安全合规是个麻烦，但亚马逊云科技用工具拆解麻烦

很多企业都在挖掘数据价值，希望用于提高运营效率或者开辟新业务，但面对外部行业监管和内部复杂的数据资产现状，安全合规问题成了大问题。

作为公有云市场的领头羊，亚马逊云科技将安全合规这一难题逐步拆分，并提供了具体的工具来一一解决，最后，呈现的则是一套越发成熟的安全合规实践。

将数据安全合规这一难题一一拆解

每家企业都有一座有待挖掘的数据宝藏，它蕴含无限可能，但在下手挖掘数据价值之前，必须解决安全合规的问题。

安全合规确实很复杂，在解决复杂问题之前，不如将问题进行拆分。

亚马逊云科技大中华区产品部总经理 陈晓建从用户需求的角度出发，将问题分解为四点：

用户希望，业务数据中的敏感数据可以被轻松地识别并提供有效的保护；

用户希望，数据消费团队可以方便快捷地找到有价值的数据资产并加以利用；

用户希望，可以与合作伙伴及上下游企业进行安全高效的数据共享与协同分析；

用户希望，所有的数据操作与安全事件可以被统一地监控与管理，帮助安全团队制定合理的安全事件策略，快速应对安全问题。​​

总结一下，就是要让业务数据做到可识别、可见、可协作，让安全数据做到可操作。为了做到以上四点，亚马逊云科技提供了对应的解决方案。

数据识别——快速高效识别敏感数据，满足合规要求

上面提到的业务数据“可识别”，识别的是敏感数据，为什么要识别敏感数据呢？因为识别敏感数据对于合规工作有很大帮助。

所谓合规指的是对个人数据、敏感数据的定义和使用提出的具体要求。近几年来，全球各地陆续都出台隐私保护法案，或者强化隐私保护的相关法案，比如欧盟有 GDPR，中国有《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例》。

陈晓建举例提到，我国在跨境数据流通方面有很多细致要求，对于个人数据的处理者，对于向境外提供个人信息，向境外提供敏感个人数据，都需要提交相关部门进行审核。

要做到合规，了解法规自然重要，除此之外，不难发现，如何找出敏感数据也很关键。具体到操作层面，需要懂业务的人，需要一套流程，还需要一套工具。

亚马逊云科技提供的工具叫做Sensitive Data Protection on AWS（以下简称SDP），敏感数据保护解决方案，这是在Github上的一个开源项目，用户可以在自己账号内部署使用。

首先，它是一个中心化的平台，它可以发现多个亚马逊云科技（AWS）账号下的数据资产，并生成一个数据目录。另外，它还提供了可视化管理界面，可以方便用户开展安全合规相关工作。

最重要的是，SDP可以自动识别敏感数据，可以发现用户存放在RDS数据库，S3对象存储等等数据源里的敏感数据。值得注意的是，它利用了机器学习等技术实现自动识别，避免了手动识别敏感数据的麻烦。

陈晓建介绍称，“敏感数据保护（SDP）”是一个完全开源的云原生解决方案，用户完全可以进行自助部署。当企业数据量特别多且特别分散时，或者当数据类型不好判断时，就能用SDP快速识别敏感数据，以此提高工作效率。

除了SDP以外，亚马逊云科技为中国用户开发了高级版的SDP PE，它除了有SDP的功能以外，还提供了跨境传输数据的相关功能，帮助在中国运营的企业在数据跨境传输方面实现合规。

数据可见——支撑企业内部的数据协作

顾名思义，“数据可见”要解决的是数据能不能被看见的问题。只有看见数据之后，数据团队和业务团队的协作才能真正开始。

从陈晓建的介绍中了解到，集中式和联邦式是比较常见的两种协作方式。

集中式的方式当中， 负责治理运营的人主要集中在数据团队，集中式方式能够实现快速的决策和高效的执行。这种做法结构较为简单，易于实施和控制，更适合刚开始数据分析之旅和小型组织的企业。

联邦式的方式当中，特定团队负责制定治理原则，但负责治理运营的人分散在各业务线，每个业务部门都拥有自己的数据，并在组织的监督下做出决策，以满足其特定需求和目标。适合有多个业务部门的中大型企业或跨国企业。

两种类型的协作方式都需要多个角色高效协同，特别是联邦式治理方式，它对于“数据可见”的需求更为迫切。

在“数据可见”需求的推动下，亚马逊云科技在推出了一个全新的管理数据的服务Amazon DataZone，它能让企业每个角色的人都能看见数据，然后解锁数据价值。

它可以让用户更轻松地对存储在亚马逊云科技、本地和第三方来源的数据进行编目、发现、共享和治理；它可以通过精细的控制工具管理和治理数据访问权限，确保数据访问发生在正确的权限和正确的情境之下；它可以让数据开发者、数据科学家、分析师和业务用户轻松访问整个组织的数据，通过数据进行协作来获得洞察。

Amazon DataZone一端连接着数据的生产者，一边连接着数据的使用者（消费者），它帮助数据生产者便捷地分享数据，也让数据的使用者能以自服务的方式看到并用到数据。

“数据可协作”——面向外部合作伙伴的数据协作

正常运营的企业，除了要在内部协作，也免不了与外部第三方合作伙伴进行产业协作，过程中难免需要共享一些数据，这些共享数据的安全要如何保障呢？

传统做法中，是把数据拷贝给合作伙伴，通过合同协议来防止数据泄露，但这种做法依然存在数据误用和泄露的风险。

陈晓建介绍称，亚马逊云科技提供了一种“数据可用而不可见”的能力，让第三方合作伙伴可以使用数据，但不能看到原始数据，能把基于数据运算的结果带走，但不会把原始数据带走，这种能力来自Amazon Clean Rooms。

如上图所示，Amazon Clean Rooms的一端是参与协作的组织，另一端则是Amazon S3对象存储。协作过程前后，数据都一直存放在Amazon S3里，而且，协作方看到的数据是加密过的。所以，原始数据不会被移动，也不会被暴露。

此外，AWS Clean Rooms还提供了一个密态计算的环境，它可以加密的形态完成数据分析操作，并将分析结果解密并返回。整个协作中的数据都处于加密状态，最大限度地保证了数据安全。

陈晓建还提到了一个帮助企业利用外部第三方数据的服务——Amazon Data Exchange，它可以简化获取第三方数据的麻烦，帮助企业在云上找到、订阅和使用第三方数据。

目前，AWS Data Exchange已经可以提供超过3500种的第三方数据，数据来源包括金融，天气，地理空间，健康医疗等等非常多的行业和领域。

安全数据的可操作，可操作的安全数据

多样化的安全问题，需要多种安全方案。来自Gartner的数据显示，有43%的企业采用了超过10家以上的安全产品。

越来越复杂的安全技术架构带来了额外管理负担，如何高效管理日志数据，并能在安全事故中通过分析日志快速追溯到源头，变得越来越有挑战。

陈晓建介绍称，由于历史的原因，企业所使用的安全系统并不统一，不同的厂商安全系统的日志格式也各不相同。为了解决这一问题，亚马逊云科技创立了业界首个安全数据湖——Amazon Security Lake，它可以统一管理安全日志，并利用日志进行安全分析。

为了解决安全日志格式不统一的问题，从2022年开始，亚马逊云科技联合了15家安全行业的头部企业推出了OCSF（Open Cybersecurity Schema Framework）的开源协议框架，目前，已有130多家安全企业支持OCSF。

Amazon Security Lake可以自动搜集来自亚马逊云科技安全产品的日志，其他公有云以及第三方安全系统的日志，统一使用OCSF把日志存储到Amazon S3上。整个流程中，亚马逊云科技会使用KMS这样的加密服务来实现自动化的加密管理。

整合而来的数据，随后可以使用Amazon Athena、Amazon SageMaker等数据分析和人工智能服务，也可以使用第三方合作伙伴的数据分析工具进行分析，为后续安全处置过程提供依据。

结束语

以上，就是亚马逊云科技在数据安全合规方面的四大举措。

在业务数据层面，SDP识别隐私数据的能力对于合规工作很有帮助，Amazon DataZone打通数据生产者和消费者的能力对于企业内部协作很重要，Amazon Clean Rooms对于企业与外部的协作很关键。

在安全数据层面，亚马逊云科技凭行业影响力牵头打造的OCSF，对于安全行业的发展有显而易见的积极贡献，配合Amazon Security Lake安全数据湖，打开了解决安全问题的新思路。

亚马逊云科技在安全领域也保持着开放态度，更多细分领域的安全问题，将由亚马逊云科技的合作伙伴来提供，中国市场上， 包括安恒信息和微步在线等安全企业都在合作伙伴列表当中。

未经允许不得转载：DOIT » 安全合规是个麻烦，但亚马逊云科技用工具拆解麻烦