亞馬遜云科技：為客戶提供水和空氣一樣的安全防護

中國發展網記者 成靜

“亞馬遜云科技有一個Job Zero安全文化。也就是說，亞馬遜云科技始終將安全作為最高優先級的工作，將安全作為一種文化貫穿在亞馬遜云科技整個企業運營當中。”在日前召開的“亞馬遜云科技re:Inforce全球云安全大會”中國媒體溝通會上，亞馬遜云科技大中華區產品部總經理陳曉建介紹了亞馬遜云科技的安全文化。在他看來，云上安全的態勢時刻變化，日新月異，因此必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。

據陳曉建介紹，亞馬遜云科技有一個非常獨特的機制，叫做安全守護者，或者說“應用安全審查流程中的安全大使”。也就是將安全人員派駐到各個業務團隊，從而保證他們所派駐的這個團隊的產品和服務能夠實現安全責任。“通過這個機制，我們把安全的理念和安全的工作嵌入到每一個產品和服務團隊他們日常的工作流程之中。”陳曉建說，當然，除了安全大使之外，亞馬遜云科技還有一個獨立的、統一的安全團隊。亞馬遜云科技任何產品、服務的發布，都會通過一個應用安全審核流程，也就是把所有的這些應用和服務交給一個集中的安全團隊來做審核。

“二者相結合，是我們向客戶推薦的一個最佳實踐。我們認為只有把安全融入到產品的整個生命周期中來和運營中來，這才是實現安全有效的辦法。”與此相對應的，在亞馬遜云科技有兩類指標，第一類是給業務團隊的，衡量指標是他們是否提出了好的安全建議，促進了哪些安全功能的發布。第二類是給安全團隊的，衡量指標是他們的工作促進了多少新產品的發布，縮短了多少新產品上線的時間。

陳曉建還介紹了亞馬遜云科技的防護體系：洋蔥型的多層防護，而不是雞蛋型的。“雞蛋雖然有一個堅硬的外殼，但是它的防護就外殼這一層，如果一個點突破之后，整個安全體系就崩塌了。但是洋蔥不一樣，是多層防護的結構，不僅每層結構之間可以起到一個互相保護的作用，而且會有層層遞進的訪問機制。這是我們認為一個合理的安全機制所必須具備的。”

為了更好地實現亞馬遜云科技的安全目標，亞馬遜云科技不斷加強安全合作伙伴網絡的建設。“我們把所有合作伙伴的能力分為八個類別，涉及到40多個安全的場景，大家需要選擇安全能力的時候，可以通過我們的安全門類、通過安全的服務，來找到最適合自己的安全合作伙伴。”

剛剛推出的亞馬遜云科技Marketplace Vendor Insights（預覽版），可簡化對供應商的安全合規評估并實現對風險的持續監測，大大縮減客戶對亞馬遜云科技Marketplace 服務的采購周期。不僅如此，亞馬遜云科技還推出了有關審計、風控和合規工作的培訓——Cloud Audit Academy（CAA）。通過CAA可以指導用戶把云的技術應用到日常的審計工作中來，可以應用于安全、合規、審計、風控等等部門。

最后，亞馬遜云科技還開放了自己內部員工的安全意識培訓課程供他人免費使用。

對于中國的客戶，亞馬遜云科技格外重視。陳曉建表示，中國的安全客戶所特別關注的三個點是：隱私保護、數據跨境和云安全建設。“中國客戶有著自己獨特的安全合規要求和環境。我們深入到客戶當中，發現眾多的問題集中在隱私保護、數據跨境和云上安全建設，我們希望能幫助客戶解決云上安全合規最棘手的問題，享受云上的好日子。另外，從今年開始，亞馬遜云科技在中國舉辦CISO對話，通過一起探討安全管理，文化和技術，讓安全與合規不再成為業務在云上快速增長的阻礙。亞馬遜云科技舉辦CISO對話的目的，是創造一個互相交流的平臺，輸出亞馬遜云科技在安全合規方面的經驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規的具體訴求和需要解決的問題。

亞馬遜云科技對安全的重視和措施得到了業內的一致認可。計世資訊首席分析師任偉巍認為：“在企業數字化轉型的過程中，安全和合規是上云和用云的基石。越來越多的企業認識到構建云安全戰略是一項持續性工作，需要有自上而下的頂層設計，要以安全為出發點構建云上應用。亞馬遜云科技在自身的實踐中，將安全融入到產品或服務的開發生命周期和運營中，在研發團隊設置安全守護者角色以及增設應用安全審查流程，從人和數據兩個角度設計更嚴謹的安全，并提倡構建多層次的縱深防護，能夠為企業數字化轉型提供了更安全規范的保障。”