編輯 | 宋慧

出品 | CSDN云計算

新冠疫情對我們工作產生了深遠的影響，遠程在線的工作與交流愈加普及，國內更多公司在推出居家辦公的“混合辦公”模式。不過，這也給了網絡攻擊更多的機會，CSDN看到，有多個安全領域的報告都顯示，針對身份和邊緣的攻擊與安全風險正在不斷增加，云上安全備受關注。

近日，亞馬遜云科技宣布將持續加大在中國區域安全合規領域的投入，在為客戶提供安全合規的基礎設施和云服務基礎上，將與光環新網及西云數據共同加速安全合規服務和功能在中國的落地，并進一步加強與亞馬遜云科技合作伙伴的合作，全方位地幫助客戶提升云中安全與合規。

亞馬遜云科技的云服務安全理念：洋蔥型多層防護

亞馬遜云科技大中華區戰略業務發展部總經理顧凡在采訪中，講解了亞馬遜云安全的云服務安全理念，包含了三方面：

一、利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡。基于事件驅動的架構，建立起一套從威脅檢測到事件反應、原因分析、恢復的自動化防護，讓企業的開發團隊把更多的時間放在業務創新上。

二、云中安全是主動設計出來的，而不僅是被動響應。安全合規應與企業業務充分結合，作為業務開展的首要條件。安全建設應該未雨綢繆，根據業務的情況和系統的特點，主動從技術和管理的層面去落實。

三、云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋。多層次的安全防護，層層遞進，層層展開。

以洋蔥型多層防護的理念，亞馬遜云科技目前提供了280多安全、合規服務及功能，在五大領域為客戶提供全方位的安全服務：

洋蔥模型第一層：威脅檢測與事件響應。

威脅檢測就像“專業的天氣預報員”，需要能夠對安全威脅做到精準定位、快速反應、時刻監控，并且能夠分析原因。重點服務包括：1）Amazon GuardDuty為客戶提供了經濟高效的智能選項，可持續檢測在亞馬遜云科技中發生的威脅，具有豐富的情報源。Amazon GuardDuty 集成了機器學習的能力，實現威脅的精準定位，讓報警量減少了50%。2）Amazon Security Hub安全事件統一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監控，及時響應，并自動執行合規性檢查。

洋蔥模型第二層：身份認證與訪問控制。

身份認證和訪問如一座堅固城堡的大門。某一點的身份認證被攻破，有可能會帶來意想不到的嚴重后果。沒有好的身份認證的訪問策略，就好像建了一座堅固的城堡，卻把門打開給未知訪客。關于身份認證，亞馬遜云科技有兩個經驗和三個技術建議。經驗之一是保持最小授權原則，每一次授權都要確認是否必須，是否與業務/職責相關。經驗之二是要對最小授權原則定期進行審計，不要有永久授權，所有的授權都必須有時效性。三個技術建議：一是盡可能細化訪問的顆粒度，可以根據時間，地點和服務來設置訪問條件；二是結合多因素鑒證（MFA）技術加強身份認證；三是減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數據邊界。

洋蔥模型第三層：網絡與基礎設施安全。

防御DDoS（分布式拒絕服務攻擊）是這一層防護的重點。DDoS防御應全年從始至終，而不能像急診。如果等發現DDoS攻擊之后再處理，業務的穩定性和持續性已經受到影響了。Amazon ShieldAdvanced就可以為客戶提供全天候的保護。網絡訪問規則是一切防御的基礎，Web應用防火墻服務Amazon WAF 提供了豐富的規則庫，有亞馬遜安全團隊自研的全托管規則，客戶也可以自定義規則，還國際一線安全廠商的托管規則。

洋蔥模型第四層：數據保護與隱私。

亞馬遜云科技提供了數據全生命周期的加密服務，對數據的保護涵蓋了數據的存儲、傳輸以及使用的各個環節。Amazon KMS密鑰管理服務實現存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密。高集成度減少了人工操作，降低了出錯的概率。針對數據保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機。Amazon Nitro Enclaves提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向他們自己的系統管理員、開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面。

洋蔥模型第五層：風險管控及合規。

亞馬遜云科技從三個方面幫助用戶合規。一是確保亞馬遜云科技服務本身的合規性；二是合規方案落地；三是自動化審計。亞馬遜云科技的合規認證不僅在基礎設施區域，還會深入到每一項云服務，客戶部署亞馬遜云服務，其合規性能夠得到認證機構的認可。通過Amazon Audit Manager 簡化審計管理和合規性評估，Audit Manager可能自動掃描、搜集證據，還提供了各種合規認證的模板，可以簡化合規審計的證據收集工作。此外，亞馬遜云科技還提供了Amazon Trusted Advisor定制云計算專家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服務配置建議等各種在線工具，將所有的安全合規經驗都對客戶傾囊相授。

詳解亞馬遜云科技安全合規服務與方案

云自身的安全合規是客戶選擇亞馬遜云科技的基礎

亞馬遜云科技構建了安全的大規模全球云基礎設施，客戶無論規模大小均可獲得一致的云安全體驗。亞馬遜云科技的基礎設施不僅根據安全最佳實踐和標準來建立和管理，而且還考慮了云的獨特需求，采用冗余和分層控制、持續驗證和測試，大量使用自動化，確保底層基礎設施得到7X24小時全天候的監控和保護。亞馬遜云科技使用相同的安全硬件和軟件來構建和運營全球每個區域?？蛻魺o論規模大小均可基于亞馬遜云科技強擴展性、高度可靠的基礎設施，快速、安全地部署應用程序和數據。

亞馬遜云科技堅持客戶擁有和控制數據的理念，并提供數據全生命周期的加密保護

?

亞馬遜云科技嚴格遵從客戶擁有和控制數據的理念，用戶對自己的數據擁有完整控制權，可以用任何想用的方式管理私有數據。亞馬遜云科技提供了復雜的技術和物理措施來防止未經授權的訪問，并以超高的數據隱私和安全標準構建數據相關服務。

亞馬遜云科技提供了數據全生命周期的加密服務，涵蓋了數據的存儲、傳輸以及使用各個環節。所有流經連接亞馬遜云科技基礎設施和區域互連的全球網絡中，所有數據在離開安全設施之前，均在物理層自動加密。在存儲過程中，客戶可使用Amazon Key Management Service (Amazon KMS)實現存儲過程中的加密。Amazon KMS已與140多個亞馬遜云科技其他服務集成，用于支持存儲在這些服務中的數據的加密，這不但提升了客戶的數據安全性，還降低了客戶云上加密工作的復雜度，并節省成本。數據計算使用過程中，Amazon Nitro 提供硬件級別的安全機制，實現了網絡、存儲隔離的獨立安全通道，使用 Nitro Enclaves 的加密證明功能，客戶可以設置多方計算，其中多個參與方可以加入和處理高度敏感的數據，而無需分別向每個參與方披露或共享實際數據。

亞馬遜云科技提供所需的控制權和可見性，幫助客戶證明遵守本區域和本地數據隱私法律和法規。亞馬遜云科技全球基礎設施，讓客戶可以完全控制數據實際所在的區域，從而滿足數據駐留要求。

提供多層次安全防護，提升客戶云中安全

亞馬遜云科技為用戶提供全方位的安全服務，全球目前有280多項安全、合規服務及功能，涵蓋威脅檢測和事件響應、身份認證和訪問控制、網絡和基礎設施安全、數據保護與隱私以及風險管控及合規五大領域。例如，客戶可使用威脅檢測服務Amazon GuardDuty，持續監測惡意活動和未經授權的行為，該服務具有豐富的情報源并集成了機器學習的能力，可實現威脅的精準定位，并對案件事件進行快速反應。Amazon Security Hub安全事件統一管理平臺讓客戶針對威脅及時響應，并自動執行合規性檢查，同時不會影響用戶的應用性能。在身份認證和訪問控制層面，亞馬遜云科技提供Amazon Identity and Access Management，以細顆粒度的身份認證與訪問控制機制，結合對安全事件的持續監控和精準的安全權限設置，保障正確資源被相應正確人員訪問。針對 DDoS攻擊，可使用 Amazon Shield advanced實現全天候的防范DDoS攻擊。Amazon Audit Manager通過技術手段讓合規更容易，該服務可實現自動地收集各項合規要求的證據，并且持續地進行風險和合規評估。

?

亞馬遜云科技支持眾多安全標準與合規性認證，幾乎滿足全球所有監管機構的合規性要求，客戶可全面繼承

亞馬遜云科技致力于在全球業務范圍內建立嚴格的安全性和合規性標準，支持眾多安全標準并獲得多項合規認證。這些認證和資格鑒定也印證了亞馬遜云科技行業領先的安全合規能力，例如，技術措施方面的 ISO 27001、云安全性方面的 ISO 27017、云隱私方面的 ISO 27018、SOC 1、SOC 2 及 SOC 3、PCI DSS 1 級，以及? Common Cloud Computing Controls Catalogue（C5）等面向歐洲地區的認證。此外，亞馬遜云科技還定期對數千個全球合規性要求進行第三方驗證，以幫助客戶滿足財務、零售、醫療保健、政府等其他方面的安全性與合規性標準。

亞馬遜云科技在中國區域（北京與寧夏）通過獨立的第三方機構驗證其標準符合能力，已經完成了網絡安全等級保護三級測評 ，獲得了中國信息通信研究院可信云服務評估證書，以及諸如ISO9001質量管理體系認證、ISO20000信息技術服務體系認證、ISO27001信息安全管理體系認證、ISO27018云隱私安全管理認證、ISO22301業務連續性管理認證、PCI-DSS支付卡行業數據安全標準認證、SOC認證， TISAX汽車行業信息安全認證等。

客戶可全面繼承亞馬遜云科技的安全性與合規性控制，加強自己的合規和認證計劃。借助亞馬遜云科技在基礎設施覆蓋區域取得的安全合規認證以及對各個國家、地區法規的深刻理解，中國企業通過亞馬遜云科技可加快實現滿足各地合規性控制的要求，快速擴張業務?？蛻暨€可以使用亞馬遜云科技提供的自動化工具，隨時驗證其合規性，減輕合規方面的管理負擔，讓合規更容易。

豐富的安全合規合作伙伴解決方案，為客戶構建1+1>2的安全保護

?

亞馬遜云科技廣泛的合作伙伴網絡提供數百種行業領先的安全及合規解決方案，多層保護客戶的應用和數據安全。德勤是亞馬遜云科技全球核心級咨詢合作伙伴，雙方在中國也開展了多年的戰略合作。在安全合規領域，德勤中國和亞馬遜云科技攜手創建了云上安全實驗室，為客戶提供網絡安全事件管理解決方案，并發布了一系列企業安全白皮書，為企業解讀不同國家和地區關于數據安全和保護的法律法規。此次，亞馬遜云科技進一步升級與德勤中國的合作，由德勤中國推出安全運營中心服務。德勤中國風險咨詢部網絡安全及戰略風險事業群主管合伙人薛梓源表示，“安全運營中心是德勤與亞馬遜云科技合作的又一重要成果。非常高興跟亞馬遜云科技不斷深化合作，將德勤在風險合規方面的能力與亞馬遜云科技的云上安全合規能力優勢疊加，助力企業提升云上安全，完善企業安全合規管理，滿足企業不斷發展變化的安全合規要求?！?/p>

全球數百萬客戶選擇并信賴亞馬遜云科技，包括金融、醫療等對數據高度敏感的組織

?

15 年來全球數百萬用戶選擇亞馬遜云科技，包括對數據高度敏感的組織如納斯達克、道瓊斯、美國金融監管局（FINRA）、默沙東等，以及TCL實業、洛陽鉬業、安克創新等眾多中國客戶。TCL實業作為“中國智造”出海的代表性企業，TCL實業已將海外業務的多個重要核心系統部署在亞馬遜云科技上，實現安全合規的全球部署，同時使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服務提升云端安全。TCL實業CTO孫力表示：“云上安全是TCL實施全球化戰略、實現業務創新的基石。我們信賴亞馬遜云自身的安全，欣賞其全球優勢以及廣泛深入的安全服務。使用多項亞馬遜云科技服務打造TCL云端安全體系，讓我們能夠全方位保障云端安全，并且提高運維效率，節省人力成本。”

最后在采訪中，顧凡也對亞馬遜云科技云上安全合規的優勢做了總結：

一是出色的可見性和控制力。用戶可以控制數據的存儲位置、有權訪問數據的用戶以及組織在任何給定時刻消耗的資源。細粒度的身份和訪問控制與對近實時安全信息的連續監控相結合，確保無論客戶的信息存儲在哪里，都能始終讓正確的資源擁有正確的權限。

二是深度集成實現自動化。通過深度集成的服務實現自動化并降低風險，自動執行安全任務，讓客戶減少人工配置錯誤。

三是以最高的安全與隱私保護標準構建。亞馬遜云科技十分注重用戶的隱私。用戶可以在最安全的全球基礎設施上進行構建，始終擁有自己的數據，并且能夠加密、移動以及管理保留這些數據。

四是客戶可以繼承亞馬遜云科技全面的安全性與合規性控制。繼承最為全面的安全性與合規性控制。亞馬遜云科技會定期對數千個全球合規性要求進行第三方驗證，以幫助您滿足財務、零售、醫療保健、政府及其他方面的安全性與合規性標準。

第五，豐富的安全、合規合作伙伴通過使用客戶了解和信任的熟悉解決方案提供商提供的安全技術和咨詢服務來擴展 亞馬遜云科技的優勢。

總結

以上是生活随笔為你收集整理的云上更安全？亚马逊云科技宣布将持续加大在中国区域安全合规领域投入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。