"Vi har aldrig haft indbrud hos Amazon Web Services, og det er vores intention at fastholde den statistik," siger Stephen Schmidt til Computerworld.
Han følger sætningen op med at banke tre gange i træbordet i mødelokalet på tredje sal i konferencecentret ExCel i den østlige del af London.
I konferencecentret har han tidligere på dagen holdt tale om sikkerhed til 1.000 kunder og partnere på Amazon Web Services (AWS) Summit 2016-konference, som i år har fordoblet sit deltagerantal.
Og publikum lytter efter, når Stephen Schmidt som øverste sikkerhedsansvarlige for verdens største cloud-selskab AWS fortæller om muligheder for beskyttelse i selskabets sky-landskab.
Blandt andet har han forklaret de fremmødte it- og forretningsfolk nede på en af scenerne i ExCel-konferencecentret, hvordan Amazon holder så mange af sine egne administrationsfolk som muligt fra adgangen til kundernes data.
"Du skal altid reducere antallet af folk, der har adgang til data, så disse data ikke havner de forkerte steder og i de forkerte hænder," lyder rådet fra konferencescenen.
Stephen Schmidt vender også, hvorfor kunderne bør kryptere sine data hos Amazon, og ikke mindst opremser han flere Amazon-produkter som eksempelvis WAF, Lambda, Inspector, CloudTrail og Config Rules, der blandt andet kan overvåge unormal brugeradfærd i dataadgangen.
"Du behøver ikke længere sikkerhedsfolk til at opnå den bedste cloud-sikkerhed, for du kan bruge værktøjerne og selve infrastrukturen til at styrke sikkerheden," siger Stephen Schmidt til forsamlingen om begrebet SecOps, der er sikkerhedsfolket pendant til DevOps vedrørende automatiseret sikkerhed.
Sådan bygges den sikre cloud
Efterfølgende i mødelokalet på 3. sal i konferencecentret uddyber han sine pointer over for Computerworlds udsendte medarbejder om, hvordan AWS bygger sine cloud-centre så sikre som muligt.
Helt jordnært bliver centrene bygget i geografiske områder, hvor der ikke er en historik for oversvømmelser og andre naturkatastrofer. Dernæst bygger AWS sin egen cloud-hardware som eksempelvis servere så minimalistisk som muligt for at reducere strømforbrug og dermed prisen for kunderne - og af sikkerhedshensyn.
"Når vi har så få komponenter som muligt, er der også færre muligheder for at angribe," fortæller AWS' chief information security officer Stephen Schmidt om risikominimeringen af hackerangreb.
Softwaren hos AWS bygger selskabet naturligvis også selv, og her er sikkerhed ligeledes tænkt ind i fra starten. AWS har således bygget et hav af automatiserede overvågningsprocedurer til sine cloud-centre, så ingen ubudne gæster kommer på besøg hos kundernes data.
"Truslerne mod et cloud-miljø og ved at have ens it-miljø derhjemme er ofte de samme: det handler om uopdateret software og mennesker. Her drejer det sig om altid at have de seneste opdateringer og beskytte adgangen til infrastrukturen for mennesker, da mennesker er mere fejlbarlige end maskiner," forklarer Stephen Schmidt.
Du fortalte tidligere på Summit 2016-konferencens keynote, at AWS sigter mod at minimere antallet af jeres egne administrationsfolks adgang til kundedata med 80 procent. Hvornår blev det besluttet?
"Det gjorde vi i år, og det er en målsætning frem for en garanti. Men når vi sætter målet højt, kommer folk også til at arbejde hårdere på at automatisere sikkerhedsprocesserne, som tager noget tid at få udviklet og implementeret på sikker vis," siger Stephen Schmidt.
Læs også: Cloud-storage: Det koster det hos Apple, Google, Microsoft, Dropbox og Amazon
Smallest mulige indgang til AWS
Hvad består sikkerhedstruslerne specifikt rettet mod Amazons clouds af?
"Der er altid DDoS-angreb, som vi bekymrer os om, og så er der kunder, som ikke forstår deres sikkerhedsansvar ordentligt. For det er jo forfærdeligt, hvis kunderne tror, at vi gør noget på deres vegne, uden vi gør det - eller omvendt."
"Oftest bliver angreb rettet mod vores kunder, som har mange brugergrænseflader, de skal holde opdaterede - eller vi skal gøre det på deres vegne. Kigger du på selve API-adgangen til Amazons infrastruktur, er den designet til at være så lille som mulig, så ingen kan komme ind. Det har vi naturligvis maskinovervågning til at sørge for."
Hvor ofte hamrer hackerne mod jeres eller jeres kunders døre for at komme ind?
"Omkring én ud af 200 IP-adresser på internettet er i forbindelse med AWS. Så når folk scanner internettet for svagheder, har vi en sandsynlighed på én ud af 200 for, at de vil scanne os eller vores kunder. Den slags sker hver dag og hele tiden. Den gode nyhed er så, at den slags scanninger ikke resulterer i egentlig indbrud hos os."
Hvad kan AWS-kunderne selv gøre for at optimere deres egen sikkerhed?
"De kan opdatere software, implementere flerfaktor-autentifikation og kryptere data. For vores få folk med adgang til kundedata, kan ikke bruge data til noget, hvis data er krypterede. Og jeg foretrækker, at vi slet ikke kan se kundernes data," forklarer Stephen Schmidt.
Tre former for kryptering
Her henviser han til tre krypteringstilgange, som Amazon-kunderne oftest benytter på S3 (Simple Storage Service) som eksempel.
"Den mest simple tilgang er serverside-kryptering, hvor vi krypterer og opbevarer krypteringsnøglen på kundens vegne via KMS (key managed service, red), og vi har så bare ciphertext (krypteret tekst, red.) på vores servere. Når du så ønsker adgang til data, autentificerer du dig mod webserveren og får data udleveret dekrypteret."
"En anden tilgang er per-object kryptering, hvor kunden sender krypteringsnøglen til os via KMS. I det tilfælde kan kunden benytte en krypteringsnøgle-platform hos sig selv, så hvert objekt til kryptering kan krypteres eller dekrypteres hver for sig. Når kunden har hentet data igen, destruerer vi nøglen."
"Den tredje tilgang er, når kunden benytter kryptering via et software-værktøj hos sig selv. Dermed er data krypterede allerede inden, de rammer AWS. I dette tilfælde er alt, der kommer til vores hoveddør, krypteret."
Hvad vil du foreslå, at kunderne benytter, når det kommer til kryptering af data?
"Det kommer helt an på den specifikke kunde, men som hovedregel er serverside-kryptering klart at foretrække, fordi så håndterer vi krypteringsnøglerne i vores system. Det er vi trods alt bedre til end mange kunder, der vil få seriøse problemer med deres data, hvis de smider krypteringsnøglen væk," siger Stephen Schmidt.
"Eksempelvis finansinstitutioner er dog ret sofistikerede, så de benytter i praksis alle tre krypteringstilgange, som det passer dem, fordi de er vant til at håndtere yderst sensitive data," tilføjer han.
Gardering mod DDoS-angreb
Hvad får sikkerheds-alarmklokkerne til at ringe hos AWS?
"Det sker, når vi ser, at vores services opfører sig på en måde, som vi ikke forventer. Typisk skyldes det, at en maskine fejler, men det kan også være et reelt indbrudsforsøg. Så både vores operations- og sikkerhedshold modtager alarmen, når den går."
De alarmer må vel så ringe hele tiden?
"Vores alarmer er delt op på en skala fra 1 og 5, hvor 1 er værst og 5 er knap så slemt. Som øverste sikkerhedsansvarlig får jeg beskeder, når der er en 1'er- og en 2'er-alarm. Hvor tit, jeg så får beskeder om alarmer, har jeg derimod ikke lyst til at komme ind på af sikkerhedshensyn."
Du nævnte tidligere truslen fra DDoS-angreb. Hvordan beskytter Amazon sig mod den tendens med, at enheder fra Internet of Things kan angribe i et stort botnet dirigeret af lyssky bagmænd?
"Vi forventer naturligvis, at IoT-netværket vokser, og angriberne får dermed også øgede muligheder for at DDoS-angribe. Men vi bygger tiltag hver eneste dag til, at angriberne ikke får succes med deres forehavende. Hvilke tiltag vil jeg af sikkerhedsmæssige hensyn ikke fortælle om."
Besøger I eksempelvis Darknet for at undersøge de nyeste trusselsbilleder omkring eksempelvis DDoS-angreb fra IoT-enheder?
"Ja, naturligvis gør vi det. Men igen, hvis jeg fortæller dig om vores fund, så kan nogen nok få den ide, at de vil undgå netop de angrebsmetoder, som vi allerede har garderet os imod."
Hvad kommer fremtidens sikkerhedsudfordringer i skyen til at handle om i dit perspektiv?
"It-sikkerhed handler ofte om at definere det normale eller en normalsituation. Det betyder, at jeg kan få en alarm, hvis noget opfører sig unormalt. Det kræver så bare lige, at jeg ved, hvad normalsituationen er."
"Her er maskiner bare bedre end mennesker til at lære, hvad det normale og det unormale er ud fra en hel række parametre. Så machine learning og deep learning er helt sikkert områder, som vi og vores kunder fokuserer mere og mere på inden for den allernærmeste fremtid."
Læs også:
Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag
Stor antivirus-test: Så meget saft og kraft dræner dit sikkerhedsprogram din maskine for