在成為亞馬遜云科技CISO之前，Amy Herzog其實是亞馬遜“大家庭”中的老熟人。多年來，她負責的板塊在內(nèi)部被稱作“美國非零售業(yè)務(wù)”，橫跨影視制片廠和Prime Video、消費類設(shè)備，甚至還涉足Project Kuiper衛(wèi)星互聯(lián)網(wǎng)項目。

來到亞馬遜云科技，最讓她興奮的，是能在這里挑戰(zhàn)一個她一直認為是“偽命題”的傳統(tǒng)觀念：必須在快速創(chuàng)新與高安全性之間做出選擇。Amy Herzog堅信，在追求速度與規(guī)模并存的環(huán)境中，安全性可以更進一步。

“如果有哪家公司能破解快速交付與高安全性之間的張力，那一定是這里。”Amy Herzog說。亞馬遜云科技乃至整個亞馬遜，對安全的重視和對客戶信任的堅持，早已融入企業(yè)文化與運營細節(jié)。

亞馬遜云科技CISO Amy Herzog

今年是Amy Herzog第一次參加re:Inforce，她深刻感受到生成式AI已經(jīng)進入旅程的下一階段，從談?wù)撛妇暗秸嬲�開始看到成果。比如以前需要幾個小時的日志排查，現(xiàn)在幾分鐘就能完成。

她喜歡看到技術(shù)創(chuàng)新真正落地的瞬間，更希望有一天，安全能成為支撐這一切的最強底氣。

如果IAM沒做好，一切都無從談起

在re:Inforce的發(fā)布中，Amy Herzog認為其中有一些內(nèi)容可能不是“最吸引眼球”的部分，但是卻是良好安全實踐的關(guān)鍵要素——IAM（身份和訪問管理）。

“如果IAM沒做好，一切都無從談起。”它看似基礎(chǔ)，實則最難，尤其是在大規(guī)模環(huán)境下，需要那些熟悉全球基礎(chǔ)設(shè)施構(gòu)建與運營的經(jīng)驗型人才。

憑借多年來運營安全運維團隊的經(jīng)驗，以及來自客戶的反饋，Amy Herzog發(fā)現(xiàn)，監(jiān)控、網(wǎng)絡(luò)層與應(yīng)用層的響應(yīng)能力，是解決“快速交付”與“安全保障”之間矛盾的關(guān)鍵因素。現(xiàn)實情況是，過多低價值告警正消耗團隊資源，亞馬遜云科技的目標是實現(xiàn)機器級響應(yīng)速度與全球級別的響應(yīng)能力，讓安全真正跟上業(yè)務(wù)創(chuàng)新的步伐。

今年re:Inforce上發(fā)布的內(nèi)容，像 GuardDuty、擴展威脅檢測（XTD）、Security Hub等，目的都是幫助客戶在面對潛在安全問題時聚焦真正重要的事項。Amy Herzog非常喜歡亞馬遜云科技與客戶之間的這種合作模式：我們提供全球視角與覆蓋能力，客戶則帶來對其業(yè)務(wù)和行業(yè)痛點的深刻理解。

AI帶來增長的煩惱，安全要跟上節(jié)奏

現(xiàn)在生成式 AI 正以前所未有的速度加速軟件開發(fā)，像代碼補全與開發(fā)輔助，創(chuàng)新提速的同時也帶來了新的安全挑戰(zhàn)。Amy Herzog從另一個角度看到，生成式AI也在幫助我們“從一堆針里找到那根關(guān)鍵的針”。

隨著攻擊與防御技術(shù)同時進化，亞馬遜云科技也迎來巨大的機會與責任：我們必須確保正在開發(fā)生成式AI與Agent解決方案的客戶，具備完善的防護機制、工具與配置，能夠在安全的前提下持續(xù)創(chuàng)新。這就是Amy Herzog今年希望通過re:Inforce推動的重點之一。

同時Amy Herzog也看到“規(guī)模與增長”仍然是最大的挑戰(zhàn)，特別是開發(fā)量和生產(chǎn)力的激增。她認為，如果明天開發(fā)者因為使用生成式AI而突然提高了50%的效率，整個節(jié)奏都會被打亂，這是必須密切關(guān)注的現(xiàn)實問題。

如果這些效率提升都轉(zhuǎn)化為實際部署，進入生產(chǎn)環(huán)境的變更數(shù)量就會急劇上升，亞馬遜云科技要做的是如何與不斷加速的開發(fā)節(jié)奏保持同步，持續(xù)演進安全模型。目前Amy Herzog的安全團隊和開發(fā)團隊之間已經(jīng)建立了一套合作流程，比如了解產(chǎn)品發(fā)布的內(nèi)容、如何構(gòu)建、API如何運作等。

比如在數(shù)十億客戶請求的場景下，客戶端加密與客戶自管密鑰可能會帶來額外復雜性。需要從看似獨立的多個事件中，及時識別潛在的疊加風險。這種基于規(guī)模的信息關(guān)聯(lián)與推理能力，未來將成為超大規(guī)模企業(yè)和成長型企業(yè)的必修課。

從B2C到B2B，先傾聽再行動

從B2B到B2C，Amy Herzog不確定這是否是一種“思維轉(zhuǎn)變”，但她非常喜歡企業(yè)場景的一點是：安全期望通常非常清晰。

因為面向消費產(chǎn)品，“信任”往往是一個模糊的概念，依賴于使用場景、感知價值和背景。但在企業(yè)領(lǐng)域，尤其是云基礎(chǔ)設(shè)施領(lǐng)域，客戶對于安全的期望是具體且明確的。“這意味著我們可以花更少的時間去猜測客戶需求，有更多時間去思考如何在“機器速度”和“全球規(guī)模”下滿足這些需求。”Amy Herzog說道。

Amy Herzog認為自己現(xiàn)在最重要任務(wù)是“傾聽”。面對覆蓋全球百強企業(yè)、初創(chuàng)公司，以及各國政府的龐大客戶群，她需要把來自不同客戶的聲音綜合歸納，真正理解他們在安全領(lǐng)域最關(guān)心、最急需解決的問題，并據(jù)此推動亞馬遜云科技產(chǎn)品策略和優(yōu)先級的調(diào)整。

就像她在re:Inforce的演講中也反復強調(diào)，只有基礎(chǔ)扎實，其他一切才有可能。尤其是在生成式AI時代，如果沒有打好基礎(chǔ)，就無法實現(xiàn)快速和安全的創(chuàng)新。