复杂环境下的安全挑战，你准备好了吗？

企业加速上云已经成为重要趋势，各种各样的数据放在云端，给安全与管理提出了更高的挑战。面对全球安全合规日益复杂的环境，已经有132个国家跟地区制定了数据保护和隐私相关的法律法规。

“关于安全合规方面，客户经常会问我们三个问题：1、从数据中心迁移上云安全吗？2、亚马逊云科技本身是不是安全合规的？3、上云之后，亚马逊云科技如何帮助我在云中实现安全合规？”

亚马逊云科技大中华区战略业务发展部总经理顾凡在演讲中谈到客户在安全合规方面遇到的烦恼。

如何构建安全、简单的云？

如何解决这些烦恼，是亚马逊云科技安全治理的重点，据顾凡介绍，保障客户云端安全，可以从以下几点入手。

第一是更加自动化。充分利用云端安全服务之间的超高集成度，更好地做到安全自动化。在本地的环境下，企业采用的是不同厂商的产品，安全数据整合非常复杂，而在云上，服务之间的深度集成，会让数据整合变得更简单。

第二是更好的可见性。有了更好的数据整合，在云上也会更有机会用一个集中的平台，实现安全的可视化管理。

第三是更灵活的成本控制。云端安全是没有前期投入成本，按使用付费。

第四是更高效地做合规。自建数据中心做合规需要从零开始做起。如果选择亚马逊云科技，客户可以继承云厂商的合规，起点就是50分，另外50分云厂商已经做好，可以直接继承。

正因为如此，全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业，包括金融、电信等很多强监管的行业，都已经把业务上云。例如世界最大的股票交易所纳斯达克，正在分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT docomo也将PB级别的数据仓库迁移上云。

疫情之下，云端安全面临新挑战

受到全球疫情影响，现在很多行业像游戏、远程办公、线上业务等都出现了明显增长，云计算及安全相关业务也随之上升。

由此给企业带来了更多管理方面的难题，包括从威胁检测到快速响应，都必须紧跟业务需求而联动。在居家办公期间，员工的网络、办公电脑、手机等设备都要在工作与生活间“穿梭”，此时就需要关注手机网络钓鱼、电脑摄像头被监控、外网访问企业敏感信息等安全挑战。

所以，远端数据安全及云上资产的保护将成为重中之重，同时也给云服务商的安全业务带来更多机会。

亚马逊云科技通过洋葱模型守护安全

针对各种复杂环境下的安全难题，亚马逊云科技为客户打造五层防护体系，也就是著名的洋葱模型。能够帮助客户更简单地解决安全问题，让安全服务像水和空气一样供给，创造出健康的环境。

亚马逊云科技目前提供了280多安全、合规服务及功能，在五大领域为客户提供全方位的安全服务。

洋葱模型第一层是威胁检测与事件响应。威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。重点服务包括：Amazon GuardDuty提供了经济高效的智能选项，可持续检测发生的威胁。并集成机器学习的能力，实现威胁的精准定位，让报警量减少了50%。通过Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7x24小时全天候监控，及时响应，并自动执行合规性检查。

洋葱模型第二层是身份认证与访问控制。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

洋葱模型第三层为网络与基础设施安全。防御DDoS是这一层防护的重点。Amazon ShieldAdvanced及WAF防火墙等服务就可以为客户提供全天候的保护。

洋葱模型第四层是数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。

洋葱模型第五层是风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性；二是合规方案落地；三是自动化审计。通过Amazon Audit Manager 简化审计管理和合规性评估，Audit Manager可能自动扫描、搜集证据，还提供了各种合规认证的模板，可以简化合规审计的证据收集工作。

有了这5层安全洋葱模型，就能够赋予云平台更加“坚硬”的防护，同时也将大部分威胁攻击拒之门外。

广泛合作，开拓共赢

要想实现快速发展，离不开合作共赢。亚马逊云科技在中国有着众多的安全合作伙伴，主要分为三大类型：咨询类、技术类和行业类合作伙伴，覆盖了三个不同的垂直领域。

技术合作伙伴方面，亚马逊云科技与国内传统安全厂商都建立了广泛的联系，包括像老牌合作伙伴天融信、新型安全公司创宇，及绿盟、奇安信这类公司均有合作。这些合作伙伴主要在亚马逊云上提供他们的解决方案、工具和安全类的服务。

咨询类合作伙伴包括跨国和中国本地的公司，还是以跨国咨询公司为主。本地则是以集成类公司为主，比如华讯，他们在云上可以帮亚马逊提供类似托管的MSP服务，更聚焦于中国本地的业务。

为新技术发展做好准备

谈到当前热门的机器学习、IoT和元宇宙，顾凡表示，亚马逊云科技一直在关注新型的技术发展趋势，平台本身也提供类似的服务。底层云服务可以支撑客户发展类似的业务，这些合规、安全在我们的视野范围内。

数据所有权和数据安全方面，亚马逊云科技依然秉承安全责任共担原则，对客户的承诺是首先云平台不会接触用户在云上做机器学习、数据分析的数据。

第二是亚马逊云科技会给客户充分控制权让其控制在云上数据的使用，包括数据上云、分析或清洗。

第三是数据传输过程中的安全性。第四是数据在使用过程中内存的保护，亚马逊云科技都有对应的方案给到客户。

此外，Amazon SageMaker这样的机器学习分析服务，在设计之初就是以安全性为第一，包括数据本身的访问权限、数据使用监控、数据加密、数据泄露之后的防护响应措施等等，亚马逊云科技都已经帮客户在底层平台上构建完成。

在应用层，如果客户在云上做类似IoT或机器学习的方案，亚马逊云科技会有安全实践来协助用户如何构建。例如物联网应用在上云之前的数据会强烈建议客户做双向加密，在云端的数据进托管服务尽量不要自建环境，避免出现漏洞。托管服务的特点在于把所有安全责任转给了云供应商。这样亚马逊云科技基础设施的安全性优势就可以实实在在地帮助到用户了。

远程办公这个助推器，让人们在疫情之下依然能够顺利工作，而云端的安全则需要像亚马逊云科技这样的云服务商来提供支持与维护。总的来看，多层保护与自动化将成为未来云安全服务的重点，结合更多系统化的云端安全服务，来帮助企业迎接更多新挑战。