AWS是全球最大云提供商。因此，其安全直接影响到无数网站和在线服务。危险的疏漏总在发生，安全顾虑并不仅仅是理论上的。客户会在AWS上存储各种各样的数据集和原始信息，把AWS存储库也变成了自身基础设施的一部分。如果某客户发生了设置失误，或者没完全理解AWS某功能的所有影响，就容易招致未授权访问或数据渗漏事件。

AWS账户错误配置已经导致了多起数据泄露事件，从选民注册信息到联邦快递客户数据、保险信息，甚至大型会计及咨询公司埃森哲的系统都曾被曝过。

不过，现在有两款新工具有望能缓解该问题。这两款工具名为Zelkova和Tiros，出自AWS自动化推理小组，可分析重要AWS安全配置，评估访问控制方案，映射从S3存储桶到互联网的可能路径；还可提供对不同设置的实际后果的自动化反馈，帮助管理员避免危险的错误。

上周举行的AWS大会上，负责测试Zelkova和Tiros的对冲基金 Bridgewater Associates 安全架构师 Greg Frascadore 称：“我们希望能从这些系统中得到某种形式的可证安全。这里的‘可证’并不是说永远不会犯错，而是一种形式化的分析和有条理的验证方式，可以验证我们付诸实践的安全控制是按既定的方式在工作。我们的安全目标是阻止数据从AWS渗漏出去。”

这两个工具打的是组合拳。Tiros映射出网络机制间的连接，能有效检测来自开放互联网的非预期访问。Zelkova能在不同S2存储桶或其他AWS组件间创建用于对比的基准，帮助开发人员确认自己的设置相对于已有基础设施或范例S3存储桶有多宽容，并采用自动化逻辑发挥配置的极限效能。二者结合，便能在造成影响前抢先识别出错误。

这两个工具最重要的功能就是帮助用户在设计阶段就进行验证，在实际更改AWS基础设施之前就能验证安全，以免将漏洞引入AWS账户设置。

Tiros和Zelkova目前还只是粗陋的内部工具，用户界面复杂而不人性化。Bridgewater基金与AWS合作测试这两款工具，以投入自身资源的方式换取工具的使用权。不过Bridgewater正积极推动AWS将两款工具改进称消费级产品。AWS发言人称，亚马逊不确定是否会推广Tiros和Zelkova部署，但Zelkova已应用在S3仪表板上用以自动检查哪些存储桶可被公开访问之类的事。

AWS开始公开谈论这两款工具的事实，表明该公司正认真考虑如何更好地部署它们。AWS安全工程副总裁兼首席信息官 Stephen Schmidt 有彻底改变AWS上人与数据互动方式的长远考虑，推广这两款工具的想法便根植于此。他上周表示，已为公司每位副总裁设立了“严格限制并监测人对数据的访问”的安全目标。

这里的“严格”二字并非轻描淡写，Schmidt的目标是人对数据的访问要减少80%。当然，他的想法在很多人看来简直是“疯了，根本是不可能的”。但他选择这一看似疯狂的目标，正是因为该目标不通过自动化就不可能达到。他的想法，就是要引导人们去开发能够避免手工作业的工具。

Tiros和Zelkova正是符合这一目标的工具，但Schmidt希望AWS持续打造各种机制来保护客户。人对数据的访问是业务需要，每个人都做业务都需要访问数据。但这并不意味着所有访问都是恰当的。公司企业往往因为图方便图省事，就赋予了管理员过多的数据访问权限。我们非常有必要严格限制非绝对必要的访问。限制人对数据的访问，能挡住绝大部分的攻击。

AWS的长期计划中包含有限制自身访问客户基础设施和数据的部分，这增加了AWS提供客户支持和责任管理的难度，但Schmidt坚持这是减小风险的唯一途径，还想要进一步限制访问。那么，该公司内部在限制访问上的达标情况又如何呢？

有些团队绝对能达标。有些团队进展巨大，但今年内不能完全达标。说实话，这是个大胆的要求。但值得高兴的是，如今每个人都参与进来了，即便是反对者也在细想过后认识到了‘这对我有好处’。

——Schmidt