摘要：云上安全合规，亚马逊云科技到底有哪些优势？

上云安全吗？

这个问题最早出现在十余年前云计算刚刚诞生时。但是在今天，安全对于云计算的价值愈发重要，因为企业加速数字化转型与安全合规不断升级的矛盾正在不断加剧。

一方面，随着多云环境的普遍应用，企业的IT架构日益复杂，云上安全威胁广泛分布在基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等领域。

另一方面，全球范围内对安全合规的要求变得日益严苛。目前，全球已经有132个国家跟地区制定了数据保护和隐私相关的法律法规。国内，《数据安全法》、《个人信息保护法》的相继出台也对企业上云用数安全提出更高要求。

作为全球云计算的领导者，亚马逊云科技在云上安全领域积累了众多方法论和最佳实践。为什么企业上云后安全体验反而更好？亚马逊云科技如何保证自身的安全合规？如何保证企业在云上的业务运行安全合规？近日，亚马逊云科技向国内媒体首次分享了其构建的云上安全“城堡”的全貌。

企业上云，安全体验可以再上一个台阶

过去很多年，企业都认为自己的数据中心才是最安全的。但是亚马逊云科技认为：企业上云，安全体验能够比自建数据中心再上一个台阶。

亚马逊云科技大中华区战略业务发展部总经理顾凡介绍，如果自建数据中心方式的安全是从零做起，那么上云相当于从50分做起，企业可以直接继承云厂商的安全能力。上云后，企业可以享有更加自动化、更好的可见性、更灵活的成本控制，以及更高效地实现合规等安全优势。

亚马逊云科技自身的安全合规是确保企业云上安全的重要支柱之一。具体来说，亚马逊云科技通过四个方面保证自身的安全合规：安全的基础设施，安全的云服务，坚持客户拥有和控制数据的理念，以及支持众多安全标准与合规性认证，几乎满足全球所有监管机构的合规性要求。

目前，全球已有数百万用户把数据和业务放在亚马逊云上，覆盖了几乎所有的行业，其中也包括金融、电信等很多强监管的行业。世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。作为“中国智造”出海的代表性企业，TCL实业已将海外业务的多个重要核心系统部署在亚马逊云科技上，实现安全合规的全球部署。

在企业用云渗透率不断提升的今天，关于上云本身的安全，以及亚马逊云科技自身的安全不必过多赘述，外界更加关注的是亚马逊云科技是如何保障企业云上安全合规。如果把亚马逊云科技的安全体系比作一座城堡，自然少不了地基、城墙和护城河几大核心组成部分。

扎实的地基：Job Zero理念与安全责任共担模型

首先，Job Zero理念与安全责任共担模型构成了亚马逊云科技安全城堡的地基。

在亚马逊云科技，安全被列为最高优先级的工作。“安全是我们的Job Zero，以上是它比任何第一要务都更重要。”亚马逊总裁兼首席执行官Andy Jassy曾表示。

Job Zero体现在亚马逊云科技内部一系列管理机制和产品设计逻辑中。比如每个级别的员工都有安全目标，公司内部会定期举行安全合规的培训及考试，每个服务在设计阶段都要考虑安全问题。

另一方面，亚马逊云科技首创的安全责任共担模型，目前已经成为云计算行业内通用的安全准则之一。简单来说就是，亚马逊云科技负责底层云基础设施和所提供云服务的安全，客户负责自身云业务安全。

责任共担的分界线，在IaaS、PaaS、SaaS不同的场景会有所移动。如果客户使用的是基础资源，分界线是云厂商保护云基础设施，例如虚拟机、网络存储、计算，用户负责虚拟化之上的资源，例如操作系统、应用、数据访问、加密。如果客户采用的是PaaS服务，亚马逊云科技肩负的责任会更多。如果采用SaaS服务，客户主要负责的是数据，以及数据的访问权限。

坚固的城墙：三大安全理念与一个洋葱

顾凡分享道，企业经常面临两难的困境，即如何平衡快速创新与确保安全。亚马逊云科技认为，安全团队最核心的任务是想方设法在确保安全的情况下，持续推动企业快速创新，让开发团队把更多的时间放在业务创新上。那么，如何做到这一点呢？亚马逊云科技提出了三大安全理念：

理念一：利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。基于事件驱动的架构，建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护。

理念二：云中安全是主动设计出来的，而不仅是被动响应。安全建设应该未雨绸缪，需要从规划预防、检测、响应、修复四个方面进行主动设计。

理念三：云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。鸡蛋看似外壳坚硬却脆弱易碎，而洋葱型防护是层层递进的。

亚马逊云科技的洋葱防护模型共有五层，由外向内依次是：威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规。这五层洋葱模型共涵盖了280多项安全、合规服务及功能，每一层都为客户提供全方位的安全服务。

以身份认证与访问控制为例，其在企业安全管理中一直是一个相对薄弱的环节。数据统计，80%的安全事件是因为弱口令导致的。“就好比说你建了一个非常坚固的城堡，但是这个城堡的门却向未知访客打开了。”顾凡表示。

在身份认证方面，亚马逊云科技坚持两大原则：最小授权和定期审计授权，同时提出三个技术建议：一是尽可能细化访问的颗粒度；二是结合多因素鉴证（MFA）技术加强身份认证；三是减少长期凭证的使用。

在具体工具层面，AWS Identity and Access Management (IAM) 提供涵盖整个亚马逊云科技的精细访问控制，企业可以指定哪些员工在哪些条件下可以访问哪些服务和资源，确保实现最小权限。Amazon Organizations是一个身份认证与访问控制服务，企业可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

宽阔的护城河：安全合规五大优势

在理念、管理机制、领先技术和最佳实践的共同叠加下，亚马逊云科技在助力企业云上安全合规方面形成了五大优势：

第一，出色的可见性和控制力。亚马逊云科技严格遵从客户拥有和控制数据的理念，客户对自己的数据拥有完整控制权。亚马逊云科技提供企业所需的控制权和可见性，帮助客户证明遵守本区域和本地数据隐私法律和法规。

第二，深度集成实现自动化。亚马逊云科技的安全服务充分体现了云上自动化和深度集成的优势。比如，在洋葱第一层的威胁检测与事件响应层面，Amazon GuardDuty 集成了机器学习的能力，能够实现对威胁的精准定位，让报警量减少了50%。Amazon Security Hub安全事件统一管理平台，能够让客户针对威胁检测7x24 小时全天候监控，及时响应，并自动执行合规性检查。

第三、以最高的安全与隐私保护标准构建。亚马逊云科技在全球所有的数据中心和服务都使用相同的构建标准和控制措施，所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。

亚马逊云科技提供了数据全生命周期的加密服务，涵盖了数据的存储、传输以及使用各个环节。比如，在存储过程中，客户可使用Amazon Key Management Service (Amazon KMS)实现存储过程中的加密。Amazon KMS已与140多个亚马逊云科技其他服务集成，用于支持存储在这些服务中的数据的加密。

在数据计算使用过程中，Amazon Nitro 提供硬件级别的安全机制，实现了网络、存储隔离的独立安全通道，使用 Nitro Enclaves 的加密证明功能，客户可以设置多方计算，其中多个参与方可以加入和处理高度敏感的数据，而无需分别向每个参与方披露或共享实际数据。

第四、客户可以继承亚马逊云科技全面的安全性与合规性控制。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证，满足客户在财务、零售、医疗保健、政府及其他方面的安全性与合规性标准。比如，欧洲云基础设施服务提供商数据保护行为准则（CISPE准则），在某些方面标准甚至高于GDPR。今天亚马逊云科技已经有50多项服务符合CISPE准则。

第五、丰富的安全、合规合作伙伴。亚马逊云科技与众多安全合规合作伙伴提供了丰富的解决方案，可以为客户构建1+1>2的安全保护。近日，亚马逊云科技与德勤中国联手推出安全运营中心服务，该运营中心将在亚马逊云科技上为客户提供云上端到端的安全监测及响应服务，提升企业云上安全。

此外，顾凡还透露，亚马逊云科技一直在加速安全合规服务和功能在中国的落地，截止到2021年，在中国区域（北京与宁夏）已推出50多项安全合规的服务和功能，包括Web应用程序防火墙Amazon WAF、威胁检测服务Amazon GuardDuty和安全事件统一管理平台Amazon Security Hub等重量级的安全服务。

如果说云计算的价值在于为企业业务和数字化转型赋能，那么安全就是为云计算本身赋能。从地基、城墙到护城河，亚马逊云科技的云上安全理念、策略和实践，为云计算行业树立了一个范本。

END

本文为「智能进化论」原创作品。