在成為亞馬遜云科技CISO之前，Amy Herzog其實(shí)是亞馬遜“大家庭”中的老熟人。多年來(lái)，她負(fù)責(zé)的板塊在內(nèi)部被稱作“美國(guó)非零售業(yè)務(wù)”，橫跨影視制片廠和Prime Video、消費(fèi)類設(shè)備，甚至還涉足Project Kuiper衛(wèi)星互聯(lián)網(wǎng)項(xiàng)目。

來(lái)到亞馬遜云科技，最讓她興奮的，是能在這里挑戰(zhàn)一個(gè)她一直認(rèn)為是“偽命題”的傳統(tǒng)觀念：必須在快速創(chuàng)新與高安全性之間做出選擇。Amy Herzog堅(jiān)信，在追求速度與規(guī)模并存的環(huán)境中，安全性可以更進(jìn)一步。

“如果有哪家公司能破解快速交付與高安全性之間的張力，那一定是這里。”Amy Herzog說(shuō)。亞馬遜云科技乃至整個(gè)亞馬遜，對(duì)安全的重視和對(duì)客戶信任的堅(jiān)持，早已融入企業(yè)文化與運(yùn)營(yíng)細(xì)節(jié)。

亞馬遜云科技CISO Amy Herzog

今年是Amy Herzog第一次參加re:Inforce，她深刻感受到生成式AI已經(jīng)進(jìn)入旅程的下一階段，從談?wù)撛妇暗秸嬲�開始看到成果。比如以前需要幾個(gè)小時(shí)的日志排查，現(xiàn)在幾分鐘就能完成。

她喜歡看到技術(shù)創(chuàng)新真正落地的瞬間，更希望有一天，安全能成為支撐這一切的最強(qiáng)底氣。

如果IAM沒(méi)做好，一切都無(wú)從談起

在re:Inforce的發(fā)布中，Amy Herzog認(rèn)為其中有一些內(nèi)容可能不是“最吸引眼球”的部分，但是卻是良好安全實(shí)踐的關(guān)鍵要素——IAM（身份和訪問(wèn)管理）。

“如果IAM沒(méi)做好，一切都無(wú)從談起。”它看似基礎(chǔ)，實(shí)則最難，尤其是在大規(guī)模環(huán)境下，需要那些熟悉全球基礎(chǔ)設(shè)施構(gòu)建與運(yùn)營(yíng)的經(jīng)驗(yàn)型人才。

憑借多年來(lái)運(yùn)營(yíng)安全運(yùn)維團(tuán)隊(duì)的經(jīng)驗(yàn)，以及來(lái)自客戶的反饋，Amy Herzog發(fā)現(xiàn)，監(jiān)控、網(wǎng)絡(luò)層與應(yīng)用層的響應(yīng)能力，是解決“快速交付”與“安全保障”之間矛盾的關(guān)鍵因素�，F(xiàn)實(shí)情況是，過(guò)多低價(jià)值告警正消耗團(tuán)隊(duì)資源，亞馬遜云科技的目標(biāo)是實(shí)現(xiàn)機(jī)器級(jí)響應(yīng)速度與全球級(jí)別的響應(yīng)能力，讓安全真正跟上業(yè)務(wù)創(chuàng)新的步伐。

今年re:Inforce上發(fā)布的內(nèi)容，像 GuardDuty、擴(kuò)展威脅檢測(cè)（XTD）、Security Hub等，目的都是幫助客戶在面對(duì)潛在安全問(wèn)題時(shí)聚焦真正重要的事項(xiàng)。Amy Herzog非常喜歡亞馬遜云科技與客戶之間的這種合作模式：我們提供全球視角與覆蓋能力，客戶則帶來(lái)對(duì)其業(yè)務(wù)和行業(yè)痛點(diǎn)的深刻理解。

AI帶來(lái)增長(zhǎng)的煩惱，安全要跟上節(jié)奏

現(xiàn)在生成式 AI 正以前所未有的速度加速軟件開發(fā)，像代碼補(bǔ)全與開發(fā)輔助，創(chuàng)新提速的同時(shí)也帶來(lái)了新的安全挑戰(zhàn)。Amy Herzog從另一個(gè)角度看到，生成式AI也在幫助我們“從一堆針里找到那根關(guān)鍵的針”。

隨著攻擊與防御技術(shù)同時(shí)進(jìn)化，亞馬遜云科技也迎來(lái)巨大的機(jī)會(huì)與責(zé)任：我們必須確保正在開發(fā)生成式AI與Agent解決方案的客戶，具備完善的防護(hù)機(jī)制、工具與配置，能夠在安全的前提下持續(xù)創(chuàng)新。這就是Amy Herzog今年希望通過(guò)re:Inforce推動(dòng)的重點(diǎn)之一。

同時(shí)Amy Herzog也看到“規(guī)模與增長(zhǎng)”仍然是最大的挑戰(zhàn)，特別是開發(fā)量和生產(chǎn)力的激增。她認(rèn)為，如果明天開發(fā)者因?yàn)槭褂蒙�成式AI而突然提高了50%的效率，整個(gè)節(jié)奏都會(huì)被打亂，這是必須密切關(guān)注的現(xiàn)實(shí)問(wèn)題。

如果這些效率提升都轉(zhuǎn)化為實(shí)際部署，進(jìn)入生產(chǎn)環(huán)境的變更數(shù)量就會(huì)急劇上升，亞馬遜云科技要做的是如何與不斷加速的開發(fā)節(jié)奏保持同步，持續(xù)演進(jìn)安全模型。目前Amy Herzog的安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)之間已經(jīng)建立了一套合作流程，比如了解產(chǎn)品發(fā)布的內(nèi)容、如何構(gòu)建、API如何運(yùn)作等。

比如在數(shù)十億客戶請(qǐng)求的場(chǎng)景下，客戶端加密與客戶自管密鑰可能會(huì)帶來(lái)額外復(fù)雜性。需要從看似獨(dú)立的多個(gè)事件中，及時(shí)識(shí)別潛在的疊加風(fēng)險(xiǎn)。這種基于規(guī)模的信息關(guān)聯(lián)與推理能力，未來(lái)將成為超大規(guī)模企業(yè)和成長(zhǎng)型企業(yè)的必修課。

從B2C到B2B，先傾聽再行動(dòng)

從B2B到B2C，Amy Herzog不確定這是否是一種“思維轉(zhuǎn)變”，但她非常喜歡企業(yè)場(chǎng)景的一點(diǎn)是：安全期望通常非常清晰。

因?yàn)槊嫦蛳�費(fèi)產(chǎn)品，“信任”往往是一個(gè)模糊的概念，依賴于使用場(chǎng)景、感知價(jià)值和背景。但在企業(yè)領(lǐng)域，尤其是云基礎(chǔ)設(shè)施領(lǐng)域，客戶對(duì)于安全的期望是具體且明確的。“這意味著我們可以花更少的時(shí)間去猜測(cè)客戶需求，有更多時(shí)間去思考如何在“機(jī)器速度”和“全球規(guī)模”下滿足這些需求。”Amy Herzog說(shuō)道。

Amy Herzog認(rèn)為自己現(xiàn)在最重要任務(wù)是“傾聽”。面對(duì)覆蓋全球百?gòu)?qiáng)企業(yè)、初創(chuàng)公司，以及各國(guó)政府的龐大客戶群，她需要把來(lái)自不同客戶的聲音綜合歸納，真正理解他們?cè)诎踩�領(lǐng)域最關(guān)心、最急需解決的問(wèn)題，并據(jù)此推動(dòng)亞馬遜云科技產(chǎn)品策略和優(yōu)先級(jí)的調(diào)整。

就像她在re:Inforce的演講中也反復(fù)強(qiáng)調(diào)，只有基礎(chǔ)扎實(shí)，其他一切才有可能。尤其是在生成式AI時(shí)代，如果沒(méi)有打好基礎(chǔ)，就無(wú)法實(shí)現(xiàn)快速和安全的創(chuàng)新。