对于很多国内企业来说,在“出海”的过程当中往往可以寻求更加广阔、全面的市场发展空间以及业务创新需求,尤其是在数字经济时代之中,企业客户需要的其实是一种多维度的组合式创新能力,而在这样的一种创新方式当中,安全合规被摆在了非常重要的位置上,甚至是很多企业客户首要考虑的问题。
近些年,国内外在安全合规领域的法律法规变得越来越完善,欧盟的GDPR、美国的CCPA、国内的《个人隐私保护法》、《数据安全法》、《网络安全法》等不同的法律文件和标准的发布,在很大程度上推进了企业在技术创新以及产品系统相关建设等方面的安全能力提升。
事实上,当前越来越多的行业企业在安全合规层面的应用需求变得越来越旺盛,同时也要求的越来越全面,究其原因其实正是因为企业在实现业务拓展以及技术创新的过程当中,需要着眼长远,让产品与服务,乃至整个企业的战略发展走在一条更加可靠的道路当中,这其中对于起着重要支撑作用的云服务平台来说,在安全合规领域的能力延展也就变得尤为重要了。
01企业上云的安全体验“妙不可言”
作为近些年在AI×IoT全屋智能家电产品领域重点发力的知名企业,TCL实业正在将自身的智能化能力进行快速提升,不同产品系列、产品体系之间的连接性也进行了更加有效的进化。在万物互联的应用环境当中,TCL基于智能家居生态圈在云、管、端以及连接层面持续下大力气,将AI平台、IoT平台、大数据平台等进行全球化的部署,从而帮助智能化服务实现了业务的闭环发展。
也正是在这样高增速的业务发展过程当中,由云、管、端以及连接技术所构成的全新风险和挑战,让TCL不得不寻求更加可靠的安全合规与隐私保护。TCL的产品研发主要采用的是安全开发生命周期SDL来进行的,App和云服务的开发主要采用DevSecOps流程进行开发,从而有效保证了产品、App以及云服务的安全性。
在实现“出海”的过程中,TCL的云服务进行了全球化的部署,在美国、法兰克福、印度、新加坡等国家和地区均部署了云服务,整个服务涵盖了全球160多个国家,拥有超过3000万的活跃用户,如此庞大的用户群体背后,TCL依托于亚马逊云科技所提供的云服务为海量客户提供着非常有保障的产品与服务体验。
作为“出海”企业,TCL代表了很大一部分中国企业在实现业务创新过程当中的应用需要和创新历程,而亚马逊云科技作为赋能中国企业“出海”,并且推动企业实现云端创新的重要推动力,在帮助客户实现安全合规层面的努力同样可圈可点。
的确,云计算为企业的业务赋能,而安全则为云计算赋能。对于企业用户来说,相比自建数据中心的模式,企业应用上云之后使得企业不需要再关心琐碎的底层基础设施安全,同时在云端的安全治理过程中企业还可以有机会让自身的业务安全等级再上一个台阶。
这样的好处对于企业的业务创新和发展来说无疑是锦上添花的,详细来说,企业充分利用云端安全服务之间的超高集成度,更好地做到安全自动化,在云上服务之间的深度集成可以让数据整合变得更加简单,自动化程度更高。
其次,企业用户有了更好的数据整合能力,也就可以在云端有机会拥有一个集中的平台实现安全的可视化管理,并且通过按使用付费的方式更好地控制成本。
此外,采用传统自建数据中心的方式企业需要把合规这件事情“从零做起”,而应用亚马逊云科技所提供的云服务之后,则可以实现对云厂商在安全合规层面的完全继承。这也是为什么当前包括纳斯达克、NTT docomo等全球领先的巨头企业,选择将全部业务迁移至亚马逊云科技的原因所在。
02安全合规的环境需要优质的“水和空气”
一直以来,亚马逊云科技在安全合规领域的投入力度持续提升,从企业内部来说,亚马逊云科技并没有给安全服务部门制定硬性的营收标准,其根本出发点就是因为,安全服务在整个亚马逊云科技的服务体系当中充当着“水和空气”的角色,不依靠为客户提供“水和空气”来赚取利润的同时,还能够提供更加高质量、更加可靠的安全服务,是亚马逊云科技的核心安全理念。
安全合规在亚马逊云科技看来是Job Zero,最高优先级的工作,它不仅仅代表着技术问题,同时更多的是管理性问题,作为企业文化的重要组成部分,从CEO到企业管理层每周都会召开安全会议,每一个级别的亚马逊云科技员工也都肩负着安全责任目标,定期会举行安全合规培训与考试,真正让安全与合规融入到整个亚马逊云科技的企业基因当中。
众所周知,亚马逊云科技在安全合规领域的创新维度当中首创了安全责任共担模型,从而有效推动了安全及合规建设。亚马逊云科技大中华区战略业务发展部总经理顾凡告诉笔者,今天,亚马逊云科技的很多云计算安全模型标准以及很多云计算厂商都遵循的标准,很大程度上都是源于安全责任共担模型。
从亚马逊云科技的角度出发,需要为广大客户提供云基础设施和云服务的合规认证,从客户的角度出发,除了继承这些合规认证之外,还需要对自身的云业务安全负责,而亚马逊云科技则会帮助客户构建非常完善的云中防护,客户可以根据自身的业务特点和数据的重要性采取适当的安全合规措施。
在IaaS、PaaS、SaaS不同的应用环境下,安全责任共担的分界线会根据不同的应用场景有所移动,而客户在云上所采用的不同服务类型,云计算厂商的责任共担模型的分界线也会随之变化,与之而来的云计算厂商所肩负的安全责任也会不同。
事实上,云计算的安全始于基础设施,亚马逊云科技的安全同样也始于自身的核心基础设施。通过为客户提供极具扩展性和高度可靠的基础设施,在不同的可用区当中,亚马逊云科技实现了大量的自动化创新应用,从而确保底层基础设施7*24小时的监控与保护。
例如在业务连续性灾难的情况下,亚马逊云科技的数据中心和网络基础设施通过最高的安全标准构建,为客户提供了极致的数据中心物理访问管理服务,不论客户的行业属性和规模大小,都可以获得一致性的云基础设施安全服务,有效实现了安全合规层面的降本增效。
当然,云安全不止于安全服务,像客户常用的Amazon EC2、数据库分析等服务,从整个服务的研发过程开始,亚马逊云科技就开始解决了安全问题,通过深度的集成和服务自动化的实现,亚马逊云科技将自身一整套完整的安全运维流程、制度和最佳实践融入到客户的实际业务应用和服务过程当中,有效确保了云计算服务自身的安全性。
此外,亚马逊云科技一直坚持客户拥有和控制数据的理念,这点也是支撑亚马逊云科技自身安全的重要核心理念。让客户始终拥有自身数据的自主操作权利,亚马逊云科技为客户提供基于全球的安全标准与合规认证,客户也就更加放心的把数据放在云端。
当前,亚马逊云科技在全球已经获得了98项安全标准与合规认证,这些客户都可以直接继承,通过适当的控制体系来专门处理用户内容的隐私保护,亚马逊云科技将全球积累的保护经验与安全合规能力实践到中国区域当中,持续投入,不断创新。
03安全要像洋葱一样多层防护
在亚马逊云科技看来,云中安全必须要像一个“洋葱”一样,具备多层的防护能力,而不是一个“鸡蛋”,客户需要的是一种层层递进的防护机制。
从宏观的理念层面来说,亚马逊云科技自身拥有三大安全理念,首先利用云上的实践驱动型架构去构建自动化防护栏,而非设立关卡。通过建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业的开发团队能够把更多的时间放在业务创新上。
此外,云中安全是主动设计出来的,而不仅是被动响应,安全合规需要同企业业务进行充分地结合,作为业务开展的首要条件,安全建设应该未雨绸缪,根据不同的业务情况和系统特点主动从技术和管理层面进行落实。同时,云中安全所需要的是洋葱型的多层防护机制,层层递进,层层展开。
基于上述的三大理念,回归到洋葱模型自身,亚马逊云科技可以为客户提供基于五层洋葱模型的安全创新服务:
第一层,威胁检测与事件响应,威胁检测作为“专业的天气预报员”,需要对安全威胁做到精准定位、快速反应、时刻监控,同时能够对问题原因进行全面的分析。Amazon GuardDuty为客户提供了具备经济高效的智能选项,可以帮助客户检测在亚马逊云科技当中所发生的威胁,通过集成机器学习能力,Amazon GuardDuty实现了威胁的精准定位,让误报数量减少了50%,同时Amazon Security Hub安全事件统一管理平台也帮助客户针对威胁检测做到7*24小时全天候监测,自动执行合规性检测。
第二层,身份认证与访问控制,这一层的安全防护如同一座坚固城堡的大门,亚马逊云科技通过保持最小授权原则,每一次授权都需要确认是否必须,是否与业务和职责相关。同时,对最小授权原则进行定期审计,从而确保所有的授权都具有实效性。Amazon Identity and Access Management (IAM) 作为身份认证与访问控制的核心服务,可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。
第三层,网络与基础设施安全,DDoS的攻击防御是这一层的重点,Amazon ShieldAdvanced 作为可以提供全天候的服务保障,可以帮助客户实现网络访问规则的一切防御基础,Amazon WAF则提供了更加丰富的规则库,客户可以通过自定义规则实现更加可靠的安全防护。
第四层,数据保护与隐私,在洋葱模型的这一层当中,亚马逊云科技提供了数据全生命周期的加密服务,针对数据保护提供了涵盖数据存储、传输以及使用的每一个环节,Amazon KMS密钥管理服务可以实现存储过程当中的加密,通过与亚马逊云科技140多个服务的集成,可以对服务存储实现高效的数据加密,客户通过创建一个隔离的环境对敏感数据进行处理,从而减少了在数据处理过程当中的攻击面。
第五层,风险管控及合规,在这一层当中亚马逊云科技服务自身的合规性、合规方案的落地以及自动化的审计是赋能客户实现高效率风险管控与合规的重要保证。Amazon Audit Manager 通过自动扫描、搜集证据,可以简化审计管理与合规性评估,从而使得亚马逊云科技将自身在安全合规领域的经验可以对客户倾囊相授,帮助客户成功。
正是基于对风险和安全问题出色的可见性与控制力,亚马逊云科技将自身强大的技术优势与自动化创新能力深度集成,以最高的安全与隐私保护标准呈现给更多的行业客户,从而帮助客户继承这些全面的安全性与合规性能力,保护企业数据安全,赋能企业成长,让安全与合规伴随企业客户成长与业务创新的每一个细节,亚马逊云科技一直在努力。