打鐵還須自身硬——亞馬遜云科技安全合規過硬，讓企業放心上云

 中國發展網記者 成靜

今天，隨著越來越多的企業將自己的業務放到云上，云上的數據量呈現幾何級數的增長。然而，海量的數據背后，必須要有安全作為保障。目前，全球已經有132個國家和地區制定了數據保護和隱私相關的法律法規，中國也不例外，《數據安全法》、《個人信息保護法》等各種法規陸續出臺。在這樣日益復雜的情況下，云服務商的安全合規性就顯得尤為重要。正如計世資訊首席分析師任偉巍說的那樣：“根據計世資訊的研究，在云安全的實際技術應用中，目前身份與訪問控制、監控與檢測、基礎架構防護、數據保護、事件響應、合規審計等是云安全熱點領域。”日前，亞馬遜云科技舉辦了“云計算為業務賦能，安全為云計算賦能”亞馬遜云科技云上安全合規媒體溝通會，對亞馬遜云科技的安全業務進行了介紹和梳理。

企業上云的安全體驗高于自建數據中心

“我把自己的數據放到云上，安全性能夠得到保證嗎？是不是自己建立一個數據中心來得更安全？”針對這樣的疑問，亞馬遜云科技大中華區戰略業務發展部總經理顧凡回應說，用戶在自建數據中心的時候也要構建安全，只不過做安全的時候需要自己構建一切，通常需要考慮到安全設備管理、合同簽訂、成本等問題。而當客戶把自己應用上云之后，企業并不需要關心瑣碎的底層基礎設施安全，而且它在云端的安全治理有機會再上一個臺階。主要體現在：一是可以充分利用云端安全服務之間的超高的集成度，更好地做到安全的自動化；二是當有了更好的數據整合之后，在云上也會更有機會用一個集中的平臺做安全的可視化管理；三是云端安全沒有前期投入成本，是按使用量付費，客戶具有更靈活的成本投入。四是可以幫助客戶在云上實現自動執行合規任務，更高效做合規。

“正因為如此，全球有數百萬的用戶已經選擇并且信賴亞馬遜云科技，覆蓋了幾乎所有的行業，其中包括金融、電信等很多強監管的行業，都已經把業務上云。例如世界最大的股票交易所納斯達克會分階段把全部業務遷移到亞馬遜云科技，日本最大的電信運營商NTT docomo會把PB級別的數據倉庫遷移上云。”顧凡說。

TCL實業鴻鵠實驗室安全部部長林舜大說：“TCL云服務一直與亞馬遜云科技保持著非常頻繁的溝通與合作，與此同時，在安全合規方面也在積極探索更多的合作領域。亞馬遜云科技提供了從認證保護、檢測到響應到恢復的40多種安全服務，TCL也都進行了一些研究和評估，也已經采用了一些服務……隱私保護最離不開的其實就是數據加密，而數據加密過程中最擔心的就是密鑰的安全性，包括對密鑰的管理、密鑰對性能的影響以及費用等等。我們評估了各種方案，最終會在一些重要的業務上采用亞馬遜云科技提供的Amazon KMS來解決密鑰安全性的一些問題?？偟膩碚f，安全與合規是TCL品牌差異化的重要部分，亞馬遜云安全是這種品牌差異化的重要助推。”

“Job Zero 安全文化”讓安全合規成為企業命脈

亞馬遜總裁兼首席執行官Andy Jassy常說的一句話是：安全是我們的Job Zero，顧凡解釋說，其意思就是安全它比任何事情都要更重要，是亞馬遜云科技最高優先級的工作。“亞馬遜云科技持續不斷加大安全方面的投入，而且我們從來不會給安全服務部門設定硬性收入指標。因為安全服務就跟水和空氣一樣，我們并不會靠水和空氣產生運營，卻要給用戶提供優質的水和空氣，創造一個安全的環境。”

而且，顧凡說，安全不僅僅是技術的問題，也是管理的問題。亞馬遜云科技的“Job Zero 安全文化”貫穿在整個企業當中，每一位員工都負有相應的安全責任。亞馬遜云科技還首創安全責任共擔模型，推動安全及合規建設。

具體而言，顧凡介紹說，亞馬遜云科技通過四個方面保證了自身的安全合規。

一是安全的基礎設施。亞馬遜云科技的數據中心和網絡架構以最高安全標準構建，全球所有數據中心或服務都會使用相同的構建標準和控制措施，所有客戶無論規模大小都可以受益于這樣具有高安全性的基礎設施。

二是安全的云服務。亞馬遜云科技重視每一個服務的安全性，安全團隊從一開始就深入參與新服務和新功能開發，如果存在任何已知的安全問題，新服務將不會啟動。亞馬遜云科技還會通過深度集成的服務，實現安全自動化，減少人工配置錯誤，降低風險。

三是堅持客戶擁有和控制數據的理念。亞馬遜云科技不接觸客戶數據，客戶始終擁有自己的數據，并且可以選擇任何方式加密自己的數據。所有數據流動在離開亞馬遜云科技的安全設施之前，都經過物理層自動加密。

四是亞馬遜云科技獲得了眾多安全標準和合規性認證，幾乎滿足全球所有監管機構的合規認證。亞馬遜云科技獲得的安全標準及合規認證，用戶可以繼承。亞馬遜云科技已經把全球積累的安全保護經驗、安全合規能力實踐到中國區域。亞馬遜云科技會定期對數千個全球合規性要求進行第三方驗證。

洋蔥型的多層防護為用戶增加安全保障

“要利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡；云中安全是主動設計出來的，而不僅是被動響應；云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋。”這是亞馬遜云科技

在確保云服務安全方面的三個主要的理念。

在這些理念的指導下，亞馬遜云科技致力于為客戶建立多層次的安全防護，層層遞進，層層展開，打造了洋蔥型的多層防護體系。

“亞馬遜云科技的宗旨是，幫助客戶更簡單地解決安全問題，持續不斷加大安全投入，卻不設置安全方面的營收指標，要讓安全服務像水和空氣一樣，提供給用戶。不依靠水和空氣產生利潤，卻需要給用戶提供優質的水和空氣，創造健康的環境。”顧凡說。

據介紹，目前，亞馬遜云科技共提供了280多項安全、合規服務及功能，在五大領域為客戶提供全方位的安全服務。

一是威脅檢測與事件響應。顧凡說，威脅檢測就像“專業的天氣預報員”，需要能夠對安全威脅做到精準定位、快速反應、時刻監控，并且能夠分析原因。重點服務包括：1）Amazon GuardDuty為客戶提供了經濟高效的智能選項，可持續檢測在亞馬遜云科技中發生的威脅，具有豐富的情報源。Amazon GuardDuty 集成了機器學習的能力，實現威脅的精準定位，讓報警量減少了50%。2）Amazon Security Hub安全事件統一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監控，及時響應，并自動執行合規性檢查。

二是身份認證與訪問控制。身份認證和訪問如一座堅固城堡的大門。某一點的身份認證被攻破，有可能會帶來意想不到的嚴重后果。沒有好的身份認證的訪問策略，就好像建了一座堅固的城堡，卻把門打開給未知訪客。關于身份認證，亞馬遜云科技有兩個經驗和三個技術建議。經驗之一是保持最小授權原則，每一次授權都要確認是否必須，是否與業務/職責相關。經驗之二是要對最小授權原則定期進行審計，不要有永久授權，所有的授權都必須有時效性。三個技術建議一是盡可能細化訪問的顆粒度，可以根據時間，地點和服務來設置訪問條件；二是結合多因素鑒證（MFA）技術加強身份認證；三是減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數據邊界。

三是網絡與基礎設施安全。防御DDoS（分布式拒絕服務攻擊）是這一層防護的重點。DDoS防御應全年從始至終，而不能像急診。如果等發現DDoS攻擊之后再處理，業務的穩定性和持續性已經受到影響了。Amazon ShieldAdvanced就可以為客戶提供全天候的保護。網絡訪問規則是一切防御的基礎，Web應用防火墻服務Amazon WAF 提供了豐富的規則庫，有亞馬遜安全團隊自研的全托管規則，客戶也可以自定義規則，還國際一線安全廠商的托管規則。

四是數據保護與隱私。亞馬遜云科技提供了數據全生命周期的加密服務，對數據的保護涵蓋了數據的存儲、傳輸以及使用的各個環節。Amazon KMS密鑰管理服務實現存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密。高集成度減少了人工操作，降低了出錯的概率。針對數據保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機。Amazon Nitro Enclaves提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向他們自己的系統管理員、開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面。

五是風險管控及合規。“亞馬遜云科技從三個方面幫助用戶合規。一是確保亞馬遜云科技服務本身的合規性；二是合規方案落地；三是自動化審計。亞馬遜云科技的合規認證不僅在基礎設施區域，還會深入到每一項云服務，客戶部署亞馬遜云服務，其合規性能夠得到認證機構的認可。”顧凡說，通過Amazon Audit Manager 簡化審計管理和合規性評估，Audit Manager可能自動掃描、搜集證據，還提供了各種合規認證的模板，可以簡化合規審計的證據收集工作。此外，亞馬遜云科技還提供了Amazon Trusted Advisor定制云計算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務配置建議等各種在線工具，將所有的安全合規經驗都對客戶傾囊相授。

“亞馬遜云科技的基礎設施以及云服務是按照數據安全和隱私保護的最高標準構建，而且重量級的安全產品均已經在中國區域推出，這些都能確保客戶在上云和用云的所有環節獲得高效的安全服務。”對于亞馬遜云科技的云上安全合規，任偉巍評論道：“我們還觀察到中國云安全市場的幾個趨勢，其中構建云安全文化的重要性越發重要。企業要認識到構建云安全戰略是一項持續性的工作，云安全需要有自上而下的頂層設計，要以安全為出發點構建云上應用。亞馬遜云科技為企業提供云安全的最佳實踐和培訓，助力客戶構建云安全文化和戰略，使得他們能夠成為未來的安全業務領導者。”