亚马逊云科技首次详解安全合规策略 加大中国区域投入

         15年前云计算服务初起之时，四川某大型家电企业CIO提出：未来的云计算基础设施会像自来水一样，成为人们生产生活当中不可或缺的部分，但他同时对云上安全合规提出了担忧。

　　显然，上述情况在今天已经成为现实，同时，安全合规也成为企业上云的一大挑战。亚马逊云科技大中华区战略业务发展部总经理顾凡在近日首次详解亚马逊云科技安全合规策略时表示，安全服务应该跟水和空气一样，不能靠水和空气产生运营，亚马逊云科技真正要做的是给客户提供的优质的“水和空气”，创造一个安全的云上环境。

亚马逊云科技大中华区战略业务发展部总经理顾凡

　　数字化转型直面云安全挑战

　　对于云安全，企业在逻辑上一般会有三个问题：一是把应用从本地迁移到云上安全吗？二是云厂商本身是不是安全合规的？三是上云之后，云厂商如何帮助自己实现云中安全合规？

　　先看看上云趋势。2018-2020年，推动企业上云是工业和信息化部推进企业数字化转型的一个重要组成部分。今天，鼓励上云的政策越来越精细化，如进一步“推动企业核心业务上云”，工业互联网是重点路径之一。

　　边界的融合带来安全合规新挑战，企业面临的安全合规要求显然日益复杂，全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规。在国内，则先后出台了《数据安全法》、《个人信息保护法》等各种法规。

　　随着企业加速上云，企业放到云上的数据类型和数据量在持续增加。而随着中国企业“出海”，很多企业业务在全球范围拓展，甚至有很多企业是跨若干行业赛道，所有这一切都会加剧企业安全合规的挑战。

　　上云，是企业数字化转型的战略组成部分。安全，是上云的首要问题。企业自行构建一切需要考虑底层基础设施安全等问题，而应用上云后，企业则无需关注这些琐碎的问题，云端平台的安全合规更专业。顾凡表示，“企业上云，安全体验能够比自建数据中心再上一个台阶”，这主要体现在：

　　一是更自动化。企业可以充分利用云端安全服务之间的超高集成度，更好地做到安全自动化。而在本地环境下，不同厂商的产品，安全数据整合非常复杂。

　　二是更好的可见性。有了更好的数据整合，应用在云上，意味着有机会用一个集中的平台，实现安全的可视化管理。

　　三是更灵活的成本控制。云端安全没有前期投入成本，按使用付费。

　　四是更高效的合规。自建数据中心做合规需要从零开始做起。如果选择云服务，意味着可以继承云厂商的合规，可能是从50分开始做起，另外50分云厂商已经做好。

　　四大举措确保自身安全合规

　　云厂商本身的安全是确保业务上云安全合规的基石。那么，亚马逊云科技自身的安全合规有何特点？这一方面体现为“Job Zero 安全文化”以及首创的“安全责任共担模型”；另一方面则通过基础设施安全等四个方面的安全合规，组成云上安全合规的一大支柱。

　　Job Zero安全文化。安全是最高优先级的工作。如：每一位员工都负有安全责任；CEO每周召开安全会议；每个级别的员工都有安全目标；定期举行安全合规的培训及考试。与此同时，每个服务在设计阶段都要考虑安全问题。除了高度重视安全自动化，亚马逊云科技还组成了一级响应团队和二级响应团队，提供全天候响应的能力。

　　安全责任共担模型。亚马逊云科技负责底层云基础设施和所提供云服务的安全，客户负责自身云业务安全。责任共担的分界线，在IaaS、PaaS、SaaS不同的场景分界线会有所移动。如果客户使用的是基础资源，分界线是云厂商保护云基础设施，用户负责虚拟化之上的资源。如果客户采用PaaS或SaaS服务，亚马逊云科技肩负的责任会更多。

　　具体而言，亚马逊云科技通过以下四个方面保证自身的安全合规：

　　安全的基础设施。数据中心和网络架构以最高安全标准构建，全球所有数据中心或服务使用相同的构建标准和控制措施。

　　安全的云服务。重视每一个服务的安全性，安全团队从一开始就深入参与新服务和新功能开发，如果存在任何已知的安全问题，新服务将不会启动。以及，通过深度集成的服务，实现安全自动化，减少人工配置错误，降低风险。

　　坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据，客户始终拥有自己的数据，并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前，都经过物理层自动加密。

　　安全标准和合规性认证。亚马逊云科技几乎满足全球所有监管机构的合规认证。用户可以继承。此外，还定期对数千个全球合规性要求进行第三方验证。

　　洋葱模型之五层防护体系

　　上云的目标之一就是敏捷。企业无需在快速行动、快速创新和确保安全中做选择。对此，顾凡表示，亚马逊云科技有三个理念确保云服务安全：一是，利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。二是，云中安全是主动设计出来的，而不仅是被动响应。三是，云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。多层次的安全防护，层层递进，层层展开。亚马逊云科技目前提供了280多安全、合规服务及功能，在五大领域为客户提供全方位的安全服务。，这组成云上安全合规的另一大支柱。

　　洋葱模型第一层：威胁检测与事件响应。重点服务包括：1、Amazon GuardDuty为客户提供了经济高效的智能选项，可持续检测在亚马逊云科技中发生的威胁，具有丰富的情报源。该服务集成了机器学习的能力，实现威胁的精准定位，让报警量减少了50%。2、Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7x24 小时全天候监控，及时响应，并自动执行合规性检查。

　　洋葱模型第二层：身份认证与访问控制。关于身份认证，有两个经验和三个技术建议。经验之一是保持最小授权原则，之二是要对最小授权原则定期进行审计，不要有永久授权。三个技术建议一是尽可能细化访问的颗粒度；二是结合多因素鉴证（MFA）技术加强身份认证；三是减少长期凭证的使用。产品如Amazon Identity and Access Management (IAM) 、Amazon Organizations。

　　洋葱模型第三层：网络与基础设施安全。防御DDoS（分布式拒绝服务攻击）是这一层防护的重点。Amazon ShieldAdvanced可以为客户提供全天候的保护。网络访问规则是一切防御的基础，Web应用防火墙服务Amazon WAF 提供了丰富的规则库，有亚马逊安全团队自研的全托管规则，客户也可以自定义规则，还有国际一线安全厂商的托管规则。

　　洋葱模型第四层：数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves则提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

　　洋葱模型第五层：风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性；二是合规方案落地；三是自动化审计。顾凡表示，亚马逊云科技的合规认证不仅在基础设施区域，还会深入到每一项云服务，客户部署亚马逊云服务，其合规性能够得到认证机构的认可。

　　产品方面，Amazon Audit Manager简化审计管理和合规性评估，Audit Manager能自动扫描、搜集证据，还提供了各种合规认证的模板，可以简化合规审计的证据收集工作。此外，Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具，将所有的安全合规经验都对客户倾囊相授。

　　顾凡表示，亚马逊云科技全球有数百万用户，覆盖了几乎所有行业，其中包括金融、电信等强监管行业。世界最大的股票交易所纳斯达克分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT docomo也将把PB级别的数据仓库迁移上云。

　　不久前，亚马逊云科技宣布将与光环新网及西云数据共同加速安全合规服务和功能在中国的落地，加强与合作伙伴的合作。同时，升级与德勤中国的合作，由德勤中国推出安全运营中心服务，为客户提供云上端到端的安全监测及响应服务，提升企业云上安全。据悉，截止到2021年，通过光环新网和西云数据，亚马逊云科技在中国区域（北京与宁夏）已推出50多项安全合规的服务和功能。