数据合规成大势所趋 亚马逊云科技如何构筑云上安全底座?
随着全球经济步入数字经济发展时代,数据作为关键生产要素和重要的战略资产,备受企业重视,越来越多的组织选择通过上云驱动业务发展和效率提升,进而有效挖掘数据的深层价值,风投机构Andreessen Horowitz指出,大部分科技创业企业的80%的收入都投入在云服务方面。这足以说明云计算的重要性。
然而,对于任何将工作负载和应用程序迁移到云的组织而言,最重要的考虑因素之一就是确保其所基于的云计算基础设施是安全的,这个安全,不仅包括了行业最佳实践的问题,也包括了法律法规的相关要求,处理敏感的个人、财务和健康数据的组织必须验证企业是否具有适当的控制措施来保护该数据,无论数据是在云上、本地还是传输过程中。
对此,亚马逊亚马逊云科技大中华区战略业务发展部总经理顾凡解释道:“随着企业在加速上云,可以预见的是,企业放到云上的数据类型、数据的数量也会继续增加。而随着今天很多中国企业出海,很多企业业务在全球范围拓展,甚至有很多企业是跨若干行业赛道做竞争,所有这一切都会加剧企业面对安全合规的挑战。”
亚马逊亚马逊云科技大中华区战略业务发展部总经理顾凡
云上安全成为企业最关注要素
随着云计算发展进入纵深区,云上安全合规的环境也日趋复杂,到目前为止,全球已经有132个国家跟地区制定了数据保护和隐私相关的法律法规,国内也先后出台了《数据安全法》、《个人信息保护法》等各种法规,加之近些年云安全事件频发的影响,企业用户对云上的安全需求越发迫切。
顾凡表示,虽然大多数企业在自建数据中心的时候也要考虑安全因素,但构建安全体系时需要考虑到安全设备管理、合同签订、成本等一系列问题,当企业用户选择将应用上云之后,就无需担心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。
具体而言,提升主要体现在如下三个方面:
首先是自动化。企业可以充分利用云端安全服务之间超高的集成度,更好地做到安全的自动化,以降低数据整合的难度。
其次是可视化。当数据整合的程度提高,在云上也会有更好的机会用一个集中平台做安全的可视化管理。
然后是灵活的成本投入。这是由于云端安全没有前期投入成本,而是按使用量付费所导致的。
最后则是高效的合规。自建数据中心需要从零开始做合规,而云上合规客户则能直接继承云厂商的合规,相当于云厂商为企业打好了前半部分的基础。
“时至今日,全球有数百万的用户已经选择并且信赖亚马逊云科技,覆盖了几乎所有的行业,其中也包括很多被强监管的行业,比如说金融、电信,这些企业也在把业务上云,比如纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营NTT Docomo也会选择将PB级别的数据仓库迁移上云,这些强监管行业的客户上云,不但会加速自己的数字化转型,同时也能将亚马逊云科技安全合规的标准持续提高。”顾凡总结道。
确保云上安全,亚马逊云科技的两大法宝
对大多数组织而言,遵守安全标准是云计算供应商选择过程中的必要先决条件,而亚马逊云科技,正是一家将云安全视为Job Zero的企业。对亚马逊云科技来说,安全不仅仅是技术的问题,也是管理的问题,因此安全是亚马逊最高优先级的工作,顾凡表示,Job Zero安全问环贯穿在亚马逊云科技整个企业当中。每一位员工都负有安全责任,CEO每周召开安全会议,每个级别的员工都有安全目标,定期举行安全合规的培训和考试。
此外,亚马逊云科技对外提供的服务在设计阶段就要考虑安全问题,同时亚马逊云科技高度重视自动化,以做到标准化和规模化地执行安全任务,并提供全天候的响应能力和创新的安全运营机制,现在亚马逊云科技的数据中心已经能够根据事件实现自动化的响应和修复,例如水电和能源问题的排查。
由于企业上云时可以继承云厂商的合规,因此云服务提供商的基础设施和云服务是否满足全球各种合规认证就显得愈加重要,亚马逊云科技在构建云中安全之时,为企业客户提供了完全自主选择的权利,包括选用区域、服务的自主权,安全防护手段等等,在为企业客户提供更多云安全服务的基础上,引入丰富的安全合作伙伴,并在全球范围内总结各种安全最佳实践,以帮助客户更加安全地上云。
同时,亚马逊云科技还首创了安全责任共担模型,以推动安全及合规建设,具体来说,亚马逊云科技负责底层云基础设施和云服务安全,客户负责自身云业务安全,而责任共担的分界线,会随着IaaS、PaaS、SaaS不同的场景有所移动。如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。而在SaaS服务的时候,用户则主要负责数据和数据的访问权限。
顾凡谈到,亚马逊云科技主要通过四个方面来保证自身的安全合规。
第一是安全的基础设施。亚马逊云科技的数据中心和网络架构在构建时就会遵循最高的安全标准,全球所有数据中心和服务都会使用相同的构建标准和控制措施,而规模不同的客户都可以受益于这样具有高安全性的基础设施。
第二是安全的云服务。亚马逊云科技对服务的安全性十分重视,安全团队从一开始就会深入参与到新服务和新功能的开发之中,如果存在任何已知的安全问题,新服务将不会启动,此外亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
第三则是坚持客户拥有和控制服务的理念。在为客户提供云服务的同时,亚马逊云科技坚持不接触客户数据,客户可以选择任何方式加密数据,所有数据在离开亚马逊云科技的安全设施之前,也会经过物理层的自动加密。
最后,亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证,用户可以继承这些安全合规认证,从而顺利开展自身的全球化部署。
在确保自身安全合规之外,亚马逊云科技的另一大法宝便是对外提供云服务之时,会采用洋葱型的多层防护,以为客户提供全方位的安全服务。顾凡对此解释道,“安全团队最核心的理念就是不能阻止企业快速创新,要尽力在确保安全的情况下推动企业加速转型。而亚马逊云科技通过三方面的理念构建安全模型,从而为企业的安全团队提供最佳选择,具体来说,首先是利用云上事件驱动型架构构建自动化防护栏,让企业的开发团队能有更多时间投入到业务创新中,其次是主动设计云中安全,从规划预防、检测、响应和修复四个方面,未雨绸缪地设计安全防护,最后,云中安全必须是一个洋葱型的多层防护,通过层层递进的防护机制保护云上数据的安全。”
目前,亚马逊云科技以洋葱模型为基础,对外提供了280多种安全合规的服务和功能,从五个层面提供全方位的安全防护。
第一层是威胁检测与事件响应。在这一层中,威胁检测起到了专业天气预报员的作用,对安全威胁做到精准定位、快速反应和时刻监控。具体到服务上来看,Amazon Guard Duty集成了机器学习的能力,实现威胁的精准定位,为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,让报警量减少了50%,而Amazon Security Hub安全事件统一管理平台则可以让客户针对威胁检测7x24小时全天候监控,及时响应,并自动执行合规性检查。
第二层是身份认证与访问控制。亚马逊云科技提供了Amazon Identity and Access Management (IAM)作为身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制,实现一个组织的多账号集中管理和治理,建立权限防护机制和数据边界。
第三层是网络与基础设施安全。亚马逊云科技认为防御DDoS攻击是这一层防护的重点,而Amazon Shield Advanced则为用户提供了全天候的防护,Web应用防火墙服务Amazon WAF则通过丰富的规则库,使得客户能够灵活定义网络访问的规则。
第四层是数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据存储、传输和使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。而Amazon Cloud HSM提供了安全、简单的云上专属加密机。针对云端的机密计算环境则由Amazon Nitro Enclaves提供,客户可以通过该服务创建云上的隔离环境,减少敏感数据处理过程中的攻击面。
第五层则是风险管控和合规。亚马逊通过三方面来帮助用户合规,一是确保亚马逊云科技服务本身的合规性,二是合规方案落地,三是自动化审计。顾凡表示,亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,同时,亚马逊云科技通过Amazon Audit Manager 简化审计管理和合规性评估,简化合规审计的证据收集工作。并提供Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
现如今,云计算不仅成为企业运营商业案例的一种选择,还成为降低成本、确保持续可用性的有效手段,而在这个过程中,数据安全合规是出海企业的底座性防范措施,事关整个公司的长期生命力。企业在发展业务时,必须要有一套数据合规体系,应对各个国家的法律要求。亚马逊云科技正在通过自上而下的顶层设计,以安全为出发点,助力企业构建云上应用,使得他们能最大限度继承安全合规的能力,从而加速自身数字化转型的进程。
2020新书 亚马逊平台项目实战 高职高专院校跨境电子商务国际贸易专业教材亚马逊平台流程操作方法跨境
进入购买
标签: 亚马逊云科技,数据合规,云计算