关键字: [Amazon Web Services re:Invent 2023, Fortinet, Security Blueprint, Cloud
Migration, Shared Responsibility, Threat Intelligence, Automation]

本文字数: 1800, 阅读完需: 9 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV17e411o7cK

导读

在帮助组织将其应用程序迁移到亚马逊云科技云和混合云环境的过程中，Fortinet
发现许多企业在如何最佳运营和保护他们的云部署方面遇到了困难。参加本次讲座，回顾 Fortinet 在 2023 年获得的一些重要经验，并听取
Fortinet 和其他客户的专家小组推荐的最佳实践，加速您的云上之旅。本讲座由亚马逊云科技合作伙伴 Fortinet 为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

艾丹·沃尔登（Aidan Walden）来自Fortinet公司，他首先介绍了与会者：罗杰·克雷西（Roger
Cressy）是芒特弗农风险投资公司（Mount Vernon
Ventures）的合伙人，他在政府和私营部门的网络安全政策方面有丰富的经验；文斯·王（Vince
Wang）负责领导Fortinet的云产品营销和合作伙伴联盟；以及阿里·比达巴迪（Ali Bidabadi），他是Fortinet的云咨询总监。

艾丹向阿里提出了第一个问题，询问大型组织在最初咨询关于云迁移问题时主要感兴趣和需求是什么。阿里解释说，许多客户仍然不清楚何时以及为什么他们应该迁移到云端。从商业角度来看，关注成本效益分析，考虑将应用程序从内部数据中心迁移到云端。客户需要决定使用哪个合适的平台，是否采用多云策略，以及是否应重新设计单体应用程序还是仅仅将其搬到云端。

作为顾问，阿里建议从第一天开始制定一份安全蓝图，以避免在迁移后不得不重新设计。他告诉客户要全面了解所有选项和好处。例如，虽然简单迁移更容易，但重新设计应用程序可以更好地利用云端的优点。阿里强调，尽早考虑安全性构造以保护云中的应用，而不仅仅是事后添加安全性。这样可以避免未来维护安全的云环境和资源所需的额外成本增加。

当艾丹问安全问题如何支持业务成果时，罗杰·克雷西表示，安全仍然经常被视为一种费用而非基本需求。他在政府项目中注意到两件事——首先，云迁移在效率和资源方面是有意义的。但是，组织依赖于云服务提供商提供安全保护他们的关键资产，同时还要在云中启用业务功能。

罗杰觉得在讨论安全问题与云迁移过程分离时仍然存在不协调。将安全性纳入蓝图是一个重要的过程。他开始谈论自动化以及对可视性和可观察性的需求，作为自动化的基础，以提供环境概览。

艾丹回到阿里那里，询问他在咨询过程中发现的一些客户忽略重要基本原理的问题。阿里强调了几个关键领域。许多组织忘记了在软件开发生命周期中需要安全，而不仅仅是运行时。安全的软件供应链至关重要——导入的代码应该是安全的，就像来自广泛使用的库的漏洞（如Log4j）一样。客户没有充分理解应用程序开发、安全团队和安全工程之间的关系。在生产之前，应该通过API的安全测试、静态分析、动态分析和其他策略来减少攻击面。阿里表示，客户需要帮助制定涵盖这些领域的蓝图，因为正确的策略可以防止许多入侵。他指出，在生产中出现问题时，网络技术（如Web应用防火墙和HTTPS流量检查）会发挥作用。但仍然忽视了基本原理。

当被问及网络与安全是否融合时，Vince解释说这种融合是由许多组织缺乏技能熟练的员工以及他们必须在本地、云和混合环境中管理的复杂多样的环境驱动的。采用集中的可见性、控制和管理简化了操作，并在具有一致的平台和可预测的策略的情况下提供了简单的解决方案。

Vince强调了一致性——如果防火墙策略和警报的解释在本地和云之间有所不同，则很难做出响应。在整个使用相同的解决方案和策略的过程中，迁移是无缝的。在不需深入专业知识的情况下实现自动化的平台有助于解决技能差距。将这些功能融合在一起可以促进内置自动化，而不是孤立的系统和手动流程。

艾丹根据Roger的政府经验向Roger提出了一个关于风险评估、合规和治理的问题。Roger分享了一个系统集成商使用多个CSP并担心如果出现错误谁应承担责任——CSP还是集成商?他说新的法规正在提高安全标准，并将更多的责任转移给公司董事和领导。Roger指出，虽然政府机构和企业很快不会完全迁移到云端，但混合环境甚至更加依赖于共同责任。

罗杰表示，对于中小型企业而言，由于云迁移的推动力，可以将很多安全责任交给云服务提供商（CSP）。然而，较大的组织需要与他们的CSP就预期和要求进行详细讨论。他再次强调，安全必须融入蓝图和迁移计划中。

当被问及对共享责任模型的依赖时，文斯分享了一个客户在云端运行80%的业务，但却完全依赖于CSP提供安全的例子。他不得不解释，CSP只负责保护底层基础设施，而不是客户在云端放置的任何东西。应用程序和数据的安全仍然是客户的责任。文斯表示，这是一个许多企业客户往往忽视的关键事实。

罗杰同意，共享责任不会在短时间内消失，特别是对于有已知漏洞的机构，政府给予非常短的时间窗口（有时只有48-72小时）来进行修补。因此，组织需要依靠供应商对威胁进行适当分类和优先排序的帮助。

关于数据量对云安全构成的挑战，阿里指出，虽然洞察是有用的，但关键是确定可操作的情报。他会问，如何在帮助客户理解优先事项的同时避免消耗大量资源？阿里说，许多问题源于配置错误，而不仅仅是威胁，所以警报需要有上下文以避免误报并确定修复步骤。作为供应商，目标应该是通过自动化、AI和高级威胁情报来帮助客户简化这个过程。

文斯对此进行了扩展，解释说许多供应商正从日志分析转向关注资源、它们的漏洞以及确定哪些需要进行优先处理。但是决定什么是需要人工审查还是自动化的仍然是一个挑战。他强调了在工具培训方面建立知识的重要性。在自动化和手动安全响应之间需要一个微妙的平衡。

罗杰重申了一个常见的观点，即组织被大量的数据所淹没，但却渴望获取更多的信息。他认为，所有的安全警报并不都是平等的，供应商应该帮助对这些警报进行适当的分级和分类。他提倡使用工具来更快地识别关键威胁，同时尽量减少其他漏洞，因为资源有限。罗杰还注意到，攻击者就像防御者一样利用自动化和人工智能。

当被问及目前AI和ML在网络安全领域中最有价值的应用时，文斯表示，虽然AI已经存在了数十年，但最近成为了一个热门话题。其有效性取决于背后的训练数据和算法。例如，Fortinet在部署之前就经过了在一个5年内训练的AI系统的训练。必须小心地将AI视为一个活系统并给予足够的关注。文斯指出，攻击者也在利用AI技术，因此解决方案必须足够强大以应对这一挑战。

阿里建议AI应该超越仅仅通过检查来阻止或允许流量。他主张需要有能力理解和分析内容以实现更智能的处理。他表示，许多目前的解决方案对AI流量采取了一种过于简单化的安全方法。阿里同意AI仍处于早期阶段，应该在最有影响力的地方有选择地应用。他还提出了数据完整性问题和用于AI系统的数据来源问题。

罗杰强调了AI和ML之间的区别——ML识别异常和关联性，而AI在此基础上进一步分类。他用一个例子来说明：判断一个威胁是达菲鸭还是唐纳德·鸭子。AI基于ML的检测结果提供更深入的背景信息和推荐行动，这对安全操作员非常有帮助。但高质量的训练和干净的数据至关重要。

在结束建议方面，文斯强调在安全计划和供应商解决方案中构建灵活性。他认为，随着环境的变化，调整策略、配置和许可/部署的能力将成为关键。通过基础设施即代码和许可证生命周期管理实现自动化可以节省大量时间。阿里再次强调了尽早制定详细的安全蓝图的重要性，以避免未来的重大错误。他举了一个医疗保健提供商的例子，该提供商遇到了主要故障。根本原因是过期的API密钥。如果在蓝图上花时间，本可以避免这个问题。

最后，罗杰总结道，为了实现自动化，组织需要有可见性和可观察性。在蓝图和迁移过程中，安全性必须被充分考虑。他提到，关于云安全的乐观情绪正在不断增长，我们正朝着正确的方向前进。该小组明确表明，对于已经开始采用云的机构来说，建立一个强大的安全基础至关重要。

下面是一些演讲现场的精彩瞬间：

演讲者强调云计算已成为关键基础设施，可能引发更严格的安全标准。

随着云服务的普及，客户与云服务提供商在安全方面的共同责任变得愈发重要。

领导者们指出，不仅要阻止或允许人工智能流量，更要理解并聪明地处理这些流量至关重要。

此外，领导者们还强调了了解用于训练AI模型的数据来源及其完整性的重要性。

总结

视频探讨了云安全最佳实践。一个核心议题是企业在迁移至云端时需要调整其安全策略。提前规划安全蓝图以防日后出现问题是至关重要的。这包括软件供应链风险、应用程序安全测试、网络安全以及API暴露等方面。

此外，自动化和人工智能在云端的安全方面发挥着关键作用。然而，它们的有效性取决于对环境的良好可视化。规范化和背景化的数据非常重要，以便安全团队不会陷入混乱。在本地和云端之间实施一致的策略和自动响应能够强化自动化带来的好处。

最后，企业不能仅仅依赖于共享责任模式。他们必须对自己的应用安全负责，而云服务提供商则处理较低层次的基础设施问题。在未来可预见的时期内，混合环境将成为主流。因此，企业应选择支持跨部署实现集中化可视性、控制和自动化的灵活解决方案。从一开始就遵循安全最佳实践有助于顺利地进行云迁移。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134829774

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 -
官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100
余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40
余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006
年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200
项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及
31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12
个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！