隨著企業(yè)加速上云，云上的數(shù)據(jù)類型、數(shù)據(jù)數(shù)量持續(xù)增加。同時，越來越多的中國企業(yè)選擇出海，業(yè)務在全球范圍拓展，甚至跨若干行業(yè)賽道做競爭，這一切都加劇了企業(yè)在安全合規(guī)方面的挑戰(zhàn)。

目前，全球已經(jīng)有132個國家和地區(qū)制定了數(shù)據(jù)保護和隱私相關(guān)的法律法規(guī)。我國也陸續(xù)出臺了《數(shù)據(jù)安全法》、《個人信息保護法》等各種法規(guī)。用戶在選擇云服務廠商的時候，會特別關(guān)注安全合規(guī)的問題：上云安全么？云廠商提供的產(chǎn)品和服務本身是安全合規(guī)的嗎？將應用上云之后，云廠商如何幫助我們在云中安全合規(guī)？

面對這些問題，亞馬遜云科技是這樣做的。

首先，亞馬遜云科技從創(chuàng)立之初就將安全作為優(yōu)先級最高的工作“Job Zero”，每一個服務從設(shè)計階段就已經(jīng)融入了安全基因。

其次，亞馬遜云科技首創(chuàng)的安全責任共擔模型，奠定了云計算安全模型的標準，目前很多云廠商都遵循這一套標準為用戶帶來更安全的云。

具體來說，在安全責任共擔模型中，亞馬遜云科技負責自身云基礎(chǔ)設(shè)施和云服務的安全合規(guī)，還要拿到全球各種各樣的合規(guī)認證，讓客戶繼承這些合規(guī)認證。用戶則為自身云業(yè)務的安全負責，擁有完全的選擇權(quán)，包括選用哪個區(qū)域、使用哪種服務、訪問控制的授權(quán)、安全防護的手段等，客戶可以根據(jù)業(yè)務的實際情況和數(shù)據(jù)的重要性來采取適當?shù)陌踩弦?guī)措施。在這個過程中，亞馬遜云科技給用戶提供更多的云安全服務，讓客戶在構(gòu)建云中安全時使用；同時引入豐富的安全合作伙伴，為用戶提供更多的安全方案；最后，亞馬遜云科技為用戶提供了各行各業(yè)的安全最佳實踐。

目前，亞馬遜云科技在全球已經(jīng)獲得了98項安全標準和合規(guī)認證，并將全球積累的保護經(jīng)驗、安全合規(guī)的能力實踐到中國區(qū)域。目前北京區(qū)域和寧夏區(qū)域都通過了獨立的第三方機構(gòu)的驗證，完成了網(wǎng)絡安全等級保護三級的測評，獲得了中國信息通信研究院的可信云的服務評估。同時亞馬遜云科技在國內(nèi)也獲得了通行的ISO一系列的信息安全質(zhì)量管理認證，以及PCI-DSS、SOC等行業(yè)方面的信息安全認證。亞馬遜云科技在全球安全合規(guī)方面持續(xù)投入，繼續(xù)領(lǐng)先，定期對數(shù)千個全球合規(guī)性進行第三方驗證的更新迭代，如歐洲云基礎(chǔ)設(shè)施服務提供商數(shù)據(jù)保護行為準則（CISPE準則），亞馬遜云科技至今已經(jīng)有50多項服務符合CISPE準則。

堅守快速創(chuàng)新與安全合規(guī)之間的平衡

快速創(chuàng)新的同時確保安全是企業(yè)一直在平衡的難題。對此，亞馬遜云科技有三個理念。首先是利用云上的事件驅(qū)動型架構(gòu)，建立起一套從威脅檢測到事件反應、原因分析、恢復的自動化防護，只有自動化才有機會讓企業(yè)的開發(fā)團隊把更多的時間放在業(yè)務創(chuàng)新上。

第二，云中安全是主動設(shè)計出來的，而不僅是被動響應。安全和業(yè)務是融為一體的，而安全合規(guī)一定是基于設(shè)計的，而不是基于對安全合規(guī)事件的后知后覺的響應，安全建設(shè)要未雨綢繆，從四個方面來設(shè)計：規(guī)劃預防、檢測、響應、修復。

第三，云中安全必須是一個洋蔥型的，層層遞進的防護機制。

詳解洋蔥型多層防護模型

亞馬遜云科技的洋蔥型多層防護模型共五層：威脅檢測與事件響應、身份認證與訪問控制、網(wǎng)絡與基礎(chǔ)架構(gòu)安全、數(shù)據(jù)保護與隱私、風險管控及合規(guī)。

第一層威脅檢測和事件響應：顧凡表示，亞馬遜云科技的威脅檢測和事件響應方案就像一個專業(yè)的天氣預報員，具備四大因素：精準定位、快速反應、時刻監(jiān)控、分析原因。Amazon GuardDuty可以實現(xiàn)威脅的精準定位，它內(nèi)嵌了亞馬遜電商的第一手威脅情報源，集成了行業(yè)頂尖的CrowdStrike和Proofpoint威脅情報源，同時和世界上一系列頂尖的安全公司合作，持續(xù)不斷地豐富情報源。第二，Amazon GuardDuty集成了機器學習的能力，針對API的調(diào)用行為建模，并結(jié)合概率預測，從而更準確地隔離和警告高度可疑的用戶行為。機器學習對比單獨的異常檢測相比，可以將可疑用戶行為的警報量減少50%。

Amazon Security Hub實現(xiàn)了威脅檢測7X24小時全天候在線實時監(jiān)測，還連接了威脅事件的上下游分析原因。Amazon Security Hub還可以將數(shù)據(jù)發(fā)送給用Splunk或者用Splunk架構(gòu)的一堆的SIEM的平臺，做更進一步的分析和可視化。

第二層身份認證和訪問控制：保持最小授權(quán)原則，每一次授權(quán)都要確認是否必須與業(yè)務和職責相關(guān)；第二，要對最小授權(quán)原則定期要進行審計。

技術(shù)上要盡可能細化訪問的顆粒度，可以根據(jù)時間、地點、服務去設(shè)置訪問條件，同時最好結(jié)合MFA來做加強身份認證，并且要減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權(quán)限防護機制和數(shù)據(jù)邊界。

第三層網(wǎng)絡和基礎(chǔ)設(shè)施安全：亞馬遜云科技在網(wǎng)絡的邊緣側(cè)的重要防護產(chǎn)品是Amazon Shield advanced ，顧凡表示，Amazon Shield advanced提供的就像保險一樣的服務，只要將資源加載到Amazon Shield Advanced，就會得到全天候的保護，而且收費和攻擊的流量大小和次數(shù)是無關(guān)的。另一個重要產(chǎn)品是Amazon WAF。Amazon WAF針對應用層的攻擊，有豐富的規(guī)則庫，既有亞馬遜安全專家團隊針對最新攻擊自研的規(guī)則，全托管的規(guī)則，也有用戶根據(jù)自己需求而自定義的規(guī)則，客戶還可以把合作伙伴的規(guī)則都加載上來。

第四層數(shù)據(jù)保護和隱私層：Amazon KMS密鑰管理服務實現(xiàn)了存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數(shù)據(jù)加密。Amazon CloudHSM提供了安全、簡單的云上專屬加密機。亞馬遜云科技提供了一個數(shù)據(jù)全生命周期的加密服務，不僅是在數(shù)據(jù)存儲階段，包括在數(shù)據(jù)使用的整個鏈條、傳輸以及真正被調(diào)取出來做計算使用階段的加密都要考慮。

此外，Amazon Nitro Enclaves提供了一個云端的機密計算環(huán)境，通過它，客戶可以創(chuàng)建一個隔離的環(huán)境來處理敏感數(shù)據(jù)，而無需向他們自己的系統(tǒng)管理員、開發(fā)人員和應用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

第五層風險管控和合規(guī)：包括亞馬遜云科技服務自身的合規(guī)性；成熟的合規(guī)方案即最佳實踐；Amazon Audit Manager幫助客戶合規(guī)審計；對合作伙伴的咨詢和落地能力提供大量經(jīng)驗。

結(jié)語

亞馬遜云科技憑借出色的可見性和控制力；深度集成實現(xiàn)自動化；以最高的安全與隱私保護標準構(gòu)建；客戶可以繼承的安全性與合規(guī)性；豐富的安全、合規(guī)合作伙伴，這五大優(yōu)勢，為企業(yè)提供了云安全的最佳實踐和培訓，助力客戶構(gòu)建了云安全文化和戰(zhàn)略，賦能企業(yè)在云上走的更穩(wěn)、更安全！