，而是需要企业从战略视角进行系统性构建。

　　“在企业开始行动之前，必须对迁移过程有足够的规划，其中云安全应当从开发的早期就开始主动进行战略规划。”他提到，企业要做的不仅仅是阻止安全事件发生之类的被动防御，现在要变成主动规划，先人一步考虑到不同黑客的攻击，以及顾客的需求，“我们必须要以最快的速度来进行思考”。

　　据他介绍，在亚马逊内部，给安全赋予了战略级的优先权，通过系统性构建更好的安全防护体系，来保护自己和企业客户的安全，

　　为了更好地给企业提供安全服务，Werner Vogels提到，亚马逊致力于通过自动化工具和系统性安全体系建设。

　　据他介绍，过去几年中亚马逊建立了很多新的工具帮助客户进行自我保护。“我们有静态配置的检查，包括一些配置变更的监测，可以帮助企业自动做出监测，可以告诉客户面临的安全变化，并给予警告。”

　　Werner Vogels提到，海量的数据在实时产生，很多客户对于这类情况不是很清楚，不知道他们数据在哪里以及他们有什么数据。“例如某家公司有3-4个，可能每天都会产生很多数据，但他们根本不知道。如何更好对数据进行实时管理，不清楚他们可能的漏洞在哪里，因此他们需要使用自然语言分析的工具来知道数据在哪里、数据的漏洞在哪里。”