通过上云实施数字化转型，以此驱动业务发展、流程改进、成本降低与效率提升，早已经成为了广大企业的共识。不过对于上云的企业来说，安全合规究竟有多重要？

“云计算为业务赋能，安全为云计算赋能。”对于这个问题，亚马逊云科技大中华区战略业务发展部总经理顾凡给出了这样的回答。

企业上云是否更加安全

在数字经济蓬勃发展的今天，全球安全合规的环境也正在变得日益复杂。截至目前为止，全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规。包括中国在近几年也陆续出台了《数据安全法》《个人信息保护法》等各种法规。

与此同时，随着越来越多的企业开始加速上云，企业放到云上的数据类型、数据数量也在迅猛增加。尤其是伴随着众多中国企业出海拓展全球业务，许多企业在市场竞争中已经跨越了若干行业赛道，所有这一切都会加剧企业面对安全合规的挑战。

“在安全合规方面，客户经常会问到我们三个问题：一是企业从自己的数据中心将应用迁移上云是否安全？二是亚马逊云科技本身是不是安全合规？三是企业将应用迁移上云之后，亚马逊云科技如何帮助企业实现安全合规？”顾凡表示。

上云提升企业安全体验

顾凡指出，即便是自建数据中心，企业同样也要构建安全，而且需要考虑安全设备管理、合同签订、成本问题等方方面面。而当应用上云之后，企业并不需要关心琐碎的底层基础设施安全，因此与自建数据中心相比，企业在云端的安全体验完全可以再上一个台阶，主要体现在几个方面：

1、更好的可见性：有了更好的数据整合，企业在云上会更有机会采用一个集中的平台，实现安全的可视化管理。

2、更高的自动化程度：云上多种服务之间的深度集成，使得数据整合变得更加简单。通过充分利用云端安全服务之间的超高集成度，企业可以更好地实现安全自动化。

3、更灵活的成本控制：与自建数据中心相比，云端安全没有前期投入成本，按使用量付费，可以更好地控制成本。

4、更高效的合规：自建数据中心做安全合规需要从零开始，而如果选择亚马逊云科技，客户可以直接继承云厂商已经做好的合规，更加省心高效。

“我们可以看到，全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业，其中包括金融、电信等许多被强监管的行业也已经在把业务上云。从世界最大的股票交易所纳斯达克、到日本最大的电信运营商NTT Docomo，从大家非常熟悉的快销品牌联合利华，到国内知名企业TCL实业，都在把越来越多的业务迁移到云上。”顾凡说道。

亚马逊云科技自身的安全合规

俗话说“打铁还需自身硬”，亚马逊云科技之所以能够保障云上的安全合规，其一大优势就在于自身的安全合规非常过硬。

顾凡透露，亚马逊云科技有一个“Job Zero安全文化”，也就是将安全作为其最高优先级的工作，并且将这一文化贯穿在亚马逊云科技的整个企业当中，CEO每周召开安全会议，每一位员工都负有安全责任，每个级别的员工都有安全目标，每个服务在设计阶段都要考虑安全问题，并定期举行安全合规的培训及考试。为了推动安全及合规建设，亚马逊云科技还在业界首创了云安全责任共担模型，其对安全合规的高度重视，由此也可见一斑。

顾凡表示，亚马逊云科技主要通过以下四个方面，来保证自身的安全合规性：

1、云安全始于基础设施：亚马逊云科技的数据中心和网络架构以最高安全标准构建，全球所有数据中心或服务都会使用相同的构建标准和控制措施，所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。

2、安全不止安全服务：亚马逊云科技重视每一个服务的安全性，安全团队从一开始就深入参与新服务和新功能开发，如果存在任何已知的安全问题，新服务都不会启动。亚马逊云科技还会通过深度集成的服务，实现安全自动化，减少人工配置错误，降低风险。

3、客户拥有和控制数据的理念：亚马逊云科技不接触客户数据，客户始终拥有自己的数据，并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前，都经过物理层自动加密。

4、全球安全合规认证：亚马逊云科技获得了众多安全标准和合规性认证，几乎满足全球所有监管机构的合规认证，用户可以继承这些安全标准及合规认证，从而更加高效地在全球开展业务。

洋葱型的多层防护

在云服务安全方面，亚马逊云科技提出了三个理念：

理念1：利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。

理念2：云中安全是主动设计出来的，而不仅是被动响应。

理念3：云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。

截至目前为止，亚马逊云科技已经提供了280多项安全、合规服务及功能，能够在威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规等五大领域，为客户提供全方位的安全服务。

“亚马逊云科技为客户打造五层防护体系。亚马逊云科技的宗旨是，帮助客户更简单地解决安全问题，持续不断加大安全投入，却不设置安全方面的营收指标，要让安全服务像水和空气一样，提供给用户。不依靠水和空气产生利润，却需要给用户提供优质的水和空气，创造健康的环境。”顾凡表示，“简而言之，亚马逊云科技在安全合规方面具备五大优势，分别是高度可见性和控制、深度集成的自动化、最高的安全与隐私保护标准、全面继承安全合规、合作伙伴强强联合。”

“根据计世资讯的研究，在云安全的实际技术应用中，目前身份与访问控制、监控与检测、基础架构防护、数据保护、事件响应、合规审计等是云安全热点领域。亚马逊云科技的基础设施以及云服务是按照数据安全和隐私保护的最高标准构建，而且重量级的安全产品均已经在中国区域推出，这些都能确保客户在上云和用云的所有环节获得高效的安全服务。”计世资讯首席分析师任伟巍针对云安全市场和亚马逊云科技的服务评论道，“我们还观察到中国云安全市场的几个趋势，其中构建云安全文化的重要性越发重要。企业要认识到构建云安全战略是一项持续性的工作，云安全需要有自上而下的顶层设计，要以安全为出发点构建云上应用。亚马逊云科技为企业提供云安全的最佳实践和培训，助力客户构建云安全文化和战略，使得他们能够成为未来的安全业务领导者。”

来自TCL实业的现身说法

对于亚马逊云科技在安全合规方面的实力，作为企业客户的TCL实业无疑有着切身的体会感悟。

“在万物互联的大时代，产品的智能化已经是大势所趋，因此未来的整体架构一定是通过端云一体来提供智能化服务。未来我们将在整个云端构建服务，TCL实业始终是围绕着智能化这个重大战略来进行布局，在整个AI×IoT系统和生态面临严重安全威胁的今天，云服务平台的安全就显得尤为重要。”TCL实业控股CTO孙力表示，“云上安全是TCL实施全球化战略、实现业务创新的基石，因此需要一个非常可靠的合作伙伴来开展海外业务。我们信赖亚马逊云科技自身的安全合规，欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系，让我们能够全方位保障云端安全，并且提高运维效率，节省人力成本。除此之外，TCL还需要很多云上的软件和服务来快速构建业务，近几年的大数据、人工智能等许多新兴的业务和应用，也都是在亚马逊云科技上实现的。”

孙力指出，面对安全合规，许多企业采用的是“事件驱动型”的被动响应机制，只是为了满足合规而去做合规。这样做的成本虽然比较低，但是安全隐患也非常明显。“安全、隐私、合规，这些词放在一起其实是非常复杂的，涉及的领域非常多，木桶效应也非常明显，一个短板可能会抵消企业在很多方面的努力。因此要想实现安全隐私合规的治理，一定要从组织、流程、预算、产品开发流程，包括自上而下的重视程度，一定要有这样的响应机制才能保障实现。”

为了实现云端的安全合规，TCL实业与亚马逊云科技进行了一系列的合作：采用云端安全分级策略，在不同云端选择不同的策略；采用终端安全分级策略，在不同产品选择不同的策略；在TCL公司内部构建统一的网络安全与隐私保护框架体系；将多个重要核心系统部署在亚马逊云科技上，实现安全合规的全球部署，同时使用Amazon WAF、Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全，获得从认证、保护、检测、自动化调查、响应、恢复的全旅程安全合规保护。

“安全与合规是TCL品牌差异化的重要部分，亚马逊云科技安全服务是这种品牌差异化的重要助推。使用亚马逊云科技Amazon WAF的效果看起来非常不错，譬如一周防护了超过13万次的恶意请求、接近10万次的程序自动攻击，很好地防范了网络攻击和勒索病毒的安全事件。”TCL实业鸿鹄实验室安全部部长林舜大表示，“为了更好地打造安全体系，我们在亚马逊云科技的支持下采用了一些分级分类的策略。在隐私保护框架上，我们会采用业界成熟的措施，从组织治理、政策流程、业务嵌入上来保证产品的合规，进而不断提升整个企业组织的意识与能力，对公司的产品与业务进行有效的监控和改进，同时还会进行权威的第三方认证。”

林舜大还透露，在实现安全合规的过程中，除了技术之外，整个公司的治理框架也非常重要。通过与亚马逊云科技这样的先进企业合作和学习，TCL实业搭建了整个公司的安全合规治理的组织架构和运作方式，在这方面也同样获益良多。