首页 导报现场 正文

亚马逊云科技:为客户提供水和空气一样的安全防护

2022-08-26 14:24 中国发展网
亚马逊云科技 Inforce全球云安全大会 云安全

摘要:在日前召开的“亚马逊云科技re:Inforce全球云安全大会”中国媒体沟通会上,亚马逊云科技大中华区产品部总经理陈晓建介绍了亚马逊云科技的安全文化。

中国发展网记者 成静

“亚马逊云科技有一个Job Zero安全文化。也就是说,亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。”在日前召开的“亚马逊云科技re:Inforce全球云安全大会”中国媒体沟通会上,亚马逊云科技大中华区产品部总经理陈晓建介绍了亚马逊云科技的安全文化。在他看来,云上安全的态势时刻变化,日新月异,因此必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。

1629447755

据陈晓建介绍,亚马逊云科技有一个非常独特的机制,叫做安全守护者,或者说“应用安全审查流程中的安全大使”。也就是将安全人员派驻到各个业务团队,从而保证他们所派驻的这个团队的产品和服务能够实现安全责任。“通过这个机制,我们把安全的理念和安全的工作嵌入到每一个产品和服务团队他们日常的工作流程之中。”陈晓建说,当然,除了安全大使之外,亚马逊云科技还有一个独立的、统一的安全团队。亚马逊云科技任何产品、服务的发布,都会通过一个应用安全审核流程,也就是把所有的这些应用和服务交给一个集中的安全团队来做审核。

“二者相结合,是我们向客户推荐的一个最佳实践。我们认为只有把安全融入到产品的整个生命周期中来和运营中来,这才是实现安全有效的办法。”与此相对应的,在亚马逊云科技有两类指标,第一类是给业务团队的,衡量指标是他们是否提出了好的安全建议,促进了哪些安全功能的发布。第二类是给安全团队的,衡量指标是他们的工作促进了多少新产品的发布,缩短了多少新产品上线的时间。

陈晓建还介绍了亚马逊云科技的防护体系:洋葱型的多层防护,而不是鸡蛋型的。“鸡蛋虽然有一个坚硬的外壳,但是它的防护就外壳这一层,如果一个点突破之后,整个安全体系就崩塌了。但是洋葱不一样,是多层防护的结构,不仅每层结构之间可以起到一个互相保护的作用,而且会有层层递进的访问机制。这是我们认为一个合理的安全机制所必须具备的。”

为了更好地实现亚马逊云科技的安全目标,亚马逊云科技不断加强安全合作伙伴网络的建设。“我们把所有合作伙伴的能力分为八个类别,涉及到40多个安全的场景,大家需要选择安全能力的时候,可以通过我们的安全门类、通过安全的服务,来找到最适合自己的安全合作伙伴。”

刚刚推出的亚马逊云科技Marketplace Vendor Insights(预览版),可简化对供应商的安全合规评估并实现对风险的持续监测,大大缩减客户对亚马逊云科技Marketplace 服务的采购周期。不仅如此,亚马逊云科技还推出了有关审计、风控和合规工作的培训——Cloud Audit Academy(CAA)。通过CAA可以指导用户把云的技术应用到日常的审计工作中来,可以应用于安全、合规、审计、风控等等部门。

最后,亚马逊云科技还开放了自己内部员工的安全意识培训课程供他人免费使用。

对于中国的客户,亚马逊云科技格外重视。陈晓建表示,中国的安全客户所特别关注的三个点是:隐私保护、数据跨境和云安全建设。“中国客户有着自己独特的安全合规要求和环境。我们深入到客户当中,发现众多的问题集中在隐私保护、数据跨境和云上安全建设,我们希望能帮助客户解决云上安全合规最棘手的问题,享受云上的好日子。另外,从今年开始,亚马逊云科技在中国举办CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。亚马逊云科技举办CISO对话的目的,是创造一个互相交流的平台,输出亚马逊云科技在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。

亚马逊云科技对安全的重视和措施得到了业内的一致认可。计世资讯首席分析师任伟巍认为:“在企业数字化转型的过程中,安全和合规是上云和用云的基石。越来越多的企业认识到构建云安全战略是一项持续性工作,需要有自上而下的顶层设计,要以安全为出发点构建云上应用。亚马逊云科技在自身的实践中,将安全融入到产品或服务的开发生命周期和运营中,在研发团队设置安全守护者角色以及增设应用安全审查流程,从人和数据两个角度设计更严谨的安全,并提倡构建多层次的纵深防护,能够为企业数字化转型提供了更安全规范的保障。”

责任编辑:成静


返回首页
相关新闻
返回顶部