亚马逊云科技：筑牢数字时代的安全基石

中国发展网记者 成静

在数字经济时代，数据给我们的生活带来了本质的变化。可以说,数据已经是现代发明和创新之源。

如何在确保数据安全的前提下有效发挥数据资产的商业价值，成为企业数字化亟需解决的问题。“亚马逊云科技不断探索云上数据创新的边界，围绕业务数据的可识别、可见、可协作和安全数据的可操作四大场景提供创新服务和解决方案，助力企业进一步释放数据要素价值，实现创新增长。”亚马逊云科技大中华区产品部总经理陈晓建表示。

通过日常观察，亚马逊云科技看到，他们的用户有几点希望：一是业务数据中的敏感数据可以被轻松地识别并提供有效的保护；二是他们的数据消费团队可以方便快捷地找到企业内部有价值的数据资产并快速加以利用；三是他们可以与合作伙伴以及产业上下游的企业进行安全高效的数据共享与协同分析；四是所有的数据操作与安全事件可以被统一地监控与管理，以帮助安全团队可以指定合理的安全事件策略和进行快速应对。

识别敏感数据——应对合规有方案

在帮助用户识别敏感数据方面，亚马逊云科技努力辅助用户应对合规方面的挑战。目前，数据合规越来越成为企业关注的话题，全球各地连续出台隐私保护法案，或者强化隐私保护的相关法案，比如欧盟的GDPR和美国的ADPPA。中国也非常强调对隐私数据和敏感数据的保护，制订了《个人信息保护法》《数据出境安全评估办法》《网络数据安全管理条例》等，对个人数据、敏感数据的定义和使用提出了具体要求。

“企业要实现数据的安全合规需要人，流程，工具相互配合。”陈晓建表示，为用户的业务和计算负载提供最合适的工具，一直是亚马逊云科技投入的方向，因此，亚马逊云科技为用户提供了敏感数据保护解决方案。“该方案是亚马逊云科技转为敏感数据识别与保护这一场景量身定做的方案。这是一个开源的数据安全及数据隐私云原生解决方案，客户可以在自己账号内部署使用。”

据介绍，这个方案利用机器学习、模式匹配等方式自动识别敏感数据，允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型。该解决方案还提供中心化的管理平台，客户可通过网页应用程序对敏感数据资产进行可视化管理。通过敏感数据保护解决方案，客户可以加速实现业务数据合规，为下一步释放数据价值铺平道路。

数据可见——确保正确权限和情境

数据可见是企业内不同角色高效挖掘数据价值的前提，也是不同治理模式高效协同的基础。在数据可见方面，目的是让数据在组织内能被安全有效地发现、共享和协作。

“在数据团队和业务团队协作方式上，集中式和联邦式是比较常见的两种类型。”陈晓建解释说，集中式就是负责治理运营的人主要集中在数据团队并负责所有治理工作，集中式方式能够实现快速的决策和高效的执行。这种结构较为简单，易于实施和控制。更适合刚开始数据分析之旅和小型组织的客户。而联邦式则是，总的治理原则/政策有特定团队负责，但负责治理运营的人可以分散在各业务线，这样业务部门拥有自己的数据，并在组织的监督下做出决策，以满足其特定需求和目标。适合多BU的中大型企业或跨国企业。“两种类型的协作方式都需要多个角色高效协同，特别是联邦式治理更是对‘数据可见’需求迫切。”

因此，在这个客户需求背景下，亚马逊云科技在去年推出一项全新的数据管理服务Amazon DataZone，让每个人都能看见数据，解锁数据。它可以让客户更快、更轻松地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理。借助Amazon DataZone可以使用精细的控制工具管理和治理数据访问权限，确保数据访问发生在正确的权限和正确的情境之下。Amazon DataZone可以使数据开发者、数据科学家、分析师和业务用户可以轻松访问整个组织的数据，从而发现、使用数据，通过数据进行协作来获得洞察。

多方协作——数据不需移动即可共享

多方数据协作可以为行业创新注入活力，企业之间需要产业上下游数据协作来快速创新。因此，企业需要在保障安全和创造价值之间寻求平衡。在实际的场景中，数据协作的所有参与者都需要面对数据保护与业务价值安全之间的权衡。现在有一些企业实现数据协作的方式是向合作伙伴提供数据副本，并依赖合同协议防止滥用。但是，显而易见，这样的方式仍然发生了数据移动，依然存在数据误用和泄漏的风险。

为此，亚马逊云科技推出了Amazon Clean Rooms，实现了匹配、分析和协作彼此的数据，而不需要移动或者暴露原始数据，安全地实现数据分析协作。使用Amazon Clean Rooms，用户可以在几分钟内创建一个安全的数据Clean Room，通过创建协作项目，实现数据的多方协作。而对于数据提供方而言，不仅可以通过数据预加密来对数据进行保护，而且因为所有成员都是直接从自己的Amazon S3贡献数据，从而真正实现了只有数据查询和分析而没有数据移动。

值得强调的是，Amazon Clean Rooms提供了一个密态计算的环境，数据的提供方可以对数据进行预加密，从而在Clean Rooms 环境中的数据以加密的形态完成数据分析操作，并将分析结果解密并返回，从而在数据安全的到最大保护的同时充分在协作方之间开发了数据价值。

陈晓建还介绍了另外一个工具——Amazon Data Exchange。“在生成式AI时代，企业需要更多第三方的数据来协作创新。而第三方数据的获取却并非易事。Amazon Data Exchange可以大大简化获取第三方数据的过程。”

陈晓建介绍说，Amazon Data Exchange 使客户能够轻松在云上找到、订阅和使用第三方数据。Amazon Data Exchange已经可以提供超过3500种的第三方数据，数据来源包括金融，天气，地理空间，健康医疗等等非常多的行业和领域。而通过Amazon Data Exchange获取数据非常简便，支持包括Amazon S3注入，查询表接口(query tables)以及API调用等多种的访问方式。对于像生成式AI的模型训练这样的场景来说，用户只需要将下单的数据集注入到Amazon S3数据湖，就可以使用数据分析工具进行数据处理进而开始模型训练了。

安全日志——统一管理安全高效

在Gartner发布的2022年网络安全重点趋势里，安全供应商的整合排到第4位。而企业在短时间内做到整合安全厂商是有挑战和难度的。另外，安全本身也带来了越来越多的挑战。日常的日志管理如何更加高效，以及在发生一些安全风险的时候，如何通过日志的回溯和分析可以很快、有效地追溯到问题的源头？亚马逊云科技的解决方法是建立一个安全数据湖，统一管理来自不同厂商的日志，并且让这些日志可被用来进行安全事件的分析。

“这是业界第一个专门用于安全的数据湖，它的目标就是统一管理来自于不同来源、不同系统的安全日志，并且能够利用这些日志进行安全分析。”陈晓建介绍说，Amazon Security Lake可以自动搜集并存储亚马逊云科技安全产品（如Amazon GuardDuty，Amazon SecurityHub）的日志，以及第三方乃止线下安全设备的日志，并且使用OCSF统一格式。它使用Amazon S3集中存储日志，可以充分利用Amazon S3的存储性能，将日志分层管理，提高性价比。

深圳市兆珑科技就使用了亚马逊云科技的安全数据湖。究其原因，深圳市兆珑科技有限公司云安全专家顾问李少奕表示，作为一家物联网生态企业，随着设备量、数据量的增多，兆珑科技每天的数据量剧增，且类型众多，而且环境的多元化会出现数据孤岛的现象，对于安全日志还有着多样化的分析工具的需求。因此，兆珑科技选择了亚马逊云科技的数据湖。“我记得当时我只操作了两步就完成了亚马逊数据安全湖的搭建，部署速度非常快，效率也是非常高的。我只用在我们的安全日志集中收集账户‘Log Archive’内部点击开启Amazon Security Lake的服务，之后它就可以自动收集，只用几分钟就可以把所有的安全日志统一收集到在一起。而且我们可以选择想要储存日志的区域，这个功能可以满足我们在GDPR中对如数据跨境流动的合规性要求。”李少奕说。

通过亚马逊云科技的安全数据湖，兆珑科技获得了诸多收益：“首先它满足了PCI-DSS对日志的监控与分析的全部9项要求。第二，我们的安全日志收集效率提升了40%，安全日志存储成本降低了60%。第三，可以对企业的安全数据进行安全、有效的管理，因为它集中地管理了企业组织账户下所有账户的安全数据，这样可以提升管理的效率。最后是通过Athena等安全分析服务，提升分析的效率，帮助企业搭建基于业务的安全威胁检测的模型。”李少奕表示。

“我们今天已经到了数据爆炸的时代，数据的价值被越来越多的客户所认可，而且还面临很多合规安全方面的挑战。只有真正做到了安全，才能释放数据背后的价值。而亚马逊云科技的安全理念数据工具和解决方案，能够为用户提供基于数据的创新来全程保驾护航。”陈晓建说。