如今，伴隨著數(shù)字經(jīng)濟(jì)的發(fā)展加之疫情的影響，各行業(yè)各企業(yè)紛紛走上了數(shù)字化轉(zhuǎn)型的道路，企業(yè)上云逐漸成為大勢(shì)所趨。究其原因，主要在于云計(jì)算的使用，讓企業(yè)在業(yè)務(wù)開(kāi)展過(guò)程中擁有了更多的靈活性和可行性，還給企業(yè)發(fā)展帶來(lái)了更多收益。

同時(shí)國(guó)家也出臺(tái)了相關(guān)政策積極鼓勵(lì)企業(yè)上云，據(jù)相關(guān)數(shù)據(jù)顯示，工信部將在今年年底為不少于10萬(wàn)家中小企業(yè)提供數(shù)字化轉(zhuǎn)型服務(wù)，促進(jìn)10萬(wàn)家中小企業(yè)業(yè)務(wù)上云。

然而，任何事情的發(fā)展都具有兩面性，上云雖然利好企業(yè)的數(shù)字化轉(zhuǎn)型，但也存在著嚴(yán)重的安全隱患，一方面，第三方設(shè)置中缺乏安全控制、多云環(huán)境中可見(jiàn)性差、有足夠的空間來(lái)竊取和濫用數(shù)據(jù)、云是DDos攻擊的常見(jiàn)目標(biāo)，攻擊會(huì)從一個(gè)環(huán)境快速擴(kuò)散至另一個(gè)環(huán)境等，云安全隱患不僅會(huì)波及每個(gè)部門(mén)還會(huì)對(duì)網(wǎng)絡(luò)中的所有設(shè)備帶來(lái)危害。

另一方面，伴隨著云計(jì)算的不斷深入，云上安全合規(guī)的環(huán)境日趨復(fù)雜，到目前為止，全球已經(jīng)有132個(gè)國(guó)家跟地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)，國(guó)內(nèi)也先后出臺(tái)了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等各種法規(guī)，加之近些年云安全事件頻發(fā)的影響，如何規(guī)避安全風(fēng)險(xiǎn)成了企業(yè)上云的重要課題。

過(guò)去很多年，企業(yè)認(rèn)為自己的數(shù)據(jù)中心才是最安全的，但在亞馬遜云科技看來(lái)，企業(yè)上云，安全體驗(yàn)?zāi)軌虮茸越〝?shù)據(jù)中心再上一個(gè)臺(tái)階。

對(duì)此，亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡表示，雖然大多數(shù)企業(yè)在自建數(shù)據(jù)中心的時(shí)候也要考慮安全因素，但構(gòu)建安全體系時(shí)需要考慮到安全設(shè)備管理、合同簽訂、成本等一系列問(wèn)題，當(dāng)企業(yè)用戶(hù)選擇將應(yīng)用上云之后，就無(wú)需擔(dān)心瑣碎的底層基礎(chǔ)設(shè)施安全，而且在云端的安全治理有機(jī)會(huì)再上一個(gè)臺(tái)階。

具體主要表現(xiàn)在以下四個(gè)方面：

• 首先是自動(dòng)化。企業(yè)可以充分利用云端安全服務(wù)之間超高的集成度，更好地做到安全的自動(dòng)化，以降低數(shù)據(jù)整合的難度。
  

• 其次是可視化。當(dāng)數(shù)據(jù)整合的程度提高，在云上也會(huì)有更好的機(jī)會(huì)用一個(gè)集中平臺(tái)做安全的可視化管理。
  

• 然后是靈活的成本投入。這是由于云端安全沒(méi)有前期投入成本，而是按使用量付費(fèi)所導(dǎo)致的。
  

• 最后是高效的合規(guī)。自建數(shù)據(jù)中心需要從零開(kāi)始做合規(guī)，而云上合規(guī)客戶(hù)則能直接繼承云廠商的合規(guī)，相當(dāng)于云廠商為企業(yè)打好了前半部分的基礎(chǔ)。
  

企業(yè)上云潛在的安全風(fēng)險(xiǎn)無(wú)疑給包括亞馬遜云科技在內(nèi)的云服務(wù)商提出了更高的要求，但是為了推動(dòng)安全及合規(guī)更好更快建設(shè)，顧凡認(rèn)為安全合規(guī)也需要云服務(wù)商與客戶(hù)實(shí)現(xiàn)責(zé)任共擔(dān)，對(duì)此，亞馬遜云科技提出了安全責(zé)任共擔(dān)模型，在這一模型中，亞馬遜云科技負(fù)責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全，客戶(hù)負(fù)責(zé)自身云業(yè)務(wù)安全。

顧凡表示，責(zé)任共擔(dān)也需要有一定的分界線，在IaaS、PaaS、SaaS環(huán)境下，不同的場(chǎng)景分界線會(huì)有所移動(dòng)。當(dāng)你今天使用的是Amazon EC2基礎(chǔ)資源的時(shí)候，云廠商保護(hù)的是云基礎(chǔ)設(shè)施，像虛擬機(jī)、網(wǎng)絡(luò)存儲(chǔ)、計(jì)算這些。而用戶(hù)負(fù)責(zé)的是虛擬化之上的資源，操作系統(tǒng)、應(yīng)用、數(shù)據(jù)訪問(wèn)、加密。

隨著客戶(hù)在云上采用的是IaaS服務(wù)，到PaaS服務(wù)再到SaaS服務(wù)，這樣云廠商的責(zé)任共擔(dān)模型的分界線會(huì)上浮，云廠商肩負(fù)的責(zé)任會(huì)越多，到了SaaS服務(wù)的時(shí)候，客戶(hù)主要負(fù)責(zé)的就是數(shù)據(jù)，以及數(shù)據(jù)的訪問(wèn)權(quán)限。

相比企業(yè)而言，在安全合規(guī)建設(shè)過(guò)程中，云服務(wù)商往往承擔(dān)著更為重要的責(zé)任，亞馬遜云科技主要通過(guò)四個(gè)方面來(lái)保證自身的安全合規(guī)。

第一是安全的基礎(chǔ)設(shè)施。亞馬遜云科技的數(shù)據(jù)中心和網(wǎng)絡(luò)架構(gòu)在構(gòu)建時(shí)就會(huì)遵循最高的安全標(biāo)準(zhǔn)，全球所有數(shù)據(jù)中心和服務(wù)都會(huì)使用相同的構(gòu)建標(biāo)準(zhǔn)和控制措施，而規(guī)模不同的客戶(hù)都可以受益于這樣具有高安全性的基礎(chǔ)設(shè)施。

第二是安全的云服務(wù)。亞馬遜云科技對(duì)服務(wù)的安全性十分重視，安全團(tuán)隊(duì)從一開(kāi)始就會(huì)深入?yún)⑴c到新服務(wù)和新功能的開(kāi)發(fā)之中，如果存在任何已知的安全問(wèn)題，新服務(wù)將不會(huì)啟動(dòng)，此外亞馬遜云科技還會(huì)通過(guò)深度集成的服務(wù)，實(shí)現(xiàn)安全自動(dòng)化，減少人工配置錯(cuò)誤，降低風(fēng)險(xiǎn)。

第三則是堅(jiān)持客戶(hù)擁有和控制服務(wù)的理念。在為客戶(hù)提供云服務(wù)的同時(shí)，亞馬遜云科技堅(jiān)持不接觸客戶(hù)數(shù)據(jù)，客戶(hù)可以選擇任何方式加密數(shù)據(jù)，所有數(shù)據(jù)在離開(kāi)亞馬遜云科技的安全設(shè)施之前，也會(huì)經(jīng)過(guò)物理層的自動(dòng)加密。

最后，亞馬遜云科技獲得了眾多安全標(biāo)準(zhǔn)和合規(guī)性認(rèn)證，幾乎滿(mǎn)足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)認(rèn)證，用戶(hù)可以繼承這些安全合規(guī)認(rèn)證，從而順利開(kāi)展自身的全球化部署。

顧凡表示，“安全團(tuán)隊(duì)最核心的理念就是不能阻止企業(yè)快速創(chuàng)新，要盡力在確保安全的情況下推動(dòng)企業(yè)加速轉(zhuǎn)型。而亞馬遜云科技通過(guò)三方面的理念構(gòu)建安全模型，從而為企業(yè)的安全團(tuán)隊(duì)提供最佳選擇，具體來(lái)說(shuō)，首先是利用云上事件驅(qū)動(dòng)型架構(gòu)構(gòu)建自動(dòng)化防護(hù)欄，讓企業(yè)的開(kāi)發(fā)團(tuán)隊(duì)能有更多時(shí)間投入到業(yè)務(wù)創(chuàng)新中，其次是主動(dòng)設(shè)計(jì)云中安全，從規(guī)劃預(yù)防、檢測(cè)、響應(yīng)和修復(fù)四個(gè)方面，未雨綢繆地設(shè)計(jì)安全防護(hù)，最后，云中安全必須是一個(gè)洋蔥型的多層防護(hù)，通過(guò)層層遞進(jìn)的防護(hù)機(jī)制保護(hù)云上數(shù)據(jù)的安全?！?br/>

針對(duì)洋蔥模型，顧凡特別解釋道，云中安全必須是洋蔥型的多層防護(hù)，而不是一個(gè)雞蛋。因?yàn)檠笫[模型的核心理念是，千萬(wàn)別信一層保護(hù)，有人說(shuō)就信網(wǎng)絡(luò)層，任何一層都是不夠的，只有五層連起來(lái)像鎖鏈一樣才會(huì)更加牢靠。洋蔥模型防護(hù)是云中構(gòu)建安全的關(guān)鍵所在。

據(jù)了解，目前亞馬遜云科技以洋蔥模型為基礎(chǔ)，對(duì)外提供了280多種安全合規(guī)的服務(wù)和功能，從五個(gè)層面提供全方位的安全防護(hù)。

第一層是威脅檢測(cè)與事件響應(yīng)。在這一層中，威脅檢測(cè)起到了專(zhuān)業(yè)天氣預(yù)報(bào)員的作用，對(duì)安全威脅做到精準(zhǔn)定位、快速反應(yīng)和時(shí)刻監(jiān)控。具體到服務(wù)上來(lái)看，Amazon Guard Duty集成了機(jī)器學(xué)習(xí)的能力，實(shí)現(xiàn)威脅的精準(zhǔn)定位，為客戶(hù)提供了經(jīng)濟(jì)高效的智能選項(xiàng)，可持續(xù)檢測(cè)在亞馬遜云科技中發(fā)生的威脅，讓報(bào)警量減少了50%，而Amazon Security Hub安全事件統(tǒng)一管理平臺(tái)則可以讓客戶(hù)針對(duì)威脅檢測(cè)7x24小時(shí)全天候監(jiān)控，及時(shí)響應(yīng)，并自動(dòng)執(zhí)行合規(guī)性檢查。

第二層是身份認(rèn)證與訪問(wèn)控制。亞馬遜云科技提供了Amazon Identity and Access Management (IAM)作為身份認(rèn)證與訪問(wèn)控制的核心服務(wù)，它可以提供涵蓋整個(gè)亞馬遜云科技所有服務(wù)和資源的精細(xì)訪問(wèn)控制，實(shí)現(xiàn)一個(gè)組織的多賬號(hào)集中管理和治理，建立權(quán)限防護(hù)機(jī)制和數(shù)據(jù)邊界。

第三層是網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。防御DDoS攻擊是這一層防護(hù)的重點(diǎn)，而Amazon Shield Advanced則為用戶(hù)提供了全天候的防護(hù)，Web應(yīng)用防火墻服務(wù)Amazon WAF則通過(guò)豐富的規(guī)則庫(kù)，使得客戶(hù)能夠靈活定義網(wǎng)絡(luò)訪問(wèn)的規(guī)則。

第四層是數(shù)據(jù)保護(hù)與隱私。提供數(shù)據(jù)全生命周期的加密服務(wù)，對(duì)數(shù)據(jù)的保護(hù)涵蓋了數(shù)據(jù)存儲(chǔ)、傳輸和使用的各個(gè)環(huán)節(jié)。Amazon KMS密鑰管理服務(wù)實(shí)現(xiàn)存儲(chǔ)過(guò)程中的加密，它與亞馬遜云科技140個(gè)服務(wù)集成，可以對(duì)存儲(chǔ)在這些服務(wù)中的數(shù)據(jù)加密。而Amazon Cloud HSM提供了安全、簡(jiǎn)單的云上專(zhuān)屬加密機(jī)。針對(duì)云端的機(jī)密計(jì)算環(huán)境則由Amazon Nitro Enclaves提供，客戶(hù)可以通過(guò)該服務(wù)創(chuàng)建云上的隔離環(huán)境，減少敏感數(shù)據(jù)處理過(guò)程中的攻擊面。

第五層則是風(fēng)險(xiǎn)管控和合規(guī)。主要表現(xiàn)在三方面，一是確保亞馬遜云科技服務(wù)本身的合規(guī)性，二是合規(guī)方案落地，三是自動(dòng)化審計(jì)。

伴隨著企業(yè)加速上云，可以看出企業(yè)放到云上的數(shù)據(jù)類(lèi)型、數(shù)據(jù)的數(shù)量將持續(xù)增加。而如今隨著中國(guó)企業(yè)的出海，很多企業(yè)業(yè)務(wù)在全球范圍拓展，甚至有很多企業(yè)是跨行業(yè)跨賽道做競(jìng)爭(zhēng)，這都將加劇企業(yè)面對(duì)安全合規(guī)的挑戰(zhàn)。

安全合規(guī)的建設(shè)仍舊任重道遠(yuǎn)，其并不能憑云服務(wù)商的一己之力，也不能靠企業(yè)自建，只有雙方合力才能更好更快的推動(dòng)安全合規(guī)的建設(shè)。（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))雷峰網(wǎng)雷峰網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。