作者:亞馬遜雲科技大中華區戰略業務發展部總經理 顧凡

當下,眾多企業與機構向雲端的“大遷徙”仍在持續,而安全合規也毫不意外地成為考量與選擇雲平臺的重要關鍵因素之一。當我們將越來越多的重要、敏感資料遷移上雲,對於資料洩露、資訊竊取等安全威脅的警惕也必然與日俱增。

隨著創新技術的發展,越來越多企業雲端計算安全理念開始從限制業務發展向賦能增長轉變。以往,當人們看到那些頭部企業紛紛加碼網路安全團隊建設,或是在資料安全及合規方面加大資金投入,可能會更加難以跳出這樣一個誤區——安全合規,意味著限制和負擔。例如,不少企業會將“安全合規”視作與業務之間彼此區隔的獨立工程,前者只是IT團隊安全專家的職責,並且認為安全與合規大概率會帶來對業務發展的限制,以及額外的成本支出。

無論這種思維是否有其合理性,但卻不再適用於雲端計算環境。雲平臺及服務讓企業無需再從零起步構建安全合規體系。那些基礎而瑣碎的基礎設施安全合規問題,將成為雲服務提供商的責任,不再需要企業為此投入前期成本。另一方面,服務於大量使用者的雲服務商利用規模化的安全服務帶來更具視覺化及自動化的服務,使使用者以更少的成本和更精簡的人力達成既定安全目標。概括來說,雲上安全合規有望成為企業可即時擁有的常態。它對企業不再意味著負擔和阻礙,而是推動業務發展的合作力量。

亞馬遜雲科技一直致力於讓安全合規成為使用者可自動獲得並可有效支援業務開展的“空氣和水”。雖然我們也擁有優秀的安全專家,但安全從不是某個團隊特有的職責,或者是對某些威脅提供對策。從創立以來,亞馬遜雲科技就將安全作為最高優先順序的工作(Job Zero),致力於形成人人有責、人人蔘與的安全文化理念。這使我們不僅能確保使用者上雲的安全合規,還能讓使用者在雲上獲得更好的安全服務體驗。

安全是人人有責、全員參與的“Job Zero”

現任亞馬遜總裁兼執行長的Andy Jassy先生在創立亞馬遜雲科技時就提出“安全是我們的‘Job Zero’。”其意思是安全比任何事情都要更重要,在所有工作中擁有最高優先順序。在過去16年裡,“Job Zero”始終是亞馬遜雲科技一直堅守的重要企業文化。

我們對“Job Zero”的貫徹遠不止推出某些技術或產品,更是使其成為一種機制和處事方式。包括亞馬遜雲科技CEO在內的管理層,每週都會召開專門的安全會議,安全團隊也能夠通暢地向CEO等管理層進行彙報。我們要確保任何一項戰略或戰術決策,都能在充分考慮到安全需求的前提下做出正確的選擇。

“Job Zero”安全理念也自下而上地將公司每一個人囊括其中。不僅是公司高層、安全團隊,還包括每一個主管、經理、工程師和開發人員……人人都肩負安全責任。亞馬遜雲科技所提供的每項服務都不會將功能性和安全性分別考慮。事實上,這些服務從誕生之初,就被置於安全與合規的“底座”之上,這也使安全合規成為雲服務所天然具有的基因。當然,亞馬遜雲科技的安全團隊也會隨時與業務部門開展合作,事實上,很多服務研發團隊都有自己的安全官,來確保開發過程始終保持在安全框架之內。

讓安全合規成為雲上的“空氣和水”

“Job Zero”不僅是亞馬遜雲科技推動安全與業務相輔相成的文化,也讓我們能夠不斷為使用者帶來可充分保障業務開展的安全雲端計算環境。當使用者將資料與計算遷移至亞馬遜雲科技,我們希望讓使用者感受到安全合規就如同“空氣和水”一樣的存在——既隨手可得,又有助於業務成長。

這也是為什麼亞馬遜雲科技不會給安全合規服務設定業績目標。安全合規之於業務就如同空氣和水一樣重要且必須,我們有責任幫助使用者獲得足以免於威脅與擔憂的安全雲上環境,並不必為“空氣和水”去負擔過多額外成本。

我們希望安全合規是雲上的空氣和水,但並不代表亞馬遜雲科技所要管理的範圍沒有邊界。邊界在哪裡?在於使用者對其置於雲上的資料、應用、訪問許可權等要素的擁有權及完全控制權。我們提出了“安全責任共擔模型”,進行了責權劃分:亞馬遜雲科技對雲自身安全負責,使用者對雲中安全負責,但我們會幫客戶在雲中構建安全防護。

具體來說,亞馬遜雲科技對於雲環境的安全合規建設包括以下幾個方面:基礎設施、服務、使用者擁有和控制資料的原則以及全球安全合規認證。

首先,雲安全始於基礎設施。亞馬遜雲科技提供極具擴充套件性和高度可靠的基礎設施,並採用多種冗餘和分層控制的資料中心,大量使用自動化確保底層基礎設施7×24小時的監控和保護,以及對業務連續性和災難恢復的響應和應對。並且,基礎設施的安全性對於每一個使用亞馬遜雲服務的客戶來說,是完全“一視同仁”的。無論是超大規模企業,還是小微企業,在雲上所獲得的基礎設施安全性完全相同。因此基礎設施安全也可視作雲端計算最顯著的優越性之一,讓使用者從此告別傳統資料中心的巨大安全成本支出。

第二,雲安全不止安全服務。我們不僅要看有多少安全服務,同時也要考慮所有云服務自身的安全。這也是前面所說的“Job Zero”的重要目的,即每個服務在研發時就要優先解決安全問題,如果服務存在安全隱患,那麼就不會被推出。另外,我們通過服務間的深度整合實現自動化並降低風險。亞馬遜雲科技有一套完整的安全運維流程、制度和最佳實踐,來保證雲自身的安全。我們可以應對風險,但更好的選擇是規避風險。

第三,堅持使用者擁有和控制資料的理念。我們始終堅持使用者擁有自己的資料,並能夠對資料進行自主操作。但我們並不會因為使用者擁有和控制資料,而對資料的安全“免責”。亞馬遜雲科技的資料加密無處不在,資料的流動與進出基礎設施,都會伴隨物理層自動加密。我們還會為使用者提供所需的控制權和可見性,幫助客戶證明資料符合本區域和本地資料隱私法律法規,我們遍佈全球的基礎設施也可以幫助客戶實現資料本地化的要求。

最後,在合規方面,亞馬遜雲科技在全球已經獲得了98項安全標準和合規認證,並且定期對數千個全球合規性進行第三方驗證,亞馬遜雲科技的使用者可直接繼承。在中國(光環新網運營北京區域、西雲資料運營寧夏區域),西雲資料和光環新網都通過了獨立的第三方機構驗證,也都完成了網路安全等級保護三級的測評,還獲得了中國資訊通訊研究院的可信雲的服務評估。另外我們也獲得了通行的一系列安全性和合規性要求,例如ISO資訊保安質量管理認證、PCI-DSS、SOC等。

除了確保雲環境自身安全之外,亞馬遜雲科技同樣為使用者帶來多層防護服務,進一步幫助使用者提升上雲後的安全合規。為了實現無限趨近於100%的雲端計算安全,我們同時也與全球豐富的亞馬遜雲科技合作伙伴網路成員構建1+1>2的安全合作。亞馬遜雲科技APN合作伙伴網路裡面提供了數百種領先的安全合規解決方案,還包括專注於資料保護合規的諮詢服務。目前我們正不斷將亞馬遜雲科技在全球的合作伙伴網路成員引入中國,並加大與中國本土合作伙伴網路成員的合作,給客戶提供更多的解決方案以更好滿足中國使用者在國內、國際業務中的安全合規需求。

儘管雲端計算已經走過了十幾年的發展歷程,但仍處在十分早期的階段。無論是在全球還是在中國,IT支出總量中用於公有云的比例到現在還只是個位數。從長遠角度看,我們認為雲端計算安全合規不僅僅是解決眼前的威脅或是提升技術能力,也同樣考驗著雲服務提供商與雲端計算使用者關於安全的思維演進和機制建立。相比於解決獨立問題,思維和理念的變化才會讓我們更好地適應雲環境的安全與合規需求,並將其轉化為數字化轉型和業務發展的新動力。