re:Inforce 2023，亚马逊云科技在安全上展示出更强的开放性

亚马逊云科技一年有两个re开头的品牌大会，一个是会频繁刷屏的、关注技术产品创新的，被称作是云计算春晚的re:Invent，一个是关乎安全的re:Inforce。

亚马逊云科技是全球规模最大的公有云厂商，但似乎并没有成为最大的安全厂商的打算，并没有选择所有事情全都自己做，特别是在安全部分，它表现出了很强的开放性。

re:Inforce是一个什么样的活动？

re:Inforce策划之初，亚马逊云科技内部有人质疑安全的活动关注度不够高。但自从2019年首次举办以来，前后也一共办了五届。而且，今年的re:Inforce面向更多人开放，越发凸显了亚马逊云科技对于安全的重视。

亚马逊云科技首席安全官CJ Moses介绍称，“我们希望有一个具有强烈安全内涵的名字，而re:Inforce与re:Invent同属一个re品牌，re:Inforce希望强化（reinforce）能为用户提供的安全信息和安全培训的相关内容。”。

从CJ Moses的介绍中了解到，re:Inforce不同于传统的市场活动，活动本身更侧重安全方面的教育培训作用，活动设置了不同的难度等级，整体内容非常丰富。

我们能注意到，来这里做分享的不只是亚马逊云科技的专家，还有很多用户和行业专家，所以，这不是亚马逊云科技的独角戏。

与很多活动一样，re:Inforce会结合行业内的热点。比如，在谈到2023年re:Inforce的关键信息点时，CJ Moses提到了零信任。从各种迹象来看，亚马逊云科技非常看中零信任（Zero Turst）。

确实，从安全行业来看。零信任是整个行业都非常关注的话题，不断变化的员工构成，不断加强的行业监管和用户对于精确权限管理的需求，都推动着零信任的发展。

零信任是一套安全框架，也是一套关于“先验证才信任”的安全实践，它不特指某些具体的安全服务，但很多安全服务都会基于零信任模型框架来实现。

2022年re:Invent，亚马逊云科技发布了Amazon Verified Access预览版。不久前，又宣布正式可用。Verified Access可以不需要VPN就能实现远程安全访问，可以减少远程连接可能会带来的安全风险。

在re:Inforce活动上，亚马逊云科技宣布Amazon Verified Permissions正式可用，Amazon Verified Permissions将零信任的能力延展到了用户自己的应用程序里，在应用开发阶段就能落地零信任。

除了对于零信任的重视，作为亚马逊云科技的品牌活动，re:Inforce要传递的另外一个信息是，亚马逊云科技希望用户以更少的阻力享受到安全。

亚马逊云科技帮助用户以更少的阻力实现安全

众所周知，亚马逊云科技在安全方面提出了责任共担模型。一部分安全问题由亚马逊云科技来解决，叫做Security of the Cloud。另外一部分由用户来负责，叫做Security in the Cloud。

亚马逊云科技负责云基础架构本身的安全问题，这一部分包含很多关键技术服务，比如Amazon Nitro、Firecracker、Amazon Backup、Amazon GuardDuty、Amazon Route 53 Resolver DNS Firewall、Amazon Shield等等。

而在Security in the Cloud部分，亚马逊云科技会提供多种安全服务来帮助用户解决安全问题。此次re:Inforce活动期间又发布了很多新服务，为的是帮助帮助用户以更少的阻力实现安全。

re:Inforce活动期间，亚马逊云科技在零信任方面发布了Amazon Verified Permission，在安全合规方面发布了Amazon Inspector SBOM （软件物料清单）Export，在代码扫描方面发布了Amazon Inspector Code Scans For Lambda和Amazon CodeGuru Security，在第三方应用安全认证方面，发布了Amazon Built-in Partner Solutions来给第三方应用的安全性背书。

大语言模型是2023年科技圈绕不开的话题，尽管大模型会带来显而易见的安全问题，比如用来生成以假乱真的钓鱼邮件，但亚马逊云科技安全专家的态度是积极迎接大语言模型带来的影响，将其用在安全方面。

于是，亚马逊云科技发布了叫Findings Groups for Amazon Detective的新服务，使用机器学习技术和图技术找出事件之间的关联性，最后定位出问题所在。

然而，正如上文所说，re:Inforce不是亚马逊云科技自说自话的专场活动，众多安全相关的赞助商和合作伙伴的出现让这场大会更具开放性，也更有影响力。

re:Inforce表现出了更强的开放性

亚马逊云科技是全球规模最大的公有云厂商，但并没有选择所有事情全都自己做，特别是在安全部分，它表现出了很强的开放性。

亚马逊云科技在安全方面与业内安全生态保持着很多合作关系。翻开re:Inforce大会官网，我们能看到大概有80家赞助商，其中既有IBM、Crowdstrike、Datadog、PaloAlto、Wiz、Splunk、Trend（趋势科技）这些知名安全相关厂商，还有很多初创级的安全相关厂商。

亚马逊云科技在安全技术架构方面有很强的开放性。前不久，Amazon Security Lake（安全湖）宣布正式可用，安全湖会自动收集、组合和分析来自80多个数据来源的安全数据，这些数据源有的来自亚马逊云科技自己，有的来自安全合作伙伴，还有的来自分析提供商。

亚马逊云科技为Amazon Security Lake（安全湖）设定了OCSF（Open Cyber​​security Schema Framework）开放标准，将传入的数据全都转换成符合 (OCSF) 开放标准的格式后，就能高效分析和利用这些安全数据。

OCSF是亚马逊云科技向业界开源的一个项目，作为一个开放标准，它可在任何环境、应用程序或解决方案中采用，安全服务提供商和数据提供者都可以采用该架构，它可以帮助安全团队简化数据的摄取和使用流程。

从亚马逊云科技Amazon Security Lake总经理Rod Wallace的介绍中了解到，安全湖接下来的发展目标是与更多安全类的合作伙伴进行合作，接入更多数据源。

类似的，亚马逊云科技在安全方面开放了 Cedar 策略语言，新发布的Amazon Verified Permissions 支持用户使用 Cedar 在自己的应用中进行精细的权限控制。

从亚马逊云科技网络边缘服务副总裁Jesse Dougherty的介绍中了解到，Cedar的开放性是有意而为之的，它的开放性使得它具备了构建广泛生态的基础，而作为最大的公有云服务商，亚马逊云科技能让Cedar成为事实上的标准，有助于为用户提供统一的、一致的零信任体验。

上文提到的Verified Access可以在部分场景里替代VPN，可以减少与远程连接相关的风险，为了提高新服务的实用性，Verified Access与很多安全合作伙伴进行了整合，包括：Beyond Identity, CrowdStrike, CyberArk, Cisco Duo等等。

未经允许不得转载：DOIT » re:Inforce 2023，亚马逊云科技在安全上展示出更强的开放性