顧凡詳解亞馬遜云科技云上安全合規策略

，伴隨著數字經濟深入到社會生活的更多領域，數據的安全性越來越受到關注目前，全球已有132個國家跟地區制定了數據保護和隱私相關的法律法規，中國也出臺了數據安全法，個人信息保護法等相關法規

是否能有效，穩定，持續保障企業數據安全，成為各家企業在選擇合作的云廠商時尤為關注的考量指標作為全球最大的云計算服務商，亞馬遜云科技歷經15年的發展，在云上安全合規方面又有哪些先進理念和成功實踐呢

最近幾天，亞馬遜云科技大中華區戰略業務發展部總經理顧凡就詳細介紹了確保云上安全合規的兩大支柱:一是亞馬遜云科技自身的安全合規，二是亞馬遜云科技為客戶打造的洋蔥形多層防護體系。

在確保亞馬遜云科技自身的安全合規上，一方面，在理念上，亞馬遜云科技提出了Job Zero 安全文化，將安全作為亞馬遜云科技最高優先級的工作，同時，首創安全責任共擔模型，亞馬遜云科技負責底層云基礎設施和所提供云服務的安全，客戶負責自身云業務安全，雙方共同推動安全及合規建設。

另一方面，在實踐中，亞馬遜云科技通過四個方面保證自身的安全合規:一是采用高安全性的基礎設施，數據中心和網絡架構以最高安全標準構建，二是重視每一個云服務的安全性，盡量多實現安全自動化，減少人工配置錯誤，降低風險，三是堅持客戶擁有和控制數據，所有數據流動在離開亞馬遜云科技的安全設施之前，都經過物理層自動加密，四是亞馬遜云科技獲得了幾乎滿足全球所有監管機構的合規認證，這些合規認證客戶可以直接繼承。

而在確?？蛻魯祿踩矫?，亞馬遜云科技則打造出五層防護體系顧凡強調:云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋

在亞馬遜云科技的五層防護洋蔥模型中，第一層是威脅檢測與事件響應。

顧凡介紹，威脅檢測就像專業的天氣預報員，需要能夠對安全威脅做到精準定位，快速反應，時刻監控，并且能夠分析原因。

針對威脅檢測與事件響應，目前，Amazon Guard Duty可持續檢測在亞馬遜云科技中發生的威脅，具有豐富的情報源，同時，Amazon GuardDuty 集成了機器學習的能力，實現威脅的精準定位，讓報警量減少了50%另外，Amazon Security Hub安全事件統一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監控，及時響應，并自動執行合規性檢查

洋蔥模型第二層:身份認證與訪問控制。

身份認證和訪問如一座堅固城堡的大門某一點的身份認證被攻破，有可能會帶來意想不到的嚴重后果沒有好的身份認證的訪問策略，就好像建了一座堅固的城堡，卻把門打開給未知訪客顧凡比喻道

根據消息顯示，關于身份認證，亞馬遜云科技有兩個經驗和三個技術建議經驗之一是保持最小授權原則，每一次授權都要確認是否必須，是否與業務/職責相關經驗之二是要對最小授權原則定期進行審計，不要有永久授權，所有的授權都必須有時效性三個技術建議:一是盡可能細化訪問的顆粒度，可以根據時間，地點和服務來設置訪問條件，二是結合多因素鑒證技術加強身份認證，三是減少長期憑證的使用目前，Amazon Identity and Access Management 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數據邊界

洋蔥模型第三層:網絡與基礎設施安全?？萍紭I人士克里?奎因(CoreyQuinn)曾經在私營的Duckbill集團擔任首席云經濟學家，幫助客戶公司降低他們在亞馬遜云計算的開支?？蝾A測，AWS一半以上的收入來自于EC2計算服務。這一服務相當于讓企業用戶在亞馬遜數據中心租賃到了實體服務器虛擬的“一部分”。

顧凡介紹，防御DDoS攻擊是這一層防護的重點DDoS防御應全年從始至終，而不能像急診如果等發現DDoS攻擊之后再處理，業務的穩定性和持續性已經受到影響了目前，Amazon ShieldAdvanced就可以為客戶提供全天候的保護網絡訪問規則是一切防御的基礎，Web應用防火墻服務Amazon WAF 提供了豐富的規則庫，有亞馬遜安全團隊自研的全托管規則，客戶也可以自定義規則

洋蔥模型第四層:數據保護與隱私。。

亞馬遜云科技提供了數據全生命周期的加密服務，對數據的保護涵蓋了數據的存儲，傳輸以及使用的各個環節Amazon KMS密鑰管理服務實現存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密針對數據保密性要求更高的客戶，Amazon CloudHSM提供了安全，簡單的云上專屬加密機Amazon Nitro Enclaves提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向自己的系統管理員，開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面

洋蔥模型第五層:風險管控及合規。

顧凡介紹:亞馬遜云科技從三個方面幫助用戶合規一是確保亞馬遜云科技服務本身的合規性，二是合規方案落地，三是自動化審計

通過Amazon Audit Manager 簡化審計管理和合規性評估，Audit Manager可能自動掃描，搜集證據，還提供了各種合規認證的模板，可以簡化合規審計的證據收集工作此外，亞馬遜云科技還提供了Amazon Trusted Advisor定制云計算專家，Amazon Security Bulletins安全公告，Amazon Security Documentation云服務配置建議等各種在線工具，將所有的安全合規經驗都對客戶傾囊相授

在顧凡看來，亞馬遜云科技在安全合規的五大優勢，包括出色的可見性和控制力，深度集成實現自動化，以最高的安全與隱私保護標準構建，客戶可以繼承亞馬遜云科技全面的安全性與合規性控制，豐富的安全，合規合作伙伴。

截至目前，亞馬遜云科技在中國區域已推出50多項安全合規的服務和功能，包括 Web應用程序防火墻Amazon WAF，威脅檢測服務Amazon GuardDuty和安全事件統一管理平臺Amazon Security Hub等顧凡表示，未來，亞馬遜云科技將持續繼續引入全球安全合作伙伴到中國，也會繼續加強和本土合作伙伴的合作，更好地滿足客戶在國內安全合規方面的需求