助力企业构建云上安全合规体系,亚马逊云科技有哪些解法?
- +1 你赞过了
【雷竞技须安全稳定 网络频道】如今,数字化时代已经到来,数据作为关键生产要素和重要的战略资产,备受政府和企业的重视。然而,海量数据的诞生也催生了许多数据安全、合规管理等问题,为企业的数据安全和用户的隐私保护工作带来巨大的挑战,安全合规治理的压力也会日趋加大。
亚马逊云科技大中华区战略业务发展部总经理顾凡表示:“目前,有很多中国企业面临出海、业务拓展以及跨行业竞争等难题,这些也加剧企业面对安全合规的挑战。”此外,《数据安全法》与《个人信息保护法》的落地,从法律法规层面给予政策的支持和导向,凸显了“数据安全”对企业未来信息化发展的重要性。
由此可见,确保数据安全、数据合规,做好数据治理,已经成为当下企业上云的必修课。
上云大趋势下,安全成最重要一环
当前,企业纷纷上云的背后,云安全风险正在急剧扩大,甚至频频出现云安全问题:首先,云应用的开放性、访问不受限制等特点会让网络攻击面增大,在非安全的网络环境中进行数据访问等操作时,很容易被攻击者利用。其次,企业上云后,企业的应用可能会分布在不同的网络环境,如果没有统一管理和有效的云安全手段,传统的安全防御是无法满足复杂的网络环境的。
最后,有的企业上云后,还是选择传统的安全运维团队,这就导致大量的云上的安全问题都因为操作失误或配置错误导致,安全人才的缺乏将延缓企业上云进程。这些问题为企业上云带来诸多的困扰。
因此,顾凡认为,企业上云,安全体验能够比自建数据中心再上一个台阶。顾凡表示:“企业自建数据中心的时候也要构建安全,只不过需要自己构建一切,需要考虑到安全设备管理、合同签订、成本问题等。当应用上云之后,企业并不需要关心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。”
以亚马逊云科技的安全上云解决方案为例,企业可以轻松继承亚马逊云科技的合规,更高效地做合规。同时,云端安全属于按需付费,没有前期成本投入,实现更为灵活的成本控制。此外,企业还可以实现安全的可视化管理,利用云端安全服务之间的高度集成度,更好地做到安全自动化。
顾凡表示:“正因为如此,全球有数百万的用户已经选择并且信赖亚马逊云科技,覆盖了几乎所有的行业,其中包括金融、电信等很多强监管的行业,都已经把业务上云。”据悉,纳斯达克会逐渐将全部业务分阶段迁移至亚马逊云科技,日本电信运营商NTT docomo会将PB级别的数据仓库迁移上云。
云上安全合规,亚马逊云科技的两大法宝
确保云上安全,亚马逊云科技有两大法宝:亚马逊云科技自身的安全合规与洋葱型的多层防护。其中,在自身的安全合规方面,亚马逊云科技拥有“Job Zero 安全文化”,早已将安全作为最高优先级工作,并贯穿于整个企业当中。同时,亚马逊云科技首创安全责任共担模型,推动安全及合规建设。顾凡进一步解释道:“如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。”
一直以来,亚马逊云科技通过安全的基础设施、安全的云服务、坚持客户拥有和控制数据的理念,同时亚马逊云科技也拥有的众多安全标准和合规性认证等方面,确保自身的安全合规。据了解,所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。不仅如此,亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域,亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。
顾凡认为,云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋,多层次的安全防护,层层递进,层层展开。正是如此,洋葱型的多层防护也是亚马逊云科技确保云上安全合规的法宝之一。目前,亚马逊云科技提供了280多安全、合规服务及功能,以洋葱模型为基,从五个层面为客户提供全方位的安全服务。
其中,洋葱模型第一层是威胁检测与事件响应,威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。目前,Amazon GuardDuty为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。
此外,Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7x24 小时全天候监控,及时响应,并自动执行合规性检查。
洋葱模型第二层便是身份认证与访问控制。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
洋葱模型第三层便是网络与基础设施安全。防御DDoS(分布式拒绝服务攻击)是这一层防护的重点。这其中,Amazon ShieldAdvanced就可以为客户提供全天候的保护,Web应用防火墙服务Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还原国际一线安全厂商的托管规则。
洋葱模型第四层便是数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。Amazon CloudHSM提供了安全、简单的云上专属加密机。
此外,Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
洋葱模型第五层便是风险管控及合规。顾凡表示:“亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。”通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。
此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
写在最后
当前,数字化浪潮正在席卷全球,千行百业也逐渐迈开云步伐,数据安全合规成为重要的议题。顾凡表示,亚马逊云科技打造的安全合规解决方案,有着出色的可见性和控制力,凭借深度集成实现自动化,坚持以最高的安全与隐私保护标准构建,使客户可以继承亚马逊云科技全面的安全性与合规性控制,并拥有丰富的安全、合规合作伙伴,护航千行百业,守卫云上安全。
最新资讯
热门视频
新品评测