In che modo AWS aiuta i clienti a raggiungere i propri obiettivi di sicurezza, mitigazione del rischio e conformità

Clarke (00:58):
Parlaci del tuo background, come sei arrivato in AWS e qual è il tuo ruolo attuale?

Hart (01:05):
Certo. Allora, prima di AWS, lavoravo nello spazio di intelligence di una società appaltatrice della difesa, svolgevo molto lavoro di integrazione dei sistemi e mi piaceva molto, amavo il progetto, amavo supportare il governo degli Stati Uniti e i governi di tutto il mondo e quello che facevano e anche alcuni settori regolamentati. Ma ho sempre avuto in testa questa idea relativa alle principali società di sicurezza. E nella prima parte della mia carriera, quelle erano in gran parte incentrate sul consumatore. Quindi, antivirus, firewall personali sul desktop, cose del genere. Nel tempo, quell'elenco è diventato un elenco di aziende che fornivano l'infrastruttura che fa andare avanti il mondo. E così, aziende come Amazon e altri grandi provider di infrastrutture. Ero davanti a un bivio nella mia carriera, dovevo capire cosa fare. E volevo andare in un posto dove stavano davvero innovando nel settore della sicurezza. Questo avrebbe fatto la differenza, non solo per alcuni clienti molto importanti, ma davvero per il mondo. E così, ho avuto l'opportunità di venire in AWS e l'ho colta.

Clarke (02:02):
E qual è il tuo attuale ruolo in AWS oggi?

Hart (02:39):
Al momento sono il direttore della pratica specialistica globale di sicurezza e infrastruttura e dei servizi professionali, che detto così sembra parecchio complesso. Il mio vero lavoro è aiutare i clienti a creare la fiducia e la capacità tecnica per gestire i loro carichi di lavoro più sensibili nel cloud.

Clarke (02:58):
Ho capito. Quindi, quando guardi alle diverse offerte di servizi professionali che il tuo gruppo offre o mette a disposizione dei clienti, ci sono meccanismi particolari che segui per assicurarti che ciò che offri sia effettivamente ciò che i clienti desiderano o di cui hanno bisogno?

Hart: (03:14)
Ti faccio un esempio molto specifico. C'è stato un momento, alcuni anni fa, in cui un paio di clienti pensavano di migrare i sistemi di carte di pagamento nel cloud. Ciò di cui avevano veramente bisogno era un team che avesse esperienza nel cloud e nel funzionamento moderno dei sistemi di carte di pagamento e che comprendesse anche lo standard PCI. E così, la prima volta che è successo, abbiamo pensato di coinvolgere un partner con capacità PCI. E ha funzionato davvero bene. Capita spesso che i clienti ottengano il miglior risultato quando lavorano con AWS e un partner.

Abbiamo anche capito che vogliono assicurarsi che l'esperienza e la guida che ricevono da AWS siano autorevoli, che i partner stessi, come PCI, siano qualificati. E così, quello che abbiamo finito per fare è stato scrivere un testo di sei pagine, lavorare a ritroso e sviluppare un team che alla fine è diventato una consociata interamente controllata, AWS Security Assurance Services, che è una società PCI QSA. E ora è anche un soggetto valutatore ad alta fiducia.

Clarke (05:17):
Ma è fantastico. Quindi, non esiste un processo interno che offre il servizio X, se non viene richiesto dai clienti?

Hart: (05:27)
No, non c'è. E in realtà nelle conversazioni a cui ho partecipato (sono in AWS ormai da poco più di nove anni), questo è spesso scoraggiato. Un tropo o un meme comune è che dirai qualcosa in una riunione e qualcuno dirà che "Hart è davvero perspicace", "Apprezziamo il suo punto di vista" ecc. ecc. ma cosa dicono veramente i clienti? E non è che stiano sottovalutando la mia esperienza, ma sanno, lo so io, lo sappiamo tutti che otterremo la soluzione giusta per i clienti soltanto quando li ascolteremo profondamente, quando li aiuteremo a pensare alla loro soluzione andando avanti e tornando indietro e poi ancora, così. E poi filtrando tutto attraverso la lente dell'esperienza, identificando quella soluzione Amazon unica, che possiamo quindi presentare al cliente.

Clarke (06:09):
Quindi, immagino che all'interno della tua organizzazione devi assumere costantemente nuovi consulenti per soddisfare le esigenze del cliente. Quali sono alcune cose che stai cercando dal prossimo grande consulente per la sicurezza di AWS che stai per assumere? Si tratta di una profonda e ampia competenza in materia di sicurezza? O è una mentalità da builder focalizzata sulla risoluzione di problemi? Che tipo di background e talento cerchi veramente quando assumi per Proserve?

Hart: (06:39)
Ci sono un paio di cose fondamentali: cerchiamo principalmente attitudine tecnica e adattamento culturale. L'adattamento culturale è la capacità di allineamento con i nostri principi di leadership, la possibilità di riflettere e interiorizzare tali principi per imparare di più sul principio di leadership stesso mentre procediamo. E poi guardiamo anche alle attitudini tecniche: in cosa sono straordinarie queste persone? Quello che veramente cerco è l'esperienza in materia in un particolare settore e la capacità dimostrata di lavorare anche in settori complementari.
 
Quindi, se sei un esperto di identità, puoi dimostrare di potere applicare gli stessi concetti nella crittografia? O in medicina legale o in altre aree naturali? Perché, quello che ne esce è che inseriamo persone che sono semplicemente esperti assoluti nel loro campo. Vanno molto a fondo nelle cose ed è quella stessa profondità che ti spinge ad ampliare la conoscenza. Tutti vogliono che ci sia una certa esperienza che li aiuti a risolvere il loro problema, ma è molto diverso da quello che fai giorno dopo giorno. E così cerchiamo quell'agilità, quella flessibilità, la capacità di guardare oltre l'ostacolo, la possibilità di sviluppare le tue idee in modi non convenzionali.

E poi cerchiamo assolutamente dei builder. E insistiamo affinché tutti, dal mio EA fino ai nostri consulenti di distribuzione e ai manager, acquisiscano una competenza tecnica sulla piattaforma. Ecco perché siamo qui per aiutare i clienti. Se non hai mai caricato un'immagine CAT in S3 o se non hai mai avviato un'istanza EC2 o distribuito del codice in Lambda, non puoi parlare in modo credibile con un cliente di come risolverà il suo problema o costruirà il suo prossimo business su quegli stessi servizi. La capacità di rimboccarsi le maniche e lavorare davvero con la tecnologia e creare soluzioni credibili è fondamentale per noi.

Clarke (11:55):
Incontri molti dirigenti di livello C dei clienti e, naturalmente, hai consulenti distribuiti in tutto il mondo, che risolvono i problemi dei clienti e li aiutano a sviluppare diverse capacità. Ci sono tendenze particolari che stai vedendo per quanto riguarda le offerte di sicurezza che vengono prenotate tramite AWS ProServe per le quali i clienti hanno bisogno di aiuto in questi giorni?

Hart: (12:16)
Una delle cose che diciamo davvero, tornando quindi agli aspetti preliminari dell'attività, è che i clienti non vogliono acquistare un'infrastruttura non sicura. E, naturalmente, in AWS, forniamo un set di servizi molto sicuro e protetto. I clienti vogliono conoscere il modo migliore per implementare tali servizi in base alle loro esigenze aziendali. E così, in questi giorni, ad esempio, i container sono di gran moda. Tutti utilizzano i container, ne stanno implementando di nuovi o li utilizzano per velocizzare e facilitare una migrazione. C'è molto interesse da parte dei dirigenti senior su come ottenere il modello di sicurezza dei container in modo corretto. In che modo ottenere sicurezza operativa, rispetto alla gestione delle vulnerabilità, alla scansione, ai diritti relativi ai propri container e alla sicurezza dei container. Un'altra area importante è la risposta agli incidenti. Sfortunatamente, ultimamente stiamo sentendo di parecchi problemi relativi al ransomware e ad altri tipi di attacchi.

E ancora, vogliono capire quali sono le funzionalità che possono utilizzare su AWS per proteggersi al meglio da questo tipo di attività insidiose. E poi come possono consentire ai loro responder di essere efficaci nel cloud, perché potrebbe essere una novità per loro. Potrebbero essere assolutamente eccellenti on-premise, ma ora hanno un diverso insieme di ambienti con cui lavorare. E quindi, c'è molto interesse nella risposta. E poi l'altra area è nell'ingegneria della sicurezza. Molti clienti vengono a parlare con noi e ci dicono che vogliono costruire come fa Amazon. Che gli piacciono i nostri servizi. Pensano che abbiamo fatto un ottimo lavoro e, relativamente alle API, vogliono rafforzare le loro API come facciamo noi. Vogliono avere lo stesso tipo di DevOps nel ciclo di vita di sviluppo software che abbiamo noi. E così, di recente abbiamo sviluppato una capacità di ingegneria del cliente che pone un'enfasi molto forte sulla sicurezza. E stiamo lavorando su questo anche con i clienti.

Clarke (17:19):
Quando i clienti iniziano, possono utilizzare Proserve, possono utilizzare un partner per aiutare a identificare qual è la loro zona di destinazione iniziale. E naturalmente hanno Control Tower e altri modi per farlo in questi giorni. Quali tipi di servizi o documentazione offrite? Questa è una domanda a due parti, come cliente: come faccio a sapere che sto sistemando le cose, nel modo giusto e in linea con le best practice AWS e poi, anche se faccio tutte queste cose, potrei comunque perdere qualcosa e avere un problema, che si tratti di un evento ransomware o qualcosa del genere, Proserve può aiutarmi anche in questo caso?

Hart (18:04):
Sono felice che me l'abbia chiesto Clarke. Ci sono un paio di cose da dire per entrambe le parti della tua domanda. Per la prima parte, mi piace sempre assicurarmi che i clienti abbiano familiarità con alcuni dei nostri migliori strumenti, li chiamo gli strumenti di ispezione, devono sentirsi a proprio agio con un'architettura ben progettata. C'è una buona serie di indicazioni, devi essere a tuo agio con Trusted Advisor, con Security Hub e con Guard Duty. Questi sono i tipi di servizi che ti aiutano a capire dove ti trovi, se hai implementato quei punti fondamentali e se stanno operando in un modo che ti aspetti. E poi da un punto di vista più ampio dell'istruzione e della pianificazione, possiamo guardare a servizi come APG (AWS prescriptive guidance), il prontuario AWS. Il che è un tesoro di best practice e lezioni apprese da Amazon e dai nostri partner su come facciamo le cose.
 
Recentemente abbiamo lanciato un'architettura di riferimento per la sicurezza, che è una guida molto prescrittiva, sia a parole che nel codice. Pertanto, c'è del testo in cui parliamo di una varietà di casi d'uso e principi architetturali, e ciò che è stato importante per me, quando stavamo sviluppando quell'architettura di riferimento per la sicurezza, è stato sapere che non si trattava semplicemente di un’idea e basta. È come un vero e proprio disegno architettonico che ti mostra come funzionano i servizi AWS nel tuo account dal punto di vista della sicurezza. In altre parole, non si tratta solo di una vaga spiegazione schematica, sembra davvero una specie di fisica della sicurezza messa su carta e quindi complementare all’implementazione reale. Pertanto, in ogni caso d'uso nella guida all'architettura di riferimento per la sicurezza, viene fornito un codice sorgente che mostra come implementarlo in una vera implementazione di riferimento. Ed è qualcosa su cui lavoreremo nel tempo.

Aggiungeremo diversi punti di vista. Abbiamo già ricevuto un feedback fenomenale dai clienti, non solo adorano usarla, ma ci chiedono di altri casi d'uso. Ulteriori informazioni su questo caso d'uso E quindi, stiamo cercando di ripetere anche questo. Poi hai chiesto della risposta agli incidenti. Di recente in Reinforced abbiamo parlato della capacità del nostro team di risposta agli incidenti dei clienti. Fa parte di Proserve. E questo ci dà l'opportunità di fare due cose. Innanzitutto, aiuta i clienti a guardarsi attorno e a pianificare in anticipo. In questo modo, è possibile evitare che si verifichino incidenti. Ma se succede qualcosa, viene risolto tutto molto rapidamente. OK. Poi c'è il nostro sistema di supporto, dove se hai un evento di sicurezza e hai bisogno di un aiuto elevato o intensificato all'interno di AWS, abbiamo un team di risposta agli incidenti dei clienti che fa parte dell'organizzazione.

E il lavoro di questo team è aiutare i clienti a uscire da un ingorgo. Per questo motivo, fornisce supporto pratico e linee guida per la risoluzione degli incidenti. E nella maggior parte dei casi, i clienti sono ben in sintonia con la risposta agli incidenti e la gestione degli incidenti. Penso che per loro spesso sia la novità. Forse non è successo prima nel cloud o forse è la novità dell'attacco. In ogni caso, quello che cercano sono degli esperti esterni alla loro organizzazione che possano fornire un altro punto di vista, in modo da continuare correttamente. E la possibilità di parlarne.