【产业观察】“Job Zero”与“洋葱” 亚马逊云科技的“安全合规”答案

2021年，新冠肺炎疫情已经发生了一年，在这一年间，疫情潮起潮落，不断地影响着社会的方方面面。在此之中，被困于疫情中的企业、个人开始关注与物理世界对应的、数字世界的构建。同年10月，社交媒体平台Facebook更名为“Meta”。作为数字世界的终点，“Metaverse”也就是元宇宙，这一诞生于30年前的概念的火热将数字化的“音调”推向了高潮。

对于元宇宙的讨论众说纷纭，但数字世界的建设已经初露峥嵘，其与物理世界的联系已经让我们瞥到了后疫情时代新型社会运行模式的冰山一角：云上办公成为了保证企业正常运行的关键，企业数字化转型速度激增、上云呼声高涨。在此期间，数据作为两个世界互通的资源、财产，其安全的重要性不言而喻，建立严格的安全性和合规性标准也变得迫在眉睫。

作为国际领先的云服务厂商，通过与光环新网和西云数据的紧密合作，截止2021年，亚马逊云科技已经在中国区域推出50多项安全合规的服务和功能，包括Web应用程序防火墙Amazon WAF、威胁检测服务Amazon GuardDuty和安全事件统一管理平台Amazon Security Hub等重量级安全服务。

“随着各行各业加速上云，企业放到云上的数据类型、数据的数量持续增加。”亚马逊云科技大中华区战略业务发展部总经理顾凡表示，“而随着很多国内企业出海，业务在全球范围拓展，布局多个赛道，企业在安全合规方面的挑战将会加剧。”

亚马逊云科技一直将安全合规设置为“Job Zero”，并通过云上的五大优势和“洋葱型”的多重防护，为自身以及用户的数据安全保驾护航。

企业上云的动机什么？是为了使用更加便捷的IT基础设施？或是为了站在云服务商的经验之上推动创新？亦或是促进部门协同、实现降本增效？无论基于何种需求，想要在全球广泛、深入的拓展业务，或是偏安一隅，优化自身的业务流程，云都是企业的不二之选。而无论基于何种环境，企业都必须考虑自身数据资产的安全性问题。

当企业的传统IT基础设施延展到云上时，亚马逊云科技从五个方面为企业的数据安全提供防护。

用户可以控制数据的存储位置、有权访问数据的用户以及组织在任何给定时刻消耗的资源。细粒度的身份和访问控制与对近实时安全信息的连续监控相结合，确保无论客户的信息存储在哪里，都能始终让正确的资源拥有正确的权限。

通过深度集成的服务实现自动化并降低风险，自动执行安全任务，让客户减少人工配置错误。

亚马逊云科技十分注重用户的隐私。用户可以在最安全的全球基础设施上进行构建，始终拥有自己的数据，并且能够加密、移动以及管理保留这些数据。

继承最为全面的安全性与合规性控制。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证，以帮助用户满足财务、零售、医疗保健、政府及其他方面的安全性与合规性标准。

通过使用客户了解和信任的熟悉解决方案提供商提供的安全技术和咨询服务来扩展亚马逊云科技的优势。

计世资讯首席分析师任伟巍评论道：“亚马逊云科技的基础设施以及云服务是按照数据安全和隐私保护的最高标准构建，重量级的安全产品也均已经在中国区域推出，这些都能确保客户在上云和用云的所有环节获得高效的安全服务。”

近年来，信息安全事件频发。数据安全的威胁不仅限于企业外部，“内部员工”造成的数据泄露问题同样不容忽视。安全已经不仅仅是技术上的问题，还是企业管理方面的问题。

作为全球领先的云服务厂商，亚马逊云科技十分注重自身的安全问题，把安全设定为“Job Zero”。亚马逊云科技的宗旨是，帮助客户更简单地解决安全问题，持续不断加大安全投入，却不设置安全方面的营收指标，要让安全服务像水和空气一样，提供给用户。亚马逊云科技为每一位员工都设计了安全目标，定期举行安全合规的培训及考试；每个服务都要在设计阶段考虑安全问题；亚马逊云科技还通过自动化实现自身安全的标准化和一致性。

顾凡表示，“安全合规是亚马逊云科技开展一切业务的基础。安全是我们最高优先级的工作，它贯穿于整个亚马逊云科技当中，每个员工都负有安全责任，每项服务都要有自己的安全基准。”

随着信息技术的快速发展，黑客们的工具不仅更加先进，还更受普及。越来越频繁的攻击与内部安全漏洞困扰着不同行业的企业。在保存了大量数据的云上构建多重防线，保证企业敏捷、安全的云上旅程，显得尤为重要。“云安全必须是一个‘洋葱型’的多层防护，而不是一个鸡蛋。”顾凡表示。亚马逊云科技的安全防护体系像“洋葱”一样，从威胁检测、身份认证到设施安全再到数据隐私、风险管控，层层递进，帮助用户实现云中的安全合规。

威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。在此之中，集成了机器学习能力的Amazon GuardDuty为客户提供了经济高效的智能选项，实现威胁的精准定位。Amazon Security Hub安全事件统一管理平台帮助客户针对威胁检测7x24小时全天候监控，及时响应，并自动执行合规性检查。

在身份认证方面，亚马逊云科技分享了自身的经验和建议。一是用户需要保持最小授权原则，每一次授权都要确认是否必须；二是所有的授权都必须有时效性；三是尽可能细化访问的颗粒度，可以根据时间，地点和服务设置访问条件；四是结合多因素鉴证技术加强身份认证；五是减少长期凭证的使用。

为了保证用户在访问时的数据安全，亚马逊云科技提供Amazon Identity and Access Management (IAM)和Amazon Organizations两项服务。前者是身份认证与访问控制的核心服务，可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。后者是高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

如今，DDoS攻击“全年无休”，企业对于DDoS的防御也应“从始至终”，否则就将影响业务的稳定性和持续性。亚马逊云科技通过高度自动化的服务帮助用户实现全天候防御。一方面，Amazon Shield Advanced可以为客户提供全天候的保护，另一方面，Amazon WAF提供了丰富的规则库，用户不仅可以应用亚马逊云科技安全团队自研的全托管规则，还可以自定义规则或者应用国际一线安全厂商的托管规则。

如前所述，亚马逊云科技为客户提供数据全生命周期的加密服务，并将安全服务与其他服务集成，减少人工操作，降低错误率。针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves为用户提供了云端机密计算环境，客户可以创建隔离环境处理数据，而无需向自身系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

亚马逊云科技的合规认证不仅在基础设施区域，还深入到每一项云服务，客户部署亚马逊云服务的合规性能够得到认证机构的认可。Amazon Audit Manager可以帮助用户自动扫描、搜集证据，提供各种合规认证的模板，简化合规审计的证据收集工作。

“为了帮助用户构建云端的安全防护，目前，亚马逊云科技提供了涵盖认证、保护、检测、响应、恢复的280多项安全、合规服务及功能，在五大领域为客户提供全方位的安全服务。”顾凡说。

云计算时代，在企业上云、数字化转型过程中，安全事件频发，企业需要结合行业特性，发掘自身安全部署重点。

在服务全球客户的过程中，亚马逊云科技通过广泛的合作伙伴网络，提供数百种行业领先的安全及合规解决方案，多层保护客户的应用和数据安全。

德勤是亚马逊云科技全球核心级咨询合作伙伴。在安全合规领域，德勤中国和亚马逊云科技携手创建了云上安全实验室，为客户提供网络安全事件管理解决方案，并发布了一系列企业安全白皮书，为企业解读不同国家和地区关于数据安全和保护的法律法规。

近日，亚马逊云科技进一步升级与德勤中国的合作，由德勤中国推出安全运营中心服务。德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源表示，“安全运营中心是德勤与亚马逊云科技合作的又一重要成果。与亚马逊云科技的合作将德勤在风险合规方面的能力与亚马逊云科技的云上安全合规能力优势叠加，助力企业提升云上安全，完善企业安全合规管理满足企业不断发展变化的安全合规要求。”

TCL实业作为“中国智造”出海的代表性企业，已将海外业务的多个重要核心系统部署在亚马逊云科技上，实现安全合规的全球部署，同时使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全。

TCL实业CTO孙力表示：“云上安全是TCL实施全球化战略、实现业务创新的基石。我们信赖亚马逊云自身的安全，欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系，让我们能够全方位保障云端安全，并且提高运维效率，节省人力成本。”