随着企业数字化转型步伐的加快，云安全变得越来越重要，如何预见所有安全风险，一站式解决安全漏洞？这应该是每家企业的心声！

　　只不过，在泛网络时代，云安全与传统边界安全差异性很大，如何做到全面安全，任重道远。那么，作为拥有全球业务的亚马逊云科技，是如何快速响应客户安全需求的呢？

　　▲亚马逊云科技大中华区产品部总经理 陈晓建

　　“通过海量数据运营能力，凭借全球数百万客户安全事件的支持，我们可以把在一个客户中所取得的实践经验，复用到其他客户中来，从而获得规模化效益。”亚马逊云科技大中华区产品部总经理 陈晓建 认为，云安全日新月异，企业要想始终保持敏锐的洞察力，需要进行前瞻性的战略思考，具备像水和空气一样无处不在的安全防护能力。

　　理念和机制是安全防护的基石

　　首先，拥有一个行之有效的安全理念和运营机制，是一切安全防护的前提。为了做到100%的安全，亚马逊云科技建立了一个叫做“安全守护者”的独特机制。

　　值得一提的是，专门负责“应用安全审查流程中的安全大使”并不是安全团队的人，而是来自研发或者服务团队。

　　安全无小事，亚马逊云科技会把安全的理念和可落地方案嵌入到每一个产品和服务团队日常的工作流程之中，任何发布或者更新都必须遵循这个流程。

　　另外，人和数据要分开，因为安全问题的两个最重要因素就是人和数据。对于人为因素造成的安全问题，最简单的做法就是控制他的访问权限，并给权限设置设定有效期。而对于数据安全问题，需要考虑数据本身是否需要脱敏、加密，哪些数据给谁用等等。只有把人和数据两个维度的因素结合起来，才能形成一个行之有效的方案！

　　亚马逊云科技认为，云中安全必须是“洋葱式”的多层防护，层与层之间可以相互保护，是层层递进的访问机制，而不是一个“鸡蛋”，只做一个坚硬的外壳，实则不堪一击！

　　具体而言，亚马逊云科技中的云安全洋葱机制分为五层，每层之间都具备互相递进的安全防护能力。并且，任何安全防护都不能依托于某一个单点的员工或者一个单点的服务，更多依赖的是各个安全层次之间的相互配合。即使某一个层次被恶意攻击突破了，但是因为有其他层次作为互补，同样可以保证用户的安全。可以说，亚马逊云科技提供的安全机制，是零信任架构的基础。

　　拿防火墙来说，这是一个非常强大的工具，可以有效防治内部系统受到外部黑客的攻击。但是，有了防火墙，企业的安全问题是不是就万无一失了呢？答案显然不是！因为，攻击可以来自于外部，也可以来自于内部。如果公司内部员工从内网进行攻击入侵，防火墙就失去了作用。

　　所以，企业要想保证业务不受侵害，既要考虑来自外部的攻击，可以通过防火墙解决，同样也要考虑来自内部的攻击，比如可以通过主机安全、安全加密等手段，相互结合，才能形成一个综合的、立体的、可以协作的安全机制，这就是亚马逊云科技所定义的洋葱模型。

　　有效的工具让安全防护更自动化

　　在亚马逊云科技数据中心，每天都会收到数以十亿条的安全事件或者各种日志，这么大规模的业务体量，靠人力去维护，根本无法想象。通过自动化的处理工具，亚马逊云科技可以自动识别安全风险，并且能够把各个用户之间的安全事件关联起来，建立覆盖全局的管控能力。

　　以电动车电池起火为例，虽然只是小概率事件，十亿分之一，但如果每天十亿人在骑电动车，有一个人出了问题，就意味着每天都会出现安全事故，仍然是一个不可接受的事实。同样，对于亚马逊云科技这种提供云服务的公司来说，要想不让云安全事件发生，必须通过更现代化的手段，提升整个业务的安全运营能力，及早去发现这种小概率事件，把安全风险降到最低。

　　说白了，与其救火，不如防患于未然！在云安全全生命周期服务中，最重要的工作是提前演习，而不是事后进行修补。问题是，如何早做部署，定期排查？

　　亚马逊云科技有几个重要产品，可以帮助用户去提升整个业务的安全性：

　　第一，Amazon Inspector。跟演练一样，可以帮助用户提前排查系统里存在哪些安全漏洞。

　　第二，Amazon GuardDuty。通过异常活动检测，可以监测所有来自于不同源头的各种安全事件，并且可以从中判断，及时发现哪些行为有可能会引起安全故障。

　　自动监测威胁服务，可持续监控恶意活动和未经授权的行为，从而保护云中账户、负载、程序及存储数据的安全。Amazon GuardDuty内置了机器学习引擎，可以“好好学习，天天向上”，不断改进对威胁的探测，有效地从云环境中快速识别出潜在的恶意用户活动。

　　第三，Amazon Backup。通过定期数据备份，就算黑客入侵，把企业的数据锁起来或者把数据给删除，也没关系，Amazon Backup可以把数据安全地保存起来，通过一键回滚就可以及时进行恢复。

　　另外，亚马逊云科技刚推出Marketplace Vendor Insights的预览版。之前，客户在选择安全伙伴的时候，需要自己去评估这个安全伙伴提供服务的安全性，现在企业不用自己做了，亚马逊云科技可以对合作伙伴的服务进行安全合规评估，Config和Audit Manager内嵌于产品之中，可以和云服务集成，包括可以可以第三方的审计结合，如SOC2和ISO27001，以及供应商的证明等等。

　　对于客户来说，亚马逊云科技Marketplace Vendor Insights带来的好处是，能够大大缩减对亚马逊云科技Marketplace 服务的采购周期。之前可能需要好几个月，或者八周到十二周的时间，现在有了亚马逊云科技Marketplace Vendor Insight后，最快可以在一周之内就能完成采购，助客户实现业务的快速上线。

　　在亚马逊云科技内部，有一句话叫做“聚力携手，才能走向强大”，真正的安全能力是在运营中不断培养得来，基于全球百万用户服务经验，亚马逊云科技可以从大量安全实践中获益，并且可以更好地反哺给更多用户！