AWS 安全领袖系列
作者:Clarke Rodgers,发布日期:2022 年 10 月 17 日
关键要点
在这篇文章中,我们探讨了 AWS 在安全领域的最佳实践,从 AWS 安全领导者的访谈中提炼出重要见解,旨在帮助企业更安全地迁移到云端并提升其操作成熟度。以下是本文的重点:
建立安全文化工程与自动化学习和负责安全成果人员背景
作为 AWS 的企业战略家,我在与客户会面时主要集中在两个关键领域:数字化转型的各个方面人员、流程、技术、文化、将技术投资与商业成果对齐、云迁移、组织变革等等;以及安全、合规、风险和隐私主题,这得益于我曾担任首席信息安全官CISO的经验。客户普遍希望从他人那里获取经验教训,他们会问:“我应该避免哪些常见错误?”、“你们是如何解决这个问题的?”、“同行或地区其他公司在这种情况下是怎样做的?”、“‘X’的最佳实践是什么?”这样的提问是我和我的同事们经常要回答的。
问题
然而,有一个问题一直在出现:“AWS 如何处理[在此插入您的安全主题]?”客户希望了解 AWS 如何在大规模上处理安全性,无论是针对自身还是代表客户。因为如果他们能够向 AWS 学习并类似地处理安全问题,那么在将工作负载迁移到 AWS 并提升运营成熟度的过程中,他们就能变得更安全。这种问题并不限于客户的 CISO,我在客户的高级管理团队、业务线领导以及董事会成员中几乎每个人都听过这个提问。当我还是客户时,这也是我曾经问过的问题。
解决方案
我可以单独回答这些疑问,而在许多个月中,我确实这样做。但是,面对可能有数百万个客户具有相同问题的情况下,仅靠一人并不够。所以,我决定创建一个 AWS 安全领袖视频系列 :这个深度、一对一的访谈系列,与负责 AWS 安全使命部分的安全领袖进行交谈。该系列视频不涉及安全和 AWS 服务的营销,专注解决许多客户在安全和合规姿态上面临的挑战。
飞鱼梯子我很高兴地说,这个系列的“第一季”最后一集几周前已上线,我想在这篇博客中集中所有资料,提供给客户和员工作为参考。
主要收获
虽然每次访谈关注的具体领域不同,但有一些共同主题,我将在下面总结。以下是 AWS 在规模化安全操作时所采取的核心概念,客户在考虑自身安全项目时可能会对此有所帮助。我们不声称在 AWS 中做到完美,但我们始终在实验和改进我们的安全和操作项目,目标是尽可能使其无法与完美区分开来。
建立安全文化: 这是 AWS 安全计划的核心。 通过高层管理的支持、安全是每个人的责任、在项目开始时就考虑安全并将其融入每个业务实践来实现。最初级的员工到最高级别的管理层都应有权提出安全问题。
工程与自动化: 这是 scaling 的方式。 任何手动重复的流程,均应实现自动化。出色的软件工程必须包含优秀的安全实践。开发安全自动化的基准,每年将自动化比例提高一个百分点。建造能够修复其他系统的系统,让人们专注于风险和解决商业问题。
学习与责任: 这是高度成功的安全团队的特征。 例如:“系统为何以这种方式反应?”“我怎样能让它更安全/更具弹性?”“我可以尝试哪些解决方案?”如果你认为你有安全问题,那么你就确实有安全问题,这责任在于你去解决它或告知能够解决问题的人。纠错过程包括反复询问“为什么?”直到找到问题的根本原因,并对其进行修复。错误是难免的,避免同样的错误第二次发生至关重要。
安全成果: 理解“为什么”和“怎样”。 安全程序存在的目的是降低业务运营的风险,因此了解商业风险并能够清晰地阐述和实施适当的风险缓解方案至关重要。安全成果风险减少才是目标,而不是特定工具、技术或安全团队的规模。
人员: 人是你的安全计划最大的优势。 了解安全招聘需要关注哪些,要培训和留住安全人才:你的下一个优秀的安全招聘者可能根本不是安全专家。确保安全招聘的多样性至关重要,以避免思维的一致性。最有效的安全扩展机制之一是建立安全大使或守护者计划。
结尾
我和我的团队目前正在筹备 AWS 安全领袖系列的“第二季”,我迫不及待想要分享更多来自 AWS 安全领袖的精彩内容。请在 LinkedIn 上与我连接/关注 我,以获得最新信息。如果你有想让我采访的 AWS 安全人物或希望看到讨论的话题,请通过 LinkedIn 私信联系我!
访谈记录
Eric Brandwine 提升安全标准at AWS 及其他方面 Chad Woolf (第一部分) 扩展合规性and 安全保证在 AWS Chad Woolf (第二部分) 重新思考安全and 合规操作在 AWS Hart Rossman (第一部分) AWS 如何帮助客户满足其安全、风险、和合规性目标 Hart Rossman (第二部分) 开发和衡量现代安全运营组织 Merritt Baer 将安全视为战略优势 Megan O’Neil 扩展安全责任到整个组织
标签
AWS文化变革安全性安全领袖团队建设劳动力
Clarke Rodgers
Clarke 是 Amazon Web Services 的企业安全战略家。在这个角色中,Clarke 与专注于企业安全、风险和合规的高管合作,帮助他们了解 AWS 如何增强安全态势,并理解云的安全能力和潜力。在加入 AWS 之前,Clarke 曾担任某跨国保险/再保险公司的北美地区 CISO,因安全原因,他将整个战略部门迁移到 AWS,包括达到 SOC2/Type2 鉴定。Clarke 在 IT 运营和安全领域的 20 多年职业生涯使他能够与当今企业客户在云转型过程中的需求对接。Clarke 毕业于北卡罗来纳大学,并曾担任美国海军陆战队员。
