AWS Executive Insights / 安全 / ...
重新思考 AWS 的安全與合規營運
聆聽 AWS 安全副總裁 Chad Woolf 講述 AWS 如何不斷重塑其安全與合規團隊和程序,以適應這個日新月異的世界。
在談話的第二部分中,AWS 企業策略家 Clarke Rodgers 與 Chad 談到了過去幾年中安全與合規組織在招聘、建置、稽核和維護方面發生的變化,以及他在 AWS 的團隊如何持續創新。 在此處觀看他們討論的第一部分。
對話詳情
Clarke: (00:05)
Chad,非常感謝您參加我們今天的討論。
Chad: (00:07)
很高興能來這裡。
Clarke: (00:09)
那麼您能否分享一下您的背景以及您加入 AWS 的原因?
Chad: (00:13)
好。我已經在 AWS 工作了大約 11 年,從 2010 年開始就一直從事安全和合規方面的工作。我之前在 EY 工作,在那裡,我們做過很多安全諮詢,很多業務連續性諮詢。這種背景對我今天的工作有很大的助益,更能夠幫助 AWS 實現安全合規。
Clarke: (00:43)
那麼作為 AWS 的安全保證主管,您的主要職責是什麼?
Chad: (00:50)
我們的主要目標和使命是幫助我們的客戶將受管制且非常敏感的資料遷移到雲端,以及處理與之相關的諸多事項。您需要在內部證明您的環境安全無虞。您還必須稽核 AWS,確保您的供應商 AWS 同樣安全。這就是我們要做的工作,透過稽核與認證以及其他直接稽核業務來證明,我們在後台所做的事情、客戶看不到的事情等,均安全無虞且符合所有我們須遵守的各種不同類型的法規和認證標準。
Clarke: (01:34)
因此,您有內部團隊、內部合規團隊來確保 AWS 服務符合特定標準。我想您也會和外部第三方稽核員和監管機構合作吧?
Chad: (01:47)
是的。是的。因此,我們的大部分工作都與外部稽核員、監管機構、監管機構審查員以及對 AWS 執行稽核、對我們展開盡職調查的客戶的外部業務相關。
Clarke: (02:03)
在安全領域,總體來看,尋找、僱用、培訓、再培訓技術嫺熟的安全人員並不容易。我想安全保證和合規專業人員也是如此。
Chad: (02:18)
您說的沒錯。是的。
我們透過稽核與認證以及其他直接稽核業務來證明,我們在後台所做的事情、客戶看不到的事情等,均安全無虞且符合所有我們須遵守的各種不同類型的法規和認證標準。
Clarke: (02:20)
您能詳細談談你們是如何培養新員工、讓他們投入到工作中,並讓安全保證成為令員工嚮往的地方嗎?
Chad: (02:33)
好的。在回答您的問題之前,我想先說說招聘的事情。如今招聘真正優秀的技術安全人員的困難在於,我們需要與一些非常出色的面向外部的服務競爭。我們都在努力招聘同樣的一些人員,比如開發人員和系統設計師等等。我們之間必然存在競爭。
Chad: (03:00)
在我們這個領域,很多時候當您做得很好,卻什麼都沒有發生,對吧? 比如說沒有出現漏洞,沒有出現需要向上呈報的狀況,什麼都沒有發生。但是當您在服務業務中做得非常好的時候,就能夠看到成果。比如發佈了一個產品,每個人都會很興奮,之後會產生收入,會有客戶互動......因此我們之間會存在一些競爭,但我們安全專業人士也有自己的價值,就像是企業......不是企業公民......這就像是整個產業安全的傑出貢獻者。
Chad: (03:49)
我們工作的一個方面是,我們開發內部程序然後將其外部化,我們開發內部服務然後將其外部化,從而協助我們整個客戶群更好地實現安全和合規。這就是我們工作的一個方面。那些真的重視這方面的人在我們團隊中表現出色,並且真的熱愛合規工作。是的。沒有人在大學裡會想著我想成為一名稽核員,我想成為一名合規工程師。沒有人會這麼想,但是當他們加入我們的團隊後,他們便能夠真正了解我們正在做什麼,以及我們如何協助客戶,我們的工作對整個客戶群來說都是一個非常有力的價值主張,而不僅僅是對那些使用特定服務的客戶。我們有這方面的價值,並且會不斷發展它。
Chad: (04:40)
因此我們在招聘人員時,通常不會招聘具有傳統合規背景的人,原因可能是他們與服務團隊或開發人員之間或許會有傳統上的敵意。我們不想要有那樣的敵意。我們想擺脫這種敵意。因此可選擇的人不是很多......是會有一些非常熱衷於做方面工作和擴展的人,但傳統上,他們可能沒有太多的技術能力。因此也不太適合我們的組織。
Chad: (05:21)
在招聘到具備......他們需要遵循兩項 Amazon 領導力原則才能將工作做好。第一是保持學習和好奇心。他們需要能夠保持好奇心,深入了解開發人員的工作流程,以及他們正在使用的工具。就像我說的,了解他們如何工作。要能夠做好這方面的工作需要很多技術上的好奇心。
Chad: (05:54)
他們需要遵循的第二個領導力原則是不斷發明和簡化,因為我們正在做的事情,我們正在發明的合規方法是以前沒人做過的。我之所以這麼說,是因為當我們詢問同行以及在其他論壇、會議之類場合詢問時,沒有人表示他們所處理的規模能夠於我們相提並論。我們必須為開發者發明我們原創的東西、原創的工具和原創的服務。這就是我們需要遵循的兩項領導力原則。
Chad: (06:29)
我們在招募人員時,我們會招募各方面的人員。我們最優秀的員工之一是一名電氣工程師。他取得電氣工程學位畢業後,在電機工程方面工作,後來到了我們這裡,因為他對我們說做的工作非常好奇,並且認同我們的價值主張。他是我們最優秀的員工之一。這就是我們希望做到的。
Chad: (06:57)
我們希望實現教育背景和企業背景的多樣性。我們有一個非常非常多元化的團隊,我們的背景、想法以及所來自的地方,所有這些都非常非常的不同。這確實能夠讓組織受益,因為我們可以打破常規思維。我們可以想到不同的擴展方法。我的團隊越來越多地關注擴展,他們正在做產業領先的事情,並以前所未有的速度為不同的活動和不同的程序進行擴展,他們對此感到興奮。我們也都感到興奮。我之所以感到興奮是因為我們正在為大家打下基礎,並展現在這一領域思想領導力。
Chad: (07:45)
另一個令人興奮之處在於能夠讓我們的許多客戶受益。我們正在做的事情能夠給客戶帶來的利益比大家想象的要更多。我們不僅在開發程序、工具以及輔助程式,而且試圖透過我們的其他服務將這些東西外部化,從而讓我們的客戶能夠利用我們的經驗教訓。
我們開發內部程序然後將其外部化,我們開發內部服務然後將其外部化,從而協助我們整個客戶群更好地實現安全和合規。
Clarke: (08:14)
Chad,過去 18 到 24 個月對每個人來說都不容易,由於疫情,大家不得不在家裡、咖啡廳等藉助虛擬的手段進行工作。 這種遠端工作方式如何影響您的團隊以及他們日常工作的能力?他們需要開發新的功能和服務,以支援不同的開發團隊,對這方面會有什麼影響?
Chad: (08:35)
傳統稽核的某些方面是沒有意義的,比如造訪資料中心。稽核人員出於許多原因希望造訪資料中心,主要是因為要檢查機房的設備。或者是想當面見到某人,從而檢查機房的設備,而實際上他們可以透過其他方式取得需要的資訊。比如說資料中心巡檢,我們的資料中心配備了如此多的儀器,我們可以遠端收集需要的任何證據,包括攝影機覆蓋範圍。為什麼需要去資料中心? 實際上去資料中心並沒有什麼用。
Chad: (09:12)
在疫情爆發之前,我們進行所有這些實際上沒有必要的活動,並且造訪世界各地的資料中心,花費很多時間在旅行上。要協調在新加坡的資料中心進行巡檢時,我們需要讓包括稽核員在內的整個團隊花費一整週的時間。
Chad: (09:40)
在疫情爆發之後,我們沒辦法開展這些工作。起初,稽核人員很難接受沒辦法前往資料中心的事實。但我們所做的是,與他們密切合作,告訴他們我們配備了諸多的儀器。 對吧。我們可以向你們展示如何在遠端完成通常需要前往現場完成的所有程序,例如透過虛擬閱覽室的方式來審查文件,以及透過視訊會議進行訪談。另外還有採樣,你們不需要前往現場下載描述您想要審查的內容的系統表格。我們可以以安全的方式向你們提供,並展示我們在下載的過程中如何受到持續監管等等。
Chad: (10:31)
疫情迫使大家都這樣做,反倒使得我們的稽核變得更有效率。稽核速度變得更快了。我們不僅能夠更快、更高效地完成稽核,而且還能夠平行進行許多不同的事情,而在正常情況下我們是做不到這些的,因為會需要進行大量的旅行。 因此,對稽核本身而言有很多的好處。
Chad: (10:56)
此外,我們也在重新思考驗證控制陳述式或驗證控制程序真正需要的是什麼。疫情在許多方面使我們能夠退後一步,或者說是迫使我們退後一步,並迫使稽核師退後一步,重新思考他們如何保障我們環境的安全。
Chad: (11:26)
我們花時間建置了更多的工具。正如我所說,我們有不同的方式可以進行資料中心巡檢。現在我們有了一個虛擬資料中心巡檢之旅。我之前提到過,我們建立了一個數位稽核研討會,不需要讓大家都聚集到一個地方聽取演講,我們現在有一個虛擬的地方,那裡提供影片等內容,這樣大家就可以根據自己的時間安排隨需獲取這些內容,不需要服務團隊主管和總經理一遍又一遍地向客戶傳遞基本一樣的資訊。這使得其他稽核工作、互動和教育活動變得更加高效。
Clarke: (12:17)
這聽起來像是一種稽核即服務?
Chad: (12:21)
稽核即服務,或者說是專注於真正重要的事情。我們做了 20 年的傳統的東西真的是必要嗎? 或許其中有一些並不是。我們能夠做正確的事情,制定正確的程序並評估正確的控制措施。
Clarke: (12:44)
太棒了。現在讓我們改變一下角度,從客戶的角度來談談。假如我是一個客戶,我將啟動一個安全保證計劃。顯然,我不會一開始就達到 AWS 的水準和規模,但如何就自己的內部安全保證計劃取得支援呢? 您談到過擁有開發團隊。但據我所知,這並不是我們任何客戶的「標準操作」。一些較大的客戶開始有這方面的想法。但客戶要如何打下基礎,讓他們的高層領導認為這很重要,這是應該進行的投資。
Chad: (13:24)
這是一個很好的問題,我認為對不同客戶來說有不同的方式。大多數客戶都有自己獨特的業務狀況,這使得安全和合規的價值主張對不同客戶而言有所不同。
Chad: (13:38)
整體來說,從許多方面來看,安全顯然很重要,合規是絕對必要的。 因此,您確實需要建立計劃。每個公司都需要建立安全計劃。每個公司都需要建立合規計劃,無論是安全合規還是法律合規,抑或其他方面的合規,如果您想持續經營,就必須遵守法律,對吧?
Chad: (14:05)
但我想說首先要做到的是……首先是讓領導層認識到安全和合規計劃的價值,我認為這應該是一個商業決策,對吧? 這不一定是一種義務,或者讓人專門去試圖說服整個領導團隊,安全有多重要。應該由執行長層級來決定是否要認真對待安全問題。
Chad: (14:46)
在做出這樣的決定,並且了解了它的價值和希望進行投資後,您要怎麼做呢? 我只想說,我們之前談到了解開發人員的真實程序,這可能是您需要關注的第一件事。大多數公司在開始時都會去關注控制架構, 以及需要遵守的控制措施。他們會先將這些控制措施記錄下來,然後再去告訴業務部門,他們需要執行這些控制措施,或實現這些目標。
Chad: (15:25)
相反,您應該去深入了解您的業務運作方式,無論您的業務是什麼。對於我們而言,我們需要與一群開發人員合作,對吧? 他們的工作方式、如何完成工作、所使用的工具,所有這些資訊都非常重要,因為只有深入了解了這些,我們才能引入新的東西。很多時候,鑑於已有工作方式較為完善,我們不需要引入任何新的東西。或者我們需要結合他們工作的方式向他們解釋控制架構。無論您從事什麼業務,根據您的員工實際在做的事情以及他們的工作方式,思考您需要什麼以及可能需要什麼樣的解釋來將控制框架運用到您的組織中,這才是最重要的
Chad: (16:24)
這可能也是在合規團隊、安全團隊和業務團隊之間建立真正良好合作夥伴關係所要做的第一件事。很多時候,我們把它弄反了。而且我認為這是我們成功的關鍵,不僅是在開始時是,而且一直都會是。我們能夠持續取得成功的唯一原因是,我們非常熟悉 AWS 開發人員設計、開發、部署和維護軟體,以及圍繞這些展開的一切工作的方式。
Clarke: (16:59)
Chad,非常感謝您參加我們今天的討論。
Chad: (17:01)
很高興能來這裡。謝謝 Clarke。
領導者簡介
Chad Woolf
Amazon AWS 安全副總裁
Chad 於 2010 年加入 Amazon,從頭開始建置 AWS 合規功能,包括稽核與認證、隱私權、合約合規、控制自動化工程和安全流程監控。Chad 的工作還包括支援公共部門和受監管的產業採用 AWS 雲端,並領導 AWS 交易及產品合規團隊。
Clarke Rodgers
AWS 企業策略師
作為一名 AWS 企業安全策略師,Clarke 熱衷於協助高管探索雲端可如何實現安全轉型,並且與這些高管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其成為加入團隊之前便已開始利用 AWS 安全的諸多優勢功能。他曾是一家跨國保險/再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。
邁出下一步