亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理 顧凡
北京2022年5月30日 /美通社/ -- 近日�����, 亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡針對亞馬遜云服務(wù)數(shù)據(jù)安全及安全合規(guī)方面進(jìn)行了分析�����,以下為其觀點(diǎn)文章:
當(dāng)下���,眾多企業(yè)與機(jī)構(gòu)向云端的"大遷徙"仍在持續(xù)�,而安全合規(guī)也毫不意外地成為考量與選擇云平臺(tái)的重要關(guān)鍵因素之一�����。當(dāng)我們將越來越多的重要、敏感數(shù)據(jù)遷移上云����,對于數(shù)據(jù)泄露、信息竊取等安全威脅的警惕也必然與日俱增��。
隨著創(chuàng)新技術(shù)的發(fā)展����,越來越多企業(yè)云計(jì)算安全理念開始從限制業(yè)務(wù)發(fā)展向賦能增長轉(zhuǎn)變。以往����,當(dāng)人們看到那些頭部企業(yè)紛紛加碼網(wǎng)絡(luò)安全團(tuán)隊(duì)建設(shè)���,或是在數(shù)據(jù)安全及合規(guī)方面加大資金投入���,可能會(huì)更加難以跳出這樣一個(gè)誤區(qū) -- 安全合規(guī),意味著限制和負(fù)擔(dān)���。例如��,不少企業(yè)會(huì)將"安全合規(guī)"視作與業(yè)務(wù)之間彼此區(qū)隔的獨(dú)立工程��,前者只是IT團(tuán)隊(duì)安全專家的職責(zé)�����,并且認(rèn)為安全與合規(guī)大概率會(huì)帶來對業(yè)務(wù)發(fā)展的限制�����,以及額外的成本支出���。
無論這種思維是否有其合理性�����,但卻不再適用于云計(jì)算環(huán)境�。云平臺(tái)及服務(wù)讓企業(yè)無需再從零起步構(gòu)建安全合規(guī)體系�����。那些基礎(chǔ)而瑣碎的基礎(chǔ)設(shè)施安全合規(guī)問題���,將成為云服務(wù)提供商的責(zé)任��,不再需要企業(yè)為此投入前期成本����。另一方面,服務(wù)于大量用戶的云服務(wù)商利用規(guī)?�;陌踩?wù)帶來更具可視化及自動(dòng)化的服務(wù)�,使用戶以更少的成本和更精簡的人力達(dá)成既定安全目標(biāo)。概括來說�,云上安全合規(guī)有望成為企業(yè)可即時(shí)擁有的常態(tài)。它對企業(yè)不再意味著負(fù)擔(dān)和阻礙��,而是推動(dòng)業(yè)務(wù)發(fā)展的合作力量�����。
亞馬遜云科技一直致力于讓安全合規(guī)成為用戶可自動(dòng)獲得并可有效支持業(yè)務(wù)開展的"空氣和水"����。雖然我們也擁有優(yōu)秀的安全專家���,但安全從不是某個(gè)團(tuán)隊(duì)特有的職責(zé)���,或者是對某些威脅提供對策��。從創(chuàng)立以來�����,亞馬遜云科技就將安全作為最高優(yōu)先級的工作(Job Zero)�,致力于形成人人有責(zé)����、人人參與的安全文化理念。這使我們不僅能確保用戶上云的安全合規(guī)��,還能讓用戶在云上獲得更好的安全服務(wù)體驗(yàn)���。
安全是人人有責(zé)�����、全員參與的"Job Zero"
現(xiàn)任亞馬遜總裁兼首席執(zhí)行官的Andy Jassy先生在創(chuàng)立亞馬遜云科技時(shí)就提出"安全是我們的‘Job Zero'��。"其意思是安全比任何事情都要更重要��,在所有工作中擁有最高優(yōu)先級��。在過去16年里�,"Job Zero"始終是亞馬遜云科技一直堅(jiān)守的重要企業(yè)文化。
我們對"Job Zero"的貫徹遠(yuǎn)不止推出某些技術(shù)或產(chǎn)品�����,更是使其成為一種機(jī)制和處事方式����。包括亞馬遜云科技CEO在內(nèi)的管理層,每周都會(huì)召開專門的安全會(huì)議��,安全團(tuán)隊(duì)也能夠通暢地向CEO等管理層進(jìn)行匯報(bào)���。我們要確保任何一項(xiàng)戰(zhàn)略或戰(zhàn)術(shù)決策��,都能在充分考慮到安全需求的前提下做出正確的選擇��。
"Job Zero"安全理念也自下而上地將公司每一個(gè)人囊括其中�。不僅是公司高層����、安全團(tuán)隊(duì)���,還包括每一個(gè)主管���、經(jīng)理�����、工程師和開發(fā)人員……人人都肩負(fù)安全責(zé)任����。亞馬遜云科技所提供的每項(xiàng)服務(wù)都不會(huì)將功能性和安全性分別考慮���。事實(shí)上��,這些服務(wù)從誕生之初����,就被置于安全與合規(guī)的"底座"之上�,這也使安全合規(guī)成為云服務(wù)所天然具有的基因。當(dāng)然��,亞馬遜云科技的安全團(tuán)隊(duì)也會(huì)隨時(shí)與業(yè)務(wù)部門開展合作��,事實(shí)上���,很多服務(wù)研發(fā)團(tuán)隊(duì)都有自己的安全官��,來確保開發(fā)過程始終保持在安全框架之內(nèi)�。
讓安全合規(guī)成為云上的"空氣和水"
"Job Zero"不僅是亞馬遜云科技推動(dòng)安全與業(yè)務(wù)相輔相成的文化,也讓我們能夠不斷為用戶帶來可充分保障業(yè)務(wù)開展的安全云計(jì)算環(huán)境���。當(dāng)用戶將數(shù)據(jù)與計(jì)算遷移至亞馬遜云科技�,我們希望讓用戶感受到安全合規(guī)就如同"空氣和水"一樣的存在 -- 既隨手可得����,又有助于業(yè)務(wù)成長。
這也是為什么亞馬遜云科技不會(huì)給安全合規(guī)服務(wù)設(shè)定業(yè)績目標(biāo)����。安全合規(guī)之于業(yè)務(wù)就如同空氣和水一樣重要且必須,我們有責(zé)任幫助用戶獲得足以免于威脅與擔(dān)憂的安全云上環(huán)境��,并不必為"空氣和水"去負(fù)擔(dān)過多額外成本�����。
我們希望安全合規(guī)是云上的空氣和水�����,但并不代表亞馬遜云科技所要管理的范圍沒有邊界。邊界在哪里�?在于用戶對其置于云上的數(shù)據(jù)��、應(yīng)用��、訪問權(quán)限等要素的擁有權(quán)及完全控制權(quán)�。我們提出了"安全責(zé)任共擔(dān)模型",進(jìn)行了責(zé)權(quán)劃分:亞馬遜云科技對云自身安全負(fù)責(zé)���,用戶對云中安全負(fù)責(zé)��,但我們會(huì)幫客戶在云中構(gòu)建安全防護(hù)����。
具體來說���,亞馬遜云科技對于云環(huán)境的安全合規(guī)建設(shè)包括以下幾個(gè)方面:基礎(chǔ)設(shè)施����、服務(wù)�、用戶擁有和控制數(shù)據(jù)的原則以及全球安全合規(guī)認(rèn)證。
首先����,云安全始于基礎(chǔ)設(shè)施�����。亞馬遜云科技提供極具擴(kuò)展性和高度可靠的基礎(chǔ)設(shè)施����,并采用多種冗余和分層控制的數(shù)據(jù)中心�,大量使用自動(dòng)化確保底層基礎(chǔ)設(shè)施7×24小時(shí)的監(jiān)控和保護(hù),以及對業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的響應(yīng)和應(yīng)對���。并且��,基礎(chǔ)設(shè)施的安全性對于每一個(gè)使用亞馬遜云服務(wù)的客戶來說�����,是完全"一視同仁"的�����。無論是超大規(guī)模企業(yè)��,還是小微企業(yè)��,在云上所獲得的基礎(chǔ)設(shè)施安全性完全相同���。因此基礎(chǔ)設(shè)施安全也可視作云計(jì)算最顯著的優(yōu)越性之一���,讓用戶從此告別傳統(tǒng)數(shù)據(jù)中心的巨大安全成本支出�����。
第二�����,云安全不止安全服務(wù)��。我們不僅要看有多少安全服務(wù)��,同時(shí)也要考慮所有云服務(wù)自身的安全�。這也是前面所說的"Job Zero"的重要目的,即每個(gè)服務(wù)在研發(fā)時(shí)就要優(yōu)先解決安全問題�����,如果服務(wù)存在安全隱患���,那么就不會(huì)被推出��。另外�����,我們通過服務(wù)間的深度集成實(shí)現(xiàn)自動(dòng)化并降低風(fēng)險(xiǎn)�。亞馬遜云科技有一套完整的安全運(yùn)維流程、制度和最佳實(shí)踐���,來保證云自身的安全�����。我們可以應(yīng)對風(fēng)險(xiǎn)�,但更好的選擇是規(guī)避風(fēng)險(xiǎn)����。
第三,堅(jiān)持用戶擁有和控制數(shù)據(jù)的理念���。我們始終堅(jiān)持用戶擁有自己的數(shù)據(jù)�����,并能夠?qū)?shù)據(jù)進(jìn)行自主操作����。但我們并不會(huì)因?yàn)橛脩魮碛泻涂刂茢?shù)據(jù),而對數(shù)據(jù)的安全"免責(zé)"��。亞馬遜云科技的數(shù)據(jù)加密無處不在�,數(shù)據(jù)的流動(dòng)與進(jìn)出基礎(chǔ)設(shè)施,都會(huì)伴隨物理層自動(dòng)加密�。我們還會(huì)為用戶提供所需的控制權(quán)和可見性��,幫助客戶證明數(shù)據(jù)符合本區(qū)域和本地?cái)?shù)據(jù)隱私法律法規(guī),我們遍布全球的基礎(chǔ)設(shè)施也可以幫助客戶實(shí)現(xiàn)數(shù)據(jù)本地化的要求。
最后��,在合規(guī)方面�����,亞馬遜云科技在全球已經(jīng)獲得了98項(xiàng)安全標(biāo)準(zhǔn)和合規(guī)認(rèn)證��,并且定期對數(shù)千個(gè)全球合規(guī)性進(jìn)行第三方驗(yàn)證��,亞馬遜云科技的用戶可直接繼承����。在中國(光環(huán)新網(wǎng)運(yùn)營北京區(qū)域、西云數(shù)據(jù)運(yùn)營寧夏區(qū)域)��,西云數(shù)據(jù)和光環(huán)新網(wǎng)都通過了獨(dú)立的第三方機(jī)構(gòu)驗(yàn)證����,也都完成了網(wǎng)絡(luò)安全等級保護(hù)三級的測評,還獲得了中國信息通信研究院的可信云的服務(wù)評估���。另外我們也獲得了通行的一系列安全性和合規(guī)性要求�����,例如ISO信息安全質(zhì)量管理認(rèn)證�、PCI-DSS����、SOC等。
除了確保云環(huán)境自身安全之外���,亞馬遜云科技同樣為用戶帶來多層防護(hù)服務(wù)��,進(jìn)一步幫助用戶提升上云后的安全合規(guī)��。為了實(shí)現(xiàn)無限趨近于100%的云計(jì)算安全����,我們同時(shí)也與全球豐富的亞馬遜云科技合作伙伴網(wǎng)絡(luò)成員構(gòu)建1+1>2的安全合作。亞馬遜云科技APN合作伙伴網(wǎng)絡(luò)里面提供了數(shù)百種領(lǐng)先的安全合規(guī)解決方案�,還包括專注于數(shù)據(jù)保護(hù)合規(guī)的咨詢服務(wù)。目前我們正不斷將亞馬遜云科技在全球的合作伙伴網(wǎng)絡(luò)成員引入中國���,并加大與中國本土合作伙伴網(wǎng)絡(luò)成員的合作����,給客戶提供更多的解決方案以更好滿足中國用戶在國內(nèi)�����、國際業(yè)務(wù)中的安全合規(guī)需求�。
盡管云計(jì)算已經(jīng)走過了十幾年的發(fā)展歷程��,但仍處在十分早期的階段��。無論是在全球還是在中國���,IT支出總量中用于公有云的比例到現(xiàn)在還只是個(gè)位數(shù)�����。從長遠(yuǎn)角度看���,我們認(rèn)為云計(jì)算安全合規(guī)不僅僅是解決眼前的威脅或是提升技術(shù)能力�����,也同樣考驗(yàn)著云服務(wù)提供商與云計(jì)算用戶關(guān)于安全的思維演進(jìn)和機(jī)制建立��。相比于解決獨(dú)立問題��,思維和理念的變化才會(huì)讓我們更好地適應(yīng)云環(huán)境的安全與合規(guī)需求����,并將其轉(zhuǎn)化為數(shù)字化轉(zhuǎn)型和業(yè)務(wù)發(fā)展的新動(dòng)力�。
