云計算技術在發展的同時，安全環境也在不斷發展，大量的信息通過云端在傳遞著，對于安全的關注點也從原來的端點安全轉移到了應用安全、數據安全、以及傳輸安全等方面。傳統安全邊界正在被“云”重塑，云安全面臨著越來越嚴峻的挑戰。AWS在為客戶提供全面、廣泛的云服務同時，也為其構筑了一道云安全防線。

AWS 云安全時代的更優選擇

云計算已經成為影響整個IT行業的關鍵性技術，而云安全則是云計算能否成功應用的關鍵。上云已經成為企業驅動流程創新、拓展業務的重要發展戰略，但是在上云的同時，企業對安全會存在一定的遲疑，特別是在關鍵數據和隱私方面，都希望實現“云”的可管可控。

作為功能最全面、應用最廣泛的云服務提供商，AWS 在全球擁有非常廣泛的云基礎設施，其安全性便始于這些核心基礎設施。AWS核心基礎設施是為了滿足軍事、銀行和其他高度敏感性組織的安全要求而構建，因而符合全球最為嚴格的安全要求，處于全天候監控之下，確保了數據的機密性、完整性和可用性。AWS十幾年來一直以客戶為中心，遵循客戶至尚的理念，不斷地進行創新，升級優化核心基礎設施技術，通過先進的架構設計，提供更全面的云服務，確保數據的安全和可控。因此，AWS贏得了全球數百萬用戶的認可和信賴，幾乎涵蓋了所有行業和規模的組織。

企業將其業務從傳統數據中心遷移至云計算數據中心時，將面臨一些新的安全挑戰，其中一方面就是需要應對各級主管部門的合規要求。針對此種情況，AWS制定了完備的應對策略， AWS的云安全工具包括了230 項安全、合規性和監管服務及功能，還支持90個安全標準和合規性認證，而且存儲客戶數據的全部 117 項 AWS 服務都具有加密該數據的能力。所以，AWS在幫助用戶提升滿足核心安全性和合規性要求的能力方面無可置疑。

五大優勢 高效應對云安全威脅

在安全與數據穩私保護方面，AWS一直秉承客戶擁有和控制數據的理念，由客戶來控制自己的數據，并且提供復雜的技術和物理措施來防止未經授權的訪問。此外，AWS還堅持安全責任共擔，AWS負責主機操作系統、虛擬化層、物理基礎設施的安全，客戶負責上層操作系統以及相關應用程序的安全，負責配置AWS提供的安全組防火墻，通過安全責任共擔，集合多方面的力量，共同應對云安全威脅。AWS云安全五大優勢可以幫助用戶有效應對愈加復雜且嚴峻的云安全挑戰。

（一）打造云端深度可視化和控制力，實現擴展安全

在每一個IT環境內，可視化是確保安全性的關鍵所在。AWS用戶可以控制數據的存儲位置、有權訪問用戶在任何給定時刻消耗的資源。如每一位AWS用戶都有一個用于確保AWS賬戶安全性的秘密訪問密鑰和訪問密鑰ID，使用一個AWS安全令牌服務就可以向一個賬號授予臨時訪問權限。另外，AWS身份和訪問管理服務還提供了基于角色的訪問，用戶和應用程序都被賦予了預定義的角色，非常有助于控制對特定資源和應用程序的訪問。

AWS還提供多元的身份驗證選項，還可實現合規性檢查的自動化，可以捕獲資源的當前狀態和跟蹤變更，然后向用戶警告那些不符合AWS安全性最佳實踐的變更。通過使用安全自動化和活動監控服務，來檢測整個生態系統中的可疑安全事件，從而實現擴展安全。

（二）通過深度集成的服務實現自動化并降低風險

眾所周知，云端自動化部署服務一直深受用戶歡迎，創建一個自動化和可重復的部署流程能夠提升業務配置效率，并且有效地擴展和升級。執行安全任務的流程也是如此，實現自動化可以通過減少人工配置錯誤，將工作人員從日常繁瑣的工作和加班中解放出來，從而有更多的精力和時間投入到安全業務的創新之中。AWS為各種應用場景提供了不同的解決方案，針對的應用場景不同，這些服務的關注點也不同。用戶可以從各種深度集成的解決方案中進行選擇然后重新組合，讓其以新穎的方式自動執行任務，從而加強安全團隊與其他團隊密切合作，以便更高效安全地完成工作。

以機器學習為例，在傳統的機器學習中，用戶通過自己搭建模型訓練數據需要耗費大量的時間成本和人力成本，而通過AWS控制臺，開發人員只需要將訓練所需的數據上傳，便能自動以幾十種不同的訓練模型建立機器學習任務自動訓練，還可以自動連續地發現、分類和保護 AWS 中的敏感數據，并給出可視化結果，節省了大量的開發成本，并且迅速提升了數據保護能力。

（三）以最高的隱私和數據安全標準進行構建

數據不僅是數字經濟的關鍵要素，也是信息時代重要的生產要素，數據安全更是被上升為與國家安全同等重要的地位。對于企業而言，數據安全也是其持續發展的基礎。大量企業的數據存在云端，數據安全面臨著十分嚴峻的挑戰。AWS針對用戶對數據安全的擔憂，組建了一支世界一流的安全專家團隊，并構建了全天候監控系統。此外，AWS 還擁有全球云基礎設施，這個高安全性、高擴展性和高可靠性的云平臺可提供來自全球數據中心的 175 多種功能全面的服務，用戶可以在平臺上加密、移動以及管理保留自己的數據。另外，在數據中心和區域互連的 AWS 全球網絡中，所有的數據流動在離開AWS的安全設施之前，都經過物理層自動加密。

另外，AWS全球基礎設施可以讓用戶完全控制數據實際所在的區域。比如AWS將物理數據中心分為多個邏輯單元，這些邏輯單元稱為“可用區”，把可用區想象成一個邏輯數據中心。數據中心通過完全冗余的專用低延遲連接相互連接，然后把多個可用區域組成一個AWS區域，但是它們在物理上是彼此分開并相互隔離的，因此，如果一個可用區出現故障，其他可用區不會受到影響，從而確保了數據安全性，并滿足了用戶數據駐留要求。

（四）更繁榮的安全合作伙伴和解決方案生態系統

當前，越來越多的企業需要在云上構建更敏捷、更彈性和更安全的企業IT系統。為了更好的提升用戶的體驗，解決用戶上云的安全擔憂， AWS 通過使用用戶了解和信任的熟悉解決方案提供商提供的安全技術和咨詢服務來擴展自身的優勢。因此，AWS在逐步壯大合作伙伴生態系統，與百家APN合作伙伴開展聯合解決方案，重點覆蓋了金融、制造、汽車、零售與電商、醫療與生命科學、媒體、教育、游戲、能源與電力九大行業。尤其在安全領域，AWS精心挑選了具有深厚專業知識和經過證實的成功經驗的提供商，構建了端到端的解決方案和服務，以確保云采用的每個階段的安全及合規。AWS的APN合作伙伴提供了幾百個工具和功能，涵蓋網絡安全、配置管理、訪問控制和數據加密的方方面面，以幫助AWS用戶實現安全目的。

（五）繼承最為全面的安全性與合規性控制

云計算作為一種新興服務模式，已經成為企業發展的關鍵因素，使用云計算，可以讓其擺脫數據中心、節省成本、加快遷移速度，并且享受云上的無限資源，但是在此過程中，面臨著一個重要問題就是要滿足安全合規要求。為了幫助用戶實現合規，AWS 會定期對數千個全球合規性要求進行第三方驗證，并進行持續監控，同時還不斷加強用戶自己的合規性和認證計劃。AWS 支持數十種安全標準和合規性認證，滿足全球幾乎所有監管機構的合規性要求。

在中國，AWS還將安全技術和服務與APN合作伙伴的技術和服務融合在一起，為各行業的用戶提供基于中國網絡安全法規要求、等級保護國家標準、歐洲GDPR等方面的端到端服務。這些服務可以從三個方面體現：第一是通過提供安全合規類型的產品和技術解決方案，幫助客戶搭建符合法律法規要求的安全技術架構；第二是提供針對各類型安全合規要求的咨詢服務，為客戶搭建安全架構提供咨詢方案，幫助客戶建立和維護安全管理體系；第三是針對網絡安全等級保護國家標準，幫助客戶提供等級保護認證服務。

四個層面 全方位護航云上安全

隨著云計算的快速發展，惡意軟件、數據泄露、用戶身份認證等安全問題也成為云時代的安全挑戰。AWS 可以幫助用戶為應用程序構建安全、高性能、彈性和高效的基礎設施，并維護豐富多樣的創新安全服務，幫助用戶簡化滿足自己的安全和法規要求。AWS從預防、檢測、響應和修復四個層面對云安全提供了相應的服務和解決方案，四個層面包含了ID訪問控制，檢測式控制，基礎設置保護和數據保護等方面，每個方面都提供了對應的服務來幫助用戶實現云上的安全。

ID訪問控制方面包括AWS Identity & Access Management (IAM)、AWS Single Sign-On、AWS Directory Service、Amazon Cognito等服務。通過這些服務，用戶可以設置訪問權限，創建并管理用戶身份，還包括為 AWS 以外的聯合用戶授權，為 Web 和移動應用程序添加用戶注冊、登錄和訪問控制等功能，并將用戶規模擴展到數百萬。此外，還可幫助用戶保護訪問應用程序、服務和 IT 資源所需的密鑰，以便能夠輕松地跨整個生命周期輪換、管理和檢索數據庫憑證、API 密鑰和其他密鑰。

檢測式控制方面包括AWS Security Hub、Amazon GuardDuty、Amazon Inspector、Amazon Detective等服務。通過這些服務，用戶可以收集各種資源的狀態及事件，以便持續的審計及合規檢查，還能夠發現來自異常地理位置的請求，以API調用模式偵測錯誤配置的存儲桶權限等安全威脅，并在整個開發和部署流程中針對靜態生產系統實現安全漏洞評估自動化。還可幫助用戶自動化處理大量AWS日志資料，找出可能造成安全性問題的原因和影響范圍，以便用戶進行事件管理、測試和審核。

基礎設置保護方面包括AWS Shield、AWS Web 應用程序防火墻 (WAF)和AWS Firewall Manager等服務。這些服務可以為用戶提供針對分布式拒絕服務（DDoS）攻擊的防護，幫助用戶保護 Web 應用程序免受常見的 Web 漏洞攻擊，用戶可以自由地使用多個 AWS 賬戶并在所需的任何地區托管應用程序，同時保持對其組織的安全設置和配置文件的集中控制。

數據保護方面包括AWS Key Management Service (KMS)、AWS CloudHSM、AWS Certificate Manager等服務。通過這些服務，可為用戶提供可用性高的密鑰生成、存儲、管理和審計解決方案，可以安全地生成、存儲和管理數據加密的密鑰，能夠讓用戶使用專業的硬件安全模塊設備來提升數據安全并滿足法規遵從需求，還可幫助用戶輕松地預置、管理和部署公有和私有安全套接字層/傳輸層安全性 (SSL/TLS) 證書，以便用于 AWS 服務和用戶自身互聯資源。

以上這些服務只是AWS云安全服務體系中的冰山一角，面對海量的云上數據、愈加嚴峻的云安全挑戰，以及不斷增加的用戶需求，AWS將不斷創新技術、提升服務，同時集合多方力量，為用戶提供更安全的解決方案，護航云上安全。