亞馬遜云科技顧凡：讓安全合規成為空氣和水，助云上業務自在生長

亞馬遜云科技

2022-05-30 15:24 4322

亞馬(ma)遜(xun)云科技大中華區戰略(lve)業(ye)務(wu)發展部總(zong)經理 ;顧凡

北京(jing)2022年5月30日 /美通社/ -- 近日，亞(ya)馬遜云科技大中華區戰略業(ye)務(wu)發展(zhan)部總經理(li)顧凡針對(dui)亞(ya)馬遜云服(fu)務(wu)數據安全(quan)及安全(quan)合規(gui)方面進行(xing)了分析，以下為其觀點文章：

當下，眾多(duo)企業(ye)與機構向云(yun)端(duan)的(de)"大遷(qian)徙"仍(reng)在持續，而安全(quan)合規也(ye)毫(hao)不意外地成為考量與選擇云(yun)平臺的(de)重要關鍵因素之(zhi)一。當我們將越來(lai)越多(duo)的(de)重要、敏(min)感(gan)數(shu)據(ju)遷(qian)移上(shang)云(yun)，對于(yu)數(shu)據(ju)泄露、信息竊取等(deng)安全(quan)威脅(xie)的(de)警惕也(ye)必然與日(ri)俱增(zeng)。

隨(sui)著創(chuang)新技術的發展(zhan)，越(yue)來越(yue)多企業(ye)云計算安(an)全(quan)(quan)理念開始從(cong)限(xian)(xian)制(zhi)業(ye)務(wu)發展(zhan)向賦能增(zeng)長轉變。以往，當人們看到那(nei)些(xie)頭部企業(ye)紛紛加(jia)(jia)碼網(wang)絡安(an)全(quan)(quan)團隊建設，或是在數據(ju)安(an)全(quan)(quan)及(ji)合(he)規(gui)(gui)方面加(jia)(jia)大資(zi)金投入，可能會(hui)更加(jia)(jia)難以跳(tiao)出這樣一(yi)個誤區 -- 安(an)全(quan)(quan)合(he)規(gui)(gui)，意味著限(xian)(xian)制(zhi)和(he)負擔。例如，不少企業(ye)會(hui)將"安(an)全(quan)(quan)合(he)規(gui)(gui)"視(shi)作(zuo)與(yu)(yu)業(ye)務(wu)之間彼此區隔的獨立工程(cheng)，前者只(zhi)是IT團隊安(an)全(quan)(quan)專家的職責，并(bing)且(qie)認(ren)為安(an)全(quan)(quan)與(yu)(yu)合(he)規(gui)(gui)大概率會(hui)帶來對業(ye)務(wu)發展(zhan)的限(xian)(xian)制(zhi)，以及(ji)額外的成本支出。

無論這種思維是否有(you)(you)其合理(li)性，但(dan)卻(que)不再(zai)適用(yong)(yong)于云(yun)計算環境。云(yun)平臺及(ji)服(fu)務(wu)(wu)讓企業(ye)無需再(zai)從零起(qi)步構(gou)建安全合規(gui)(gui)體(ti)系。那些基礎而瑣(suo)碎的(de)基礎設施(shi)安全合規(gui)(gui)問(wen)題，將(jiang)成為云(yun)服(fu)務(wu)(wu)提供(gong)商的(de)責任(ren)，不再(zai)需要企業(ye)為此投(tou)入(ru)前期(qi)成本。另(ling)一方面，服(fu)務(wu)(wu)于大量用(yong)(yong)戶的(de)云(yun)服(fu)務(wu)(wu)商利用(yong)(yong)規(gui)(gui)模化(hua)(hua)的(de)安全服(fu)務(wu)(wu)帶來(lai)更(geng)(geng)具可視(shi)化(hua)(hua)及(ji)自動化(hua)(hua)的(de)服(fu)務(wu)(wu)，使(shi)用(yong)(yong)戶以(yi)更(geng)(geng)少的(de)成本和更(geng)(geng)精簡的(de)人力達(da)成既(ji)定安全目標。概(gai)括來(lai)說，云(yun)上安全合規(gui)(gui)有(you)(you)望成為企業(ye)可即(ji)時擁有(you)(you)的(de)常(chang)態。它對企業(ye)不再(zai)意味著(zhu)負擔和阻礙，而是推動業(ye)務(wu)(wu)發展的(de)合作力量。

亞馬(ma)遜云(yun)(yun)(yun)科技一直致(zhi)力于讓(rang)安(an)全(quan)(quan)合規成為(wei)用(yong)戶可自動(dong)獲得并可有(you)效(xiao)支持業務(wu)開展的"空氣和水"。雖然我們也擁有(you)優秀的安(an)全(quan)(quan)專家，但安(an)全(quan)(quan)從不是(shi)某(mou)個團(tuan)隊特有(you)的職責，或者是(shi)對某(mou)些(xie)威脅(xie)提供對策。從創立以(yi)來(lai)，亞馬(ma)遜云(yun)(yun)(yun)科技就將安(an)全(quan)(quan)作(zuo)為(wei)最高優先級的工(gong)作(zuo)（Job Zero），致(zhi)力于形成人(ren)人(ren)有(you)責、人(ren)人(ren)參與的安(an)全(quan)(quan)文化理(li)念。這使我們不僅能(neng)確保(bao)用(yong)戶上云(yun)(yun)(yun)的安(an)全(quan)(quan)合規，還能(neng)讓(rang)用(yong)戶在(zai)云(yun)(yun)(yun)上獲得更好的安(an)全(quan)(quan)服務(wu)體驗。

安全是人人有責、全員參與的"Job Zero"

現任(ren)亞(ya)馬(ma)遜(xun)(xun)總(zong)裁兼首席(xi)執(zhi)行官(guan)的(de)Andy Jassy先(xian)生在(zai)創(chuang)立亞(ya)馬(ma)遜(xun)(xun)云科(ke)技時就提出"安(an)(an)全(quan)(quan)是(shi)我們(men)的(de)‘Job Zero'。"其意思是(shi)安(an)(an)全(quan)(quan)比任(ren)何事情都要(yao)更重要(yao)，在(zai)所有工作中擁有最高優先(xian)級。在(zai)過(guo)去16年里，"Job Zero"始終是(shi)亞(ya)馬(ma)遜(xun)(xun)云科(ke)技一直堅守的(de)重要(yao)企業文化。

我們對"Job Zero"的(de)貫徹遠不(bu)止推出某些技(ji)術(shu)或(huo)產品，更是(shi)使(shi)其成為一(yi)種機制和處事方(fang)式(shi)。包括(kuo)亞(ya)馬遜云科技(ji)CEO在(zai)內的(de)管(guan)理層(ceng)，每周都會召開專門的(de)安全(quan)會議，安全(quan)團隊也能(neng)夠通暢(chang)地(di)向CEO等管(guan)理層(ceng)進行(xing)匯(hui)報。我們要確保任何一(yi)項戰(zhan)略(lve)或(huo)戰(zhan)術(shu)決策，都能(neng)在(zai)充分(fen)考慮(lv)到安全(quan)需求的(de)前提(ti)下(xia)做出正確的(de)選擇。

"Job Zero"安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)理念也(ye)自下(xia)而上地將(jiang)公司(si)每(mei)一個(ge)人囊括其中。不(bu)僅是公司(si)高層、安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)團隊，還(huan)包括每(mei)一個(ge)主管、經理、工(gong)程(cheng)師和開發(fa)人員……人人都(dou)肩負(fu)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)責(ze)任。亞馬遜云科技所提供(gong)的每(mei)項服(fu)務都(dou)不(bu)會(hui)將(jiang)功(gong)能性和安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)性分別(bie)考(kao)慮。事(shi)實上，這(zhe)些(xie)服(fu)務從誕生之(zhi)初(chu)，就被置于安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)與(yu)合規的"底座"之(zhi)上，這(zhe)也(ye)使(shi)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)合規成為(wei)云服(fu)務所天然具有(you)(you)的基因。當然，亞馬遜云科技的安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)團隊也(ye)會(hui)隨(sui)時(shi)與(yu)業務部門開展合作，事(shi)實上，很多(duo)服(fu)務研發(fa)團隊都(dou)有(you)(you)自己的安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)官，來確保(bao)開發(fa)過程(cheng)始終保(bao)持(chi)在安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)框架(jia)之(zhi)內。

讓安全合規成為云上的"空氣和水"

"Job Zero"不(bu)僅(jin)是亞(ya)馬遜(xun)云科(ke)技推動安全與(yu)(yu)業(ye)務相輔相成的(de)文化，也讓我們能(neng)夠不(bu)斷為用戶(hu)帶(dai)來(lai)可充分保障業(ye)務開(kai)展(zhan)的(de)安全云計算環境。當用戶(hu)將數據與(yu)(yu)計算遷移至(zhi)亞(ya)馬遜(xun)云科(ke)技，我們希望讓用戶(hu)感受到安全合規就(jiu)如同"空氣和水"一樣的(de)存在(zai) -- 既隨手可得，又有助于業(ye)務成長。

這也是(shi)為什么(me)亞馬遜云(yun)科(ke)技不會給安(an)全(quan)合規服務設定業績目標。安(an)全(quan)合規之于業務就如同空氣和水一樣重要且必(bi)須，我們有責任幫助用戶獲得足以(yi)免于威脅與(yu)擔憂的(de)安(an)全(quan)云(yun)上環境，并不必(bi)為"空氣和水"去負擔過多額外(wai)成本。

我們(men)(men)希望安(an)全(quan)(quan)合規是(shi)云(yun)上的空氣和水，但(dan)并(bing)不(bu)代(dai)表亞馬遜云(yun)科(ke)(ke)技所要管理(li)的范圍(wei)沒有(you)邊界。邊界在哪(na)里？在于用戶對(dui)其置于云(yun)上的數據、應用、訪問權限等要素(su)的擁有(you)權及完全(quan)(quan)控制權。我們(men)(men)提出了"安(an)全(quan)(quan)責(ze)任共擔模型"，進(jin)行(xing)了責(ze)權劃分：亞馬遜云(yun)科(ke)(ke)技對(dui)云(yun)自身安(an)全(quan)(quan)負(fu)責(ze)，用戶對(dui)云(yun)中(zhong)安(an)全(quan)(quan)負(fu)責(ze)，但(dan)我們(men)(men)會幫客戶在云(yun)中(zhong)構(gou)建安(an)全(quan)(quan)防護。

具體來說(shuo)，亞(ya)馬遜云科技對于(yu)云環境的安全(quan)合(he)規建設(she)包括以下幾個(ge)方面(mian)：基礎設(she)施、服務、用戶擁有(you)和(he)控制數據的原則以及全(quan)球安全(quan)合(he)規認證。

首先，云(yun)(yun)安(an)全始于基(ji)礎設(she)(she)施(shi)。亞馬遜(xun)云(yun)(yun)科技提供極(ji)具擴(kuo)展性(xing)和高(gao)度可靠的(de)(de)(de)基(ji)礎設(she)(she)施(shi)，并采(cai)用(yong)多種(zhong)冗余和分層(ceng)控(kong)制的(de)(de)(de)數據(ju)中心(xin)，大(da)量使用(yong)自動化(hua)確保底層(ceng)基(ji)礎設(she)(she)施(shi)7×24小時的(de)(de)(de)監(jian)控(kong)和保護，以(yi)及(ji)對業(ye)務連續(xu)性(xing)和災(zai)難恢復的(de)(de)(de)響(xiang)應和應對。并且，基(ji)礎設(she)(she)施(shi)的(de)(de)(de)安(an)全性(xing)對于每一(yi)(yi)個使用(yong)亞馬遜(xun)云(yun)(yun)服務的(de)(de)(de)客戶來說，是(shi)完(wan)全"一(yi)(yi)視同仁"的(de)(de)(de)。無(wu)論(lun)是(shi)超大(da)規模企(qi)業(ye)，還是(shi)小微企(qi)業(ye)，在云(yun)(yun)上所(suo)獲得(de)的(de)(de)(de)基(ji)礎設(she)(she)施(shi)安(an)全性(xing)完(wan)全相同。因此基(ji)礎設(she)(she)施(shi)安(an)全也可視作(zuo)云(yun)(yun)計算最顯著的(de)(de)(de)優越性(xing)之一(yi)(yi)，讓用(yong)戶從此告(gao)別傳統數據(ju)中心(xin)的(de)(de)(de)巨大(da)安(an)全成本支(zhi)出(chu)。

第二，云(yun)安(an)(an)全(quan)不止安(an)(an)全(quan)服(fu)務(wu)。我(wo)們(men)不僅要看(kan)有多少安(an)(an)全(quan)服(fu)務(wu)，同時也(ye)要考(kao)慮所(suo)有云(yun)服(fu)務(wu)自身的安(an)(an)全(quan)。這也(ye)是前面所(suo)說的"Job Zero"的重(zhong)要目的，即每個(ge)服(fu)務(wu)在研(yan)發(fa)時就(jiu)要優先解決安(an)(an)全(quan)問題，如果服(fu)務(wu)存在安(an)(an)全(quan)隱患，那(nei)么就(jiu)不會被推(tui)出(chu)。另外，我(wo)們(men)通過服(fu)務(wu)間的深(shen)度(du)(du)集成實(shi)(shi)現自動(dong)化并降(jiang)低(di)風(feng)險(xian)。亞馬遜云(yun)科技(ji)有一套完(wan)整的安(an)(an)全(quan)運維流程、制度(du)(du)和最佳(jia)實(shi)(shi)踐(jian)，來保證云(yun)自身的安(an)(an)全(quan)。我(wo)們(men)可以(yi)應(ying)對風(feng)險(xian)，但更好的選擇是規避風(feng)險(xian)。

第三(san)，堅持(chi)用(yong)戶(hu)(hu)擁有(you)(you)和控制數(shu)(shu)(shu)據的(de)理(li)念。我(wo)們始終堅持(chi)用(yong)戶(hu)(hu)擁有(you)(you)自己的(de)數(shu)(shu)(shu)據，并能夠對(dui)數(shu)(shu)(shu)據進行自主(zhu)操作。但我(wo)們并不(bu)會因為用(yong)戶(hu)(hu)擁有(you)(you)和控制數(shu)(shu)(shu)據，而對(dui)數(shu)(shu)(shu)據的(de)安全"免責(ze)"。亞馬(ma)遜(xun)云科技的(de)數(shu)(shu)(shu)據加密無處不(bu)在(zai)，數(shu)(shu)(shu)據的(de)流動與進出基礎設(she)施(shi)，都(dou)會伴(ban)隨物(wu)理(li)層自動加密。我(wo)們還會為用(yong)戶(hu)(hu)提供所需(xu)的(de)控制權(quan)和可見性，幫(bang)助客戶(hu)(hu)證明(ming)數(shu)(shu)(shu)據符合本區域(yu)和本地數(shu)(shu)(shu)據隱(yin)私法(fa)律法(fa)規，我(wo)們遍(bian)布(bu)全球的(de)基礎設(she)施(shi)也(ye)可以幫(bang)助客戶(hu)(hu)實現(xian)數(shu)(shu)(shu)據本地化(hua)的(de)要求(qiu)。

最(zui)后，在合(he)(he)規方面，亞馬(ma)遜(xun)云(yun)(yun)科(ke)技(ji)在全(quan)(quan)球(qiu)已經獲得了98項安(an)全(quan)(quan)標準和(he)合(he)(he)規認證，并(bing)且定期對數(shu)千個全(quan)(quan)球(qiu)合(he)(he)規性進(jin)行(xing)第三方驗證，亞馬(ma)遜(xun)云(yun)(yun)科(ke)技(ji)的(de)(de)(de)(de)(de)用戶可(ke)直(zhi)接繼承。在中國（光(guang)環新網(wang)運營(ying)北(bei)京(jing)區域、西云(yun)(yun)數(shu)據運營(ying)寧夏區域），西云(yun)(yun)數(shu)據和(he)光(guang)環新網(wang)都通(tong)(tong)過了獨立的(de)(de)(de)(de)(de)第三方機(ji)構驗證，也都完成(cheng)了網(wang)絡安(an)全(quan)(quan)等(deng)級保護(hu)三級的(de)(de)(de)(de)(de)測(ce)評(ping)，還獲得了中國信(xin)息通(tong)(tong)信(xin)研(yan)究院(yuan)的(de)(de)(de)(de)(de)可(ke)信(xin)云(yun)(yun)的(de)(de)(de)(de)(de)服(fu)務評(ping)估。另外我們也獲得了通(tong)(tong)行(xing)的(de)(de)(de)(de)(de)一系列安(an)全(quan)(quan)性和(he)合(he)(he)規性要求，例如ISO信(xin)息安(an)全(quan)(quan)質量管(guan)理認證、PCI-DSS、SOC等(deng)。

除(chu)了(le)確保(bao)云(yun)環境自身安(an)(an)全(quan)(quan)之外，亞(ya)馬遜(xun)云(yun)科(ke)技(ji)同(tong)樣為用(yong)戶(hu)(hu)帶來多層防(fang)護(hu)服務，進一步幫(bang)助用(yong)戶(hu)(hu)提升上云(yun)后的(de)(de)安(an)(an)全(quan)(quan)合(he)(he)規(gui)(gui)。為了(le)實(shi)現無限趨近于100%的(de)(de)云(yun)計(ji)算安(an)(an)全(quan)(quan)，我(wo)們同(tong)時(shi)也與全(quan)(quan)球(qiu)(qiu)豐富的(de)(de)亞(ya)馬遜(xun)云(yun)科(ke)技(ji)合(he)(he)作伙(huo)伴網(wang)(wang)絡成員(yuan)(yuan)構建1+1>2的(de)(de)安(an)(an)全(quan)(quan)合(he)(he)作。亞(ya)馬遜(xun)云(yun)科(ke)技(ji)APN合(he)(he)作伙(huo)伴網(wang)(wang)絡里面(mian)提供了(le)數(shu)百種領先的(de)(de)安(an)(an)全(quan)(quan)合(he)(he)規(gui)(gui)解決(jue)方案(an)，還包括專(zhuan)注于數(shu)據保(bao)護(hu)合(he)(he)規(gui)(gui)的(de)(de)咨(zi)詢服務。目前(qian)我(wo)們正不斷將亞(ya)馬遜(xun)云(yun)科(ke)技(ji)在全(quan)(quan)球(qiu)(qiu)的(de)(de)合(he)(he)作伙(huo)伴網(wang)(wang)絡成員(yuan)(yuan)引入中國，并加大(da)與中國本土合(he)(he)作伙(huo)伴網(wang)(wang)絡成員(yuan)(yuan)的(de)(de)合(he)(he)作，給客戶(hu)(hu)提供更(geng)多的(de)(de)解決(jue)方案(an)以(yi)更(geng)好滿足中國用(yong)戶(hu)(hu)在國內、國際業務中的(de)(de)安(an)(an)全(quan)(quan)合(he)(he)規(gui)(gui)需求。

盡管云(yun)計(ji)(ji)算(suan)(suan)已經走過了十幾年的(de)發(fa)展歷(li)程(cheng)，但仍處在(zai)(zai)十分早期的(de)階(jie)段。無(wu)論是在(zai)(zai)全球還(huan)是在(zai)(zai)中國(guo)，IT支出總量中用(yong)于(yu)公有云(yun)的(de)比(bi)例到現在(zai)(zai)還(huan)只(zhi)是個位(wei)數。從長遠角度(du)看，我(wo)們認(ren)為云(yun)計(ji)(ji)算(suan)(suan)安全合規不(bu)僅僅是解決眼前的(de)威脅或是提升技術能力(li)，也(ye)同(tong)樣考驗著(zhu)云(yun)服務提供商與(yu)(yu)云(yun)計(ji)(ji)算(suan)(suan)用(yong)戶(hu)關于(yu)安全的(de)思維演進(jin)和機制(zhi)建立。相(xiang)比(bi)于(yu)解決獨立問題，思維和理念的(de)變化才會(hui)讓我(wo)們更好地適應云(yun)環境的(de)安全與(yu)(yu)合規需求，并(bing)將其(qi)轉(zhuan)(zhuan)化為數字化轉(zhuan)(zhuan)型和業(ye)務發(fa)展的(de)新動(dong)力(li)。

消息來源：亞馬遜云科技