丁海驁

“我們出去見客戶的時候，針對安全合規(guī)，客戶經(jīng)常問到我們?nèi)齻€問題：一，我從自己的數(shù)據(jù)中心，把我的應(yīng)用遷移到云上，安全嗎？二，亞馬遜云科技本身是不是安全合規(guī)？三，我現(xiàn)在想上云，我也愿意上云，我把應(yīng)用放到云上之后，亞馬遜云科技如何幫助我在云中實現(xiàn)安全合規(guī)？”日前，在一場有關(guān)“云上安全合規(guī)”的會議上，亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡提出了目前企業(yè)用戶對于云上安全方面的幾大顧慮。

事實上，隨著整個社會數(shù)字化進(jìn)程的加速，數(shù)據(jù)已經(jīng)成為能夠推動和控制物理世界的重要因素。甚至在很多數(shù)字化程度較高的領(lǐng)域和行業(yè)——如金融領(lǐng)域、工業(yè)領(lǐng)域、零售領(lǐng)域等——數(shù)據(jù)本身已經(jīng)能夠代替人工去驅(qū)動相應(yīng)物理世界的運行。因此，數(shù)據(jù)本身的安全就已經(jīng)不再僅僅是一個IT層面需要考慮的數(shù)字資產(chǎn)的問題，而是一個可能會影響到現(xiàn)實、具體人類社會的重大議題。在過去一段時間，包括中國在內(nèi)的很多國家都頒布了與數(shù)據(jù)保護(hù)和隱私保護(hù)相關(guān)的法律法規(guī)，如中國就在最近推出了《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等，從立法的角度，規(guī)范在數(shù)字化領(lǐng)域的安全邊界。

即便如此，對于具體的企業(yè)用戶而言，日益頻發(fā)的安全問題依然成為其深化數(shù)字化轉(zhuǎn)型的障礙：企業(yè)數(shù)字化程度越深，現(xiàn)實業(yè)務(wù)對于數(shù)據(jù)的依賴程度也就越深，那么數(shù)據(jù)安全的重要性也就越大。但是作為IT行業(yè)典型的“貓鼠游戲”中的雙方，相對于來自未知領(lǐng)域的安全威脅和隱患，自身已經(jīng)掌握的安全保障總是顯得并不充分。尤其是對于普遍被作為企業(yè)用戶數(shù)字化轉(zhuǎn)型基礎(chǔ)的云計算，企業(yè)如何充分掌握100%的控制權(quán)，是提升企業(yè)用戶安全感的重要因素。

在顧凡看來，把應(yīng)用從客戶數(shù)據(jù)中心遷到云上不僅是安全的，而且還能夠幫助企業(yè)用戶在安全體驗再上一個臺階：“企業(yè)用戶在自建數(shù)據(jù)中心時，也要構(gòu)建安全架構(gòu)。只不過，那時需要企業(yè)自己來構(gòu)建一切，需要考慮包括安全設(shè)備管理、合同簽訂、成本等一系列問題；當(dāng)客戶把自己應(yīng)用上云之后，企業(yè)并不需要關(guān)心瑣碎的底層基礎(chǔ)設(shè)施安全，而且它在云端的安全治理有機(jī)會再上一個臺階——以往來源于不同的產(chǎn)品做安全數(shù)據(jù)整合，會非常地復(fù)雜，但是在云上，服務(wù)之間都是彼此深度集成，因此會讓數(shù)據(jù)整合變得更簡單，數(shù)據(jù)整合后便于更好的做安全的可視化管理；作為云服務(wù)提供商，可以為企業(yè)用戶提供自動執(zhí)行合規(guī)任務(wù)，此外，企業(yè)還可以直接繼承云服務(wù)提供商的合規(guī)體系?！?/p>

至于企業(yè)針對云服務(wù)提供商本身提出的安全質(zhì)疑，顧凡結(jié)合亞馬遜云科技自身的安全機(jī)制，談到了亞馬遜云科技首創(chuàng)的“安全責(zé)任共擔(dān)模型”：“亞馬遜云科技負(fù)責(zé)云自身的安全合規(guī)，這不僅代表我們要負(fù)責(zé)我們云基礎(chǔ)設(shè)施和云服務(wù)的安全，也代表著我們要為我們的云基礎(chǔ)設(shè)施和云服務(wù)拿到全球各種各樣的合規(guī)認(rèn)證，讓客戶繼承這些合規(guī)認(rèn)證；而用戶則需要是為自身的云業(yè)務(wù)安全負(fù)責(zé)，但是亞馬遜云科技會幫客戶建設(shè)云中的安全防護(hù)，這里面最核心的一個理念是：用戶是擁有完全的權(quán)利，包括選用哪個區(qū)域、使用哪種服務(wù)、訪問控制的授權(quán)、安全防護(hù)的手段等，客戶可以根據(jù)業(yè)務(wù)的實際情況和數(shù)據(jù)的重要性來采取適當(dāng)?shù)陌踩弦?guī)措施?！?/p>

顧凡強調(diào)，基于這樣一套“安全責(zé)任共擔(dān)模型”，亞馬遜云科技從基礎(chǔ)設(shè)施、服務(wù)、客戶擁有和控制數(shù)據(jù)的原則、全球安全合規(guī)認(rèn)證等四個方面，來保證其自身的安全合規(guī)?！按蜩F還需自身硬。目前，亞馬遜云科技已經(jīng)把全球積累的保護(hù)經(jīng)驗、安全合規(guī)的能力實踐到中國區(qū)域。目前，亞馬遜云科技中國的北京區(qū)域和寧夏區(qū)域都通過了獨立的第三方機(jī)構(gòu)的驗證，也都完成了網(wǎng)絡(luò)安全等級保護(hù)三級的測評，還獲得了中國信息通信研究院的可信云的服務(wù)評估。同時我們在國內(nèi)也獲得了通行的ISO一系列的信息安全質(zhì)量管理認(rèn)證，和像PCI-DSS、SOC等這些行業(yè)方面的信息安全認(rèn)證?！鳖櫡舱f。

而對于三個問題中最難回答的“企業(yè)用戶應(yīng)該如何構(gòu)建自己的云中安全合規(guī)體系”，顧凡提出了亞馬遜云科技的三條理念：第一，企業(yè)需要利用云上的事件驅(qū)動型架構(gòu)去構(gòu)建自動化防護(hù)欄，而非設(shè)立關(guān)卡；第二，安全建設(shè)應(yīng)該未雨綢繆，應(yīng)用企業(yè)應(yīng)該根據(jù)業(yè)務(wù)的情況和系統(tǒng)的特點，主動從技術(shù)和管理的層面去落實，而不僅是被動響應(yīng)；第三，云中安全必須是一個洋蔥型的多層防護(hù)。

“云中安全必須是一個洋蔥型的多層防護(hù)，而不是一個雞蛋?！鳖櫡舱f：“雞蛋雖然給人感覺外殼比洋蔥更堅硬，但實際上它是單層防護(hù)，而云上安全一定像洋蔥一樣層層遞進(jìn)的防護(hù)機(jī)制?！?/p>

在亞馬遜云科技的洋蔥模型中，為企業(yè)用戶提供了五個層次的安全服務(wù)：第一層是威脅檢測與事件響應(yīng)；第二層是身份認(rèn)證與訪問控制；第三層是網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全；第四層是數(shù)據(jù)保護(hù)與隱私；第五層是風(fēng)險管控及合規(guī)。“亞馬遜云科技中國區(qū)域始終在加強這方面安全服務(wù)的建設(shè)，努力把這些領(lǐng)先的安全服務(wù)快速的引入中國：截止到2021年，亞馬遜云科技在中國區(qū)域已經(jīng)推出了50多項安全和合規(guī)服務(wù)、功能。中國大陸的兩個區(qū)域提供的云服務(wù)和其他亞馬遜云科技區(qū)域提供的云服務(wù)，從功能上來說都是一樣的。但是很重要的是，它又跟亞馬遜云科技其他區(qū)域是物理隔離的——亞馬遜云科技中國（北京）區(qū)域和亞馬遜云科技中國（寧夏）區(qū)域通過獨立的第三方機(jī)構(gòu)驗證其標(biāo)準(zhǔn)符合能力，已經(jīng)完成了網(wǎng)絡(luò)安全等級保護(hù)三級測評等?！鳖櫡舱f。

事實上對于最終的應(yīng)用企業(yè)而言，雖然之前提出的三個問題都得到了答案，但是，要想將這些基于技術(shù)體系構(gòu)建的IT邏輯落實到應(yīng)用層面，依然難度不小。

在2021年，亞馬遜云科技與其核心級咨詢合作伙伴德勤中國合作，共同成立了一個云上安全實驗室：基于亞馬遜云科技的平臺提供的托管安全服務(wù)、安全合規(guī)服務(wù)、基礎(chǔ)設(shè)施安全服務(wù)、應(yīng)用安全服務(wù)，德勤為企業(yè)用戶提供包括安全咨詢、系統(tǒng)部署、安全運營整體服務(wù)在內(nèi)的全程端到端服務(wù)。到了2022年，雙方的合作得到了升級：共同推出了基于亞馬遜云科技的德勤安全運營中心服務(wù)。

無論是“實驗室”還是“安全運營中心”，實際上都是為了能讓技術(shù)以盡可能低的門檻，在企業(yè)當(dāng)中得到更廣泛的應(yīng)用?！敖衲晖瞥龅陌踩\營中心，是因為我們看到了安全運營在企業(yè)內(nèi)部安全管理是最核心的內(nèi)容——跨國企業(yè)使用非常普遍?！钡虑谥袊L(fēng)險咨詢部網(wǎng)絡(luò)安全及戰(zhàn)略風(fēng)險事業(yè)群主管合伙人薛梓源在接受采訪時強調(diào)，對于企業(yè)級的安全運營中心而言，由于構(gòu)成的組件非常多，所以如果是企業(yè)要自建，“它可能不是簡單地投入一些硬件、一些軟件那么簡單，這個投入是海量的。而且，其對于安全分析人員的技能要求也是很高的?！?/p>

薛梓源強調(diào)，安全運營中心能夠提供給企業(yè)用戶的價值，第一是增強企業(yè)信息安全管理能力，助力企業(yè)快速平穩(wěn)發(fā)展，規(guī)避網(wǎng)絡(luò)攻擊帶來的額外成本；第二是提供全程的安全分析，提高網(wǎng)絡(luò)安全的韌性，減少網(wǎng)絡(luò)安全的風(fēng)險。

寫在最后

數(shù)字化帶來的安全隱患和合規(guī)風(fēng)險，是以往企業(yè)所沒有經(jīng)歷過的，是一個新課題。要解決這一問題，實際上依然需要云服務(wù)提供商和企業(yè)用戶雙方面的共同努力——企業(yè)應(yīng)用上云的主動性是其中的決定性因素。