打铁还须自身硬——亚马逊云科技安全合规过硬，让企业放心上云

 中国发展网记者 成静

今天，随着越来越多的企业将自己的业务放到云上，云上的数据量呈现几何级数的增长。然而，海量的数据背后，必须要有安全作为保障。目前，全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规，中国也不例外，《数据安全法》、《个人信息保护法》等各种法规陆续出台。在这样日益复杂的情况下，云服务商的安全合规性就显得尤为重要。正如计世资讯首席分析师任伟巍说的那样：“根据计世资讯的研究，在云安全的实际技术应用中，目前身份与访问控制、监控与检测、基础架构防护、数据保护、事件响应、合规审计等是云安全热点领域。”日前，亚马逊云科技举办了“云计算为业务赋能，安全为云计算赋能”亚马逊云科技云上安全合规媒体沟通会，对亚马逊云科技的安全业务进行了介绍和梳理。

企业上云的安全体验高于自建数据中心

“我把自己的数据放到云上，安全性能够得到保证吗？是不是自己建立一个数据中心来得更安全？”针对这样的疑问，亚马逊云科技大中华区战略业务发展部总经理顾凡回应说，用户在自建数据中心的时候也要构建安全，只不过做安全的时候需要自己构建一切，通常需要考虑到安全设备管理、合同签订、成本等问题。而当客户把自己应用上云之后，企业并不需要关心琐碎的底层基础设施安全，而且它在云端的安全治理有机会再上一个台阶。主要体现在：一是可以充分利用云端安全服务之间的超高的集成度，更好地做到安全的自动化；二是当有了更好的数据整合之后，在云上也会更有机会用一个集中的平台做安全的可视化管理；三是云端安全没有前期投入成本，是按使用量付费，客户具有更灵活的成本投入。四是可以帮助客户在云上实现自动执行合规任务，更高效做合规。

“正因为如此，全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业，其中包括金融、电信等很多强监管的行业，都已经把业务上云。例如世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。”顾凡说。

TCL实业鸿鹄实验室安全部部长林舜大说：“TCL云服务一直与亚马逊云科技保持着非常频繁的沟通与合作，与此同时，在安全合规方面也在积极探索更多的合作领域。亚马逊云科技提供了从认证保护、检测到响应到恢复的40多种安全服务，TCL也都进行了一些研究和评估，也已经采用了一些服务……隐私保护最离不开的其实就是数据加密，而数据加密过程中最担心的就是密钥的安全性，包括对密钥的管理、密钥对性能的影响以及费用等等。我们评估了各种方案，最终会在一些重要的业务上采用亚马逊云科技提供的Amazon KMS来解决密钥安全性的一些问题。总的来说，安全与合规是TCL品牌差异化的重要部分，亚马逊云安全是这种品牌差异化的重要助推。”

“Job Zero 安全文化”让安全合规成为企业命脉

亚马逊总裁兼首席执行官Andy Jassy常说的一句话是：安全是我们的Job Zero，顾凡解释说，其意思就是安全它比任何事情都要更重要，是亚马逊云科技最高优先级的工作。“亚马逊云科技持续不断加大安全方面的投入，而且我们从来不会给安全服务部门设定硬性收入指标。因为安全服务就跟水和空气一样，我们并不会靠水和空气产生运营，却要给用户提供优质的水和空气，创造一个安全的环境。”

而且，顾凡说，安全不仅仅是技术的问题，也是管理的问题。亚马逊云科技的“Job Zero 安全文化”贯穿在整个企业当中，每一位员工都负有相应的安全责任。亚马逊云科技还首创安全责任共担模型，推动安全及合规建设。

具体而言，顾凡介绍说，亚马逊云科技通过四个方面保证了自身的安全合规。

一是安全的基础设施。亚马逊云科技的数据中心和网络架构以最高安全标准构建，全球所有数据中心或服务都会使用相同的构建标准和控制措施，所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。

二是安全的云服务。亚马逊云科技重视每一个服务的安全性，安全团队从一开始就深入参与新服务和新功能开发，如果存在任何已知的安全问题，新服务将不会启动。亚马逊云科技还会通过深度集成的服务，实现安全自动化，减少人工配置错误，降低风险。

三是坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据，客户始终拥有自己的数据，并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前，都经过物理层自动加密。

四是亚马逊云科技获得了众多安全标准和合规性认证，几乎满足全球所有监管机构的合规认证。亚马逊云科技获得的安全标准及合规认证，用户可以继承。亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。

洋葱型的多层防护为用户增加安全保障

“要利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡；云中安全是主动设计出来的，而不仅是被动响应；云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。”这是亚马逊云科技

在确保云服务安全方面的三个主要的理念。

在这些理念的指导下，亚马逊云科技致力于为客户建立多层次的安全防护，层层递进，层层展开，打造了洋葱型的多层防护体系。

“亚马逊云科技的宗旨是，帮助客户更简单地解决安全问题，持续不断加大安全投入，却不设置安全方面的营收指标，要让安全服务像水和空气一样，提供给用户。不依靠水和空气产生利润，却需要给用户提供优质的水和空气，创造健康的环境。”顾凡说。

据介绍，目前，亚马逊云科技共提供了280多项安全、合规服务及功能，在五大领域为客户提供全方位的安全服务。

一是威胁检测与事件响应。顾凡说，威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。重点服务包括：1）Amazon GuardDuty为客户提供了经济高效的智能选项，可持续检测在亚马逊云科技中发生的威胁，具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力，实现威胁的精准定位，让报警量减少了50%。2）Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7x24 小时全天候监控，及时响应，并自动执行合规性检查。

二是身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破，有可能会带来意想不到的严重后果。没有好的身份认证的访问策略，就好像建了一座坚固的城堡，却把门打开给未知访客。关于身份认证，亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则，每一次授权都要确认是否必须，是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计，不要有永久授权，所有的授权都必须有时效性。三个技术建议一是尽可能细化访问的颗粒度，可以根据时间，地点和服务来设置访问条件；二是结合多因素鉴证（MFA）技术加强身份认证；三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

三是网络与基础设施安全。防御DDoS（分布式拒绝服务攻击）是这一层防护的重点。DDoS防御应全年从始至终，而不能像急诊。如果等发现DDoS攻击之后再处理，业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础，Web应用防火墙服务Amazon WAF 提供了丰富的规则库，有亚马逊安全团队自研的全托管规则，客户也可以自定义规则，还国际一线安全厂商的托管规则。

四是数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

五是风险管控及合规。“亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性；二是合规方案落地；三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域，还会深入到每一项云服务，客户部署亚马逊云服务，其合规性能够得到认证机构的认可。”顾凡说，通过Amazon Audit Manager 简化审计管理和合规性评估，Audit Manager可能自动扫描、搜集证据，还提供了各种合规认证的模板，可以简化合规审计的证据收集工作。此外，亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具，将所有的安全合规经验都对客户倾囊相授。

“亚马逊云科技的基础设施以及云服务是按照数据安全和隐私保护的最高标准构建，而且重量级的安全产品均已经在中国区域推出，这些都能确保客户在上云和用云的所有环节获得高效的安全服务。”对于亚马逊云科技的云上安全合规，任伟巍评论道：“我们还观察到中国云安全市场的几个趋势，其中构建云安全文化的重要性越发重要。企业要认识到构建云安全战略是一项持续性的工作，云安全需要有自上而下的顶层设计，要以安全为出发点构建云上应用。亚马逊云科技为企业提供云安全的最佳实践和培训，助力客户构建云安全文化和战略，使得他们能够成为未来的安全业务领导者。”