亞馬遜云科技：筑牢數字時代的安全基石

中國發展網記者 成靜

在數字經濟時代，數據給我們的生活帶來了本質的變化?？梢哉f,數據已經是現代發明和創新之源。

如何在確保數據安全的前提下有效發揮數據資產的商業價值，成為企業數字化亟需解決的問題。“亞馬遜云科技不斷探索云上數據創新的邊界，圍繞業務數據的可識別、可見、可協作和安全數據的可操作四大場景提供創新服務和解決方案，助力企業進一步釋放數據要素價值，實現創新增長。”亞馬遜云科技大中華區產品部總經理陳曉建表示。

通過日常觀察，亞馬遜云科技看到，他們的用戶有幾點希望：一是業務數據中的敏感數據可以被輕松地識別并提供有效的保護；二是他們的數據消費團隊可以方便快捷地找到企業內部有價值的數據資產并快速加以利用；三是他們可以與合作伙伴以及產業上下游的企業進行安全高效的數據共享與協同分析；四是所有的數據操作與安全事件可以被統一地監控與管理，以幫助安全團隊可以指定合理的安全事件策略和進行快速應對。

識別敏感數據——應對合規有方案

在幫助用戶識別敏感數據方面，亞馬遜云科技努力輔助用戶應對合規方面的挑戰。目前，數據合規越來越成為企業關注的話題，全球各地連續出臺隱私保護法案，或者強化隱私保護的相關法案，比如歐盟的GDPR和美國的ADPPA。中國也非常強調對隱私數據和敏感數據的保護，制訂了《個人信息保護法》《數據出境安全評估辦法》《網絡數據安全管理條例》等，對個人數據、敏感數據的定義和使用提出了具體要求。

“企業要實現數據的安全合規需要人，流程，工具相互配合。”陳曉建表示，為用戶的業務和計算負載提供最合適的工具，一直是亞馬遜云科技投入的方向，因此，亞馬遜云科技為用戶提供了敏感數據保護解決方案。“該方案是亞馬遜云科技轉為敏感數據識別與保護這一場景量身定做的方案。這是一個開源的數據安全及數據隱私云原生解決方案，客戶可以在自己賬號內部署使用。”

據介紹，這個方案利用機器學習、模式匹配等方式自動識別敏感數據，允許客戶創建數據目錄、使用內置或定制數據識別規則定義敏感數據類型。該解決方案還提供中心化的管理平臺，客戶可通過網頁應用程序對敏感數據資產進行可視化管理。通過敏感數據保護解決方案，客戶可以加速實現業務數據合規，為下一步釋放數據價值鋪平道路。

數據可見——確保正確權限和情境

數據可見是企業內不同角色高效挖掘數據價值的前提，也是不同治理模式高效協同的基礎。在數據可見方面，目的是讓數據在組織內能被安全有效地發現、共享和協作。

“在數據團隊和業務團隊協作方式上，集中式和聯邦式是比較常見的兩種類型。”陳曉建解釋說，集中式就是負責治理運營的人主要集中在數據團隊并負責所有治理工作，集中式方式能夠實現快速的決策和高效的執行。這種結構較為簡單，易于實施和控制。更適合剛開始數據分析之旅和小型組織的客戶。而聯邦式則是，總的治理原則/政策有特定團隊負責，但負責治理運營的人可以分散在各業務線，這樣業務部門擁有自己的數據，并在組織的監督下做出決策，以滿足其特定需求和目標。適合多BU的中大型企業或跨國企業。“兩種類型的協作方式都需要多個角色高效協同，特別是聯邦式治理更是對‘數據可見’需求迫切。”

因此，在這個客戶需求背景下，亞馬遜云科技在去年推出一項全新的數據管理服務Amazon DataZone，讓每個人都能看見數據，解鎖數據。它可以讓客戶更快、更輕松地對存儲在亞馬遜云科技、客戶本地和第三方來源的數據進行編目、發現、共享和治理。借助Amazon DataZone可以使用精細的控制工具管理和治理數據訪問權限，確保數據訪問發生在正確的權限和正確的情境之下。Amazon DataZone可以使數據開發者、數據科學家、分析師和業務用戶可以輕松訪問整個組織的數據，從而發現、使用數據，通過數據進行協作來獲得洞察。

多方協作——數據不需移動即可共享

多方數據協作可以為行業創新注入活力，企業之間需要產業上下游數據協作來快速創新。因此，企業需要在保障安全和創造價值之間尋求平衡。在實際的場景中，數據協作的所有參與者都需要面對數據保護與業務價值安全之間的權衡?，F在有一些企業實現數據協作的方式是向合作伙伴提供數據副本，并依賴合同協議防止濫用。但是，顯而易見，這樣的方式仍然發生了數據移動，依然存在數據誤用和泄漏的風險。

為此，亞馬遜云科技推出了Amazon Clean Rooms，實現了匹配、分析和協作彼此的數據，而不需要移動或者暴露原始數據，安全地實現數據分析協作。使用Amazon Clean Rooms，用戶可以在幾分鐘內創建一個安全的數據Clean Room，通過創建協作項目，實現數據的多方協作。而對于數據提供方而言，不僅可以通過數據預加密來對數據進行保護，而且因為所有成員都是直接從自己的Amazon S3貢獻數據，從而真正實現了只有數據查詢和分析而沒有數據移動。

值得強調的是，Amazon Clean Rooms提供了一個密態計算的環境，數據的提供方可以對數據進行預加密，從而在Clean Rooms 環境中的數據以加密的形態完成數據分析操作，并將分析結果解密并返回，從而在數據安全的到最大保護的同時充分在協作方之間開發了數據價值。

陳曉建還介紹了另外一個工具——Amazon Data Exchange。“在生成式AI時代，企業需要更多第三方的數據來協作創新。而第三方數據的獲取卻并非易事。Amazon Data Exchange可以大大簡化獲取第三方數據的過程。”

陳曉建介紹說，Amazon Data Exchange 使客戶能夠輕松在云上找到、訂閱和使用第三方數據。Amazon Data Exchange已經可以提供超過3500種的第三方數據，數據來源包括金融，天氣，地理空間，健康醫療等等非常多的行業和領域。而通過Amazon Data Exchange獲取數據非常簡便，支持包括Amazon S3注入，查詢表接口(query tables)以及API調用等多種的訪問方式。對于像生成式AI的模型訓練這樣的場景來說，用戶只需要將下單的數據集注入到Amazon S3數據湖，就可以使用數據分析工具進行數據處理進而開始模型訓練了。

安全日志——統一管理安全高效

在Gartner發布的2022年網絡安全重點趨勢里，安全供應商的整合排到第4位。而企業在短時間內做到整合安全廠商是有挑戰和難度的。另外，安全本身也帶來了越來越多的挑戰。日常的日志管理如何更加高效，以及在發生一些安全風險的時候，如何通過日志的回溯和分析可以很快、有效地追溯到問題的源頭？亞馬遜云科技的解決方法是建立一個安全數據湖，統一管理來自不同廠商的日志，并且讓這些日志可被用來進行安全事件的分析。

“這是業界第一個專門用于安全的數據湖，它的目標就是統一管理來自于不同來源、不同系統的安全日志，并且能夠利用這些日志進行安全分析。”陳曉建介紹說，Amazon Security Lake可以自動搜集并存儲亞馬遜云科技安全產品（如Amazon GuardDuty，Amazon SecurityHub）的日志，以及第三方乃止線下安全設備的日志，并且使用OCSF統一格式。它使用Amazon S3集中存儲日志，可以充分利用Amazon S3的存儲性能，將日志分層管理，提高性價比。

深圳市兆瓏科技就使用了亞馬遜云科技的安全數據湖。究其原因，深圳市兆瓏科技有限公司云安全專家顧問李少奕表示，作為一家物聯網生態企業，隨著設備量、數據量的增多，兆瓏科技每天的數據量劇增，且類型眾多，而且環境的多元化會出現數據孤島的現象，對于安全日志還有著多樣化的分析工具的需求。因此，兆瓏科技選擇了亞馬遜云科技的數據湖。“我記得當時我只操作了兩步就完成了亞馬遜數據安全湖的搭建，部署速度非常快，效率也是非常高的。我只用在我們的安全日志集中收集賬戶‘Log Archive’內部點擊開啟Amazon Security Lake的服務，之后它就可以自動收集，只用幾分鐘就可以把所有的安全日志統一收集到在一起。而且我們可以選擇想要儲存日志的區域，這個功能可以滿足我們在GDPR中對如數據跨境流動的合規性要求。”李少奕說。

通過亞馬遜云科技的安全數據湖，兆瓏科技獲得了諸多收益：“首先它滿足了PCI-DSS對日志的監控與分析的全部9項要求。第二，我們的安全日志收集效率提升了40%，安全日志存儲成本降低了60%。第三，可以對企業的安全數據進行安全、有效的管理，因為它集中地管理了企業組織賬戶下所有賬戶的安全數據，這樣可以提升管理的效率。最后是通過Athena等安全分析服務，提升分析的效率，幫助企業搭建基于業務的安全威脅檢測的模型。”李少奕表示。

“我們今天已經到了數據爆炸的時代，數據的價值被越來越多的客戶所認可，而且還面臨很多合規安全方面的挑戰。只有真正做到了安全，才能釋放數據背后的價值。而亞馬遜云科技的安全理念數據工具和解決方案，能夠為用戶提供基于數據的創新來全程保駕護航。”陳曉建說。