2022年已经步入4月,现实中的全球宏观环境却变得日益复杂,因为各种新兴技术如雨后春笋般出现,互联网所处的环境也是如此。
为了更好的应对各种互联网中未知的情况,截至目前,全球已有132个国家与地区制定了数据保护和隐私相关的法律法规。最近几年,中国也陆续出台了《数据安全法》、《个人信息保护法》等各种法规。
同时,随着企业加速上云,可以预见,企业放到云上的数据类型、数据的数量会持续增加。此外,现在越来越多的中国企业在拓展海外市场,这一切都会加剧企业面对安全合规的挑战。
近日,亚马逊云科技宣布将持续加大在中国区域对安全合规领域的投入,为客户提供安全合规的基础设施和云服务。
3月24日,在 以“云计算为业务赋能,安全为云计算赋能”为主题的亚马逊云科技云上安全合规媒体沟通会上,亚马逊云科技大中华区战略业务发展部总经理顾凡为到场观众分享了亚马逊云科技在安全合规方面的理念、策略、实践。
顾凡表示,针对安全合规相关,客户通常都会关注三点:一是从自己的数据中心把应用迁移到云上是否安全;二是亚马逊云科技本身是否安全合规;三是把应用放到云上之后,亚马逊云科技如何帮助客户在云中安全合规。
自建数据中心是从0起步,选择云厂商则是从50分开始
面对以上客户经常遇到的疑虑,顾凡在会上进行了详细的解释。首先他表示,企业自建数据中心的时候也要构建安全,只不过需要自己构建一切,需要考虑到安全设备管理、合同签订、成本问题等。当应用上云之后,企业并不需要关心琐碎的底层基础设施安全,安全体验能够比自建数据中心再上一个台阶。
而云端“再上一个台阶”体现在如下几个方面:
一是更加自动化。可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地的环境下,采用的是不同厂商的产品,安全数据整合非常复杂,而在云上,服务之间的深度集成,会让数据整合变得更简单。
二是更好的可见性。有了更好的数据整合,在云上也会更有机会用一个集中的平台,实现安全的可视化管理。
三是更灵活的成本控制。云端安全是没有前期投入成本的,而是按照使用付费。
四是更高效地做合规。自建数据中心做合规需要从零开始做起。如果选择亚马逊云科技,客户可以继承云厂商的合规。
正因如此,全球才有数百万用户选择并且信赖亚马逊云科技。例如,纳斯达克交易所会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。
“两大支柱”确保亚马逊云科技云上安全合规
为什么亚马逊云科技会如此重视安全与合规?顾凡认为这与亚马逊云科技安全合规的两大支柱密不可分:
首先,亚马逊云科技有一个“Job Zero 安全文化”,也就是先要确保自身的安全合规,这也贯穿在亚马逊云科技整个企业当中,同时,其也在通过四个方面保证自身的安全合规:
1) 安全的基础设施。亚马逊云科技的数据中心和网络架构以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。
2) 安全的云服务。亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
3) 坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。
4) 亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。亚马逊云科技获得的安全标准及合规认证,用户可以继承。亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。
其次,亚马逊云科技确保云上安全合规的关键还在于洋葱型的多层防护,为客户打造五层防护体系:
第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。重点服务包括:1)Amazon GuardDuty为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。2)Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7x24 小时全天候监控,及时响应,并自动执行合规性检查。
第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破,有可能会带来意想不到的严重后果。没有好的身份认证的访问策略,就好像建了一座坚固的城堡,却把门打开给未知访客。关于身份认证,亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。三个技术建议:一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
第三层:网络与基础设施安全。防御DDoS(分布式拒绝服务攻击)是这一层防护的重点。DDoS防御应全年从始至终,而不能像急诊。如果等发现DDoS攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还国际一线安全厂商的托管规则。
第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
第五层:风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
目前,亚马逊云科技已经提供了280多项安全、合规服务及功能,在五大领域为客户提供全方位的安全服务。
德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源表示,作为亚马逊云科技全球核心级咨询合作伙伴,双方携手创建了云上安全实验室,为客户提供网络安全事件管理解决方案,并发布了一系列企业安全白皮书,为企业解读不同国家和地区关于数据安全和保护的法律法规。
在会议现场,亚马逊云科技进一步升级与德勤中国的合作,由德勤中国推出安全运营中心服务。薛梓源表示,“合规是红线,安全是底线。基于亚马逊云科技的德勤安全运营中心,将为企业提供7×24小时的安全检测和反应能力,提高网络安全的韧性,减少网络安全的风险,助力企业企业平稳快速发展。”
未来,德勤将继续深化与亚马逊云科技的合作,而亚马逊云科技作为业界翘楚的云服务厂商,也将为更多中国企业出海的安全合规、跨国企业进入中国的安全合规服务,保驾护航。
