隨著企業加速上云，云上的數據類型、數據數量持續增加。同時，越來越多的中國企業選擇出海，業務在全球范圍拓展，甚至跨若干行業賽道做競爭，這一切都加劇了企業在安全合規方面的挑戰。

目前，全球已經有132個國家和地區制定了數據保護和隱私相關的法律法規。我國也陸續出臺了《數據安全法》、《個人信息保護法》等各種法規。用戶在選擇云服務廠商的時候，會特別關注安全合規的問題：上云安全么？云廠商提供的產品和服務本身是安全合規的嗎？將應用上云之后，云廠商如何幫助我們在云中安全合規？

面對這些問題，亞馬遜云科技是這樣做的。

首先，亞馬遜云科技從創立之初就將安全作為優先級最高的工作“Job Zero”，每一個服務從設計階段就已經融入了安全基因。

其次，亞馬遜云科技首創的安全責任共擔模型，奠定了云計算安全模型的標準，目前很多云廠商都遵循這一套標準為用戶帶來更安全的云。

具體來說，在安全責任共擔模型中，亞馬遜云科技負責自身云基礎設施和云服務的安全合規，還要拿到全球各種各樣的合規認證，讓客戶繼承這些合規認證。用戶則為自身云業務的安全負責，擁有完全的選擇權，包括選用哪個區域、使用哪種服務、訪問控制的授權、安全防護的手段等，客戶可以根據業務的實際情況和數據的重要性來采取適當的安全合規措施。在這個過程中，亞馬遜云科技給用戶提供更多的云安全服務，讓客戶在構建云中安全時使用；同時引入豐富的安全合作伙伴，為用戶提供更多的安全方案；最后，亞馬遜云科技為用戶提供了各行各業的安全最佳實踐。

目前，亞馬遜云科技在全球已經獲得了98項安全標準和合規認證，并將全球積累的保護經驗、安全合規的能力實踐到中國區域。目前北京區域和寧夏區域都通過了獨立的第三方機構的驗證，完成了網絡安全等級保護三級的測評，獲得了中國信息通信研究院的可信云的服務評估。同時亞馬遜云科技在國內也獲得了通行的ISO一系列的信息安全質量管理認證，以及PCI-DSS、SOC等行業方面的信息安全認證。亞馬遜云科技在全球安全合規方面持續投入，繼續領先，定期對數千個全球合規性進行第三方驗證的更新迭代，如歐洲云基礎設施服務提供商數據保護行為準則（CISPE準則），亞馬遜云科技至今已經有50多項服務符合CISPE準則。

堅守快速創新與安全合規之間的平衡

快速創新的同時確保安全是企業一直在平衡的難題。對此，亞馬遜云科技有三個理念。首先是利用云上的事件驅動型架構，建立起一套從威脅檢測到事件反應、原因分析、恢復的自動化防護，只有自動化才有機會讓企業的開發團隊把更多的時間放在業務創新上。

第二，云中安全是主動設計出來的，而不僅是被動響應。安全和業務是融為一體的，而安全合規一定是基于設計的，而不是基于對安全合規事件的后知后覺的響應，安全建設要未雨綢繆，從四個方面來設計：規劃預防、檢測、響應、修復。

第三，云中安全必須是一個洋蔥型的，層層遞進的防護機制。

詳解洋蔥型多層防護模型

亞馬遜云科技的洋蔥型多層防護模型共五層：威脅檢測與事件響應、身份認證與訪問控制、網絡與基礎架構安全、數據保護與隱私、風險管控及合規。

第一層威脅檢測和事件響應：顧凡表示，亞馬遜云科技的威脅檢測和事件響應方案就像一個專業的天氣預報員，具備四大因素：精準定位、快速反應、時刻監控、分析原因。Amazon GuardDuty可以實現威脅的精準定位，它內嵌了亞馬遜電商的第一手威脅情報源，集成了行業頂尖的CrowdStrike和Proofpoint威脅情報源，同時和世界上一系列頂尖的安全公司合作，持續不斷地豐富情報源。第二，Amazon GuardDuty集成了機器學習的能力，針對API的調用行為建模，并結合概率預測，從而更準確地隔離和警告高度可疑的用戶行為。機器學習對比單獨的異常檢測相比，可以將可疑用戶行為的警報量減少50%。

Amazon Security Hub實現了威脅檢測7X24小時全天候在線實時監測，還連接了威脅事件的上下游分析原因。Amazon Security Hub還可以將數據發送給用Splunk或者用Splunk架構的一堆的SIEM的平臺，做更進一步的分析和可視化。

第二層身份認證和訪問控制：保持最小授權原則，每一次授權都要確認是否必須與業務和職責相關；第二，要對最小授權原則定期要進行審計。

技術上要盡可能細化訪問的顆粒度，可以根據時間、地點、服務去設置訪問條件，同時最好結合MFA來做加強身份認證，并且要減少長期憑證的使用。Amazon Identity and Access Management (IAM) 是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數據邊界。

第三層網絡和基礎設施安全：亞馬遜云科技在網絡的邊緣側的重要防護產品是Amazon Shield advanced ，顧凡表示，Amazon Shield advanced提供的就像保險一樣的服務，只要將資源加載到Amazon Shield Advanced，就會得到全天候的保護，而且收費和攻擊的流量大小和次數是無關的。另一個重要產品是Amazon WAF。Amazon WAF針對應用層的攻擊，有豐富的規則庫，既有亞馬遜安全專家團隊針對最新攻擊自研的規則，全托管的規則，也有用戶根據自己需求而自定義的規則，客戶還可以把合作伙伴的規則都加載上來。

第四層數據保護和隱私層：Amazon KMS密鑰管理服務實現了存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數據加密。Amazon CloudHSM提供了安全、簡單的云上專屬加密機。亞馬遜云科技提供了一個數據全生命周期的加密服務，不僅是在數據存儲階段，包括在數據使用的整個鏈條、傳輸以及真正被調取出來做計算使用階段的加密都要考慮。

此外，Amazon Nitro Enclaves提供了一個云端的機密計算環境，通過它，客戶可以創建一個隔離的環境來處理敏感數據，而無需向他們自己的系統管理員、開發人員和應用程序提供訪問權限，從而減少敏感數據處理過程中的攻擊面。

第五層風險管控和合規：包括亞馬遜云科技服務自身的合規性；成熟的合規方案即最佳實踐；Amazon Audit Manager幫助客戶合規審計；對合作伙伴的咨詢和落地能力提供大量經驗。

結語

亞馬遜云科技憑借出色的可見性和控制力；深度集成實現自動化；以最高的安全與隱私保護標準構建；客戶可以繼承的安全性與合規性；豐富的安全、合規合作伙伴，這五大優勢，為企業提供了云安全的最佳實踐和培訓，助力客戶構建了云安全文化和戰略，賦能企業在云上走的更穩、更安全！