AWS 如何幫助客戶達到其安全、風險及合規目標

Clarke (00:58)：
跟我們說說您的背景，您是如何來到 AWS 的，以及您目前的職務是什麼？

Hart (01:05)：
沒問題。在 AWS 之前，我在國防承包商情報領域工作，做很多系統整合方面的工作，我確實很喜歡這項任務，喜歡為美國政府和世界各地政府提供支援，以及他們所做的事情和一些受監管產業也是如此。但我始終要確保這份名單受頂級安全公司的保護，對吧。在我職業生涯的早期，這些主要針對消費者。就像桌面上的防毒軟體、個人防火牆之類。但隨著時間的推移，這份名單則遷移至提供基礎設施的公司，以確保世界運轉。例如 Amazon 這樣的公司，以及其他大型基礎設施供應商。而我處於職業生涯的某個階段，正致力於尋找下一步行動。我想去真正在安全方面進行創新的地方。這不僅能夠對少數非常重要的客戶產生影響，而且對整個世界都是如此。因此，我抓住機會來到 AWS。

Clarke (02:02)：
您目前在 AWS 的職位是什麼？

Hart (02:39)：
目前，我是安全和基礎設施全球專業實務及專業服務主管，這有點拗口。但其實，我的任務是幫助客戶建立信心和技術能力，以便在雲端中透過我們操作他們最敏感的工作負載。

Clarke (02:58)：
原來如此。在您探究您的團隊為客戶提供，或客戶可使用的不同專業服務產品時，您是否遵循任何特定機制，以確保您提供的產品確實是客戶想要的或需要的？

Hart：(03:14)
我來舉一個非常具體的例子。幾年前有一段時間，我們有幾個客戶考慮將支付卡系統遷移至雲端。他們真正需要的是，既具備雲端運算和支付卡系統現代化營運面專業知識，又了解 PCI 標準的團隊。因此，第一次發生這種情況時，我們認為應引入具備 PCI 能力的合作夥伴。這確實很有效。通常情況下，客戶在與 AWS 和合作夥伴開展合作時會取得最佳成果。

我們還聽說，他們希望確保從 AWS 取得的專業知識和指導是權威的，但合作夥伴本身 (如 PCI) 就已符合資格。我們最終做的是寫了六頁的敘述，反向操作並建立一個 AWS 安全保證服務團隊，其最終成為全資子公司，這是一間 PCI QSA 公司。現在也是高度受信任的評估者。

Clarke (05:17)：
這太妙了。那麼，如果客戶沒有要求，則沒有提供 X 服務的內部程序？

Hart (05:27)：
沒有。我已經在 AWS 工作了九年多，實際上，在我參與的對話中，這經常令人沮喪。常見的比喻或迷因是，您會在會議上說些什麼，有人會說：Hart，這真的很有見地，我們很欣賞這種觀點，但您的客戶會說什麼？ 並不是他們在貶低我的專業知識，而是我們都體認到，當我們深入傾聽時，當我們透過一些意見回饋來協助客戶思考他們的解決方案時，我們才能為客戶找到適當的解決方案，並且推進。然後透過專業知識對其進行篩選。並確定獨特的 Amazon 解決方案，再將其轉達給客戶。

Clarke (06:09)：
所以我認為，在您的組織中，您必須不斷聘請新的顧問來滿足客戶的需求。在您正在招聘的下一位出色的 AWS 安全顧問中，您要尋找什麼？ 一種深入而廣泛的安全專業知識嗎？ 還是「我只想解決問題」的這種建置者心態？ 當您為 Proserve 招聘時，您真正需要什麼樣的背景和人才？

Hart (06:39)：
我們需要的是幾項要素，但其核心是尋找技術能力和文化契合度。文化契合度是指與我們的領導原則一致，以及思考和內化這些原則的能力，並協助我們在前進時進一步釐清領導原則。我們還會關注技術能力，像是對方有何獨到之處？ 真正尋找的是特定領域的專業知識，以及在互補領域工作的能力。
 
如果您是身分領域的專家，是否也證明您可以將其運用於密碼學？ 或者能夠運用到法醫或其他自然領域？ 因為，我們發現，我們引進在各自領域絕對是專家的人才。他們具有專業領域的深度知識，但這種深度其實能推動廣度。因為每個人都希望您的專業知識可以協助解決其問題，這與您日復一日的工作略有不同。因此，我們尋求敏捷性、靈活性、廣泛性能力，以及以非傳統方式運用實務的能力。

我們當然是在尋找建置者。我們堅持讓 EA 中的每個人，透過我們的交付顧問及經理都能在平台上取得技術熟練度。因此，我們的工作就是為客戶排憂解難。如果您從未將 CAT 圖片上傳至 S3，或從未啟動 EC2 執行個體，或者已在 Lambda 中部署一些程式碼，那麼您就無法可靠地與客戶談論他們該如何解決問題，或在這些相同的服務上建置下一項業務。因此，能夠著手確實善用技術並建置可靠解決方案，對我們來說非常重要。

Clarke (11:55)：
您會與很多客戶的高階主管見面，當然您的顧問也遍佈世界各地，致力於解決客戶問題並協助他們建置不同的功能。就透過 AWS ProServe 預訂之客戶最近需要的安全產品而言，您是否看到任何特別的趨勢？

Hart (12:16)：
有一點必須要釐清的是，真正回到業務開始時，客戶真的不想購買不安全的基礎設施。當然，在 AWS，我們提供一套非常安全可靠的服務。客戶想知道針對其特定業務需求進行實作的最佳方式。例如，這一陣子，容器已然成為主流技術。每個人都在容器化，正在實作新的容器，或者正在使用容器來加速遷移並順利完成遷移。資深管理人員對如何正確使用容器安全模型非常感興趣。如何取得有關其容器和容器安全性的操作安全事件，如漏洞管理、掃描等。而另一個領域是事件回應。遺憾的是，我們在新聞中看到很多關於勒索軟體和其他類型攻擊的問題。

同樣，大家都想了解可以在 AWS 上使用哪些功能，以便最有效地防範此類隱蔽活動。之後，思考如何在雲端中有效回應，因為這對大眾來說可能是新事物。許多人可能在內部部署方面非常出色，但現在他們要在一組不同的環境中搭配使用。因此，我們看到很多人對回應感興趣。還有一個領域是安全工程。很多客戶來找我們說，我們想以 Amazon 的方式建置。我們對您的服務感到滿意。我們認為您做得非常好，公開 API 的方式也非常棒，我們希望以您的方式強化我們的 API。我們希望擁有與您一樣之運維類型的軟體開發生命週期。實際上，我們最近開發了一種非常強調安全性的客戶工程功能。我們也在與客戶合作。

Clarke (17:19)：
當客戶剛開始時，他們可能會使用 Proserve，可能會透過合作夥伴來協助確定其初始登陸區域。當然，我們現在透過 Control Tower 和其他方法來實現。你們提供什麼類型的服務，或者文件資源？ 這個問題有兩個部分，首先是作為客戶，如何了解是否設定了內容、是否引用、方式是否正確，以及是否與 AWS 最佳實務相符；另一方面，即使做了所有這些事情，也可能會遺漏一些環節，可能會遇到問題，無論是勒索軟體事件還是類似攻擊，而 Proserve 是否也會提供協助？

Hart (18:04)：
Clarke，很高興您問這個問題。您這個問題的兩個部分都有幾個方面可談。關於問題的第一部分，我總是喜歡確保讓客戶對我們的熱門服務非常熟悉，假設檢查工具，需要對精心設計的工具感到滿意。提供一套很好的指引，需要熟悉 Trusted Advisor，需要熟悉 Security Hub 和 Guard Duty。這些服務可幫助您了解自己的狀況。是否已經實作這些基礎服務，是否以您期望的方式運作。接著，從更廣泛的指導和規劃的角度來看，我們可以關注 APG、AWS 方案指引等服務。這是從 Amazon 和我們的合作夥伴學到的，關於我們如何實作之最佳實務和經驗的豐富資源庫。
 
我們最近推出了安全參考架構，這是詳實的文字和程式碼規範指引。我們在某些文章中討論了各種使用案例和架構原則，在我們開發該安全參考架構時，對我來說重要的是這並非只是概念。更像是真實的架構圖，從安全角度向您展示 AWS 服務如何在您的帳戶中執行。這不僅僅是含糊其辭的白板展示和肢體解說，實際上是一種在書面上的安全物理學，更是對實際實作的補充。因此，安全參考架構指引中的每個使用案例都附帶來源程式碼，向您展示如何在實際參考實作中來實施。這就是我們將逐一建置的內容。

我們將新增不同的觀點。我們已經取得了客戶相當正向的意見回饋，他們不僅喜歡使用，而且會說，這個使用案例怎麼樣？ 我擁有的這個使用案例怎麼樣？ 所以，我們也在考慮對此進行反覆運作。您還詢問了事件回應。最近，我們在 Reinforced 談到客戶事件回應團隊的能力。我們轉向 Proserve。這確實是我們做兩件事的機會。首先，最重要的是，協助客戶了解狀況並提前規劃。這樣，我們就能防止任何事件發生。但如果確實發生了某些事件，可以從突發事件中恢復正常。沒錯。藉由我們的支援系統，如果您有安全事件並且需要 AWS 內的一些高階或升級協助，我的組織中確實設立了此類客戶事件回應團隊。

他們的存在就是為了協助客戶擺脫困境。因此，他們在解決事件方面提供大量實際支援和指引。在大多數情況下，客戶非常善於回應事件和進行事件管理。我認為對他們來說，麻煩通常是新的問題。他們可能以前在雲端中沒有這樣做過，或者可能不了解攻擊。因此，他們真正要尋找的是組織外部的一些專家。提供另一種觀點，能夠賦予權利。有點像是展開相關對話。