关于安全合规,亚马逊云科技回答了这三个关键问题
作者:刘沙 | 来源:计世网
2022-04-02
业务持续变化给安全合规带来了新的挑战。
上云安全吗?
亚马逊云科技本身是安全合规的吗?
亚马逊云科技是怎么帮用户实现云上安全合规的?
亚马逊云科技大中华区战略业务发展部总经理顾凡告诉记者,这是关心安全合规的客户经常会问他的三个问题。
如今,面临安全合规问题的企业越来越多。由于全球安全合规的环境日益复杂,有132个国家和地区都制定了数据保护和隐私相关的法律法规,企业放到云上的数据类型和数据数量越来越多,业务持续变化也给安全合规带来了新挑战。
在亚马逊云科技近日举行的媒体沟通会上,顾凡对这些问题进行了详细的解答。
上云安全吗?
顾凡指出,事实上,从自建数据中心迁移上云能够提升企业的安全体验。企业自建数据中心时也需要考虑安全,不过需要自己构建,要考虑安全设备、管理、成本等一系列问题。但把应用迁移上云后,企业就不需要关心琐碎的底层基础设施安全了,而且在云端的安全治理还有机会再上一台台阶,体现为以下几个方面:
一是更好的可见性。有了更好的数据整合,在云上会有机会用一个集中的平台,实现安全的可视化管理。
二是更高的自动化程度。可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地环境下,采用的是不同厂商的产品,安全数据整合非常复杂,而在云上,服务之间的深度集成会让数据整合更简单。
三是更灵活的成本控制。云端安全没有前期投入成本,是按使用付费。
四是更高效的合规。自建数据中心做合规要从零开始。如果选择云厂商,客户可以继承云厂商的合规。
顾凡表示,正因为如此,在全球已经有数百万用户选择了亚马逊云科技,这些用户覆盖了几乎所有行业,包括金融、电信等很多强监管的行业,例如世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。
亚马逊云科技本身是安全合规的吗?
在亚马逊云科技有一个“Job Zero 安全文化”。亚马逊总裁兼CEO Andy Jassy曾表示:“安全是我们的Job Zero,它比任何第一要务都更重要。”
如今,“Job Zero 安全文化”贯穿在整个亚马逊云科技中:每一位员工都负有安全责任。CEO每周都要召开安全会议;每个级别的员工都有安全目标,定期举行安全合规的培训及考试;每个服务在设计阶段就要考虑到安全问题;亚马逊云科技还高度重视安全自动化,通过自动化实现安全标准化和一致性;在安全运营方面则组成了一级响应团队和二级响应团队,提供全天候响应的能力。
此外,亚马逊云科技还首创了安全责任共担模型,推动安全及合规建设。由亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。责任共担的分界线会根据客户使用的IaaS、PaaS、SaaS不同的服务有所移动。
打铁还需自身硬。据顾凡介绍,亚马逊云科技通过四大举措来保证自身的安全合规性。
第一,云安全始于基础设施。亚马逊云科技的数据中心和网络架构是以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户都可以使用这些具有高安全性的基础设施,无论规模大小。
第二,安全不止安全服务。亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
第三,坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。
第四,亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。这些安全标准及合规认证,用户都可以继承。亚马逊云科技还会定期对数千个全球合规性要求进行第三方验证。
亚马逊云科技是怎么帮用户实现云上安全合规的?
据了解,在云服务安全方面,亚马逊云科技一直坚持三个理念:
理念#1:利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业开发团队把更多时间放在业务创新上。
理念#2:云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。
理念#3:云中安全必须是一个洋葱型的多层防护,层层递进,层层展开,而不是鸡蛋型的单层防护。
据顾凡介绍,这个洋葱型的防护体系一共有5层:
第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。Amazon GuardDuty可以为客户提供经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。Amazon Security Hub安全事件统一管理平台,可以让客户针对威胁检测7x24 小时全天候监控,及时响应,并自动执行合规性检查。
顾凡强调,虽然安全自动化需要大量投入,但是从长远来看,一切都是值得的,因为人都会犯错误的。
第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。没有好的身份认证访问策略,就像建了一座坚固的城堡,却把门打开给未知的访客。
在身份认证方面,亚马逊云科技提供了两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有授权都必须有时效性。技术建议之一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
第三层:网络与基础设施安全。防御DDoS是这一层防护的重点。DDoS防御应全年从始至终,而不能像急诊。如果等发现DDoS攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则。
第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用等各个环节。Amazon KMS密钥管理服务可以实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密,高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
第五层:风险管控及合规。亚马逊云科技可以从三个方面帮助用户合规:一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都会对客户倾囊相授。
顾凡告诉记者,如今亚马逊云科技正在加速安全合规服务及功能在中国区域的落地。截至2021年,亚马逊云科技通过与光环新网、西云数据的合作,已经在中国区域(北京与宁夏)推出了50多项安全合规的服务和功能。
此外,亚马逊云科技APN合作伙伴网络也会提供数百种行业领先的安全解决方案。近日,亚马逊云科技进一步升级与德勤中国的合作,推出了安全运营中心服务,该运营中心将在亚马逊云科技上为客户提供云上端到端的安全监测及响应服务,提升企业云上安全。
顾凡还总结了亚马逊云科技云上安全合规的五大优势,分别是出色的可见性和控制力、深度集成的自动化、以最高的安全与隐私保护标准构建、客户可以继承亚马逊云科技全面的安全性与合规性控制、有丰富的合作伙伴可以强强联合。
最后顾凡表示:“安全合规是亚马逊云科技开展一切业务的基础。我们将不断努力,更好的满足客户在安全合规方面的需求。”
亚马逊云科技本身是安全合规的吗?
亚马逊云科技是怎么帮用户实现云上安全合规的?
亚马逊云科技大中华区战略业务发展部总经理顾凡告诉记者,这是关心安全合规的客户经常会问他的三个问题。
亚马逊云科技大中华区战略业务发展部总经理 顾凡
如今,面临安全合规问题的企业越来越多。由于全球安全合规的环境日益复杂,有132个国家和地区都制定了数据保护和隐私相关的法律法规,企业放到云上的数据类型和数据数量越来越多,业务持续变化也给安全合规带来了新挑战。
在亚马逊云科技近日举行的媒体沟通会上,顾凡对这些问题进行了详细的解答。
上云安全吗?
顾凡指出,事实上,从自建数据中心迁移上云能够提升企业的安全体验。企业自建数据中心时也需要考虑安全,不过需要自己构建,要考虑安全设备、管理、成本等一系列问题。但把应用迁移上云后,企业就不需要关心琐碎的底层基础设施安全了,而且在云端的安全治理还有机会再上一台台阶,体现为以下几个方面:
一是更好的可见性。有了更好的数据整合,在云上会有机会用一个集中的平台,实现安全的可视化管理。
二是更高的自动化程度。可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地环境下,采用的是不同厂商的产品,安全数据整合非常复杂,而在云上,服务之间的深度集成会让数据整合更简单。
三是更灵活的成本控制。云端安全没有前期投入成本,是按使用付费。
四是更高效的合规。自建数据中心做合规要从零开始。如果选择云厂商,客户可以继承云厂商的合规。
顾凡表示,正因为如此,在全球已经有数百万用户选择了亚马逊云科技,这些用户覆盖了几乎所有行业,包括金融、电信等很多强监管的行业,例如世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。
亚马逊云科技本身是安全合规的吗?
在亚马逊云科技有一个“Job Zero 安全文化”。亚马逊总裁兼CEO Andy Jassy曾表示:“安全是我们的Job Zero,它比任何第一要务都更重要。”
如今,“Job Zero 安全文化”贯穿在整个亚马逊云科技中:每一位员工都负有安全责任。CEO每周都要召开安全会议;每个级别的员工都有安全目标,定期举行安全合规的培训及考试;每个服务在设计阶段就要考虑到安全问题;亚马逊云科技还高度重视安全自动化,通过自动化实现安全标准化和一致性;在安全运营方面则组成了一级响应团队和二级响应团队,提供全天候响应的能力。
此外,亚马逊云科技还首创了安全责任共担模型,推动安全及合规建设。由亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。责任共担的分界线会根据客户使用的IaaS、PaaS、SaaS不同的服务有所移动。
打铁还需自身硬。据顾凡介绍,亚马逊云科技通过四大举措来保证自身的安全合规性。
第一,云安全始于基础设施。亚马逊云科技的数据中心和网络架构是以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户都可以使用这些具有高安全性的基础设施,无论规模大小。
第二,安全不止安全服务。亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
第三,坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。
第四,亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。这些安全标准及合规认证,用户都可以继承。亚马逊云科技还会定期对数千个全球合规性要求进行第三方验证。
亚马逊云科技是怎么帮用户实现云上安全合规的?
据了解,在云服务安全方面,亚马逊云科技一直坚持三个理念:
理念#1:利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业开发团队把更多时间放在业务创新上。
理念#2:云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。
理念#3:云中安全必须是一个洋葱型的多层防护,层层递进,层层展开,而不是鸡蛋型的单层防护。
据顾凡介绍,这个洋葱型的防护体系一共有5层:
第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。Amazon GuardDuty可以为客户提供经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。Amazon Security Hub安全事件统一管理平台,可以让客户针对威胁检测7x24 小时全天候监控,及时响应,并自动执行合规性检查。
顾凡强调,虽然安全自动化需要大量投入,但是从长远来看,一切都是值得的,因为人都会犯错误的。
第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。没有好的身份认证访问策略,就像建了一座坚固的城堡,却把门打开给未知的访客。
在身份认证方面,亚马逊云科技提供了两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有授权都必须有时效性。技术建议之一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
第三层:网络与基础设施安全。防御DDoS是这一层防护的重点。DDoS防御应全年从始至终,而不能像急诊。如果等发现DDoS攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则。
第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用等各个环节。Amazon KMS密钥管理服务可以实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密,高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
第五层:风险管控及合规。亚马逊云科技可以从三个方面帮助用户合规:一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都会对客户倾囊相授。
顾凡告诉记者,如今亚马逊云科技正在加速安全合规服务及功能在中国区域的落地。截至2021年,亚马逊云科技通过与光环新网、西云数据的合作,已经在中国区域(北京与宁夏)推出了50多项安全合规的服务和功能。
此外,亚马逊云科技APN合作伙伴网络也会提供数百种行业领先的安全解决方案。近日,亚马逊云科技进一步升级与德勤中国的合作,推出了安全运营中心服务,该运营中心将在亚马逊云科技上为客户提供云上端到端的安全监测及响应服务,提升企业云上安全。
顾凡还总结了亚马逊云科技云上安全合规的五大优势,分别是出色的可见性和控制力、深度集成的自动化、以最高的安全与隐私保护标准构建、客户可以继承亚马逊云科技全面的安全性与合规性控制、有丰富的合作伙伴可以强强联合。
最后顾凡表示:“安全合规是亚马逊云科技开展一切业务的基础。我们将不断努力,更好的满足客户在安全合规方面的需求。”
责任编辑:刘沙
专题
最新发布