（全球TMT2022年7月21日訊）亞馬遜云科技已經(jīng)能夠?yàn)橛脩籼峁┏^280項(xiàng)安全、合規(guī)服務(wù)和功能，在用戶對(duì)其數(shù)據(jù)完全擁有和控制的前提下，為用戶提供一系列安全保護(hù)。"洋蔥模型"是對(duì)亞馬遜云科技多層安全防護(hù)的系統(tǒng)性歸納，涵蓋威脅檢測(cè)和事件響應(yīng)、身份認(rèn)證和訪問控制、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全、數(shù)據(jù)保護(hù)與隱私以及風(fēng)險(xiǎn)管控及合規(guī)五大領(lǐng)域。

1、 威脅檢測(cè)與事件響應(yīng)

這其中的一個(gè)關(guān)鍵服務(wù)是Amazon GuardDuty，可實(shí)現(xiàn)對(duì)威脅的精準(zhǔn)定位與快速反應(yīng)。Amazon GuardDuty可以一鍵開啟，內(nèi)嵌了來自于Amazon電商平臺(tái)收集的第一手情報(bào)源，并集成行業(yè)頂尖的CrowdStrike和Proofpoint 情報(bào)源，同時(shí)與一系列世界頂尖的安全公司持續(xù)合作以豐富情報(bào)源。此外，Amazon GuardDuty內(nèi)置了機(jī)器學(xué)習(xí)能力，在提升預(yù)警準(zhǔn)確度的同時(shí)將可疑警報(bào)量降低了50%。Amazon GuardDuty還可對(duì)安全風(fēng)險(xiǎn)事件做出快速反應(yīng)，即發(fā)揮"事件驅(qū)動(dòng)的自動(dòng)化防護(hù)欄"作用。

另一項(xiàng)重要服務(wù)是Amazon Security Hub，可對(duì)安全合規(guī)風(fēng)險(xiǎn)和威脅進(jìn)行7x24小時(shí)全天候監(jiān)測(cè)，針對(duì)威脅及時(shí)響應(yīng)，自動(dòng)執(zhí)行合規(guī)性檢查，快速發(fā)現(xiàn)技術(shù)差異并提供修復(fù)方案。

Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安全防線，而且還通過全程自動(dòng)化顯著優(yōu)化安全工作效率。例如在線游戲企業(yè)風(fēng)林火山，此前由于人手不足，一直受困于海量日志數(shù)據(jù)分析和合規(guī)的持續(xù)性。現(xiàn)在這些工作已經(jīng)全部交給Amazon GuardDuty與Amazon Security Hub來完成，既帶來了可持續(xù)的安全保障，也解放了企業(yè)人力。

2、 身份認(rèn)證與訪問控制

Amazon Identity and Access Management (Amazon IAM)?是身份認(rèn)證與訪問控制的核心服務(wù)，以細(xì)顆粒度的身份認(rèn)證與訪問控制機(jī)制，結(jié)合對(duì)安全事件的持續(xù)監(jiān)控和精準(zhǔn)的安全權(quán)限設(shè)置，保障正確資源被相應(yīng)正確人員訪問。另一項(xiàng)服務(wù)是Amazon Organizations，能夠讓用戶使用服務(wù)控制策略 (SCP) 來建立組織賬戶中所有IAM用戶和角色都要遵守的權(quán)限防護(hù)機(jī)制及數(shù)據(jù)邊界 -- 例如將公司的所有賬戶分為不同群組，并為其分別下發(fā)不同的訪問控制策略。汽車數(shù)字服務(wù)企業(yè)WirelessCar在Amazon Organizations的幫助下，就有效降低了賬戶運(yùn)維管理的時(shí)間，節(jié)省了人力成本，提高了IT運(yùn)維效率，使團(tuán)隊(duì)可專注于業(yè)務(wù)開發(fā)和創(chuàng)新。

3、 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全

亞馬遜云科技在主機(jī)、網(wǎng)絡(luò)和應(yīng)用程序級(jí)別邊界為客戶提供細(xì)粒度的保護(hù)。Amazon Shield Advanced是亞馬遜云科技提供的網(wǎng)絡(luò)邊緣側(cè)防護(hù)服務(wù)。用戶可將所有面向網(wǎng)絡(luò)的資源加載到Amazon Shield Advanced，以獲得全天候保護(hù)。

另一個(gè)重要產(chǎn)品是已經(jīng)被眾多客戶作為標(biāo)準(zhǔn)配置的Amazon WAF。Amazon WAF的特點(diǎn)在于提供了豐富的規(guī)則庫，其中既有亞馬遜云科技安全專家團(tuán)隊(duì)自研的全托管的規(guī)則，也可由用戶依據(jù)需求來自定義規(guī)則。用戶還可以將亞馬遜云科技的APN合作伙伴網(wǎng)絡(luò)成員 -- 眾多國(guó)際一線安全廠商的托管規(guī)則加載到Amazon WAF。

4、 數(shù)據(jù)保護(hù)與隱私

Amazon Macie 使用機(jī)器學(xué)習(xí)技術(shù)來自動(dòng)發(fā)現(xiàn)和保護(hù)客戶的敏感數(shù)據(jù)并對(duì)其分類，可以識(shí)別個(gè)人可識(shí)別信息 (PII) 或知識(shí)產(chǎn)權(quán)之類的敏感數(shù)據(jù)，并為客戶提供控制面板和警報(bào)，讓客戶了解此類數(shù)據(jù)的訪問或移動(dòng)方式。

對(duì)于數(shù)據(jù)加密，亞馬遜云科技秉持通過服務(wù)集成實(shí)現(xiàn)全生命周期數(shù)據(jù)加密。Amazon Key Management Service（AmazonKMS）是亞馬遜云科技最常用的數(shù)據(jù)加密服務(wù)，這項(xiàng)服務(wù)與亞馬遜云科技的140多項(xiàng)服務(wù)深度集成，可幫助用戶大幅減少人工操作，降低出錯(cuò)概率。

對(duì)于數(shù)據(jù)保密要求更高的用戶，還可使用Amazon CloudHSM來獲得云上專屬加密機(jī)服務(wù)。全球領(lǐng)先的智能終端制造商OPPO就通過Amazon CloudHSM來獲得基于行業(yè)安全標(biāo)準(zhǔn)的加密機(jī)硬件，構(gòu)建自己獨(dú)特的數(shù)據(jù)保護(hù)體系。Amazon CloudHSM還可讓OPPO根據(jù)業(yè)務(wù)變化隨時(shí)擴(kuò)展加密機(jī)硬件容量，并利用亞馬遜云科技的托管服務(wù)自動(dòng)執(zhí)行耗時(shí)的管理任務(wù)。

在數(shù)據(jù)計(jì)算過程中，用戶可使用Amazon Nitro Enclaves的云端機(jī)密計(jì)算的技術(shù)，創(chuàng)建嚴(yán)密隔離的環(huán)境處理敏感數(shù)據(jù)。這項(xiàng)技術(shù)在確保數(shù)據(jù)安全之外，也讓用戶能夠開拓新的創(chuàng)新應(yīng)用場(chǎng)景，例如可在完全不觸碰數(shù)據(jù)的前提下，與一些持有重要數(shù)據(jù)的機(jī)構(gòu)利用Amazon Nitro Enclaves創(chuàng)建的數(shù)據(jù)"密室"進(jìn)行與外界完全隔絕的聯(lián)合計(jì)算分析。

5、風(fēng)險(xiǎn)管控及合規(guī)

亞馬遜云科技可幫助客戶全面了解合規(guī)狀況，并使用自動(dòng)合規(guī)性檢查，持續(xù)監(jiān)控客戶的環(huán)境。例如，Amazon Artifact自助門戶，允許客戶按需訪問并獲取亞馬遜云科技的合規(guī)性報(bào)告。為避免用戶在合規(guī)審計(jì)與評(píng)估中消耗過多成本，亞馬遜云科技提供Amazon Audit Manager，可自動(dòng)掃描、搜集證據(jù)，還提供了各種合規(guī)認(rèn)證的模板，簡(jiǎn)化合規(guī)審計(jì)的證據(jù)收集工作，實(shí)現(xiàn)高效的自動(dòng)化合規(guī)審計(jì)與評(píng)估。

目前，亞馬遜云科技正不斷將領(lǐng)先的安全服務(wù)引入中國(guó)（西云數(shù)據(jù)運(yùn)營(yíng)寧夏區(qū)域，光環(huán)新網(wǎng)運(yùn)營(yíng)北京區(qū)域），進(jìn)一步幫助用戶完善云上安全建設(shè)。依托亞馬遜云科技的云自身安全及云中安全服務(wù)，用戶能夠在云上開展業(yè)務(wù)的同時(shí)獲得自動(dòng)化、規(guī)?；陌踩Ｕ?，讓安全成為企業(yè)創(chuàng)新助推器。