亞馬遜云科技首次詳解安全合規(guī)策略 加大中國區(qū)域投入

         15年前云計算服務(wù)初起之時，四川某大型家電企業(yè)CIO提出：未來的云計算基礎(chǔ)設(shè)施會像自來水一樣，成為人們生產(chǎn)生活當(dāng)中不可或缺的部分，但他同時對云上安全合規(guī)提出了擔(dān)憂。

　　顯然，上述情況在今天已經(jīng)成為現(xiàn)實，同時，安全合規(guī)也成為企業(yè)上云的一大挑戰(zhàn)。亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡在近日首次詳解亞馬遜云科技安全合規(guī)策略時表示，安全服務(wù)應(yīng)該跟水和空氣一樣，不能靠水和空氣產(chǎn)生運營，亞馬遜云科技真正要做的是給客戶提供的優(yōu)質(zhì)的“水和空氣”，創(chuàng)造一個安全的云上環(huán)境。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡

　　數(shù)字化轉(zhuǎn)型直面云安全挑戰(zhàn)

　　對于云安全，企業(yè)在邏輯上一般會有三個問題：一是把應(yīng)用從本地遷移到云上安全嗎？二是云廠商本身是不是安全合規(guī)的？三是上云之后，云廠商如何幫助自己實現(xiàn)云中安全合規(guī)？

　　先看看上云趨勢。2018-2020年，推動企業(yè)上云是工業(yè)和信息化部推進企業(yè)數(shù)字化轉(zhuǎn)型的一個重要組成部分。今天，鼓勵上云的政策越來越精細化，如進一步“推動企業(yè)核心業(yè)務(wù)上云”，工業(yè)互聯(lián)網(wǎng)是重點路徑之一。

　　邊界的融合帶來安全合規(guī)新挑戰(zhàn)，企業(yè)面臨的安全合規(guī)要求顯然日益復(fù)雜，全球已經(jīng)有132個國家和地區(qū)制定了數(shù)據(jù)保護和隱私相關(guān)的法律法規(guī)。在國內(nèi)，則先后出臺了《數(shù)據(jù)安全法》、《個人信息保護法》等各種法規(guī)。

　　隨著企業(yè)加速上云，企業(yè)放到云上的數(shù)據(jù)類型和數(shù)據(jù)量在持續(xù)增加。而隨著中國企業(yè)“出海”，很多企業(yè)業(yè)務(wù)在全球范圍拓展，甚至有很多企業(yè)是跨若干行業(yè)賽道，所有這一切都會加劇企業(yè)安全合規(guī)的挑戰(zhàn)。

　　上云，是企業(yè)數(shù)字化轉(zhuǎn)型的戰(zhàn)略組成部分。安全，是上云的首要問題。企業(yè)自行構(gòu)建一切需要考慮底層基礎(chǔ)設(shè)施安全等問題，而應(yīng)用上云后，企業(yè)則無需關(guān)注這些瑣碎的問題，云端平臺的安全合規(guī)更專業(yè)。顧凡表示，“企業(yè)上云，安全體驗?zāi)軌虮茸越〝?shù)據(jù)中心再上一個臺階”，這主要體現(xiàn)在：

　　一是更自動化。企業(yè)可以充分利用云端安全服務(wù)之間的超高集成度，更好地做到安全自動化。而在本地環(huán)境下，不同廠商的產(chǎn)品，安全數(shù)據(jù)整合非常復(fù)雜。

　　二是更好的可見性。有了更好的數(shù)據(jù)整合，應(yīng)用在云上，意味著有機會用一個集中的平臺，實現(xiàn)安全的可視化管理。

　　三是更靈活的成本控制。云端安全沒有前期投入成本，按使用付費。

　　四是更高效的合規(guī)。自建數(shù)據(jù)中心做合規(guī)需要從零開始做起。如果選擇云服務(wù)，意味著可以繼承云廠商的合規(guī)，可能是從50分開始做起，另外50分云廠商已經(jīng)做好。

　　四大舉措確保自身安全合規(guī)

　　云廠商本身的安全是確保業(yè)務(wù)上云安全合規(guī)的基石。那么，亞馬遜云科技自身的安全合規(guī)有何特點？這一方面體現(xiàn)為“Job Zero 安全文化”以及首創(chuàng)的“安全責(zé)任共擔(dān)模型”；另一方面則通過基礎(chǔ)設(shè)施安全等四個方面的安全合規(guī)，組成云上安全合規(guī)的一大支柱。

　　Job Zero安全文化。安全是最高優(yōu)先級的工作。如：每一位員工都負有安全責(zé)任；CEO每周召開安全會議；每個級別的員工都有安全目標(biāo)；定期舉行安全合規(guī)的培訓(xùn)及考試。與此同時，每個服務(wù)在設(shè)計階段都要考慮安全問題。除了高度重視安全自動化，亞馬遜云科技還組成了一級響應(yīng)團隊和二級響應(yīng)團隊，提供全天候響應(yīng)的能力。

　　安全責(zé)任共擔(dān)模型。亞馬遜云科技負責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全，客戶負責(zé)自身云業(yè)務(wù)安全。責(zé)任共擔(dān)的分界線，在IaaS、PaaS、SaaS不同的場景分界線會有所移動。如果客戶使用的是基礎(chǔ)資源，分界線是云廠商保護云基礎(chǔ)設(shè)施，用戶負責(zé)虛擬化之上的資源。如果客戶采用PaaS或SaaS服務(wù)，亞馬遜云科技肩負的責(zé)任會更多。

　　具體而言，亞馬遜云科技通過以下四個方面保證自身的安全合規(guī)：

　　安全的基礎(chǔ)設(shè)施。數(shù)據(jù)中心和網(wǎng)絡(luò)架構(gòu)以最高安全標(biāo)準(zhǔn)構(gòu)建，全球所有數(shù)據(jù)中心或服務(wù)使用相同的構(gòu)建標(biāo)準(zhǔn)和控制措施。

　　安全的云服務(wù)。重視每一個服務(wù)的安全性，安全團隊從一開始就深入?yún)⑴c新服務(wù)和新功能開發(fā)，如果存在任何已知的安全問題，新服務(wù)將不會啟動。以及，通過深度集成的服務(wù)，實現(xiàn)安全自動化，減少人工配置錯誤，降低風(fēng)險。

　　堅持客戶擁有和控制數(shù)據(jù)的理念。亞馬遜云科技不接觸客戶數(shù)據(jù)，客戶始終擁有自己的數(shù)據(jù)，并且可以選擇任何方式加密自己的數(shù)據(jù)。所有數(shù)據(jù)流動在離開亞馬遜云科技的安全設(shè)施之前，都經(jīng)過物理層自動加密。

　　安全標(biāo)準(zhǔn)和合規(guī)性認證。亞馬遜云科技幾乎滿足全球所有監(jiān)管機構(gòu)的合規(guī)認證。用戶可以繼承。此外，還定期對數(shù)千個全球合規(guī)性要求進行第三方驗證。

　　洋蔥模型之五層防護體系

　　上云的目標(biāo)之一就是敏捷。企業(yè)無需在快速行動、快速創(chuàng)新和確保安全中做選擇。對此，顧凡表示，亞馬遜云科技有三個理念確保云服務(wù)安全：一是，利用云上的事件驅(qū)動型架構(gòu)去構(gòu)建自動化防護欄，而非設(shè)立關(guān)卡。二是，云中安全是主動設(shè)計出來的，而不僅是被動響應(yīng)。三是，云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋。多層次的安全防護，層層遞進，層層展開。亞馬遜云科技目前提供了280多安全、合規(guī)服務(wù)及功能，在五大領(lǐng)域為客戶提供全方位的安全服務(wù)。，這組成云上安全合規(guī)的另一大支柱。

　　洋蔥模型第一層：威脅檢測與事件響應(yīng)。重點服務(wù)包括：1、Amazon GuardDuty為客戶提供了經(jīng)濟高效的智能選項，可持續(xù)檢測在亞馬遜云科技中發(fā)生的威脅，具有豐富的情報源。該服務(wù)集成了機器學(xué)習(xí)的能力，實現(xiàn)威脅的精準(zhǔn)定位，讓報警量減少了50%。2、Amazon Security Hub安全事件統(tǒng)一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監(jiān)控，及時響應(yīng)，并自動執(zhí)行合規(guī)性檢查。

　　洋蔥模型第二層：身份認證與訪問控制。關(guān)于身份認證，有兩個經(jīng)驗和三個技術(shù)建議。經(jīng)驗之一是保持最小授權(quán)原則，之二是要對最小授權(quán)原則定期進行審計，不要有永久授權(quán)。三個技術(shù)建議一是盡可能細化訪問的顆粒度；二是結(jié)合多因素鑒證（MFA）技術(shù)加強身份認證；三是減少長期憑證的使用。產(chǎn)品如Amazon Identity and Access Management (IAM) 、Amazon Organizations。

　　洋蔥模型第三層：網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。防御DDoS（分布式拒絕服務(wù)攻擊）是這一層防護的重點。Amazon ShieldAdvanced可以為客戶提供全天候的保護。網(wǎng)絡(luò)訪問規(guī)則是一切防御的基礎(chǔ)，Web應(yīng)用防火墻服務(wù)Amazon WAF 提供了豐富的規(guī)則庫，有亞馬遜安全團隊自研的全托管規(guī)則，客戶也可以自定義規(guī)則，還有國際一線安全廠商的托管規(guī)則。

　　洋蔥模型第四層：數(shù)據(jù)保護與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù)。Amazon KMS密鑰管理服務(wù)實現(xiàn)存儲過程中的加密，它與亞馬遜云科技140個服務(wù)集成，可以對存儲在這些服務(wù)中的數(shù)據(jù)加密。高集成度減少了人工操作，降低了出錯的概率。針對數(shù)據(jù)保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機。Amazon Nitro Enclaves則提供了一個云端的機密計算環(huán)境，通過它，客戶可以創(chuàng)建一個隔離的環(huán)境來處理敏感數(shù)據(jù)，而無需向他們自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

　　洋蔥模型第五層：風(fēng)險管控及合規(guī)。亞馬遜云科技從三個方面幫助用戶合規(guī)。一是確保亞馬遜云科技服務(wù)本身的合規(guī)性；二是合規(guī)方案落地；三是自動化審計。顧凡表示，亞馬遜云科技的合規(guī)認證不僅在基礎(chǔ)設(shè)施區(qū)域，還會深入到每一項云服務(wù)，客戶部署亞馬遜云服務(wù)，其合規(guī)性能夠得到認證機構(gòu)的認可。

　　產(chǎn)品方面，Amazon Audit Manager簡化審計管理和合規(guī)性評估，Audit Manager能自動掃描、搜集證據(jù)，還提供了各種合規(guī)認證的模板，可以簡化合規(guī)審計的證據(jù)收集工作。此外，Amazon Trusted Advisor定制云計算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務(wù)配置建議等各種在線工具，將所有的安全合規(guī)經(jīng)驗都對客戶傾囊相授。

　　顧凡表示，亞馬遜云科技全球有數(shù)百萬用戶，覆蓋了幾乎所有行業(yè)，其中包括金融、電信等強監(jiān)管行業(yè)。世界最大的股票交易所納斯達克分階段把全部業(yè)務(wù)遷移到亞馬遜云科技，日本最大的電信運營商NTT docomo也將把PB級別的數(shù)據(jù)倉庫遷移上云。

　　不久前，亞馬遜云科技宣布將與光環(huán)新網(wǎng)及西云數(shù)據(jù)共同加速安全合規(guī)服務(wù)和功能在中國的落地，加強與合作伙伴的合作。同時，升級與德勤中國的合作，由德勤中國推出安全運營中心服務(wù)，為客戶提供云上端到端的安全監(jiān)測及響應(yīng)服務(wù)，提升企業(yè)云上安全。據(jù)悉，截止到2021年，通過光環(huán)新網(wǎng)和西云數(shù)據(jù)，亞馬遜云科技在中國區(qū)域（北京與寧夏）已推出50多項安全合規(guī)的服務(wù)和功能。