亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務發(fā)展部總經(jīng)理 顧凡
北京2022年5月30日 /美通社/ -- 近日����, 亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務發(fā)展部總經(jīng)理顧凡針對亞馬遜云服務數(shù)據(jù)安全及安全合規(guī)方面進行了分析,以下為其觀點文章:
當下�����,眾多企業(yè)與機構(gòu)向云端的"大遷徙"仍在持續(xù),而安全合規(guī)也毫不意外地成為考量與選擇云平臺的重要關(guān)鍵因素之一�。當我們將越來越多的重要、敏感數(shù)據(jù)遷移上云�����,對于數(shù)據(jù)泄露�、信息竊取等安全威脅的警惕也必然與日俱增。
隨著創(chuàng)新技術(shù)的發(fā)展���,越來越多企業(yè)云計算安全理念開始從限制業(yè)務發(fā)展向賦能增長轉(zhuǎn)變���。以往,當人們看到那些頭部企業(yè)紛紛加碼網(wǎng)絡安全團隊建設���,或是在數(shù)據(jù)安全及合規(guī)方面加大資金投入���,可能會更加難以跳出這樣一個誤區(qū) -- 安全合規(guī),意味著限制和負擔����。例如,不少企業(yè)會將"安全合規(guī)"視作與業(yè)務之間彼此區(qū)隔的獨立工程����,前者只是IT團隊安全專家的職責��,并且認為安全與合規(guī)大概率會帶來對業(yè)務發(fā)展的限制����,以及額外的成本支出�����。
無論這種思維是否有其合理性����,但卻不再適用于云計算環(huán)境���。云平臺及服務讓企業(yè)無需再從零起步構(gòu)建安全合規(guī)體系���。那些基礎而瑣碎的基礎設施安全合規(guī)問題,將成為云服務提供商的責任���,不再需要企業(yè)為此投入前期成本����。另一方面,服務于大量用戶的云服務商利用規(guī)?���;陌踩諑砀呖梢暬白詣踊姆眨褂脩粢愿俚某杀竞透喌娜肆_成既定安全目標�。概括來說,云上安全合規(guī)有望成為企業(yè)可即時擁有的常態(tài)��。它對企業(yè)不再意味著負擔和阻礙�,而是推動業(yè)務發(fā)展的合作力量。
亞馬遜云科技一直致力于讓安全合規(guī)成為用戶可自動獲得并可有效支持業(yè)務開展的"空氣和水"�����。雖然我們也擁有優(yōu)秀的安全專家����,但安全從不是某個團隊特有的職責,或者是對某些威脅提供對策���。從創(chuàng)立以來�����,亞馬遜云科技就將安全作為最高優(yōu)先級的工作(Job Zero)���,致力于形成人人有責�����、人人參與的安全文化理念����。這使我們不僅能確保用戶上云的安全合規(guī)���,還能讓用戶在云上獲得更好的安全服務體驗。
安全是人人有責����、全員參與的"Job Zero"
現(xiàn)任亞馬遜總裁兼首席執(zhí)行官的Andy Jassy先生在創(chuàng)立亞馬遜云科技時就提出"安全是我們的‘Job Zero'。"其意思是安全比任何事情都要更重要�����,在所有工作中擁有最高優(yōu)先級�。在過去16年里,"Job Zero"始終是亞馬遜云科技一直堅守的重要企業(yè)文化�。
我們對"Job Zero"的貫徹遠不止推出某些技術(shù)或產(chǎn)品,更是使其成為一種機制和處事方式���。包括亞馬遜云科技CEO在內(nèi)的管理層����,每周都會召開專門的安全會議,安全團隊也能夠通暢地向CEO等管理層進行匯報�����。我們要確保任何一項戰(zhàn)略或戰(zhàn)術(shù)決策���,都能在充分考慮到安全需求的前提下做出正確的選擇�����。
"Job Zero"安全理念也自下而上地將公司每一個人囊括其中�。不僅是公司高層���、安全團隊����,還包括每一個主管���、經(jīng)理���、工程師和開發(fā)人員……人人都肩負安全責任�����。亞馬遜云科技所提供的每項服務都不會將功能性和安全性分別考慮�����。事實上��,這些服務從誕生之初���,就被置于安全與合規(guī)的"底座"之上,這也使安全合規(guī)成為云服務所天然具有的基因�����。當然�,亞馬遜云科技的安全團隊也會隨時與業(yè)務部門開展合作����,事實上,很多服務研發(fā)團隊都有自己的安全官��,來確保開發(fā)過程始終保持在安全框架之內(nèi)。
讓安全合規(guī)成為云上的"空氣和水"
"Job Zero"不僅是亞馬遜云科技推動安全與業(yè)務相輔相成的文化��,也讓我們能夠不斷為用戶帶來可充分保障業(yè)務開展的安全云計算環(huán)境��。當用戶將數(shù)據(jù)與計算遷移至亞馬遜云科技�,我們希望讓用戶感受到安全合規(guī)就如同"空氣和水"一樣的存在 -- 既隨手可得,又有助于業(yè)務成長����。
這也是為什么亞馬遜云科技不會給安全合規(guī)服務設定業(yè)績目標。安全合規(guī)之于業(yè)務就如同空氣和水一樣重要且必須����,我們有責任幫助用戶獲得足以免于威脅與擔憂的安全云上環(huán)境,并不必為"空氣和水"去負擔過多額外成本��。
我們希望安全合規(guī)是云上的空氣和水���,但并不代表亞馬遜云科技所要管理的范圍沒有邊界��。邊界在哪里���?在于用戶對其置于云上的數(shù)據(jù)、應用、訪問權(quán)限等要素的擁有權(quán)及完全控制權(quán)��。我們提出了"安全責任共擔模型"�����,進行了責權(quán)劃分:亞馬遜云科技對云自身安全負責���,用戶對云中安全負責�,但我們會幫客戶在云中構(gòu)建安全防護���。
具體來說���,亞馬遜云科技對于云環(huán)境的安全合規(guī)建設包括以下幾個方面:基礎設施、服務��、用戶擁有和控制數(shù)據(jù)的原則以及全球安全合規(guī)認證�。
首先,云安全始于基礎設施�。亞馬遜云科技提供極具擴展性和高度可靠的基礎設施��,并采用多種冗余和分層控制的數(shù)據(jù)中心�,大量使用自動化確保底層基礎設施7×24小時的監(jiān)控和保護,以及對業(yè)務連續(xù)性和災難恢復的響應和應對。并且�,基礎設施的安全性對于每一個使用亞馬遜云服務的客戶來說,是完全"一視同仁"的��。無論是超大規(guī)模企業(yè)����,還是小微企業(yè),在云上所獲得的基礎設施安全性完全相同��。因此基礎設施安全也可視作云計算最顯著的優(yōu)越性之一�����,讓用戶從此告別傳統(tǒng)數(shù)據(jù)中心的巨大安全成本支出���。
第二�����,云安全不止安全服務��。我們不僅要看有多少安全服務���,同時也要考慮所有云服務自身的安全����。這也是前面所說的"Job Zero"的重要目的�,即每個服務在研發(fā)時就要優(yōu)先解決安全問題,如果服務存在安全隱患�����,那么就不會被推出�����。另外�����,我們通過服務間的深度集成實現(xiàn)自動化并降低風險����。亞馬遜云科技有一套完整的安全運維流程、制度和最佳實踐��,來保證云自身的安全�����。我們可以應對風險�����,但更好的選擇是規(guī)避風險����。
第三,堅持用戶擁有和控制數(shù)據(jù)的理念��。我們始終堅持用戶擁有自己的數(shù)據(jù)����,并能夠?qū)?shù)據(jù)進行自主操作。但我們并不會因為用戶擁有和控制數(shù)據(jù)����,而對數(shù)據(jù)的安全"免責"。亞馬遜云科技的數(shù)據(jù)加密無處不在�����,數(shù)據(jù)的流動與進出基礎設施���,都會伴隨物理層自動加密��。我們還會為用戶提供所需的控制權(quán)和可見性��,幫助客戶證明數(shù)據(jù)符合本區(qū)域和本地數(shù)據(jù)隱私法律法規(guī)�����,我們遍布全球的基礎設施也可以幫助客戶實現(xiàn)數(shù)據(jù)本地化的要求����。
最后,在合規(guī)方面����,亞馬遜云科技在全球已經(jīng)獲得了98項安全標準和合規(guī)認證,并且定期對數(shù)千個全球合規(guī)性進行第三方驗證����,亞馬遜云科技的用戶可直接繼承。在中國(光環(huán)新網(wǎng)運營北京區(qū)域����、西云數(shù)據(jù)運營寧夏區(qū)域),西云數(shù)據(jù)和光環(huán)新網(wǎng)都通過了獨立的第三方機構(gòu)驗證���,也都完成了網(wǎng)絡安全等級保護三級的測評�,還獲得了中國信息通信研究院的可信云的服務評估。另外我們也獲得了通行的一系列安全性和合規(guī)性要求�����,例如ISO信息安全質(zhì)量管理認證�����、PCI-DSS�����、SOC等����。
除了確保云環(huán)境自身安全之外��,亞馬遜云科技同樣為用戶帶來多層防護服務��,進一步幫助用戶提升上云后的安全合規(guī)��。為了實現(xiàn)無限趨近于100%的云計算安全��,我們同時也與全球豐富的亞馬遜云科技合作伙伴網(wǎng)絡成員構(gòu)建1+1>2的安全合作��。亞馬遜云科技APN合作伙伴網(wǎng)絡里面提供了數(shù)百種領先的安全合規(guī)解決方案,還包括專注于數(shù)據(jù)保護合規(guī)的咨詢服務���。目前我們正不斷將亞馬遜云科技在全球的合作伙伴網(wǎng)絡成員引入中國�����,并加大與中國本土合作伙伴網(wǎng)絡成員的合作����,給客戶提供更多的解決方案以更好滿足中國用戶在國內(nèi)�、國際業(yè)務中的安全合規(guī)需求。
盡管云計算已經(jīng)走過了十幾年的發(fā)展歷程�����,但仍處在十分早期的階段�����。無論是在全球還是在中國�����,IT支出總量中用于公有云的比例到現(xiàn)在還只是個位數(shù)。從長遠角度看��,我們認為云計算安全合規(guī)不僅僅是解決眼前的威脅或是提升技術(shù)能力����,也同樣考驗著云服務提供商與云計算用戶關(guān)于安全的思維演進和機制建立。相比于解決獨立問題���,思維和理念的變化才會讓我們更好地適應云環(huán)境的安全與合規(guī)需求����,并將其轉(zhuǎn)化為數(shù)字化轉(zhuǎn)型和業(yè)務發(fā)展的新動力���。
