亞馬遜云科技首次詳解安全合規(guī)策略 加大中國區(qū)域投入

         15年前云計(jì)算服務(wù)初起之時(shí)，四川某大型家電企業(yè)CIO提出：未來的云計(jì)算基礎(chǔ)設(shè)施會(huì)像自來水一樣，成為人們生產(chǎn)生活當(dāng)中不可或缺的部分，但他同時(shí)對(duì)云上安全合規(guī)提出了擔(dān)憂。

　　顯然，上述情況在今天已經(jīng)成為現(xiàn)實(shí)，同時(shí)，安全合規(guī)也成為企業(yè)上云的一大挑戰(zhàn)。亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡在近日首次詳解亞馬遜云科技安全合規(guī)策略時(shí)表示，安全服務(wù)應(yīng)該跟水和空氣一樣，不能靠水和空氣產(chǎn)生運(yùn)營，亞馬遜云科技真正要做的是給客戶提供的優(yōu)質(zhì)的“水和空氣”，創(chuàng)造一個(gè)安全的云上環(huán)境。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡

　　數(shù)字化轉(zhuǎn)型直面云安全挑戰(zhàn)

　　對(duì)于云安全，企業(yè)在邏輯上一般會(huì)有三個(gè)問題：一是把應(yīng)用從本地遷移到云上安全嗎？二是云廠商本身是不是安全合規(guī)的？三是上云之后，云廠商如何幫助自己實(shí)現(xiàn)云中安全合規(guī)？

　　先看看上云趨勢(shì)。2018-2020年，推動(dòng)企業(yè)上云是工業(yè)和信息化部推進(jìn)企業(yè)數(shù)字化轉(zhuǎn)型的一個(gè)重要組成部分。今天，鼓勵(lì)上云的政策越來越精細(xì)化，如進(jìn)一步“推動(dòng)企業(yè)核心業(yè)務(wù)上云”，工業(yè)互聯(lián)網(wǎng)是重點(diǎn)路徑之一。

　　邊界的融合帶來安全合規(guī)新挑戰(zhàn)，企業(yè)面臨的安全合規(guī)要求顯然日益復(fù)雜，全球已經(jīng)有132個(gè)國家和地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)。在國內(nèi)，則先后出臺(tái)了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等各種法規(guī)。

　　隨著企業(yè)加速上云，企業(yè)放到云上的數(shù)據(jù)類型和數(shù)據(jù)量在持續(xù)增加。而隨著中國企業(yè)“出海”，很多企業(yè)業(yè)務(wù)在全球范圍拓展，甚至有很多企業(yè)是跨若干行業(yè)賽道，所有這一切都會(huì)加劇企業(yè)安全合規(guī)的挑戰(zhàn)。

　　上云，是企業(yè)數(shù)字化轉(zhuǎn)型的戰(zhàn)略組成部分。安全，是上云的首要問題。企業(yè)自行構(gòu)建一切需要考慮底層基礎(chǔ)設(shè)施安全等問題，而應(yīng)用上云后，企業(yè)則無需關(guān)注這些瑣碎的問題，云端平臺(tái)的安全合規(guī)更專業(yè)。顧凡表示，“企業(yè)上云，安全體驗(yàn)?zāi)軌虮茸越〝?shù)據(jù)中心再上一個(gè)臺(tái)階”，這主要體現(xiàn)在：

　　一是更自動(dòng)化。企業(yè)可以充分利用云端安全服務(wù)之間的超高集成度，更好地做到安全自動(dòng)化。而在本地環(huán)境下，不同廠商的產(chǎn)品，安全數(shù)據(jù)整合非常復(fù)雜。

　　二是更好的可見性。有了更好的數(shù)據(jù)整合，應(yīng)用在云上，意味著有機(jī)會(huì)用一個(gè)集中的平臺(tái)，實(shí)現(xiàn)安全的可視化管理。

　　三是更靈活的成本控制。云端安全沒有前期投入成本，按使用付費(fèi)。

　　四是更高效的合規(guī)。自建數(shù)據(jù)中心做合規(guī)需要從零開始做起。如果選擇云服務(wù)，意味著可以繼承云廠商的合規(guī)，可能是從50分開始做起，另外50分云廠商已經(jīng)做好。

　　四大舉措確保自身安全合規(guī)

　　云廠商本身的安全是確保業(yè)務(wù)上云安全合規(guī)的基石。那么，亞馬遜云科技自身的安全合規(guī)有何特點(diǎn)？這一方面體現(xiàn)為“Job Zero 安全文化”以及首創(chuàng)的“安全責(zé)任共擔(dān)模型”；另一方面則通過基礎(chǔ)設(shè)施安全等四個(gè)方面的安全合規(guī)，組成云上安全合規(guī)的一大支柱。

　　Job Zero安全文化。安全是最高優(yōu)先級(jí)的工作。如：每一位員工都負(fù)有安全責(zé)任；CEO每周召開安全會(huì)議；每個(gè)級(jí)別的員工都有安全目標(biāo)；定期舉行安全合規(guī)的培訓(xùn)及考試。與此同時(shí)，每個(gè)服務(wù)在設(shè)計(jì)階段都要考慮安全問題。除了高度重視安全自動(dòng)化，亞馬遜云科技還組成了一級(jí)響應(yīng)團(tuán)隊(duì)和二級(jí)響應(yīng)團(tuán)隊(duì)，提供全天候響應(yīng)的能力。

　　安全責(zé)任共擔(dān)模型。亞馬遜云科技負(fù)責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全，客戶負(fù)責(zé)自身云業(yè)務(wù)安全。責(zé)任共擔(dān)的分界線，在IaaS、PaaS、SaaS不同的場(chǎng)景分界線會(huì)有所移動(dòng)。如果客戶使用的是基礎(chǔ)資源，分界線是云廠商保護(hù)云基礎(chǔ)設(shè)施，用戶負(fù)責(zé)虛擬化之上的資源。如果客戶采用PaaS或SaaS服務(wù)，亞馬遜云科技肩負(fù)的責(zé)任會(huì)更多。

　　具體而言，亞馬遜云科技通過以下四個(gè)方面保證自身的安全合規(guī)：

　　安全的基礎(chǔ)設(shè)施。數(shù)據(jù)中心和網(wǎng)絡(luò)架構(gòu)以最高安全標(biāo)準(zhǔn)構(gòu)建，全球所有數(shù)據(jù)中心或服務(wù)使用相同的構(gòu)建標(biāo)準(zhǔn)和控制措施。

　　安全的云服務(wù)。重視每一個(gè)服務(wù)的安全性，安全團(tuán)隊(duì)從一開始就深入?yún)⑴c新服務(wù)和新功能開發(fā)，如果存在任何已知的安全問題，新服務(wù)將不會(huì)啟動(dòng)。以及，通過深度集成的服務(wù)，實(shí)現(xiàn)安全自動(dòng)化，減少人工配置錯(cuò)誤，降低風(fēng)險(xiǎn)。

　　堅(jiān)持客戶擁有和控制數(shù)據(jù)的理念。亞馬遜云科技不接觸客戶數(shù)據(jù)，客戶始終擁有自己的數(shù)據(jù)，并且可以選擇任何方式加密自己的數(shù)據(jù)。所有數(shù)據(jù)流動(dòng)在離開亞馬遜云科技的安全設(shè)施之前，都經(jīng)過物理層自動(dòng)加密。

　　安全標(biāo)準(zhǔn)和合規(guī)性認(rèn)證。亞馬遜云科技幾乎滿足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)認(rèn)證。用戶可以繼承。此外，還定期對(duì)數(shù)千個(gè)全球合規(guī)性要求進(jìn)行第三方驗(yàn)證。

　　洋蔥模型之五層防護(hù)體系

　　上云的目標(biāo)之一就是敏捷。企業(yè)無需在快速行動(dòng)、快速創(chuàng)新和確保安全中做選擇。對(duì)此，顧凡表示，亞馬遜云科技有三個(gè)理念確保云服務(wù)安全：一是，利用云上的事件驅(qū)動(dòng)型架構(gòu)去構(gòu)建自動(dòng)化防護(hù)欄，而非設(shè)立關(guān)卡。二是，云中安全是主動(dòng)設(shè)計(jì)出來的，而不僅是被動(dòng)響應(yīng)。三是，云中安全必須是一個(gè)洋蔥型的多層防護(hù)，而不是一個(gè)雞蛋。多層次的安全防護(hù)，層層遞進(jìn)，層層展開。亞馬遜云科技目前提供了280多安全、合規(guī)服務(wù)及功能，在五大領(lǐng)域?yàn)榭蛻籼峁┤轿坏陌踩?wù)。，這組成云上安全合規(guī)的另一大支柱。

　　洋蔥模型第一層：威脅檢測(cè)與事件響應(yīng)。重點(diǎn)服務(wù)包括：1、Amazon GuardDuty為客戶提供了經(jīng)濟(jì)高效的智能選項(xiàng)，可持續(xù)檢測(cè)在亞馬遜云科技中發(fā)生的威脅，具有豐富的情報(bào)源。該服務(wù)集成了機(jī)器學(xué)習(xí)的能力，實(shí)現(xiàn)威脅的精準(zhǔn)定位，讓報(bào)警量減少了50%。2、Amazon Security Hub安全事件統(tǒng)一管理平臺(tái)，讓客戶針對(duì)威脅檢測(cè)7x24 小時(shí)全天候監(jiān)控，及時(shí)響應(yīng)，并自動(dòng)執(zhí)行合規(guī)性檢查。

　　洋蔥模型第二層：身份認(rèn)證與訪問控制。關(guān)于身份認(rèn)證，有兩個(gè)經(jīng)驗(yàn)和三個(gè)技術(shù)建議。經(jīng)驗(yàn)之一是保持最小授權(quán)原則，之二是要對(duì)最小授權(quán)原則定期進(jìn)行審計(jì)，不要有永久授權(quán)。三個(gè)技術(shù)建議一是盡可能細(xì)化訪問的顆粒度；二是結(jié)合多因素鑒證（MFA）技術(shù)加強(qiáng)身份認(rèn)證；三是減少長期憑證的使用。產(chǎn)品如Amazon Identity and Access Management (IAM) 、Amazon Organizations。

　　洋蔥模型第三層：網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。防御DDoS（分布式拒絕服務(wù)攻擊）是這一層防護(hù)的重點(diǎn)。Amazon ShieldAdvanced可以為客戶提供全天候的保護(hù)。網(wǎng)絡(luò)訪問規(guī)則是一切防御的基礎(chǔ)，Web應(yīng)用防火墻服務(wù)Amazon WAF 提供了豐富的規(guī)則庫，有亞馬遜安全團(tuán)隊(duì)自研的全托管規(guī)則，客戶也可以自定義規(guī)則，還有國際一線安全廠商的托管規(guī)則。

　　洋蔥模型第四層：數(shù)據(jù)保護(hù)與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù)。Amazon KMS密鑰管理服務(wù)實(shí)現(xiàn)存儲(chǔ)過程中的加密，它與亞馬遜云科技140個(gè)服務(wù)集成，可以對(duì)存儲(chǔ)在這些服務(wù)中的數(shù)據(jù)加密。高集成度減少了人工操作，降低了出錯(cuò)的概率。針對(duì)數(shù)據(jù)保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機(jī)。Amazon Nitro Enclaves則提供了一個(gè)云端的機(jī)密計(jì)算環(huán)境，通過它，客戶可以創(chuàng)建一個(gè)隔離的環(huán)境來處理敏感數(shù)據(jù)，而無需向他們自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

　　洋蔥模型第五層：風(fēng)險(xiǎn)管控及合規(guī)。亞馬遜云科技從三個(gè)方面幫助用戶合規(guī)。一是確保亞馬遜云科技服務(wù)本身的合規(guī)性；二是合規(guī)方案落地；三是自動(dòng)化審計(jì)。顧凡表示，亞馬遜云科技的合規(guī)認(rèn)證不僅在基礎(chǔ)設(shè)施區(qū)域，還會(huì)深入到每一項(xiàng)云服務(wù)，客戶部署亞馬遜云服務(wù)，其合規(guī)性能夠得到認(rèn)證機(jī)構(gòu)的認(rèn)可。

　　產(chǎn)品方面，Amazon Audit Manager簡化審計(jì)管理和合規(guī)性評(píng)估，Audit Manager能自動(dòng)掃描、搜集證據(jù)，還提供了各種合規(guī)認(rèn)證的模板，可以簡化合規(guī)審計(jì)的證據(jù)收集工作。此外，Amazon Trusted Advisor定制云計(jì)算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務(wù)配置建議等各種在線工具，將所有的安全合規(guī)經(jīng)驗(yàn)都對(duì)客戶傾囊相授。

　　顧凡表示，亞馬遜云科技全球有數(shù)百萬用戶，覆蓋了幾乎所有行業(yè)，其中包括金融、電信等強(qiáng)監(jiān)管行業(yè)。世界最大的股票交易所納斯達(dá)克分階段把全部業(yè)務(wù)遷移到亞馬遜云科技，日本最大的電信運(yùn)營商NTT docomo也將把PB級(jí)別的數(shù)據(jù)倉庫遷移上云。

　　不久前，亞馬遜云科技宣布將與光環(huán)新網(wǎng)及西云數(shù)據(jù)共同加速安全合規(guī)服務(wù)和功能在中國的落地，加強(qiáng)與合作伙伴的合作。同時(shí)，升級(jí)與德勤中國的合作，由德勤中國推出安全運(yùn)營中心服務(wù)，為客戶提供云上端到端的安全監(jiān)測(cè)及響應(yīng)服務(wù)，提升企業(yè)云上安全。據(jù)悉，截止到2021年，通過光環(huán)新網(wǎng)和西云數(shù)據(jù)，亞馬遜云科技在中國區(qū)域（北京與寧夏）已推出50多項(xiàng)安全合規(guī)的服務(wù)和功能。