，伴隨著數(shù)字經(jīng)濟(jì)深入到社會(huì)生活的更多領(lǐng)域，數(shù)據(jù)的安全性越來(lái)越受到關(guān)注目前，全球已有132個(gè)國(guó)家跟地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)，中國(guó)也出臺(tái)了數(shù)據(jù)安全法，個(gè)人信息保護(hù)法等相關(guān)法規(guī)

是否能有效，穩(wěn)定，持續(xù)保障企業(yè)數(shù)據(jù)安全，成為各家企業(yè)在選擇合作的云廠商時(shí)尤為關(guān)注的考量指標(biāo)作為全球最大的云計(jì)算服務(wù)商，亞馬遜云科技?xì)v經(jīng)15年的發(fā)展，在云上安全合規(guī)方面又有哪些先進(jìn)理念和成功實(shí)踐呢

最近幾天，亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡就詳細(xì)介紹了確保云上安全合規(guī)的兩大支柱:一是亞馬遜云科技自身的安全合規(guī)，二是亞馬遜云科技為客戶打造的洋蔥形多層防護(hù)體系。

在確保亞馬遜云科技自身的安全合規(guī)上，一方面，在理念上，亞馬遜云科技提出了Job Zero 安全文化，將安全作為亞馬遜云科技最高優(yōu)先級(jí)的工作，同時(shí)，首創(chuàng)安全責(zé)任共擔(dān)模型，亞馬遜云科技負(fù)責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全，客戶負(fù)責(zé)自身云業(yè)務(wù)安全，雙方共同推動(dòng)安全及合規(guī)建設(shè)。科技業(yè)人士克里?奎因(CoreyQuinn)曾經(jīng)在私營(yíng)的Duckbill集團(tuán)擔(dān)任首席云經(jīng)濟(jì)學(xué)家，幫助客戶公司降低他們?cè)趤嗰R遜云計(jì)算的開(kāi)支。這一服務(wù)相當(dāng)于讓企業(yè)用戶在亞馬遜數(shù)據(jù)中心租賃到了實(shí)體服務(wù)器虛擬的“一部分”。

另一方面，在實(shí)踐中，亞馬遜云科技通過(guò)四個(gè)方面保證自身的安全合規(guī):一是采用高安全性的基礎(chǔ)設(shè)施，數(shù)據(jù)中心和網(wǎng)絡(luò)架構(gòu)以最高安全標(biāo)準(zhǔn)構(gòu)建，二是重視每一個(gè)云服務(wù)的安全性，盡量多實(shí)現(xiàn)安全自動(dòng)化，減少人工配置錯(cuò)誤，降低風(fēng)險(xiǎn)，三是堅(jiān)持客戶擁有和控制數(shù)據(jù)，所有數(shù)據(jù)流動(dòng)在離開(kāi)亞馬遜云科技的安全設(shè)施之前，都經(jīng)過(guò)物理層自動(dòng)加密，四是亞馬遜云科技獲得了幾乎滿足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)認(rèn)證，這些合規(guī)認(rèn)證客戶可以直接繼承。

而在確保客戶數(shù)據(jù)安全方面，亞馬遜云科技則打造出五層防護(hù)體系顧凡強(qiáng)調(diào):云中安全必須是一個(gè)洋蔥型的多層防護(hù)，而不是一個(gè)雞蛋

在亞馬遜云科技的五層防護(hù)洋蔥模型中，第一層是威脅檢測(cè)與事件響應(yīng)。

顧凡介紹，威脅檢測(cè)就像專業(yè)的天氣預(yù)報(bào)員，需要能夠?qū)Π踩{做到精準(zhǔn)定位，快速反應(yīng)，時(shí)刻監(jiān)控，并且能夠分析原因。

針對(duì)威脅檢測(cè)與事件響應(yīng)，目前，Amazon Guard Duty可持續(xù)檢測(cè)在亞馬遜云科技中發(fā)生的威脅，具有豐富的情報(bào)源，同時(shí)，Amazon GuardDuty 集成了機(jī)器學(xué)習(xí)的能力，實(shí)現(xiàn)威脅的精準(zhǔn)定位，讓報(bào)警量減少了50%另外，Amazon Security Hub安全事件統(tǒng)一管理平臺(tái)，讓客戶針對(duì)威脅檢測(cè)7x24 小時(shí)全天候監(jiān)控，及時(shí)響應(yīng)，并自動(dòng)執(zhí)行合規(guī)性檢查

洋蔥模型第二層:身份認(rèn)證與訪問(wèn)控制。

身份認(rèn)證和訪問(wèn)如一座堅(jiān)固城堡的大門某一點(diǎn)的身份認(rèn)證被攻破，有可能會(huì)帶來(lái)意想不到的嚴(yán)重后果沒(méi)有好的身份認(rèn)證的訪問(wèn)策略，就好像建了一座堅(jiān)固的城堡，卻把門打開(kāi)給未知訪客顧凡比喻道

根據(jù)消息顯示，關(guān)于身份認(rèn)證，亞馬遜云科技有兩個(gè)經(jīng)驗(yàn)和三個(gè)技術(shù)建議經(jīng)驗(yàn)之一是保持最小授權(quán)原則，每一次授權(quán)都要確認(rèn)是否必須，是否與業(yè)務(wù)/職責(zé)相關(guān)經(jīng)驗(yàn)之二是要對(duì)最小授權(quán)原則定期進(jìn)行審計(jì)，不要有永久授權(quán)，所有的授權(quán)都必須有時(shí)效性三個(gè)技術(shù)建議:一是盡可能細(xì)化訪問(wèn)的顆粒度，可以根據(jù)時(shí)間，地點(diǎn)和服務(wù)來(lái)設(shè)置訪問(wèn)條件，二是結(jié)合多因素鑒證技術(shù)加強(qiáng)身份認(rèn)證，三是減少長(zhǎng)期憑證的使用目前，Amazon Identity and Access Management 是身份認(rèn)證與訪問(wèn)控制的核心服務(wù)，它可以提供涵蓋整個(gè)亞馬遜云科技所有服務(wù)和資源的精細(xì)訪問(wèn)控制Amazon Organizations是一個(gè)高效的身份認(rèn)證與訪問(wèn)控制服務(wù)，可以對(duì)一個(gè)組織的多賬號(hào)進(jìn)行集中管理和治理，建立權(quán)限防護(hù)機(jī)制和數(shù)據(jù)邊界

洋蔥模型第三層:網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。

顧凡介紹，防御DDoS攻擊是這一層防護(hù)的重點(diǎn)DDoS防御應(yīng)全年從始至終，而不能像急診如果等發(fā)現(xiàn)DDoS攻擊之后再處理，業(yè)務(wù)的穩(wěn)定性和持續(xù)性已經(jīng)受到影響了目前，Amazon ShieldAdvanced就可以為客戶提供全天候的保護(hù)網(wǎng)絡(luò)訪問(wèn)規(guī)則是一切防御的基礎(chǔ)，Web應(yīng)用防火墻服務(wù)Amazon WAF 提供了豐富的規(guī)則庫(kù)，有亞馬遜安全團(tuán)隊(duì)自研的全托管規(guī)則，客戶也可以自定義規(guī)則

洋蔥模型第四層:數(shù)據(jù)保護(hù)與隱私。。

亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù)，對(duì)數(shù)據(jù)的保護(hù)涵蓋了數(shù)據(jù)的存儲(chǔ)，傳輸以及使用的各個(gè)環(huán)節(jié)Amazon KMS密鑰管理服務(wù)實(shí)現(xiàn)存儲(chǔ)過(guò)程中的加密，它與亞馬遜云科技140個(gè)服務(wù)集成，可以對(duì)存儲(chǔ)在這些服務(wù)中的數(shù)據(jù)加密針對(duì)數(shù)據(jù)保密性要求更高的客戶，Amazon CloudHSM提供了安全，簡(jiǎn)單的云上專屬加密機(jī)Amazon Nitro Enclaves提供了一個(gè)云端的機(jī)密計(jì)算環(huán)境，通過(guò)它，客戶可以創(chuàng)建一個(gè)隔離的環(huán)境來(lái)處理敏感數(shù)據(jù)，而無(wú)需向自己的系統(tǒng)管理員，開(kāi)發(fā)人員和應(yīng)用程序提供訪問(wèn)權(quán)限，從而減少敏感數(shù)據(jù)處理過(guò)程中的攻擊面

洋蔥模型第五層:風(fēng)險(xiǎn)管控及合規(guī)。

顧凡介紹:亞馬遜云科技從三個(gè)方面幫助用戶合規(guī)一是確保亞馬遜云科技服務(wù)本身的合規(guī)性，二是合規(guī)方案落地，三是自動(dòng)化審計(jì)

通過(guò)Amazon Audit Manager 簡(jiǎn)化審計(jì)管理和合規(guī)性評(píng)估，Audit Manager可能自動(dòng)掃描，搜集證據(jù)，還提供了各種合規(guī)認(rèn)證的模板，可以簡(jiǎn)化合規(guī)審計(jì)的證據(jù)收集工作此外，亞馬遜云科技還提供了Amazon Trusted Advisor定制云計(jì)算專家，Amazon Security Bulletins安全公告，Amazon Security Documentation云服務(wù)配置建議等各種在線工具，將所有的安全合規(guī)經(jīng)驗(yàn)都對(duì)客戶傾囊相授

在顧凡看來(lái)，亞馬遜云科技在安全合規(guī)的五大優(yōu)勢(shì)，包括出色的可見(jiàn)性和控制力，深度集成實(shí)現(xiàn)自動(dòng)化，以最高的安全與隱私保護(hù)標(biāo)準(zhǔn)構(gòu)建，客戶可以繼承亞馬遜云科技全面的安全性與合規(guī)性控制，豐富的安全，合規(guī)合作伙伴?？蝾A(yù)測(cè)，AWS一半以上的收入來(lái)自于EC2計(jì)算服務(wù)。

截至目前，亞馬遜云科技在中國(guó)區(qū)域已推出50多項(xiàng)安全合規(guī)的服務(wù)和功能，包括 Web應(yīng)用程序防火墻Amazon WAF，威脅檢測(cè)服務(wù)Amazon GuardDuty和安全事件統(tǒng)一管理平臺(tái)Amazon Security Hub等顧凡表示，未來(lái)，亞馬遜云科技將持續(xù)繼續(xù)引入全球安全合作伙伴到中國(guó)，也會(huì)繼續(xù)加強(qiáng)和本土合作伙伴的合作，更好地滿足客戶在國(guó)內(nèi)安全合規(guī)方面的需求