亚马逊始终将安全放在首位的7个理由

亚马逊云科技首席信息安全官（CISO）近日分享了亚马逊始终将安全放在首位的7个理由，以下为全文：

1.卓越的安全保障是探索包括生成式AI在内的新技术的关键

生成式AI通过提供强大且人人可用的工具，几乎能重塑客户体验。然而，缺乏明确的治理机制，生成式AI也可能带来安全和隐私方面的挑战。因此，在很多积极拥抱生成式AI的企业中，员工有时会错误地将安全团队视为创新的阻碍者或者“拒绝部门”。这种看法不仅偏颇，还可能对企业发展产生负面影响。亚马逊云科技始终坚信安全是推动业务发展的引擎。安全能降低风险，增强企业的适应力，并赋予客户在生成式AI这一迅速迭代的领域中快速、自信地进行创新。

亚马逊云科技致力于让客户的安全团队成为“支持部门”，与员工携手共同推进业务目标，深入理解风险，并协助他们采取必要的预防措施。

2.安全是每个人的职责——从首席执行官到开发者

此前的一份报告指出，薄弱的安全文化常常是引发本可以避免的错误发生并最终被入侵且未被发现的根本原因。亚马逊云科技有意安排安全团队直接向首席执行官汇报，将安全理念构建到我们的组织架构之中。安全始于管理层，但自下而上的责任意识同样重要。安全不仅是安全团队的工作，它也是一项全员共有的责任。

在亚马逊云科技，每个产品团队都对其提供的服务或功能的安全性负有责任。安全与产品功能、性能和成本一样，融入到每一个产品开发、工程计划和每周团队例会中。亚马逊云科技认为，卓越的安全性不是事后追加或者系统之外拼凑的附加品，而是与生俱来、根植于基础之中。

3.生成式AI安全策略意味着客户拥有对其数据的控制权

客户在考虑使用生成式AI时最大的疑虑是如何确保他们自身及其终端客户的数据安全。亚马逊云科技自成立起，就在其AI基础设施和服务内置了安全与隐私功能，确保客户对其数据拥有完全的控制权。在此，AmazonNitro系统扮演了至关重要的角色。我们对Amazon Nitro的专用硬件和相关固件实施了严格的限制措施，确保包括亚马逊云科技在内的任何人都无法逻辑访问客户在Amazon Elastic Compute Cloud (Amazon EC2)虚拟服务器上运行的底层基础设施、工作负载或数据。

在安全构建生成式AI应用方面，客户使用亚马逊云科技的完全托管服务Amazon Bedrock，可以完全控制应用背后用于定制基础模型的数据。通过Amazon Bedrock，客户的数据无论是在传输过程中还是在静态时，都会进行加密，确保数据的隐私性和保密性。

4.生成式AI为提升客户安全性赋能

生成式AI凭借其强大的功能和易于使用赢得了客户的广泛青睐，并成为IT和安全管理人员的得力助手，帮助他们以更有效地识别和解决各种问题。在今年的re:Inforce大会上，亚马逊云科技推出了两项全新的基于生成式AI的安全功能：

Amazon CloudTrai lLake新推出的基于生成式AI的自然语言查询功能，让安全管理员更轻松、快速地分析活动事件。安全管理员只需通过简单的提问，例如“过去一周内每项服务记录了多少个错误，每个错误的原因是什么？”，Amazon CloudTrail就会生成一个查询。

客户可以通过Amazon Audit Manager提供的预构建的框架，评估他们在Amazon SageMaker中的生成式AI实施与亚马逊云科技推荐的最佳实践相匹配的程度。Amazon SageMaker的客户可以审计其生成式AI的使用情况，自动收集证据，并为跟踪AI模型使用和权限、标记敏感数据以及针对相关安全问题发出告警提供一致的方法。

5.“先发制人”是最好的安全防御

我们每一天都会对亚马逊云科技的基础设施进行扫描、检测和防御网络攻击。作为全球最大的公共云服务提供商，亚马逊云科技对互联网的某些实时活动，拥有独到的洞察优势。

我们此前分享了全球分布式威胁传感器网络MadPot，它帮助我们了解攻击者的策略和技术。每当一个攻击者企图攻击我们的任何一个威胁传感器时，我们便会利用这些威胁情报来保护客户。

此外，在今年的re:Inforce大会上，亚马逊云科技首次介绍了Sonaris，这是我们用于分析网络流量的内部工具，旨在识别和阻止恶意尝试连接大量客户账户以发现漏洞的行为。自2023年5月至2024年4月，Sonaris成功拦截了超过240亿次针对储存在Amazon Simple Storage Service (Amazon S3)中的客户数据的尝试；同时，它还阻止了近2.6万亿次试图发现客户运行在Amazon EC2虚拟服务器上的易受攻击服务的尝试。这一庞大的安全防护工作发生在幕后，确保了客户业务的持续运行。

6.构建更坚固的安全防线始于基础技术的提升

单一的密码设置虽能为客户提供数字资产的初步保护，但这种做法已不足以应对当前的安全挑战。MFA多因素身份认证（Multi Factor Authentication）作为一道额外的安全屏障，要求用户在访问网站或应用程序时，除了输入密码外，还需提供其他验证信息。尽管这一技术已发展超过20年，但至今仍未得到普遍采用。

为了进一步提升MFA多因素身份认证的易用性，在今年的re:Inforce大会上，亚马逊云科技宣布了Amazon Identity and Access Management (Amazon IAM)对通行密钥（passkeys）的支持，作为第二个身份验证因素。Passkeys使用公钥加密技术，可实现比传统密码更为安全、更能抵御网络钓鱼攻击的强身份认证。

7.安全源于持续的创新

每一天，无论是全球增长最快的初创企业，还是规模庞大的企业、政府机构等，都在使用亚马逊云科技来运行其技术基础设施。亚马逊云科技从成立之日起就将安全作为首要任务，这也是众多客户选择我们的原因之一。亚马逊云科技致力于为客户提供最安全的环境运行其工作负载，我们将安全理念深植于企业文化之中，视其为企业发展助推器。面对不断演变的网络安全威胁，亚马逊云科技将持续创新，助力客户快速、安全、自信地推动业务的发展。