AWS 如何帮助客户实现安全性、风险和合规性目标

Clarke（00:58）：
跟我们说说您的背景，您是如何来到 AWS 的，您现在的角色是什么？

Hart（01:05）：
当然可以！加入 AWS 之前，我在国防承包商情报部门工作，做了大量的系统集成工作，我真的非常热爱这项任务，我热衷于为美国政府和世界各地的政府，以及他们所做的事情和一些受监管的行业提供支持。但是，顶级安全公司的名单总是在我的脑海中浮现。在我职业生涯的早期，这些公司主要是以消费者为中心的。像是您电脑桌面上的杀毒软件、个人防火墙之类的东西。但随着时间的推移，这份名单变成了那些提供基础设施的公司，这些基础设施可以保证世界正常运转。除此之外，还有像 Amazon 和其他大型基础设施提供商这样的公司。我站在职业生涯的分岔路口，寻找下一步的方向。我想去一家真正进行安全创新的公司。这会带来很大不同，不仅仅是对一些非常重要的客户，而是对整个世界。后来，我有机会加入 AWS 并抓住了这个机会。

Clarke（02:02）：
您目前在 AWS 的角色是什么？

Hart（02:39）：
这些天来，我是安全和基础设施全球专业实践和专业服务的总监，这有点拗口。实际上，我的任务就是帮助客户在云中构建用于运营最敏感工作负载的机密和技术功能。

Clarke（02:58）：
知道了。当您查看您所在团队向客户提供的不同专业服务时，您是否遵循任何特定的机制来确保您提供的服务确实是客户想要或需要的？

Hart（03:14）
我举一个非常具体的例子。几年前，我们有几个客户考虑将支付卡系统迁移到云中。他们真正需要的是一个既精通云计算和支付卡系统现代运营，又了解 PCI 标准的团队。第一次发生这种情况时，我们认为应该引入一个具有 PCI 能力的合作伙伴。这真的很有效。通常情况下，客户在与 AWS 和合作伙伴合作时会获得最佳结果。

我们还听说，他们希望确保我们从 AWS 获得的专业知识和指导是权威的，合作伙伴本身（如 PCI）是合格的。最后，我们写了满满六页的叙述，反向工作并建立了一个团队，最终成为一个全资子公司——AWS 安全保障服务，这是一个 PCI QSA 公司。现在已经发展成一家受到高度信任的评估公司。

Clarke（05:17）：
太棒了。如果客户没有提出要求，您是否有提供服务 X 的内部流程？

Hart（05:27）：
没有。我已经在 AWS 工作了九年多，实际上，在我参与的对话中，这一点通常挺令人失望。打个比方说，您会在会议上说些什么，有人会说这真的很有见地，Hart，我们很欣赏这个观点，但客户在说什么呢？ 这并不是说他们不重视我的专业知识，而是他们认识到，我也认识到，我们认识到，当我们深入倾听时，当我们帮助客户反复思考他们的解决方案时，我们将为客户找到正确的解决方案。然后我们通过专业知识来筛选这些方案。最后确定独特的 Amazon 解决方案，然后向客户推广。

Clarke（06:09）：
我想，在您的企业中，您必须不断雇佣新的顾问来满足客户的需求。您希望从您雇佣的下一个优秀的 AWS 安全顾问那里得到什么？ 是深厚广博的安全专业知识？ 我只想解决问题，这是建设者的思维方式吗？ 当您为 Proserve 招聘员工时，您真正想要的是什么样的背景和才能？

Hart（06:39）：
有多个方面，核心是技术能力和文化契合。文化契合是与我们的领导力原则一致的，是一种思考和内化这些原则的能力，有助于我们更好地了解领导力原则。我们也看重技术能力，他们擅长什么？ 我真正寻找的是特定领域的专业知识，以及在互补领域工作的能力。
 
那么，如果您是一名身份验证专家，您是否能够证明可以将专业知识应用于密码学？ 或者您是否能把它应用于法医学或其他自然领域？ 因为我们发现，我们所引进的人才在他们各自的领域是绝对的专家。他们的知识有深度，这种深度可以转变成广度。因为每个人都想利用您的专业知识帮助他们解决问题，这与您日复一日所做的事情略有不同。因此，我们寻找那种具有敏捷性、灵活性，那种观察周围角落的能力，以及那种以非传统方式应用实践的能力。

我们真正想找的是建设者。我们坚持认为，从我的 EA 到我们的交付顾问，以及我们的经理，每个人都能在这个平台上获得熟练的技术。我们的最终目标是帮助客户。如果您从未在 S3 上传过 CAT 照片，或者您从未在 Lambda 中发布过 EC2 实例或部署过代码，您就无法令人信服地与客户谈论他们将如何解决他们的问题或建立他们的下一个提供相同服务的企业。因此，撸起袖子真正使用技术并构建可信解决方案的能力对我们来说非常重要。

Clarke（11:55）：
您会见了许多客户的首席高管，当然，您在世界各地部署了顾问，解决客户的问题并帮助他们发展不同的能力。就最近客户通过 AWS ProServe 预订的安全产品而言，您认为有什么特别的趋势吗？

Hart（12:16）：
我们要说的一件事是，回到企业刚成立时，客户真的不想购买不安全的基础设施。当然，在 AWS，我们提供非常安全可靠的服务。客户想知道实施这些服务来满足其特定业务需求的最佳方式。举例来说，现在容器风靡一时。每个人都在容器化，他们实施新容器或使用容器来加速和平滑迁移。高级管理人员对如何获得正确的容器安全模型很感兴趣。他们如何正确处理与容器和容器安全相关的操作安全问题，如漏洞管理、扫描。另一个方面是事故响应。不幸的是，我们在新闻中看到很多关于勒索软件和其他类型攻击的问题。

同样，他们希望了解他们可以在 AWS 上使用哪些功能来最好地防范这些阴险的活动。以及，他们如何尽可能使他们的响应者在云中高效工作，因为这对他们来说可能是新事物。他们在本地可能绝对优秀，但现在处于完全不同的工作环境。我们看到很多人对此很感兴趣。另一个领域是安全工程。很多客户来和我们交谈，说我们想以 Amazon 的方式进行建设。我们对你们的服务很满意。我们认为你们做得非常好，而且非常赞同你们公开 API 的方式，我们希望像你们一样强化我们的 API。我们希望拥有和你们的软件开发生命周期一样的开发运营类型。我们最近开发了一项客户工程能力，非常重视安全性。我们也在这方面与客户合作。

Clarke（17:19）：
刚开始，客户可能会使用 Proserve，他们可能会请合作伙伴帮忙确定他们的初始登录区。当然，现在我们也采用 Control Tower 和其他方法。你们都提供什么类型的服务和文档？ 这个问题由两部分组成，第一个部分是，作为客户，我如何知道我正在设置的东西是正确的，并且符合 AWS 最佳实践；另一个部分是，即使我做了所有这些事情，我仍然可能会错过一些东西，我可能会遇到问题，无论是勒索软件事件还是类似的事件，Proserve 是否也有机会在这方面帮助我？

Hart（18:04）：
我很高兴您提出这个问题，Clarke。问题的两个部分都值得讨论。问题的第一部分，我总是希望确保客户非常熟悉我们的一些顶级产品，即我们的检查工具，客户需要熟悉良好的架构。这里有一套很好的指导，您需要熟悉 Trusted Advisor、Security Hub 和 Guard Duty。这些服务可以帮助您了解自己的位置。前提是您已经实现了这些基本原则，它们以您期望的方式运行。然后，从更广泛的教育和规划的角度来看，我们可以看看服务，如 AWS Prescriptive Guidance（APG）。这可谓是真正非凡的宝库，其中囊括了从 Amazon 和我们的合作伙伴那里学到的做事之道的最佳实践和经验。
 
此外，我们最近推出了一个安全参考架构，这是一个非常规范的指南，其中包含文字和代码。我们在一些文本中讨论了各种使用案例和架构原则，当我们开发安全参考架构时，对我来说重要的是，它不只是一个概念。这就像真实的建筑图纸，从安全角度向您展示 AWS 服务如何在您的账户中运行。这不仅仅是模糊的白板演示和挥舞手臂，而是把纸上谈的安全物理学概念切实付诸实施。因此，安全参考架构指南中的每个使用案例都附带了源代码，向您展示如何在真正的参考实施中实现它。随着时间的推移，我们将在此基础上继续努力。

我们要加入不同的观点。我们从客户那里得到了许多好评，他们不仅喜欢使用，还会问，这个使用案例怎么样？ 我的这个使用案例怎么样？ 所以，我们也在考虑迭代。然后，您还询问了事故响应。最近，我们“重点”讨论了我们的客户事故响应团队的能力。这是 Proserve 内置的。这样我们就有机会做两件事。首先，最重要的是，帮助客户检查各处的死角，提前做好计划。这样，我们可以防止发生任何事故。但是如果真的发生了什么，我们会立即行动，让夜间的撞击恢复正常。很好。此外，我们的支持系统还提供了一个机会，如果您遇到安全事件，需要在 AWS 内部获得更高级别的帮助，我们的企业中有这样的客户事故响应团队。

他们时刻准备帮助客户摆脱困境。他们会在处理事故时提供大量的实际支持和指导。在大多数情况下，客户能够很好地响应事故并进行事故管理。我认为，他们通常会对此感到非常新奇。他们以前可能从未在云中这样做过，也可能会惊讶于攻击的新奇性。因此，他们真正寻找的是企业外的一些专家。提供另一种观点，能够赋予一些权利。以及和周围的人谈论一下。