跟家里的智能电视说一声“我出门了”，与电视关联的空调、电灯陆续关闭，电视屏幕随后熄灭；来到车上，唤醒语音助手为目的地导航，顺便提醒一整天的待办事项；办公室里，设定好时间的咖啡机开始启动；“人机协同”的互联网工厂内，生产工作即将开始……

在“数字化生存”浪潮的滋润下，日常的生活与生产焕然新生，在这背后，无数企业已经或者正在思考加速上云，寻求算力提升、存储拓展，以及应用与服务的扩充。时代洪流之中，泥沙俱下的情形也在所难免，特别突出的就是信息、数据的安全合规问题，这是数智转型中的企业相当在意的问题，也是云服务解决方案供应商在推出一系列数字工具用来提升效率与体验的同时，着力解决的重点问题。

全球范围来看，亚马逊云科技至今保持业内领先，占全球约三成左右的市场份额。在前段时间以 “云计算为业务赋能，安全为云计算赋能”的亚马逊云科技云上安全合规媒体沟通会上，亚马逊云科技大中华区战略业务发展部总经理顾凡分享了客户普遍提到的三个问题并给出了答案：上云安全吗？亚马逊云科技本身安全合规吗？亚马逊云科技如何帮助企业在云中安全合规？

（图：亚马逊云科技大中华区战略业务发展部总经理顾凡）

效果优先，兼顾成本，上云可以更安全

企业自建数据中心，同样不可缺少安全设施和处理机制，综合考量安全设备管理、合同签订、成本等要素。顾凡表示，“当客户把自己应用上云之后，企业并不需要关心琐碎的底层基础设施安全，而且它在云端的安全治理有机会再上一个台阶”，整体来看，可能表现在体验、效率、成本上，具体体现在四个方面：

一是自动化。可以充分利用云端安全服务之间的超高集成度，更好地做到安全的自动化，本地环境下的安全治理，多采用不同厂商的产品，做安全数据的整合会变得复杂，在云上服务之间的深度集成，会让数据整合变得更简单。

二是可视化。当有了更好的数据整合之后，在云上也会更有机会用集中的平台做安全的可视化管理。

三是成本灵活。云端安全没有前期投入成本，按使用量付费，客户具有更灵活的成本投入。

四是合规高效。自建数据中心做合规，是从零开始，投入是一方面，效果是一方面，效率也是重要的一方面。顾凡举例说，“选择亚马逊云科技，客户可以继承云厂商合规，所以客户可能是从50分开始做起，因为另外50分云厂商已经帮助做好，可以直接继承”。

从顾凡的介绍来看，全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业，其中也包括很多被强监管的行业，比如金融、电信，这些强监管行业的客户上云，不光会加快自己的数字化转型，同时会将亚马逊云科技云的安全合规的标准持续提高。

从这里来看，一方面，亚马逊云科技收获了大量客户的信任，另一方面，对大量客户的服务也让亚马逊云科技积累经验、完善技术，代表着其技术体系良好的成长性。这些，可以看做回答后两个问题的伏笔。

安全合规，从亚马逊云科技自身开始

亚马逊云科技自身的安全合规，从四个方面来建设：基础设施、服务、客户拥有和控制数据的原则、全球安全合规认证。

其一，亚马逊云科技的安全始于自己的核心基础设施。一方面会提供极具扩展性和高度可靠的基础设施，同时，基础设施数据中心还采用非常多的冗余和分层控制，大量使用了自动化，确保底层基础设施7×24小时的监控和保护。亚马逊云科技的数据中心和网络以最高安全标准构建，包括数据中心的物理访问的管理，都会做得非常极致。

进一步看，所有客户无论规模大小都可以获得一致的云基础安全性，同时不必花费传统数据中心那样巨大的资本支出和运营开销。

其二，云安全服务不止安全服务。顾凡表示，一方面是云自身安全不能只看亚马逊云科技有多少种安全服务，同时要考虑亚马逊云科技服务的安全，比如数据库分析等服务，这些服务从一开始研发的时候，亚马逊云科技就会有安全团队介入，要在服务研发的过程中解决安全的问题，存在任何安全问题，服务是不可能发布的；另一方面是是通过深度集成的服务实现自动化并降低风险，亚马逊云科技自己有一套完整的安全运维流程、制度和最佳实践，来保证云自身的安全。

其三，坚持客户拥有和控制数据的理念。这是支撑亚马逊云科技云自身安全的一个重要核心理念。只有让客户始终拥有自己的数据，能够对数据进行自主操作，客户才会大胆地把应用放在云上。亚马逊云科技自身数据加密是无处不在的，无论是数据流动的时候，还是离开基础设施的时候，都必须经过物理层自动加密。虚拟私有云之间的流量也会进行加密，服务之间也会有很多的传输层安全连接。

就客户而言，亚马逊云科技提供所需的控制权和可见性理念，可以帮助客户证明遵守本区域和本地数据隐私法律法规，亚马逊云科技遍布全球的区域可以帮助客户实现数据本地化的要求。

其四，支持众多安全标准和合规性认证，几乎满足全球所有监管机构的合规认证。亚马逊云科技在全球已经获得了98项安全标准和合规认证，用户可以直接继承。

顾凡还着重提到了在中国市场的实践：亚马逊云科技把全球积累的保护经验、安全合规的能力实践到了中国市场，亚马逊云科技中国的北京区域和宁夏区域都通过了独立的第三方机构的验证，也都完成了网络安全等级保护三级的测评，还获得了中国信息通信研究院的可信云的服务评估，同时在国内也获得了通行的ISO一系列的信息安全质量管理认证和SOC这样的行业信息安全认证。

持续投入，帮助企业在云中安全合规

当然，伴随标准的变化、安全环境的变化等等，无论对亚马逊云科技还是客户企业而言，安全合规其实都是一个动态过程，而不是某种保持不变的结局。在提到助力企业云上安全合规之前，顾凡首先明确，在确保安全合规方面，亚马逊云科技在全球没有放慢节奏，持续在全球安全合规方面继续投入，来保持领先，比如会定期对数千个全球合规性进行第三方验证的更新迭代等等。

具体措施上，亚马逊云科技坚持三个理念，即事件驱动、主动设计、多层防护：

一是，利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。如果可以做到事件驱动的架构，就有机会建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护，只有自动化才有机会让企业的开发团队把更多的时间放在业务创新上。

二是，云中安全是主动设计出来的，而不仅是被动响应。安全不是独立的存在，和业务是融为一体的，包括出海的企业安全合规都已经成为业务开展的首要条件。安全合规一定是基于设计的，而不是基于对安全合规事件的后知后觉的响应，安全建设必须要未雨绸缪，要主动从四个方面来设计，包括规划预防、检测、响应、修复。

三是，云中安全必须是“洋葱型”的多层防护，而不是像一个鸡蛋。虽然给人感觉“外壳”坚硬，但实际上只是单层防护，云上安全需要层层递进的防护机制。

亚马逊云科技的“洋葱型”多层防护，可以归纳为五个部分：威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护和隐私、风险管控和合规。具体的措施和工具就在其中，构成了这颗紧紧包裹的“洋葱”。

比如，威胁检测和事件响应，通过精准定位、快速反应、时刻监控、分析原因，解决用户疑虑的检测服务影响业务正常运行、情报来源是否全面、事故原因是否能够定位准确、开启和运维是否复杂等问题。而这，只是“洋葱”的细节一角。

整体来看，亚马逊云科技在安全合规方面，进行了相当繁重的设计和实操，意在形成这样的比较优势：高度可见性和控制、深度集成的自动化、最高的安全与隐私保护标准、全面继承安全合规、合作伙伴强强联合。持续投入的不遗余力与细致体系的构建，如顾凡所说，都在体现这样一个原则，“帮助客户更简单地解决安全问题——持续不断加大安全投入，让安全服务像水和空气一样，提供给用户”。

除策略、体系、工具之外，亚马逊云科技也将安全作为一种“文化”，为企业提供云安全的最佳实践和培训，助力客户构建云安全文化和战略,这更是一种全方位的体系设计。

计世资讯首席分析师任伟巍在对亚马逊云科技的评论中表示：“根据计世资讯的研究，在云安全的实际技术应用中，目前身份与访问控制、监控与检测、基础架构防护、数据保护、事件响应、合规审计等是云安全热点领域。亚马逊云科技的基础设施以及云服务是按照数据安全和隐私保护的最高标准构建，而且重量级的安全产品均已经在中国区域推出，这些都能确保客户在上云和用云的所有环节获得高效的安全服务。”（钉科技原创，转载务必注明“来源：钉科技”）