目前，全球已有132個國家和地區制定了數據保護和隱私相關的法律法規，中國也出臺了《數據安全法》和《個人信息保護法》，伴隨企業放在云上的數據類型、數據量的增漲，業務范圍的不斷拓展，企業面對的安全合規挑戰也日益嚴峻。

近日，亞馬遜云科技宣布將持續加大在中國區域安全合規領域的投入，在為客戶提供安全合規的基礎設施和云服務基礎上，與光環新網及西云數據共同加速安全合規服務和功能在中國的落地，并進一步加強與亞馬遜云科技合作伙伴的合作，全方位地幫助客戶提升云中安全與合規。

據悉，亞馬遜云科技已進一步升級與德勤中國的合作，由德勤中國推出安全運營中心服務，該運營中心將在亞馬遜云科技上為客戶提供云上端到端的安全監測及響應服務，助力企業提升云上安全，完善企業安全合規管理，滿足企業不斷發展變化的安全合規要求。

亞馬遜云科技大中華區戰略業務發展部總經理顧凡表示：疫情導致云使用量的增長，尤其是游戲、遠程辦公、遠程業務等方面。遠程辦公的安全性有兩個維度，一是對于遠端公司資產或者云上資產的保護，二是對于家庭環境的保護，這些既給安全提出了挑戰，也給云上的安全業務帶來了更多機會。

企業上云，安全體驗再上新臺階

實際上，相較于企業自建數據中心，購買安全設備，訂閱安全服務，進行安全管理，乃至考慮合同、成本等復雜的問題，采用應用上云的方式，將底層基礎設施安全交給亞馬遜云科技這樣全球領先的云廠商，安全體驗能夠比自建數據中心再上一個臺階。

企業安全再上新臺階體現在四個方面：

一是更加自動化。企業可以充分利用云端安全服務之間超高的集成度，實現更好地安全自動化并降低風險，自動執行安全任務，減少人工配置錯誤。

二是更好的可視化。以良好的數據整合作為基礎，企業在云平臺上可以更加便捷的實現安全的可視化管理。

三是更靈活的成本控制。云端安全沒有前期的成本投入，只需按使用量付費。

四是更高效地完成合規。自建數據中心做合規需要從零開始，如果選擇亞馬遜云科技，企業可以直接繼承云廠商的合規，更加高效。

亞馬遜云科技大中華區戰略業務發展部總經理 顧凡

顧凡詳細介紹了確保云上安全合規的兩大支柱：一是亞馬遜云科技自身的安全合規，二是亞馬遜云科技為客戶打造的洋蔥型多層防護體系。

亞馬遜云科技自身的安全合規

顧凡強調：“安全不僅僅是技術的問題，也是管理的問題。”亞馬遜云科技推行“Job Zero 安全文化”，將安全作為最高優先級的工作。在亞馬遜云科技，每一位員工都負有安全責任，每個級別的員工都有安全目標，每個服務在設計階段都要考慮安全問題，通過自動化實現安全的標準化和一致性，并且提供全天候響應的安全運營能力。

同時，亞馬遜云科技首創安全責任共擔模型，推動安全及合規建設，為企業云上業務保駕護航。顧凡提到：亞馬遜云科技負責底層云基礎設施和所提供云服務的安全，客戶負責自身云業務安全。當然，在IaaS、PaaS、SaaS不同的場景下，責任共擔的分界線會有所移動，越到上層，亞馬遜云科技肩負的責任越多。

在實踐中，亞馬遜云科技通過四個方面保證自身的安全合規：一是采用高安全性的基礎設施，數據中心和網絡架構以最高安全標準構建;二是重視每一個云服務的安全性，存在任何已知安全問題的新服務將不會啟動，通過深度集成實現安全自動化，減少人工配置錯誤，降低風險;三是堅持客戶擁有和控制數據的理念，所有數據流動在離開亞馬遜云科技的安全設施之前，都經過物理層自動加密;四是幾乎滿足全球所有監管機構的合規認證，且定期進行第三方驗證，這些合規認證與能力實踐，中國客戶可以直接繼承。

亞馬遜云科技為客戶打造洋蔥型多層防護體系

亞馬遜云科技在云服務安全方面有三大理念：一是利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡;二是云中安全是主動設計出來的，而不是被動響應;三是云中安全必須是一個洋蔥型的多層防護，而不是一個雞蛋。

基于這三大理念，亞馬遜云科技打造了洋蔥型的五層防護體系，為用戶提供像水和空氣一樣便捷的安全服務，幫助客戶更簡單地解決安全問題。目前，亞馬遜云科技在五大領域為客戶提供全方位的安全服務，涵蓋280多項安全、合規服務及功能。

亞馬遜云科技為客戶打造了洋蔥型的五層防護體系：

第一層：威脅檢測與事件響應。能夠對安全威脅做到精準定位、快速反應、時刻監控，并且能夠分析原因。

第二層：身份認證與訪問控制。遵循保持最小授權、并對最小授權進行定期審計的原則，通過盡可能細化訪問的顆粒度、結合多因素鑒證技術加強身份認證、減少長期憑證的使用等多項機制，建立權限防護機制和數據邊界。

第三層：網絡與基礎設施安全。防御DDoS攻擊是這一層的重點，DDoS防御應貫穿始終，Amazon ShieldAdvanced可以為客戶提供全天候的保護;網絡訪問規則是一切防御的基礎，客戶既可以采用亞馬遜安全團隊自研的全托管規則，也可以自定義規則。

第四層：數據保護與隱私。亞馬遜云科技提供了數據全生命周期的加密服務，對數據的保護涵蓋存儲、傳輸以及使用的各個環節。例如，Amazon CloudHSM提供了安全、簡單的云上專屬加密機;Amazon Nitro Enclaves提供了一個云端的機密計算環境，可有效減少敏感數據處理過程中的攻擊面。

第五層：風險管控及合規。亞馬遜云科技從三個方面幫助用戶合規。一是確保亞馬遜云科技服務本身的合規性;二是合規方案落地;三是自動化審計。

顧凡總結，亞馬遜云科技云上安全合規具備五大優勢：1、出色的可見性和控制力;2、深度集成實現自動化;3、以最高的安全與隱私保護標準構建;4、客戶可以繼承亞馬遜云科技全面的安全性與合規性控制;5、豐富的安全、合規合作伙伴。

正因為如此，全球已有數百萬用戶選擇并且信賴亞馬遜云科技，覆蓋幾乎所有行業，包括金融、電信等諸多強監管的行業。例如，世界最大的股票交易所納斯達克將分階段地把全部業務遷移到亞馬遜云科技，日本最大的電信運營商NTT docomo將把PB級別的數據倉庫遷移上云。

TCL實業分享云上安全實踐

在亞馬遜云科技遍布全球的數百萬用戶中，不乏TCL實業、洛陽鉬業、安克創新等中國客戶的身影。TCL實業作為“中國智造”出海的代表性企業，已將海外業務的多個重要核心系統部署在亞馬遜云科技上，實現安全合規的全球部署，同時使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服務提升云端安全。

TCL實業CTO孫力表示：“云上安全是TCL實施全球化戰略、實現業務創新的基石。我們信賴亞馬遜云科技自身的安全，欣賞其全球優勢以及廣泛深入的安全服務。使用多項亞馬遜云科技服務打造TCL云端安全體系，讓我們能夠全方位保障云端安全，并且提高運維效率，節省人力成本。”

TCL實業鴻鵠實驗室軟件安全部林舜大表示：為了實現更加智能、用戶體驗更好的AI×IoT智能家居生態圈，TCL持續在云、管、邊、端和連接層面不懈努力，實現萬物互聯、數據分析、智能服務的業務閉環。在此過程中，TCL正在面臨網絡安全和隱私保護方面的風險與挑戰。

例如，智能終端設備的固件會被替換成非法固件，從中獲得密鑰等各種信息。伴隨智能終端上的應用越來越多，功能越來越復雜，這些終端應用和功能同樣面臨著各種威脅。聯網產品和云端不僅可能在數據通訊領域被攻擊，網絡劫持、中間人等攻擊手段也層出不窮，進而還可能導致各種數據的泄露問題。存儲大量數據、掌握大量控制和服務的云端也會時不時受到應用層的攻擊、DDoS攻擊、主機攻擊、身份鑒權攻擊等，輕則導致云端服務的不可用，重則導致大量用戶信息的泄露，甚至用戶敏感信息的泄露。

與此同時，國際國內對用戶隱私保護的法律越來越嚴格，明確要求聯網產品必須進行安全設計、安全測試，出現安全問題必須及時地反饋和處理。

為此，TCL產品采用安全開發生命周期SDL進行開發，App和云服務采用DevSecOps的流程進行開發，保證產品、App和云服務的安全。TCL全球安全應急響應中心網站和郵箱，也一直在處理用戶和業界安全愛好者提出的各種安全問題，同時針對諸多安全漏洞和事件進行懸賞，鼓勵安全愛好者主動發現漏洞，TCL會及時修復、保障用戶的權益。與此同時，TCL購買了很多第三方安全檢測工具，并自主開發了一些安全檢測工具進行檢測，其中包括亞馬遜云科技的云上安全漏洞檢測工具。

為了應對隱私合規和數據問題，TCL通過云服務的全球化部署，業務覆蓋160多個國家，活躍用戶高達3000多萬。林舜大提到：“TCL采用亞馬遜云科技的云服務來部署，關鍵在于亞馬遜云科技的云基礎設施，通過了各個國家和地區的安全與合規認證。有了安全與合規的基礎保障，用戶只關注應用層之上的安全與合規即可。”

TCL的云端安全分級策略

TCL采用云端安全的分級策略，盡可能提高產品和服務的安全性。

一級平臺是一些內部網站、測試網站，或是知識管理類、共享類、學習類的網站，以及一些可有可無的網站。這些網站只需要守住關口，基本不需要在安全產品上進行投入。

二級平臺是一些主要網站，例如廣告、品牌形象、業務支撐和售后系統等，這些網站的用戶信息較少，大部分是一些ID號。二級網站需要加強對關口的安全措施，識別重要數據進行重點保護，并且定期進行安全掃描。

三級平臺涉及一些關鍵基礎設施，代碼平臺，以及存放大量用戶信息的網站，例如IoT平臺、大數據平臺和AI平臺等等。三級平臺需要全方位加強關口防御水平，進行整體的全方位保護，甚至引入態勢感知等安全產品，達到等保三級以上的安全水平。

四級平臺是那些存放用戶大量財產信息的金融類、購物類網站，除了安全技術投入外，組織管理方面也要持續加強，進行安全保障。

其中，TCL從二級平臺到四級平臺的云服務，均采用亞馬遜云科技的Amazon WAF進行防護。TCL利用Amazon WAF定制規則，進行流量篩選，阻隔惡意訪問等。從監測數據的效果可以看出，Amazon WAF一周為TCL防護超過13萬次的惡意請求，抵御接近10萬次的程序自動攻擊。

統一的網絡安全與隱私保護框架體系

基于統一的網絡安全與隱私保護框架體系，TCL采用業界成熟的一些措施：包括通過成立專門的網絡安全與隱私保護管理委員會和工作組，不斷提升整個組織的意識與能力，對公司的產品與業務進行有效的監控和改進;嵌入安全行為的隱私影響評估流程到業務中，保證產品合規;此外，進行一些第三方認證，例如與亞馬遜云科技進行溝通，亞馬遜云科技提供了從認證保護、檢測、響應到恢復的40多種安全服務，TCL通過研究和評估，已經采用了一部分服務，達到更好的保障用戶權益的目的。

據悉，TCL除了采用Amazon WAF防御云服務端的攻擊之外，還通過Amazon KMS解決密鑰安全性的相關問題。林舜大提到：“隱私保護離不開數據加密，而數據加密過程中最擔心密鑰的安全性，包括對密鑰的管理，密鑰對性能的影響以及費用等等。我們評估了各種方案，最終在一些重要業務上采用Amazon KMS解決密鑰安全性的相關問題。”

最后，林舜大總結：安全與合規是TCL品牌差異化的重要組成部分，網絡安全的范疇非常大，亞馬遜云安全在TCL品牌差異化的過程中發揮了重要的助推作用。