15年前云計算服務初起之時，四川某大型家電企業CIO提出：未來的云計算基礎設施會像自來水一樣，成為人們生產生活當中不可或缺的部分，但他同時對云上安全合規提出了擔憂。

　　顯然，上述情況在今天已經成為現實，同時，安全合規也成為企業上云的一大挑戰。亞馬遜云科技大中華區戰略業務發展部總經理顧凡在近日首次詳解亞馬遜云科技安全合規策略時表示，安全服務應該跟水和空氣一樣，不能靠水和空氣產生運營，亞馬遜云科技真正要做的是給客戶提供的優質的“水和空氣”，創造一個安全的云上環境。

亞馬遜云科技大中華區戰略業務發展部總經理顧凡

　　數字化轉型直面云安全挑戰

　　對于云安全，企業在邏輯上一般會有三個問題：一是把應用從本地遷移到云上安全嗎？二是云廠商本身是不是安全合規的？三是上云之后，云廠商如何幫助自己實現云中安全合規？

　　先看看上云趨勢。2018-2020年，推動企業上云是工業和信息化部推進企業數字化轉型的一個重要組成部分。今天，鼓勵上云的政策越來越精細化，如進一步“推動企業核心業務上云”，工業互聯網是重點路徑之一。

　　邊界的融合帶來安全合規新挑戰，企業面臨的安全合規要求顯然日益復雜，全球已經有132個國家和地區制定了數據保護和隱私相關的法律法規。在國內，則先后出臺了《數據安全法》、《個人信息保護法》等各種法規。

　　隨著企業加速上云，企業放到云上的數據類型和數據量在持續增加。而隨著中國企業“出海”，很多企業業務在全球范圍拓展，甚至有很多企業是跨若干行業賽道，所有這一切都會加劇企業安全合規的挑戰。

　　上云，是企業數字化轉型的戰略組成部分。安全，是上云的首要問題。企業自行構建一切需要考慮底層基礎設施安全等問題，而應用上云后，企業則無需關注這些瑣碎的問題，云端平臺的安全合規更專業。顧凡表示，“企業上云，安全體驗能夠比自建數據中心再上一個臺階”，這主要體現在：

　　一是更自動化。企業可以充分利用云端安全服務之間的超高集成度，更好地做到安全自動化。而在本地環境下，不同廠商的產品，安全數據整合非常復雜。

　　二是更好的可見性。有了更好的數據整合，應用在云上，意味著有機會用一個集中的平臺，實現安全的可視化管理。

　　三是更靈活的成本控制。云端安全沒有前期投入成本，按使用付費。

　　四是更高效的合規。自建數據中心做合規需要從零開始做起。如果選擇云服務，意味著可以繼承云廠商的合規，可能是從50分開始做起，另外50分云廠商已經做好。

　　四大舉措確保自身安全合規

　　云廠商本身的安全是確保業務上云安全合規的基石。那么，亞馬遜云科技自身的安全合規有何特點？這一方面體現為“Job Zero 安全文化”以及首創的“安全責任共擔模型”；另一方面則通過基礎設施安全等四個方面的安全合規，組成云上安全合規的一大支柱。

　　Job Zero安全文化。安全是最高優先級的工作。如：每一位員工都負有安全責任；CEO每周召開安全會議；每個級別的員工都有安全目標；定期舉行安全合規的培訓及考試。與此同時，每個服務在設計階段都要考慮安全問題。除了高度重視安全自動化，亞馬遜云科技還組成了一級響應團隊和二級響應團隊，提供全天候響應的能力。

　　安全責任共擔模型。亞馬遜云科技負責底層云基礎設施和所提供云服務的安全，客戶負責自身云業務安全。責任共擔的分界線，在IaaS、PaaS、SaaS不同的場景分界線會有所移動。如果客戶使用的是基礎資源，分界線是云廠商保護云基礎設施，用戶負責虛擬化之上的資源。如果客戶采用PaaS或SaaS服務，亞馬遜云科技肩負的責任會更多。

　　具體而言，亞馬遜云科技通過以下四個方面保證自身的安全合規：

　　安全的基礎設施。數據中心和網絡架構以最高安全標準構建，全球所有數據中心或服務使用相同的構建標準和控制措施。

　　安全的云服務。重視每一個服務的安全性，安全團隊從一開始就深入參與新服務和新功能開發，如果存在任何已知的安全問題，新服務將不會啟動。以及，通過深度集成的服務，實現安全自動化，減少人工配置錯誤，降低風險。

　　堅持客戶擁有和控制數據的理念。亞馬遜云科技不接觸客戶數據，客戶始終擁有自己的數據，并且可以選擇任何方式加密自己的數據。所有數據流動在離開亞馬遜云科技的安全設施之前，都經過物理層自動加密。

　　安全標準和合規性認證。亞馬遜云科技幾乎滿足全球所有監管機構的合規認證。用戶可以繼承。此外，還定期對數千個全球合規性要求進行第三方驗證。

　　洋蔥模型之五層防護體系

　　上云的目標之一就是敏捷。企業無需在快速行動、快速創新和確保安全中做選擇。對此，顧凡表示，亞馬遜云科技有三個理念確保云服務安全：一是，利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡。二是，云中安全是主動設計出來的，而不僅是被動響應。三是，云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋。多層次的安全防護，層層遞進，層層展開。亞馬遜云科技目前提供了280多安全、合規服務及功能，在五大領域為客戶提供全方位的安全服務。，這組成云上安全合規的另一大支柱。

　　洋蔥模型第一層：威脅檢測與事件響應。重點服務包括：1、Amazon GuardDuty為客戶提供了經濟高效的智能選項，可持續檢測在亞馬遜云科技中發生的威脅，具有豐富的情報源。該服務集成了機器學習的能力，實現威脅的精準定位，讓報警量減少了50%。2、Amazon Security Hub安全事件統一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監控，及時響應，并自動執行合規性檢查。

　　洋蔥模型第二層：身份認證與訪問控制。關于身份認證，有兩個經驗和三個技術建議。經驗之一是保持最小授權原則，之二是要對最小授權原則定期進行審計，不要有永久授權。三個技術建議一是盡可能細化訪問的顆粒度；二是結合多因素鑒證（MFA）技術加強身份認證；三是減少長期憑證的使用。產品如Amazon Identity and Access Management (IAM) 、Amazon Organizations。

　　洋蔥模型第三層：網絡與基礎設施安全。防御DDoS（分布式拒絕服務攻擊）是這一層防護的重點。Amazon ShieldAdvanced可以為客戶提供全天候的保護。網絡訪問規則是一切防御的基礎，Web應用防火墻服務Amazon WAF 提供了豐富的規則庫，有亞馬遜安全團隊自研的全托管規則，客戶也可以自定義規則，還有國際一線安全廠商的托管規則。

　　洋蔥模型第四層：數據保護與隱私。亞馬遜云科技提供了數據全生命周期的加密服務。Amazon KMS密鑰管理服務實現存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密。高集成度減少了人工操作，降低了出錯的概率。針對數據保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機。Amazon Nitro Enclaves則提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向他們自己的系統管理員、開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面。

　　洋蔥模型第五層：風險管控及合規。亞馬遜云科技從三個方面幫助用戶合規。一是確保亞馬遜云科技服務本身的合規性；二是合規方案落地；三是自動化審計。顧凡表示，亞馬遜云科技的合規認證不僅在基礎設施區域，還會深入到每一項云服務，客戶部署亞馬遜云服務，其合規性能夠得到認證機構的認可。

　　產品方面，Amazon Audit Manager簡化審計管理和合規性評估，Audit Manager能自動掃描、搜集證據，還提供了各種合規認證的模板，可以簡化合規審計的證據收集工作。此外，Amazon Trusted Advisor定制云計算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務配置建議等各種在線工具，將所有的安全合規經驗都對客戶傾囊相授。

　　顧凡表示，亞馬遜云科技全球有數百萬用戶，覆蓋了幾乎所有行業，其中包括金融、電信等強監管行業。世界最大的股票交易所納斯達克分階段把全部業務遷移到亞馬遜云科技，日本最大的電信運營商NTT docomo也將把PB級別的數據倉庫遷移上云。

　　不久前，亞馬遜云科技宣布將與光環新網及西云數據共同加速安全合規服務和功能在中國的落地，加強與合作伙伴的合作。同時，升級與德勤中國的合作，由德勤中國推出安全運營中心服務，為客戶提供云上端到端的安全監測及響應服務，提升企業云上安全。據悉，截止到2021年，通過光環新網和西云數據，亞馬遜云科技在中國區域（北京與寧夏）已推出50多項安全合規的服務和功能。