亚马逊云科技的云上安全合规策略

“我们出去见客户的时候，针对安全合规，客户经常问到我们三个问题：一，我从自己的数据中心，把我的应用迁移到云上，安全吗？二，亚马逊云科技本身是不是安全合规？三，我现在想上云，我也愿意上云，我把应用放到云上之后，亚马逊云科技如何帮助我在云中实现安全合规？”日前，在一场有关“云上安全合规”的会议上，亚马逊云科技大中华区战略业务发展部总经理顾凡提出了目前企业用户对于云上安全方面的几大顾虑。

事实上，随着整个社会数字化进程的加速，数据已经成为能够推动和控制物理世界的重要因素。甚至在很多数字化程度较高的领域和行业——如金融领域、工业领域、零售领域等——数据本身已经能够代替人工去驱动相应物理世界的运行。因此，数据本身的安全就已经不再仅仅是一个IT层面需要考虑的数字资产的问题，而是一个可能会影响到现实、具体人类社会的重大议题。在过去一段时间，包括中国在内的很多国家都颁布了与数据保护和隐私保护相关的法律法规，如中国就在最近推出了《数据安全法》、《个人信息保护法》等，从立法的角度，规范在数字化领域的安全边界。

即便如此，对于具体的企业用户而言，日益频发的安全问题依然成为其深化数字化转型的障碍：企业数字化程度越深，现实业务对于数据的依赖程度也就越深，那么数据安全的重要性也就越大。但是作为IT行业典型的“猫鼠游戏”中的双方，相对于来自未知领域的安全威胁和隐患，自身已经掌握的安全保障总是显得并不充分。尤其是对于普遍被作为企业用户数字化转型基础的云计算，企业如何充分掌握100%的控制权，是提升企业用户安全感的重要因素。

在顾凡看来，把应用从客户数据中心迁到云上不仅是安全的，而且还能够帮助企业用户在安全体验再上一个台阶：“企业用户在自建数据中心时，也要构建安全架构。只不过，那时需要企业自己来构建一切，需要考虑包括安全设备管理、合同签订、成本等一系列问题；当客户把自己应用上云之后，企业并不需要关心琐碎的底层基础设施安全，而且它在云端的安全治理有机会再上一个台阶——以往来源于不同的产品做安全数据整合，会非常地复杂，但是在云上，服务之间都是彼此深度集成，因此会让数据整合变得更简单，数据整合后便于更好的做安全的可视化管理；作为云服务提供商，可以为企业用户提供自动执行合规任务，此外，企业还可以直接继承云服务提供商的合规体系。”

至于企业针对云服务提供商本身提出的安全质疑，顾凡结合亚马逊云科技自身的安全机制，谈到了亚马逊云科技首创的“安全责任共担模型”：“亚马逊云科技负责云自身的安全合规，这不仅代表我们要负责我们云基础设施和云服务的安全，也代表着我们要为我们的云基础设施和云服务拿到全球各种各样的合规认证，让客户继承这些合规认证；而用户则需要是为自身的云业务安全负责，但是亚马逊云科技会帮客户建设云中的安全防护，这里面最核心的一个理念是：用户是拥有完全的权利，包括选用哪个区域、使用哪种服务、访问控制的授权、安全防护的手段等，客户可以根据业务的实际情况和数据的重要性来采取适当的安全合规措施。”

顾凡强调，基于这样一套“安全责任共担模型”，亚马逊云科技从基础设施、服务、客户拥有和控制数据的原则、全球安全合规认证等四个方面，来保证其自身的安全合规。“打铁还需自身硬。目前，亚马逊云科技已经把全球积累的保护经验、安全合规的能力实践到中国区域。目前，亚马逊云科技中国的北京区域和宁夏区域都通过了独立的第三方机构的验证，也都完成了网络安全等级保护三级的测评，还获得了中国信息通信研究院的可信云的服务评估。同时我们在国内也获得了通行的ISO一系列的信息安全质量管理认证，和像PCI-DSS、SOC等这些行业方面的信息安全认证。”顾凡说。

而对于三个问题中最难回答的“企业用户应该如何构建自己的云中安全合规体系”，顾凡提出了亚马逊云科技的三条理念：第一，企业需要利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡；第二，安全建设应该未雨绸缪，应用企业应该根据业务的情况和系统的特点，主动从技术和管理的层面去落实，而不仅是被动响应；第三，云中安全必须是一个洋葱型的多层防护。

“云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。”顾凡说：“鸡蛋虽然给人感觉外壳比洋葱更坚硬，但实际上它是单层防护，而云上安全一定像洋葱一样层层递进的防护机制。”

在亚马逊云科技的洋葱模型中，为企业用户提供了五个层次的安全服务：第一层是威胁检测与事件响应；第二层是身份认证与访问控制；第三层是网络与基础设施安全；第四层是数据保护与隐私；第五层是风险管控及合规。“亚马逊云科技中国区域始终在加强这方面安全服务的建设，努力把这些领先的安全服务快速的引入中国：截止到2021年，亚马逊云科技在中国区域已经推出了50多项安全和合规服务、功能。中国大陆的两个区域提供的云服务和其他亚马逊云科技区域提供的云服务，从功能上来说都是一样的。但是很重要的是，它又跟亚马逊云科技其他区域是物理隔离的——亚马逊云科技中国（北京）区域和亚马逊云科技中国（宁夏）区域通过独立的第三方机构验证其标准符合能力，已经完成了网络安全等级保护三级测评等。”顾凡说。

事实上对于最终的应用企业而言，虽然之前提出的三个问题都得到了答案，但是，要想将这些基于技术体系构建的IT逻辑落实到应用层面，依然难度不小。

在2021年，亚马逊云科技与其核心级咨询合作伙伴德勤中国合作，共同成立了一个云上安全实验室：基于亚马逊云科技的平台提供的托管安全服务、安全合规服务、基础设施安全服务、应用安全服务，德勤为企业用户提供包括安全咨询、系统部署、安全运营整体服务在内的全程端到端服务。到了2022年，双方的合作得到了升级：共同推出了基于亚马逊云科技的德勤安全运营中心服务。

无论是“实验室”还是“安全运营中心”，实际上都是为了能让技术以尽可能低的门槛，在企业当中得到更广泛的应用。“今年推出的安全运营中心，是因为我们看到了安全运营在企业内部安全管理是最核心的内容——跨国企业使用非常普遍。”德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源在接受采访时强调，对于企业级的安全运营中心而言，由于构成的组件非常多，所以如果是企业要自建，“它可能不是简单地投入一些硬件、一些软件那么简单，这个投入是海量的。而且，其对于安全分析人员的技能要求也是很高的。”

薛梓源强调，安全运营中心能够提供给企业用户的价值，第一是增强企业信息安全管理能力，助力企业快速平稳发展，规避网络攻击带来的额外成本；第二是提供全程的安全分析，提高网络安全的韧性，减少网络安全的风险。

写在最后

数字化带来的安全隐患和合规风险，是以往企业所没有经历过的，是一个新课题。要解决这一问题，实际上依然需要云服务提供商和企业用户双方面的共同努力——企业应用上云的主动性是其中的决定性因素。