本文作者：王剑桥

2022年3月24日，亚马逊云科技在北京举行云上安全合规媒体沟通会，宣布将持续加大在中国区域安全合规领域投入，在为客户提供安全合规的基础设施和云服务基础上，与光环新网及西云数据共同加速安全合规服务和功能在中国区域的落地，进一步加强与亚马逊云科技合作伙伴的合作，全方位地帮助客户提升云中安全与合规。

数据安全合规，产业全球化的重要一步

近年来，全球对数据安全的关注度不断提升，相应的法律法规标准不断增加。

欧盟代表性的立法包括1995年的《个人数据处理及自由流通个人保护指令》、2018年实施的《通用数据保护条例》（GDPR）等。特别是GDPR，是欧盟目前依据的最重要的数据安全法律，欧盟各成员国在立法时均不得低于GDPR的要求。所有处理欧盟居民数据的企业均需要遵守GDPR法案。

美国在数据保护领域则多采用各地域立法的模式，在各洲、各行业均有细分领域的法案出台，例如《加州消费者隐私权法案》、《电子通信隐私法》等。从联邦层面，2018年美国前总统特朗普签署《澄清海外合法使用数据法案》，同时《国家安全与个人数据保护法》、《数据保护法案》也处于提案阶段。

我国则于2021年连续推出了《数据安全法》及《个人信息保护法》，通过规范存储、使用、传输、销毁等数据全生命周期中的安全要求，保护数据、重要数据、个人信息的安全性。在总体国家安全观基础上，体现数据治理的重要性和体系框架。

跨国企业在经营时，如何深度理解全球的数据安全法律法规，遵守各地的安全合规要求，成为企业在迈出国境的重要一步。

数据上云，让数据更安全合规

企业构建数据中心时，选择上云还是本地化，数据的安全性是重要的考量方面。当企业在自建数据中心时也需要构建安全，如安全设备管理、合同签订、成本等问题,要自己构建一切。上云之后，企业便无需再关心琐碎的底层基础设施安全，可集中精力在云端的安全治理方面再上台阶。

在本地的环境下，企业采用的是来源于不同厂商的产品，做安全数据的整合会非常地复杂，而在云上服务之间的深度集成，会让数据整合变得更简单，可以实现自动化。当有了更好的数据整合之后，在云上也会更有机会用一个集中的平台做安全的可视化管理。并且云端安全没有前期投入成本，是按使用量付费，客户具有更灵活的成本投入。假如客户是自建数据中心做合规，需要从零开始做起。如果选择亚马逊云科技，客户可以继承云厂商的云上合规。所以客户自己可能是从50分开始做起，因为另外50分云厂商已经帮你做好，可以直接继承，帮助客户在云上实现自动执行合规任务，更高效做合规。

亚马逊云科技提供了280多种安全及合规的服务及功能，涵盖认证、保护、检测、响应及恢复，企业通过亚马逊云科技上云，可以将更多的云上安全防护责任交付于亚马逊云科技，从而将更多精力专注于自身应用安全及业务创新。

责任共担，亚马逊云科技和用户共同努力

亚马逊云科技在业界首创了安全责任共担模型，奠定了今天云计算安全模型的标准，很多云厂商都遵循这套标准，用户才敢上云。亚马逊云科技坚持客户拥有和控制数据的理念，并提供数据全生命周期的加密保护。

具体来说，亚马逊云科技负责底层云基础设施和所提供云服务的安全，客户负责自身云业务安全。责任共担的分界线，在IaaS、PaaS、SaaS不同的场景分界线会有所移动。如果客户使用的是基础资源，分界线是云厂商保护云基础设施，例如虚拟机、网络存储、计算，用户负责虚拟化之上的资源，例如操作系统、应用、数据访问、加密。如果客户在云上采用的是PaaS服务，亚马逊云科技肩负的责任会更多。到SaaS服务的时候，客户主要负责的就是数据，以及数据的访问权限。亚马逊云科技会帮客户建设云中的安全防护，同时，客户对选用哪个区域、使用哪种服务、访问控制的授权、安全防护的手段等拥有完全的权利，客户可以根据业务的实际情况和数据的重要性来采取适当的安全合规措施。

洋葱模型防护，多层次提升安全能力

亚马逊云科技认为数据安全防护不应是一维的鸡蛋模型，而是多维的洋葱模型。洋葱型“的防护体系，是从威胁检测及相应、身份认证及访问控制、网络基础设施安全、数据及隐私保护以及风险管控及合规五个维度考量，实现了保证企业云上数据远离安全风险。

• 威胁检测与事件响应。威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。Amazon GuardDuty 集成了机器学习的能力，实现威胁的精准定位，让报警量减少了50%。Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7×24 小时全天候监控，及时响应，并自动执行合规性检查。
• 身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。没有好的身份认证的访问策略，就好像建了一座坚固的城堡，却把门打开给未知访客。亚马逊云科技在此方面有两个经验和三个技术建议。经验之一是保持最小授权原则，每一次授权都要确认是否必须，是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计，不要有永久授权，所有的授权都必须有时效性。三个技术建议：一是尽可能细化访问的颗粒度；二是结合多因素鉴证（MFA）技术加强身份认证；三是减少长期凭证的使用。
• 网络与基础设施安全。防御DDoS（分布式拒绝服务攻击）是这一层防护的重点。DDoS防御应全年从始至终，而不能像急诊。Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础，Web应用防火墙服务Amazon WAF 提供了丰富的规则库，有亚马逊安全团队自研的全托管规则，客户也可以自定义规则，还国际一线安全厂商的托管规则。
• 数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。
• 风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性；二是合规方案落地；三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域，还会深入到每一项云服务，客户部署亚马逊云服务，其合规性能够得到认证机构的认可。

携手合作伙伴 共创安全生态

“独行快，众行远”，帮助客户在云中更好的构建云中的安全防护，必须要靠合作伙伴。亚马逊云科技着力构建1+1大于2的安全合作的生态，帮客户在云中提供一个闭环的安全能力。亚马逊云科技合作伙伴网络里提供了数百种领先的安全和合规解决方案，将洋葱模型里面众多的云原生的安全服务充分用起来，帮助客户构建一个多层保护的自动化的护栏。同时，亚马逊云科技也会持续引入全球跟亚马逊云科技紧密配合的安全合作伙伴到中国，继续加强在国内跟合作伙伴的合作，更好地满足客户在国内安全合规方面的需求。