上云安全嗎？

　　亞馬遜云科技本身是安全合規的嗎？

　　亞馬遜云科技是怎么幫用戶實現云上安全合規的？

　　亞馬遜云科技大中華區戰略業務發展部總經理顧凡告訴記者，這是關心安全合規的客戶經常會問他的三個問題。

亞馬遜云科技大中華區戰略業務發展部總經理 顧凡

　　如今，面臨安全合規問題的企業越來越多。由于全球安全合規的環境日益復雜，有132個國家和地區都制定了數據保護和隱私相關的法律法規，企業放到云上的數據類型和數據數量越來越多，業務持續變化也給安全合規帶來了新挑戰。

　　在亞馬遜云科技近日舉行的媒體溝通會上，顧凡對這些問題進行了詳細的解答。

　　上云安全嗎？

　　顧凡指出，事實上，從自建數據中心遷移上云能夠提升企業的安全體驗。企業自建數據中心時也需要考慮安全，不過需要自己構建，要考慮安全設備、管理、成本等一系列問題。但把應用遷移上云后，企業就不需要關心瑣碎的底層基礎設施安全了，而且在云端的安全治理還有機會再上一臺臺階，體現為以下幾個方面：

　　一是更好的可見性。有了更好的數據整合，在云上會有機會用一個集中的平臺，實現安全的可視化管理。

　　二是更高的自動化程度?？梢猿浞掷迷贫税踩罩g的超高集成度，更好地做到安全自動化。在本地環境下，采用的是不同廠商的產品，安全數據整合非常復雜，而在云上，服務之間的深度集成會讓數據整合更簡單。

　　三是更靈活的成本控制。云端安全沒有前期投入成本，是按使用付費。

　　四是更高效的合規。自建數據中心做合規要從零開始。如果選擇云廠商，客戶可以繼承云廠商的合規。

　　顧凡表示，正因為如此，在全球已經有數百萬用戶選擇了亞馬遜云科技，這些用戶覆蓋了幾乎所有行業，包括金融、電信等很多強監管的行業，例如世界最大的股票交易所納斯達克會分階段把全部業務遷移到亞馬遜云科技，日本最大的電信運營商NTT docomo會把PB級別的數據倉庫遷移上云。

　　亞馬遜云科技本身是安全合規的嗎？

　　在亞馬遜云科技有一個“Job Zero 安全文化”。亞馬遜總裁兼CEO Andy Jassy曾表示：“安全是我們的Job Zero，它比任何第一要務都更重要。”

　　如今，“Job Zero 安全文化”貫穿在整個亞馬遜云科技中：每一位員工都負有安全責任。CEO每周都要召開安全會議；每個級別的員工都有安全目標，定期舉行安全合規的培訓及考試；每個服務在設計階段就要考慮到安全問題；亞馬遜云科技還高度重視安全自動化，通過自動化實現安全標準化和一致性；在安全運營方面則組成了一級響應團隊和二級響應團隊，提供全天候響應的能力。

　　此外，亞馬遜云科技還首創了安全責任共擔模型，推動安全及合規建設。由亞馬遜云科技負責底層云基礎設施和所提供云服務的安全，客戶負責自身云業務安全。責任共擔的分界線會根據客戶使用的IaaS、PaaS、SaaS不同的服務有所移動。

　　打鐵還需自身硬。據顧凡介紹，亞馬遜云科技通過四大舉措來保證自身的安全合規性。

　　第一，云安全始于基礎設施。亞馬遜云科技的數據中心和網絡架構是以最高安全標準構建，全球所有數據中心或服務都會使用相同的構建標準和控制措施，所有客戶都可以使用這些具有高安全性的基礎設施，無論規模大小。

　　第二，安全不止安全服務。亞馬遜云科技重視每一個服務的安全性，安全團隊從一開始就深入參與新服務和新功能開發，如果存在任何已知的安全問題，新服務將不會啟動。亞馬遜云科技還會通過深度集成的服務，實現安全自動化，減少人工配置錯誤，降低風險。

　　第三，堅持客戶擁有和控制數據的理念。亞馬遜云科技不接觸客戶數據，客戶始終擁有自己的數據，并且可以選擇任何方式加密自己的數據。所有數據流動在離開亞馬遜云科技的安全設施之前，都經過物理層自動加密。

　　第四，亞馬遜云科技獲得了眾多安全標準和合規性認證，幾乎滿足全球所有監管機構的合規認證。這些安全標準及合規認證，用戶都可以繼承。亞馬遜云科技還會定期對數千個全球合規性要求進行第三方驗證。

　　亞馬遜云科技是怎么幫用戶實現云上安全合規的？

　　據了解，在云服務安全方面，亞馬遜云科技一直堅持三個理念：

　　理念#1：利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡?；谑录寗拥募軜嫞⑵鹨惶讖耐{檢測到事件反應、原因分析、恢復的自動化防護，讓企業開發團隊把更多時間放在業務創新上。

　　理念#2：云中安全是主動設計出來的，而不僅是被動響應。安全合規應與企業業務充分結合，作為業務開展的首要條件。安全建設應該未雨綢繆，根據業務的情況和系統的特點，主動從技術和管理的層面去落實。

　　理念#3：云中安全必須是一個洋蔥型的多層防護，層層遞進，層層展開，而不是雞蛋型的單層防護。

　　據顧凡介紹，這個洋蔥型的防護體系一共有5層：

　　第一層：威脅檢測與事件響應。威脅檢測就像“專業的天氣預報員”，需要對安全威脅做到精準定位、快速反應、時刻監控，并且能夠分析原因。Amazon GuardDuty可以為客戶提供經濟高效的智能選項，可持續檢測在亞馬遜云科技中發生的威脅，具有豐富的情報源。Amazon GuardDuty 集成了機器學習的能力，實現威脅的精準定位，讓報警量減少了50%。Amazon Security Hub安全事件統一管理平臺，可以讓客戶針對威脅檢測7x24 小時全天候監控，及時響應，并自動執行合規性檢查。

　　顧凡強調，雖然安全自動化需要大量投入，但是從長遠來看，一切都是值得的，因為人都會犯錯誤的。

　　第二層：身份認證與訪問控制。身份認證和訪問如一座堅固城堡的大門。沒有好的身份認證訪問策略，就像建了一座堅固的城堡，卻把門打開給未知的訪客。

　　在身份認證方面，亞馬遜云科技提供了兩個經驗和三個技術建議。經驗之一是保持最小授權原則，每一次授權都要確認是否必須，是否與業務/職責相關。經驗之二是要對最小授權原則定期進行審計，不要有永久授權，所有授權都必須有時效性。技術建議之一是盡可能細化訪問的顆粒度，可以根據時間，地點和服務來設置訪問條件；二是結合多因素鑒證（MFA）技術加強身份認證；三是減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數據邊界。

　　第三層：網絡與基礎設施安全。防御DDoS是這一層防護的重點。DDoS防御應全年從始至終，而不能像急診。如果等發現DDoS攻擊之后再處理，業務的穩定性和持續性已經受到影響了。Amazon ShieldAdvanced就可以為客戶提供全天候的保護。網絡訪問規則是一切防御的基礎，Web應用防火墻服務Amazon WAF 提供了豐富的規則庫，有亞馬遜安全團隊自研的全托管規則，客戶也可以自定義規則。

　　第四層：數據保護與隱私。亞馬遜云科技提供了數據全生命周期的加密服務，對數據的保護涵蓋了數據的存儲、傳輸以及使用等各個環節。Amazon KMS密鑰管理服務可以實現存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密，高集成度減少了人工操作，降低了出錯的概率。針對數據保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機。Amazon Nitro Enclaves提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向他們自己的系統管理員、開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面。

　　第五層：風險管控及合規。亞馬遜云科技可以從三個方面幫助用戶合規：一是確保亞馬遜云科技服務本身的合規性；二是合規方案落地；三是自動化審計。亞馬遜云科技的合規認證不僅在基礎設施區域，還會深入到每一項云服務，客戶部署亞馬遜云服務，其合規性能夠得到認證機構的認可。通過Amazon Audit Manager 簡化審計管理和合規性評估，Audit Manager可能自動掃描、搜集證據，還提供了各種合規認證的模板，可以簡化合規審計的證據收集工作。此外，亞馬遜云科技還提供了Amazon Trusted Advisor定制云計算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務配置建議等各種在線工具，將所有的安全合規經驗都會對客戶傾囊相授。

　　顧凡告訴記者，如今亞馬遜云科技正在加速安全合規服務及功能在中國區域的落地。截至2021年，亞馬遜云科技通過與光環新網、西云數據的合作，已經在中國區域（北京與寧夏）推出了50多項安全合規的服務和功能。

　　此外，亞馬遜云科技APN合作伙伴網絡也會提供數百種行業領先的安全解決方案。近日，亞馬遜云科技進一步升級與德勤中國的合作，推出了安全運營中心服務，該運營中心將在亞馬遜云科技上為客戶提供云上端到端的安全監測及響應服務，提升企業云上安全。

　　顧凡還總結了亞馬遜云科技云上安全合規的五大優勢，分別是出色的可見性和控制力、深度集成的自動化、以最高的安全與隱私保護標準構建、客戶可以繼承亞馬遜云科技全面的安全性與合規性控制、有豐富的合作伙伴可以強強聯合。

　　最后顧凡表示：“安全合規是亞馬遜云科技開展一切業務的基礎。我們將不斷努力，更好的滿足客戶在安全合規方面的需求。”

責任編輯：劉沙