编辑 | 宋慧

出品 | CSDN云计算

新冠疫情对我们工作产生了深远的影响，远程在线的工作与交流愈加普及，国内更多公司在推出居家办公的“混合办公”模式。不过，这也给了网络攻击更多的机会，CSDN看到，有多个安全领域的报告都显示，针对身份和边缘的攻击与安全风险正在不断增加，云上安全备受关注。

近日，亚马逊云科技宣布将持续加大在中国区域安全合规领域的投入，在为客户提供安全合规的基础设施和云服务基础上，将与光环新网及西云数据共同加速安全合规服务和功能在中国的落地，并进一步加强与亚马逊云科技合作伙伴的合作，全方位地帮助客户提升云中安全与合规。

亚马逊云科技的云服务安全理念：洋葱型多层防护

亚马逊云科技大中华区战略业务发展部总经理顾凡在采访中，讲解了亚马逊云安全的云服务安全理念，包含了三方面：

一、利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。基于事件驱动的架构，建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护，让企业的开发团队把更多的时间放在业务创新上。

二、云中安全是主动设计出来的，而不仅是被动响应。安全合规应与企业业务充分结合，作为业务开展的首要条件。安全建设应该未雨绸缪，根据业务的情况和系统的特点，主动从技术和管理的层面去落实。

三、云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。多层次的安全防护，层层递进，层层展开。

以洋葱型多层防护的理念，亚马逊云科技目前提供了280多安全、合规服务及功能，在五大领域为客户提供全方位的安全服务：

洋葱模型第一层：威胁检测与事件响应。

威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。重点服务包括：1）Amazon GuardDuty为客户提供了经济高效的智能选项，可持续检测在亚马逊云科技中发生的威胁，具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力，实现威胁的精准定位，让报警量减少了50%。2）Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7x24 小时全天候监控，及时响应，并自动执行合规性检查。

洋葱模型第二层：身份认证与访问控制。

身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破，有可能会带来意想不到的严重后果。没有好的身份认证的访问策略，就好像建了一座坚固的城堡，却把门打开给未知访客。关于身份认证，亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则，每一次授权都要确认是否必须，是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计，不要有永久授权，所有的授权都必须有时效性。三个技术建议：一是尽可能细化访问的颗粒度，可以根据时间，地点和服务来设置访问条件；二是结合多因素鉴证（MFA）技术加强身份认证；三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

洋葱模型第三层：网络与基础设施安全。

防御DDoS（分布式拒绝服务攻击）是这一层防护的重点。DDoS防御应全年从始至终，而不能像急诊。如果等发现DDoS攻击之后再处理，业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础，Web应用防火墙服务Amazon WAF 提供了丰富的规则库，有亚马逊安全团队自研的全托管规则，客户也可以自定义规则，还国际一线安全厂商的托管规则。

洋葱模型第四层：数据保护与隐私。

亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

洋葱模型第五层：风险管控及合规。

亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性；二是合规方案落地；三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域，还会深入到每一项云服务，客户部署亚马逊云服务，其合规性能够得到认证机构的认可。通过Amazon Audit Manager 简化审计管理和合规性评估，Audit Manager可能自动扫描、搜集证据，还提供了各种合规认证的模板，可以简化合规审计的证据收集工作。此外，亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具，将所有的安全合规经验都对客户倾囊相授。

详解亚马逊云科技安全合规服务与方案

云自身的安全合规是客户选择亚马逊云科技的基础

亚马逊云科技构建了安全的大规模全球云基础设施，客户无论规模大小均可获得一致的云安全体验。亚马逊云科技的基础设施不仅根据安全最佳实践和标准来建立和管理，而且还考虑了云的独特需求，采用冗余和分层控制、持续验证和测试，大量使用自动化，确保底层基础设施得到7X24小时全天候的监控和保护。亚马逊云科技使用相同的安全硬件和软件来构建和运营全球每个区域。客户无论规模大小均可基于亚马逊云科技强扩展性、高度可靠的基础设施，快速、安全地部署应用程序和数据。

亚马逊云科技坚持客户拥有和控制数据的理念，并提供数据全生命周期的加密保护

 

亚马逊云科技严格遵从客户拥有和控制数据的理念，用户对自己的数据拥有完整控制权，可以用任何想用的方式管理私有数据。亚马逊云科技提供了复杂的技术和物理措施来防止未经授权的访问，并以超高的数据隐私和安全标准构建数据相关服务。

亚马逊云科技提供了数据全生命周期的加密服务，涵盖了数据的存储、传输以及使用各个环节。所有流经连接亚马逊云科技基础设施和区域互连的全球网络中，所有数据在离开安全设施之前，均在物理层自动加密。在存储过程中，客户可使用Amazon Key Management Service (Amazon KMS)实现存储过程中的加密。Amazon KMS已与140多个亚马逊云科技其他服务集成，用于支持存储在这些服务中的数据的加密，这不但提升了客户的数据安全性，还降低了客户云上加密工作的复杂度，并节省成本。数据计算使用过程中，Amazon Nitro 提供硬件级别的安全机制，实现了网络、存储隔离的独立安全通道，使用 Nitro Enclaves 的加密证明功能，客户可以设置多方计算，其中多个参与方可以加入和处理高度敏感的数据，而无需分别向每个参与方披露或共享实际数据。

亚马逊云科技提供所需的控制权和可见性，帮助客户证明遵守本区域和本地数据隐私法律和法规。亚马逊云科技全球基础设施，让客户可以完全控制数据实际所在的区域，从而满足数据驻留要求。

提供多层次安全防护，提升客户云中安全

亚马逊云科技为用户提供全方位的安全服务，全球目前有280多项安全、合规服务及功能，涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。例如，客户可使用威胁检测服务Amazon GuardDuty，持续监测恶意活动和未经授权的行为，该服务具有丰富的情报源并集成了机器学习的能力，可实现威胁的精准定位，并对案件事件进行快速反应。Amazon Security Hub安全事件统一管理平台让客户针对威胁及时响应，并自动执行合规性检查，同时不会影响用户的应用性能。在身份认证和访问控制层面，亚马逊云科技提供Amazon Identity and Access Management，以细颗粒度的身份认证与访问控制机制，结合对安全事件的持续监控和精准的安全权限设置，保障正确资源被相应正确人员访问。针对 DDoS攻击，可使用 Amazon Shield advanced实现全天候的防范DDoS攻击。Amazon Audit Manager通过技术手段让合规更容易，该服务可实现自动地收集各项合规要求的证据，并且持续地进行风险和合规评估。

 

亚马逊云科技支持众多安全标准与合规性认证，几乎满足全球所有监管机构的合规性要求，客户可全面继承

亚马逊云科技致力于在全球业务范围内建立严格的安全性和合规性标准，支持众多安全标准并获得多项合规认证。这些认证和资格鉴定也印证了亚马逊云科技行业领先的安全合规能力，例如，技术措施方面的 ISO 27001、云安全性方面的 ISO 27017、云隐私方面的 ISO 27018、SOC 1、SOC 2 及 SOC 3、PCI DSS 1 级，以及  Common Cloud Computing Controls Catalogue（C5）等面向欧洲地区的认证。此外，亚马逊云科技还定期对数千个全球合规性要求进行第三方验证，以帮助客户满足财务、零售、医疗保健、政府等其他方面的安全性与合规性标准。

亚马逊云科技在中国区域（北京与宁夏）通过独立的第三方机构验证其标准符合能力，已经完成了网络安全等级保护三级测评 ，获得了中国信息通信研究院可信云服务评估证书，以及诸如ISO9001质量管理体系认证、ISO20000信息技术服务体系认证、ISO27001信息安全管理体系认证、ISO27018云隐私安全管理认证、ISO22301业务连续性管理认证、PCI-DSS支付卡行业数据安全标准认证、SOC认证， TISAX汽车行业信息安全认证等。

客户可全面继承亚马逊云科技的安全性与合规性控制，加强自己的合规和认证计划。借助亚马逊云科技在基础设施覆盖区域取得的安全合规认证以及对各个国家、地区法规的深刻理解，中国企业通过亚马逊云科技可加快实现满足各地合规性控制的要求，快速扩张业务。客户还可以使用亚马逊云科技提供的自动化工具，随时验证其合规性，减轻合规方面的管理负担，让合规更容易。

丰富的安全合规合作伙伴解决方案，为客户构建1+1>2的安全保护

 

亚马逊云科技广泛的合作伙伴网络提供数百种行业领先的安全及合规解决方案，多层保护客户的应用和数据安全。德勤是亚马逊云科技全球核心级咨询合作伙伴，双方在中国也开展了多年的战略合作。在安全合规领域，德勤中国和亚马逊云科技携手创建了云上安全实验室，为客户提供网络安全事件管理解决方案，并发布了一系列企业安全白皮书，为企业解读不同国家和地区关于数据安全和保护的法律法规。此次，亚马逊云科技进一步升级与德勤中国的合作，由德勤中国推出安全运营中心服务。德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源表示，“安全运营中心是德勤与亚马逊云科技合作的又一重要成果。非常高兴跟亚马逊云科技不断深化合作，将德勤在风险合规方面的能力与亚马逊云科技的云上安全合规能力优势叠加，助力企业提升云上安全，完善企业安全合规管理，满足企业不断发展变化的安全合规要求。”

全球数百万客户选择并信赖亚马逊云科技，包括金融、医疗等对数据高度敏感的组织

 

15 年来全球数百万用户选择亚马逊云科技，包括对数据高度敏感的组织如纳斯达克、道琼斯、美国金融监管局（FINRA）、默沙东等，以及TCL实业、洛阳钼业、安克创新等众多中国客户。TCL实业作为“中国智造”出海的代表性企业，TCL实业已将海外业务的多个重要核心系统部署在亚马逊云科技上，实现安全合规的全球部署，同时使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全。TCL实业CTO孙力表示：“云上安全是TCL实施全球化战略、实现业务创新的基石。我们信赖亚马逊云自身的安全，欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系，让我们能够全方位保障云端安全，并且提高运维效率，节省人力成本。”

最后在采访中，顾凡也对亚马逊云科技云上安全合规的优势做了总结：

一是出色的可见性和控制力。用户可以控制数据的存储位置、有权访问数据的用户以及组织在任何给定时刻消耗的资源。细粒度的身份和访问控制与对近实时安全信息的连续监控相结合，确保无论客户的信息存储在哪里，都能始终让正确的资源拥有正确的权限。

二是深度集成实现自动化。通过深度集成的服务实现自动化并降低风险，自动执行安全任务，让客户减少人工配置错误。

三是以最高的安全与隐私保护标准构建。亚马逊云科技十分注重用户的隐私。用户可以在最安全的全球基础设施上进行构建，始终拥有自己的数据，并且能够加密、移动以及管理保留这些数据。

四是客户可以继承亚马逊云科技全面的安全性与合规性控制。继承最为全面的安全性与合规性控制。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证，以帮助您满足财务、零售、医疗保健、政府及其他方面的安全性与合规性标准。

第五，丰富的安全、合规合作伙伴通过使用客户了解和信任的熟悉解决方案提供商提供的安全技术和咨询服务来扩展 亚马逊云科技的优势。