隨著企業(yè)加速上云，云上的數(shù)據(jù)類型、數(shù)據(jù)數(shù)量持續(xù)增加。同時(shí)，越來越多的中國企業(yè)選擇出海，業(yè)務(wù)在全球范圍拓展，甚至跨若干行業(yè)賽道做競爭，這一切都加劇了企業(yè)在安全合規(guī)方面的挑戰(zhàn)。

目前，全球已經(jīng)有132個(gè)國家和地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)。我國也陸續(xù)出臺(tái)了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等各種法規(guī)。用戶在選擇云服務(wù)廠商的時(shí)候，會(huì)特別關(guān)注安全合規(guī)的問題：上云安全么？云廠商提供的產(chǎn)品和服務(wù)本身是安全合規(guī)的嗎？將應(yīng)用上云之后，云廠商如何幫助我們?cè)谠浦邪踩弦?guī)？

面對(duì)這些問題，亞馬遜云科技是這樣做的。

首先，亞馬遜云科技從創(chuàng)立之初就將安全作為優(yōu)先級(jí)最高的工作“Job Zero”，每一個(gè)服務(wù)從設(shè)計(jì)階段就已經(jīng)融入了安全基因。

其次，亞馬遜云科技首創(chuàng)的安全責(zé)任共擔(dān)模型，奠定了云計(jì)算安全模型的標(biāo)準(zhǔn)，目前很多云廠商都遵循這一套標(biāo)準(zhǔn)為用戶帶來更安全的云。

具體來說，在安全責(zé)任共擔(dān)模型中，亞馬遜云科技負(fù)責(zé)自身云基礎(chǔ)設(shè)施和云服務(wù)的安全合規(guī)，還要拿到全球各種各樣的合規(guī)認(rèn)證，讓客戶繼承這些合規(guī)認(rèn)證。用戶則為自身云業(yè)務(wù)的安全負(fù)責(zé)，擁有完全的選擇權(quán)，包括選用哪個(gè)區(qū)域、使用哪種服務(wù)、訪問控制的授權(quán)、安全防護(hù)的手段等，客戶可以根據(jù)業(yè)務(wù)的實(shí)際情況和數(shù)據(jù)的重要性來采取適當(dāng)?shù)陌踩弦?guī)措施。在這個(gè)過程中，亞馬遜云科技給用戶提供更多的云安全服務(wù)，讓客戶在構(gòu)建云中安全時(shí)使用；同時(shí)引入豐富的安全合作伙伴，為用戶提供更多的安全方案；最后，亞馬遜云科技為用戶提供了各行各業(yè)的安全最佳實(shí)踐。

目前，亞馬遜云科技在全球已經(jīng)獲得了98項(xiàng)安全標(biāo)準(zhǔn)和合規(guī)認(rèn)證，并將全球積累的保護(hù)經(jīng)驗(yàn)、安全合規(guī)的能力實(shí)踐到中國區(qū)域。目前北京區(qū)域和寧夏區(qū)域都通過了獨(dú)立的第三方機(jī)構(gòu)的驗(yàn)證，完成了網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)的測評(píng)，獲得了中國信息通信研究院的可信云的服務(wù)評(píng)估。同時(shí)亞馬遜云科技在國內(nèi)也獲得了通行的ISO一系列的信息安全質(zhì)量管理認(rèn)證，以及PCI-DSS、SOC等行業(yè)方面的信息安全認(rèn)證。亞馬遜云科技在全球安全合規(guī)方面持續(xù)投入，繼續(xù)領(lǐng)先，定期對(duì)數(shù)千個(gè)全球合規(guī)性進(jìn)行第三方驗(yàn)證的更新迭代，如歐洲云基礎(chǔ)設(shè)施服務(wù)提供商數(shù)據(jù)保護(hù)行為準(zhǔn)則（CISPE準(zhǔn)則），亞馬遜云科技至今已經(jīng)有50多項(xiàng)服務(wù)符合CISPE準(zhǔn)則。

堅(jiān)守快速創(chuàng)新與安全合規(guī)之間的平衡

快速創(chuàng)新的同時(shí)確保安全是企業(yè)一直在平衡的難題。對(duì)此，亞馬遜云科技有三個(gè)理念。首先是利用云上的事件驅(qū)動(dòng)型架構(gòu)，建立起一套從威脅檢測到事件反應(yīng)、原因分析、恢復(fù)的自動(dòng)化防護(hù)，只有自動(dòng)化才有機(jī)會(huì)讓企業(yè)的開發(fā)團(tuán)隊(duì)把更多的時(shí)間放在業(yè)務(wù)創(chuàng)新上。

第二，云中安全是主動(dòng)設(shè)計(jì)出來的，而不僅是被動(dòng)響應(yīng)。安全和業(yè)務(wù)是融為一體的，而安全合規(guī)一定是基于設(shè)計(jì)的，而不是基于對(duì)安全合規(guī)事件的后知后覺的響應(yīng)，安全建設(shè)要未雨綢繆，從四個(gè)方面來設(shè)計(jì)：規(guī)劃預(yù)防、檢測、響應(yīng)、修復(fù)。

第三，云中安全必須是一個(gè)洋蔥型的，層層遞進(jìn)的防護(hù)機(jī)制。

詳解洋蔥型多層防護(hù)模型

亞馬遜云科技的洋蔥型多層防護(hù)模型共五層：威脅檢測與事件響應(yīng)、身份認(rèn)證與訪問控制、網(wǎng)絡(luò)與基礎(chǔ)架構(gòu)安全、數(shù)據(jù)保護(hù)與隱私、風(fēng)險(xiǎn)管控及合規(guī)。

第一層威脅檢測和事件響應(yīng)：顧凡表示，亞馬遜云科技的威脅檢測和事件響應(yīng)方案就像一個(gè)專業(yè)的天氣預(yù)報(bào)員，具備四大因素：精準(zhǔn)定位、快速反應(yīng)、時(shí)刻監(jiān)控、分析原因。Amazon GuardDuty可以實(shí)現(xiàn)威脅的精準(zhǔn)定位，它內(nèi)嵌了亞馬遜電商的第一手威脅情報(bào)源，集成了行業(yè)頂尖的CrowdStrike和Proofpoint威脅情報(bào)源，同時(shí)和世界上一系列頂尖的安全公司合作，持續(xù)不斷地豐富情報(bào)源。第二，Amazon GuardDuty集成了機(jī)器學(xué)習(xí)的能力，針對(duì)API的調(diào)用行為建模，并結(jié)合概率預(yù)測，從而更準(zhǔn)確地隔離和警告高度可疑的用戶行為。機(jī)器學(xué)習(xí)對(duì)比單獨(dú)的異常檢測相比，可以將可疑用戶行為的警報(bào)量減少50%。

Amazon Security Hub實(shí)現(xiàn)了威脅檢測7X24小時(shí)全天候在線實(shí)時(shí)監(jiān)測，還連接了威脅事件的上下游分析原因。Amazon Security Hub還可以將數(shù)據(jù)發(fā)送給用Splunk或者用Splunk架構(gòu)的一堆的SIEM的平臺(tái)，做更進(jìn)一步的分析和可視化。

第二層身份認(rèn)證和訪問控制：保持最小授權(quán)原則，每一次授權(quán)都要確認(rèn)是否必須與業(yè)務(wù)和職責(zé)相關(guān)；第二，要對(duì)最小授權(quán)原則定期要進(jìn)行審計(jì)。

技術(shù)上要盡可能細(xì)化訪問的顆粒度，可以根據(jù)時(shí)間、地點(diǎn)、服務(wù)去設(shè)置訪問條件，同時(shí)最好結(jié)合MFA來做加強(qiáng)身份認(rèn)證，并且要減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認(rèn)證與訪問控制的核心服務(wù)，它可以提供涵蓋整個(gè)亞馬遜云科技所有服務(wù)和資源的精細(xì)訪問控制。Amazon Organizations是一個(gè)高效的身份認(rèn)證與訪問控制服務(wù)，可以對(duì)一個(gè)組織的多賬號(hào)進(jìn)行集中管理和治理，建立權(quán)限防護(hù)機(jī)制和數(shù)據(jù)邊界。

第三層網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全：亞馬遜云科技在網(wǎng)絡(luò)的邊緣側(cè)的重要防護(hù)產(chǎn)品是Amazon Shield advanced ，顧凡表示，Amazon Shield advanced提供的就像保險(xiǎn)一樣的服務(wù)，只要將資源加載到Amazon Shield Advanced，就會(huì)得到全天候的保護(hù)，而且收費(fèi)和攻擊的流量大小和次數(shù)是無關(guān)的。另一個(gè)重要產(chǎn)品是Amazon WAF。Amazon WAF針對(duì)應(yīng)用層的攻擊，有豐富的規(guī)則庫，既有亞馬遜安全專家團(tuán)隊(duì)針對(duì)最新攻擊自研的規(guī)則，全托管的規(guī)則，也有用戶根據(jù)自己需求而自定義的規(guī)則，客戶還可以把合作伙伴的規(guī)則都加載上來。

第四層數(shù)據(jù)保護(hù)和隱私層：Amazon KMS密鑰管理服務(wù)實(shí)現(xiàn)了存儲(chǔ)過程中的加密，它與亞馬遜云科技140個(gè)服務(wù)集成，可以對(duì)存儲(chǔ)在這些服務(wù)中的數(shù)據(jù)加密。Amazon CloudHSM提供了安全、簡單的云上專屬加密機(jī)。亞馬遜云科技提供了一個(gè)數(shù)據(jù)全生命周期的加密服務(wù)，不僅是在數(shù)據(jù)存儲(chǔ)階段，包括在數(shù)據(jù)使用的整個(gè)鏈條、傳輸以及真正被調(diào)取出來做計(jì)算使用階段的加密都要考慮。

此外，Amazon Nitro Enclaves提供了一個(gè)云端的機(jī)密計(jì)算環(huán)境，通過它，客戶可以創(chuàng)建一個(gè)隔離的環(huán)境來處理敏感數(shù)據(jù)，而無需向他們自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

第五層風(fēng)險(xiǎn)管控和合規(guī)：包括亞馬遜云科技服務(wù)自身的合規(guī)性；成熟的合規(guī)方案即最佳實(shí)踐；Amazon Audit Manager幫助客戶合規(guī)審計(jì)；對(duì)合作伙伴的咨詢和落地能力提供大量經(jīng)驗(yàn)。

結(jié)語

亞馬遜云科技憑借出色的可見性和控制力；深度集成實(shí)現(xiàn)自動(dòng)化；以最高的安全與隱私保護(hù)標(biāo)準(zhǔn)構(gòu)建；客戶可以繼承的安全性與合規(guī)性；豐富的安全、合規(guī)合作伙伴，這五大優(yōu)勢(shì)，為企業(yè)提供了云安全的最佳實(shí)踐和培訓(xùn)，助力客戶構(gòu)建了云安全文化和戰(zhàn)略，賦能企業(yè)在云上走的更穩(wěn)、更安全！