No re:Invent 2024 conversámos com Hart Rossman, que dirige a unidade que inclui serviços profissionais de segurança, suporte, formação, certificação e serviços geridos, além da equipa de segurança AWS Customer Incident Response Team. O responsável explicou que ajuda «os clientes a criar, implementar e operar na cloud da AWS» e por que motivo a cultura de segurança da tecnológica é diferente.
Existe uma série de desafios para os vossos clientes quando migram para a nuvem. Como é que os ajudam a ultrapassar estas barreiras, especialmente no que diz respeito à segurança?
Há muitas coisas que podemos fazer e, hoje em dia, perguntam-nos frequentemente sobre três coisas. A primeira é como fazer evoluir a sua cultura de segurança, ter a estratégia e a arquitectura correctas e a forma como capacitar a sua força de trabalho do ponto de vista da segurança. A segunda é sobre as próprias cargas de trabalho, ou seja, como melhorar a segurança das aplicações, como criar, implementar e operar infra-estruturas de segurança e soluções de segurança. A terceira área em que nos pedem para ajudar é na preparação e na resposta aos crescentes problemas de segurança no seu modelo de responsabilidade partilhada. Os nossos clientes podem fazer todas estas coisas sozinhos, com a nossa tecnologia, mas alguns querem ajuda.
Falou em ‘responsabilidade partilhada’, porque a AWS tem a parte da segurança da infraestrutura e o cliente tem o dever de assegurar a segurança das aplicações que coloca em cima disso, que cria e gere. Como é que garantem que esta colaboração funciona e que há transparência e todo o processo?
A primeira coisa que fazemos proteger a cloud que oferecemos aos nossos clientes – isto começa com a nossa cultura de segurança. É frequente ouvir o Andy Jassy, CEO da Amazon, e o Matt Garman, CEO da AWS, a falar da mesma forma e dizer que a segurança é a prioridade de topo, o que se acaba por impregnar na organização, quer na forma como tomamos decisões, quer como lançamos serviços ou ajudamos os clientes. A segunda situação é todo o trabalho que colocamos na segurança da cloud e que os clientes herdam. Por vezes, isto acontece do ponto de vista da conformidade, ou seja, se a nossa infraestrutura cumprir essa garantia de segurança de terceiros, como a FedRAMP ou SOC, os clientes beneficiam directamente de muitos desses controlos e objectivos. Depois, damos aos nossos clientes capacidades de afinar ou criar soluções de segurança com base na infraestrutura que fornecemos. Trata-se, portanto, de ter as mesmas predefinições, ou seja, segurança by design/por defeito, e, depois, dar aos clientes opções fortes para personalizarem a segurança de que necessitam. Também temos os nossos serviços, arquitectos, equipas, consultores de serviços profissionais, e formadores, entre outros profissionais.
A AWS opera a nível mundial e há regras distintas nos diversos países e regiões, por exemplo a nível da conformidade. Como é que conseguem lidar com esta diversidade?
Há muita coisa envolvida. Vou partilhar o que dizem Steve Schmidt e Chris Betts, os CISO da Amazon e da AWS. Fazemos tudo o que podemos para afastar os humanos dos dados e automatizar as coisas. Assim, obtemos a fiabilidade, a repetibilidade e a escalabilidade. Quando nos comprometemos com um cliente e dizemos que um determinado serviço ou funcionalidade se comporta de uma forma específica do ponto de vista da segurança, é assim que funciona em todo o lado; depois, podemos obter a validação correcta por parte de terceiros, quer seja do nosso ambiente de computação confidencial Nitro, quer num determinado serviço em relação a um framework como o PCI ou RGPD. Portanto, a primeira coisa a fazer é afastar os humanos dos dados e automatizar estes últimos o mais possível.
A segunda é trabalhar com os clientes a nível global para compreender as suas necessidades de segurança, tanto regulamentares como empresariais, e, a partir daí, lançar serviços e funcionalidades que lhes permitam tomar as melhores decisões por si próprios e de acordo com as suas necessidades. Queremos continuar a fornecer funcionalidades de segurança muito flexíveis, seguras by design, e, depois, dar-lhes a possibilidade de as ajustarem às suas necessidades.
Relativamente à segurança, qual é a vossa estratégia quando criam serviços e lançam produtos?
Queremos ter segurança desde a concepção, ou seja, by design e por defeito: trabalhamos de trás para a frente a partir deste princípio. Todos os serviços que concebemos começam com um modelo de ameaças; depois, adoptamos uma abordagem orientada para o começar a conceber. Temos muitas ferramentas internas que fornecem protecção e melhores práticas, de forma automática, ajudando os nossos builders, como chamamos aos programadores, a obter o resultado correcto de segurança, independentemente do que estão a desenvolver. Depois, pensamos nos casos de utilização específicos de que um cliente ou uma equipa de apoio necessitará e criamos essas funcionalidades de segurança. Há sempre a oportunidade de pensar se isto é algo que tornaremos omnipresente em toda a infraestrutura ou se vamos disponibilizar separadamente e que todos podem consumir.
Referiu o facto de a AWS ter uma cultura de cibersegurança incorporada na empresa. Como é que funciona? E quando fala com os clientes, quais são os seus conselhos que dá para que criem esse tipo de cultura?
O que sempre se destacou na Amazon (uma situação que não é única, mas é muito rara) é o facto de os nossos líderes de segurança reportarem ao líder empresarial. Assim, Steve Schmidt responde directamente ao CEO da Amazon e o Chris Betts, ao CEO da AWS. Penso que tudo começa com esta relação executiva, de comprometimento, temos isto de forma muito consistente em toda a empresa.
Depois, a segurança faz, de facto, parte da nossa cultura, não é um poster na parede: é algo que incutimos em toda as pessoas desde o dia em que entram, faz parte do seu processo de integração. São mecanismos que as pessoas experimentam ao longo do dia, ao longo da semana, que não só lhes recordam que a segurança é a prioridade máxima, mas também lhes permitem tomar boas decisões comerciais, que garantam que a segurança continua a ser uma prioridade em tudo o que fazem. Trata-se, portanto, de desenvolver e infundir a cultura, mantê-la, fazê-la crescer – e isto tem de ser algo que se faz activamente. E, mais uma vez, não é único, mas penso que é muito raro.
Nestes doze anos que integro a empresa, a nossa cultura tornou-se mais forte e mais inovadora no que diz respeito à segurança. Nunca vi nada assim. Além de lhes falar do nosso caso, aconselho os clientes a lerem o artigo que está disponível no nosso blog com cinco etapas para criar uma cultura de segurança.
Há uma enorme escassez de talentos na área da segurança. Como é que, internamente, abordam este problema?
Há formação e certificação com uma série de recursos de aprendizagem que se centram especificamente na segurança, no que respeita a gestão de identidade, acesso e de chaves, criptografia ou protecção de dados, entre outros. Temos a ideia de que a segurança deve ser uma actividade de aprendizagem permanente. Os nossos builders de segurança adoram o facto de poderem ter esta grande especialização. Mas também somos da opinião de que, por exemplo, podem ser engenheiros de segurança e aprender sobre IA.
Relativamente à IA generativa, como vê a evolução desta tecnologia na área da segurança?
A IA generativa é muito cool. Como qualquer inovação ou transformação tecnológica, vai haver enormes benefícios para todos os sectores – já estamos a ver isto na segurança. Estamos a usar IA generativa para ajudar os nossos profissionais de segurança a serem mais eficazes e eficientes na forma como lidam internamente com a escalada de segurança, por exemplo. No entanto, também democratiza certas tarefas e permite que qualquer pessoa que queira crescer e aprender o possa fazer. Por exemplo, melhorando o desenvolvimento de código ou criando código de alta qualidade, num curto espaço de tempo. Algumas das nossas ferramentas verificam previamente a existência de certos padrões ou vulnerabilidades no código gerado. Lançámos recentemente funcionalidades de segurança para o Bedrock que ajudam a garantir a solidez do código, as verificações de raciocínio automatizadas. Estas Automated Reasoning checks, que evitam erros factuais, baseiam-se num campo da matemática e da ciência em que investimos há muito tempo na AWS e que está a render enormes dividendos em termos da confiança que podemos ter na tecnologia de segurança que disponibilizamos aos clientes.
O que é que a AWS está a fazer no domínio computação e da criptografia quântica?
Estamos a fazer muito. Publicámos alguns artigos seminais e contribuímos substancialmente para as normas actuais sobre criptografia quântica e pós-quântica. Não só temos algoritmos pós-quânticos, quânticos resistentes e gestão de chaves disponíveis na AWS, mas também o Braket, um serviço de computadores quânticos que está disponível e que têm as suas próprias características/propriedades de segurança. Por isso, os clientes não têm de ficar de fora, podem fazer computação quântica segura hoje com a AWS. Não se trata de ficção científica, não é o futuro. E acho que, honestamente, esta é, talvez, uma das grandes mensagens que gostaria de divulgar. Se quiserem falar sobre isso, se estiverem curiosos sobre isso e se acharem que é importante para o vosso negócio, usem o Braket.
Quais são as tendências que vê no futuro, no que diz respeito à segurança?
Há várias coisas que me entusiasmam bastante. A primeira é que a IA generativa desencadeou esta nova interface de utilizador, mais confortável para muitas pessoas – o que vejo é esta enorme capacidade de machine learning e de advanced analytics que a acompanha. Já na segurança, há imensas oportunidades para detecções mais rápidas e melhores, inteligência sobre ameaças e respostas. Lançámos recentemente o GuardDuty, uma funcionalidade muito interessante que ajuda os clientes a ver reconstituições dos caminhos de ataque a partir dos dados e alertas – isto é realmente significativo. A outra coisa que estamos a ver e que vai ser mais a longo prazo é ao nível da infraestrutura, ou seja, todo o trabalho que estamos a fazer com o Nitro, o Trainium e muito do hardware ainda está nos primórdios. Isto é incrivelmente poderoso do ponto de vista da segurança e vai continuar a transformar a forma como pensamos a computação, a rede, o armazenamento e a análise de dados.
Falou de infraestrutura: como é que acha que esta área vai evoluir?
Vai ser espectacular. O Jeff Bezos foi, talvez, o primeiro a dizer que estamos sempre a pensar no futuro. Por isso, as coisas lançamos hoje já foram concebidas há algum tempo. Apesar de ser entusiasmante tudo o que apresentámos no re:Invent, já estamos a pensar meses, anos à frente e de forma agressiva, aplicando inovação e essa mentalidade de segurança em primeiro lugar para criar o futuro. Por isso, diria que os próximos anos serão emocionantes. Penso que estamos realmente a criar as bases para fazer coisas fundamentalmente maiores nos próximos anos. Uma área que me entusiasma particularmente são as operações de segurança de ciclo de vida completo. Assim, haverá uma altura no futuro em que os clientes poderão estabelecer parcerias com a AWS e com a Amazon, para executar qualquer tipo de carga de trabalho de segurança imaginável, quer envolva segurança física, cibersegurança ou segurança de TI na nuvem. Hoje, estamos muito concentrados, como deveríamos, na nuvem e na AWS, mas penso que, com o passar do tempo, veremos muito mais capacidades nascer destas fundações que estamos agora a lançar.
