安全合规成为必修课 企业上云 (安全合规性)

如今，伴随着数字经济的发展加之疫情的影响，各行业各企业纷纷走上了数字化转型的道路，企业上云逐渐成为大势所趋。究其原因，主要在于云计算的使用，让企业在业务开展过程中拥有了更多的灵活性和可行性，还给企业发展带来了更多收益。

同时国家也出台了相关政策积极鼓励企业上云，据相关数据显示，工信部将在今年年底为不少于10万家中小企业提供数字化转型服务，促进10万家中小企业业务上云。

然而，任何事情的发展都具有两面性，上云虽然利好企业的数字化转型，但也存在着严重的安全隐患，一方面，第三方设置中缺乏安全控制、多云环境中可见性差、有足够的空间来窃取和滥用数据、云是DDos攻击的常见目标，攻击会从一个环境快速扩散至另一个环境等，云安全隐患不仅会波及每个部门还会对网络中的所有设备带来危害。

另一方面，伴随着云计算的不断深入，云上安全合规的环境日趋复杂，到目前为止，全球已经有132个国家跟地区制定了数据保护和隐私相关的法律法规，国内也先后出台了《数据安全法》、《个人信息保护法》等各种法规，加之近些年云安全事件频发的影响，如何规避安全风险成了企业上云的重要课题。

过去很多年，企业认为自己的数据中心才是最安全的，但在亚马逊云科技看来，企业上云，安全体验能够比自建数据中心再上一个台阶。

对此，亚马逊云科技大中华区战略业务发展部总经理顾凡表示，虽然大多数企业在自建数据中心的时候也要考虑安全因素，但构建安全体系时需要考虑到安全设备管理、合同签订、成本等一系列问题，当企业用户选择将应用上云之后，就无需担心琐碎的底层基础设施安全，而且在云端的安全治理有机会再上一个台阶。

具体主要表现在以下四个方面：

企业上云潜在的安全风险无疑给包括亚马逊云科技在内的云服务商提出了更高的要求，但是为了推动安全及合规更好更快建设，顾凡认为安全合规也需要云服务商与客户实现责任共担，对此，亚马逊云科技提出了安全责任共担模型，在这一模型中，亚马逊云科技负责底层云基础设施和所提供云服务的安全，客户负责自身云业务安全。

随着客户在云上采用的是IaaS服务，到PaaS服务再到saas服务，这样云厂商的责任共担模型的分界线会上浮，云厂商肩负的责任会越多，到了SaaS服务的时候，客户主要负责的就是数据，以及数据的访问权限。

相比企业而言，在安全合规建设过程中，云服务商往往承担着更为重要的责任，亚马逊云科技主要通过四个方面来保证自身的安全合规。

第一是安全的基础设施。亚马逊云科技的数据中心和网络架构在构建时就会遵循最高的安全标准，全球所有数据中心和服务都会使用相同的构建标准和控制措施，而规模不同的客户都可以受益于这样具有高安全性的基础设施。

第二是安全的云服务。亚马逊云科技对服务的安全性十分重视，安全团队从一开始就会深入参与到新服务和新功能的开发之中，如果存在任何已知的安全问题，新服务将不会启动，此外亚马逊云科技还会通过深度集成的服务，实现安全自动化，减少人工配置错误，降低风险。

第三则是坚持客户拥有和控制服务的理念。在为客户提供云服务的同时，亚马逊云科技坚持不接触客户数据，客户可以选择任何方式加密数据，所有数据在离开亚马逊云科技的安全设施之前，也会经过物理层的自动加密。

最后，亚马逊云科技获得了众多安全标准和合规性认证，几乎满足全球所有监管机构的合规认证，用户可以继承这些安全合规认证，从而顺利开展自身的全球化部署。

顾凡表示，“安全团队最核心的理念就是不能阻止企业快速创新，要尽力在确保安全的情况下推动企业加速转型。而亚马逊云科技通过三方面的理念构建安全模型，从而为企业的安全团队提供最佳选择，具体来说，首先是利用云上事件驱动型架构构建自动化防护栏，让企业的开发团队能有更多时间投入到业务创新中，其次是主动设计云中安全，从规划预防、检测、响应和修复四个方面，未雨绸缪地设计安全防护，最后，云中安全必须是一个洋葱型的多层防护，通过层层递进的防护机制保护云上数据的安全。”

针对洋葱模型，顾凡特别解释道，云中安全必须是洋葱型的多层防护，而不是一个鸡蛋。因为洋葱模型的核心理念是，千万别信一层保护，有人说就信网络层，任何一层都是不够的，只有五层连起来像锁链一样才会更加牢靠。洋葱模型防护是云中构建安全的关键所在。

据了解，目前亚马逊云科技以洋葱模型为基础，对外提供了280多种安全合规的服务和功能，从五个层面提供全方位的安全防护。

第一层是威胁检测与事件响应。在这一层中，威胁检测起到了专业天气预报员的作用，对安全威胁做到精准定位、快速反应和时刻监控。具体到服务上来看，Amazon Guard Duty集成了机器学习的能力，实现威胁的精准定位，为客户提供了经济高效的智能选项，可持续检测在亚马逊云科技中发生的威胁，让报警量减少了50%，而Amazon Security Hub安全事件统一管理平台则可以让客户针对威胁检测7X24小时全天候监控，及时响应，并自动执行合规性检查。

第二层是身份认证与访问控制。亚马逊云科技提供了Amazon Identity and Access Management (IAM)作为身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制，实现一个组织的多账号集中管理和治理，建立权限防护机制和数据边界。

第三层是网络与基础设施安全。防御DDoS攻击是这一层防护的重点，而Amazon Shield Advanced则为用户提供了全天候的防护，Web应用防火墙服务Amazon WAF则通过丰富的规则库，使得客户能够灵活定义网络访问的规则。

第四层是数据保护与隐私。提供数据全生命周期的加密服务，对数据的保护涵盖了数据存储、传输和使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。而Amazon Cloud HSM提供了安全、简单的云上专属加密机。针对云端的机密计算环境则由Amazon Nitro Enclaves提供，客户可以通过该服务创建云上的隔离环境，减少敏感数据处理过程中的攻击面。

第五层则是风险管控和合规。主要表现在三方面，一是确保亚马逊云科技服务本身的合规性，二是合规方案落地，三是自动化审计。

伴随着企业加速上云，可以看出企业放到云上的数据类型、数据的数量将持续增加。而如今随着中国企业的出海，很多企业业务在全球范围拓展，甚至有很多企业是跨行业跨赛道做竞争，这都将加剧企业面对安全合规的挑战。

安全合规的建设仍旧任重道远，其并不能凭云服务商的一己之力，也不能靠企业自建，只有双方合力才能更好更快的推动安全合规的建设。

原创文章，未经授权禁止转载。详情见 转载须知 。

上一篇：对话李雪莹网络安全要具备体系化建设思路语

下一篇：未见所见360EDR从见我一种可能解到见我所见