【火线沙龙】云行海外，安全第一

此文源于火线沙龙第27期——助力企业安全出海专场，来自亚马逊云科技安全与合规部门的高级安全产品专家——余波老师带来的分享。

中国是亚马逊云科技在美国以外设立独立安全团队最早的国家，我也有幸是最早加入的成员之一。我今天会从个人视角出发，帮助大家快速了解亚马逊云科技在过去服务中国出海企业的一些观察和安全的方法论。

首先，在亚马逊云科技从事安全工作是非常幸运的。因为亚马逊云科技的安全文化，是由上直下、一脉传承的。主要原因与创始人贝索斯的经历息息相关。与其他全球IT巨头如：Apple、Tesla 、Facebook等公司的创始人不同，贝索斯毕业后进入了华尔街而不是硅谷，因此他在早期就对于安全的重要性有极高的认识，创建亚马逊后，给公司带来文化上的要求之一，就是始终把安全作为第一优先级。这种第一优先级的一个主要表现是在我们服务客户时，会以客户在云中使用云服务的安全体验为出发点，而不仅是思考怎么样通过提供琳琅满目的安全服务来实现财务上的盈利。从服务设计角度看，一些关键的安全功能都会天然地嵌入到基础云服务之中，模块化的安全服务也会以部署简化、覆盖全面以及低成本的设计原则来进一步提升云服务用户的部署体验。在进行安全设计时，我们也会站在客户的角度，主动的提供多种的选择，这些选择不仅仅是原生安全服务，也包括生态合作伙伴甚至是开源的一些解决方案，供客户根据实际情况来选用。

今天主要内容会覆盖三部分。第一，我在服务中国企业出海的过程中，发现了企业安全管理的一些变化 ；第二，由于安全管理重心的变化，引发的企业安全管理能力的新要求；第三，企业如何利用云来加速安全与合规的能力建设。

早期的出海企业更多地会从经营、财税、贸易管制、劳务雇佣、产品安全的要求以及知识产权等方面去考量风险。但在2019年之后，由于众所周知的一些事件，如某大型的中国背景社交平台被限制，越来越多的中国企业出海非常可能面临更多来自安全与隐私保护的监管要求。由此，安全本身对于企业的影响不仅仅停留在IT系统的安全风险层面，而会上升到影响和阻碍企业经营的层面，这也是企业把安全与合规、安全与隐私的要求放在企业海外拓展的一个重要关注方向背后的主要逻辑。

企业的安全管理者是负责安全风险的重要角色，大部分的企业配备了安全负责人这样的角色，他们隶属于IT或运维部门。同时，我们也看到一些非常重视安全的企业，会设立首席信息安全官CISO。

早期，安全管理者更关注安全技术与安全事件，比如安全事件如何发生，如何基于防御角度进行安全建设，出现安全事件后，如何快速地处置，快速地恢复业务。随着安全与合规对于业务的影响升级，安全管理者开始从业务角度思考安全，进而思考安全管理和安全投入的重心与优先级应该怎样与业务重心进行匹配。这时，会根据企业的业务目标和可用资源，从事件或者业务影响的角度出发进行重点建设，安全管理者逐渐开始参与到企业的经营管理会之中，提供安全视角的建议。

这就要求安全管理者具有更高的行政级别，我们看到一些大型企业的安全管理者会由副总裁或者高级副总裁直接牵头，以便横向拉通与纵向的牵引。这个转变，对于安全管理者自身的能力要求也在不断提高，CISO们不仅仅需要对安全技术趋势有全面的把握，还需要对合规要求结合企业进行适当性的解读，并具备良好的跨团队沟通和组织企业文化建设的能力。

企业除了拥有优秀的安全管理者之外，还需要以严谨和专业的态度来思考和设计云中的安全治理。

Capital One是最早上云的一家美国金融机构，他们的风险管理负责人的看法，值得我们参考。大家对治理这个词也许并不陌生，但很多人可能会觉得过于高阶、难以理解。在我看来，企业的安全治理简单说就是有效的协调安全带来的限制与业务快速发展之间的种种矛盾。如果把企业业务发展比喻为高速公路上急驶的汽车，治理的目的就是在遵守交通规则并且保障安全的前提下，以最快速度到达目的地。

在云中，亚马逊云也希望企业能够通过提供这样一套治理的方法论，来保证企业在享受按需使用和付费的云模式下，能够合理化安全目标与运营成本，协调业务运营和安全风险之间的摩擦。一方面，保证资产和数据不会因为云这样的模式产生不可控的风险而失去控制，同时，又能在合理的安全管理下，保证业务和数据始终处于合理的安全保障下，这就是我认为要进行云中安全治理的一个重要目标。

在落地的过程中，不同企业根据自己的战略目标、资源分配、体系建设的阶段会有所侧重 。

大致分为四类：第一类的企业比较重视用户的体验，这些企业大部分都是互联网企业，多以提供信息服务为主，因此更关注安全合规对用户感知的影响，因此，往往会重点投入隐私声明设计、同意管理、用户权利的响应等去避免用户或者第三方的投诉。

第二类企业更关注业务场景。这类企业的业务线非常多，由于不断会有开展新兴业务的需要，因此安全合规建设会由业务部门自己来牵头负责，同时依托中台能力进行联合管理。在这种模式下，业务线往往会根据自己的资源、业务敏感性作出判断，然后进行安全合规的策略设计。

 第三类企业是在云当中长起来的云原生企业。这类企业大部分业务往往依赖数据驱动，所以很关注在云当中基于数据的生命周期的安全风险以及合规情况，并会基于数据流转的各个环节去设计安全和隐私红线，比如：业务上线时的安全和隐私审查流程，业务运营过程中的安全评估标准和安全审计，以及企业内部数据安全的自动化设计 。

最后一类企业以前是在传统的数据中心环境下，并处于部分业务上云的过程中。他们的体系更侧重的是怎样在原有的流程的基础上，结合云安全治理的要求进行综合的合规管理，目标是避免合规流程或安全流程的重复设计。希望利用云转型的时机，重塑企业安全合规文化和工作方法。

我们建议云上的企业在考虑治理的时候，先从应对风险的角度来做优先级的判断。

首先第一点合法经营，这是最重要的。合法经营就会涉及到法律遵从，国内国外在合规方法有所不同，企业应该基于自身业务特点和对于使用数据的角色进行法律遵从的能力建设。比如智能车主机长、互联网服务提供商、教育或者医疗服务机构，站在法律和标准的角度，基于行业特点会有所不同，企业在考虑法律遵从时，不仅仅要从信息安全和数据保护的法律出发，也需要考虑行业要求和标准。

第二是安全控制。安全控制在国内对应法律会被解读为非常明确的标准，如：等级保护要求。但是在国际上的大部分国家，怎么面向基础设施去进行安全的设计和管理，怎样面向数据和隐私信息进行保护，没有规范可依。因为很多国家在标准和体系要求上指导性大于规范性，企业需要根据自身的理解和通用的标准来进行定制化的设计。

第三是隐私保护。这就是要求我们企业在安全控制的基础上，根据被定义为隐私信息的数据进行保护强度的延伸。如果把云比作全球规范的分布式标准化住宅群，亚马逊云平台提供全球一致化的“毛坯房”和针对毛坯房的门窗和门锁，即便企业做好基础的安全建设，若房间里主人没拉窗帘，别人是可以从窗户看到房间里发生了什么。在这种情况下安全是保证了，但隐私没有做到位，还是会引起风险。

那么基于上述这三个方面，企业的安全能力如何延伸呢？

第一点是在云转型的环境下怎样把云当中的安全基础能力通过简便的方式做好。包括针对云中的资产脆弱性管理，针对云当中的身份与权限的管理，云中的安全威胁事件监控，以及数据加密和托敏等。

第二点是云当中的数据隐私保护，怎么样在没有明确的标准法律环境下，基于行业最佳实践来进行数据分类，怎样在云中给数据打标签，以及有效地对定义出来的不同层级的敏感数据进行快速的识别，并形成一个企业的数据地图，针对数据跨境场景，如何进行实时的监控。 

第三是法律义务履行，企业无论是作为信息服务平台还是被委托的数据处理者，都有相应的法律义务，面对信息平台所服务最终用户时，用户权利响应怎样设计得更加人性化或者更加具有透明度，也非常重要，包括数据处理记录留存等，以及安全影响评估和传输影响评估的能力支撑，我们看到企业有开始重视这部分的能力建设的趋势。

那么亚马逊云科技如何为出海企业提供支持呢？从以下这几个方面来讲 。

首先亚马逊云科技非常重视平台安全与合规能力的标准化，我们的服务在全球230多个国家和地区都有覆盖。这要求我们需要以一致的安全标准来建设平台，亚马逊云并不会盲目因为追求覆盖而牺牲安全标准来快速建立新的region。

第二，我们在云中是保证客户能够通过各种原生工具来实现对于云中弹性的资源和数据的控制、监控及审计。比如：云当中API的调用，云当中vpc之间流量的交互情况，云当中EC2的指标或者CPU的利用率，包括弹性程度检查的读取操作数等指标都可以通过管理工具实时轻松掌握。

第三，在云当中资源交互和数据频繁流动的情况下，亚马逊能够保证区域之间能够做到默认安全设计，以最高标准来对流动的数据进行层层的加密。

第四是服务间的深度集成，原生服务之间能够进行深度的集成，这种深度集成的目的是支持自动化的安全设计。比如，我们的密钥管理服务已经与100多种基础服务进行深度集成，lambda服务通过与服务深度协作，可以支持基于事件多服务的调用，目的都是为了帮助用户实现安全自动化，避免人工干预的不可控因素。

第五，庞大的安全生态，我们会积极去创造一个良好的生态来帮助客户挑选具有深厚安全经验和能力的提供商，确保企业在上云的每个阶段都能够挑选到最适合的安全服务。我们原生安全服务团队在考虑每一个新思路时，除了考虑这个需求是不是被市场所需要之外，也会判断这个需求是不是已经被市场的优秀厂商所满足，如果说已经被市场满足了，我们也不会重复造轮子除非有独特价值。

在数据合规要求越来越严格的趋势下，我们也针对责任边界进行了新的区分，上端企业作为云租户有义务保证数据处理的合法性，同时有能力及时响应企业的最终用户对于自己权力的法律主张，比如，删除权，最终用户不再需求企业的服务时，数据可以被彻底删除，同时企业在服务最终用户的过程中，有责任以最大努力保障数据安全下端，亚马逊云科技平台会提供完善的隐私声明，包括不同区域的各类安全认证，以及数据保护法律规范要求，如GDPR所要求的数据保护附录、标准协议合同以及服务的隐私功能说明等。

在中间这部分需要云租户和亚马逊云平台共同来承担的，包括基于隐私原则的设计，比如云中安全配置是不是默认安全，初始网络架构是不是以安全为原则等。还包括数据处理记录过程中针对数据资产的管理、数据删除、数据访问的行为监控和日志的集中化管理与分析等，这些是需要企业和云平台双方来共同实施负责。

亚马逊云科技提供了一套完整的云采框架（CAF），帮助企业梳理上云的治理要求，一共分为六个视角，安全是其中之一， 除此之外还包含业务，人员、治理、平台以及运营。

从安全角度上讲，CAF模型的主要目的是建议企业把安全与合规作为上云过程中的一个重要考量指标，这些指标不仅仅局限在身份和访问管控，还应包含在云当中如何定义其它安全的KPI 如：漏洞修补时间、监控覆盖和自动化程度等。

云中安全能力的评价标准有很多，亚马逊云科技会基于自身最佳实践提供建议，我们会参考NIST、ISO、CIS等通用标准，结合亚马逊的实践经验进行全面的云中设计。

提供亚马逊云中最佳实践的目的是，方便地让一些在云当中关注点在业务上的人员能够聚焦安全策略设计而不是安全框架和安全工具的选择。亚马逊云科技的安全服务的设计原则是模块化、简易化和一致化。简易化主要体现在部署简易和使用简易这两个部分。一致化指的是，当产生云安全告警，云安全策略的时候 ，不同的服务之间不会因为有自己的安全控制标准不同而导致告警的描述不一致，这个也是对于安全运营的同学非常重要。

在模块化的安全服务设计基础之上，企业是可以灵活地构建能力框架。我们看到这样的能力框架主要有三类。

 一类是安全框架，比如基于NIST-CSF标准网络安全框架，从识别资产、配置和感知安全态势开始，到保护基础设施和数据，再到发现漏洞和监控非法访问，最后到对安全事件进行响应和恢复，企业客户可以根据自己的需求进行快速的能力拼搭。

第二类针对数据安全治理这部分，企业也可以选择针对性的服务来快速对敏感信息进行识别、对敏感信息所在系统安全策略纠错，并方便地对数据进行加密。在这个基础之上，在数据访问过程中，具备收敛数据访问通道的能力，以数据为中心来进行安全设计。在数据共享的过程中，实现对数据访问行为的监控，判断权限与承载数据资源的映射关系，为收敛权限提供依据，并进行访问行为日志的持续监督。最后是用户个人自治，我们认为云平台上的企业应该可以方便的通过工具实现对用户数据进行控制，这就是涉及到以安全的方式来进行隐私能力的编排，我们因为有这样模块化的设计，能够赋能企业进行各种各样的解决方案的设计创新。

第三是安全风控，我们讲风控一般是指”三道防线” ，从业务的角度怎么样去做控制，从职能管理角度怎么样去做风险管理，，从审计的角度怎么样对这些安全控制项做审计，对于这些我们也可以快速帮助客户进行能力搭建。

这里我对云上的安全任务做一个简化的梳理，最先要做的是安全架构的建设，而不是安全产品的部署或者安全策略的设计，因为很多云当中的安全能力首先是通过架构来实现底层的安全，在这个基础上要做身份访问，可见性和威胁感知，合规的治理和持续的迭代。

亚马逊云提供安全的推荐架构（SRA），主要的目的是帮助企业了解多账户环境下的安全架构。在云当中应该至少具有哪些不同的工作区域，应该具备哪些安全设计和账户策略。企业通过这份综合指南可以设计、实施更符合最佳实践的安全架构。

亚马逊提供一个免费的服务Control tower来帮助企业自动化地基于SRA参考架构预置云中的安全环境，它可以自动化帮助企业预置多账户环境，以及必要的服务，来从多账户的角度、从跨账户资源访问的角度以及日志管理的角度来确保整体的云基础架构设计符合最佳实践的要求。

在账户层面，control tower可以通过自动化进行账户安全策略的预置。这些安全护栏包括防御性和检测性两类规则。防御性规则是企业的硬性安全要求，而检测性策略作为推荐项和可选项，供企业进行选择性实施。

对于最小权限设计，亚马逊云提供由设置、验证、优化到持续改进的方法论指导企业进行设计，使用这类方法可以满足无论作为集中管理角色的：审计、安全、运维人员，还是作为分布式角色的如，业务、运营、开发 、测试人员等来进行设计。图中左边是从上云之初利用托管规则的粗粒度设计，右边是从资源的角度来进行资源端的细粒度设计的过程，权限逐渐收敛的过程，需要企业在实践中判断哪些是经常性的访问动作，哪些是不经常性的访问动作，并持续进行改进。亚马逊云提供IAM访问分析器这类功能进行自动化的访问策略的生成、验证，帮助企业优化权限管理。

亚马逊的云中监控能力是企业增加对于威胁感知的重要抓手，这包括对于资产脆弱性和漏洞的感知、对于云中威胁的持续监控和告警、对于敏感数据的及时发现以及安全性与合规性的评估。亚马逊云提供针对性的原生工具，来简化监控的部署，以快速高效低成本的方式快速完成监控能力建设。

加密是云中数据保护的基础能力，亚马逊云会把加密作为叠加的访问控制能力，背后的原因是在访问数据的时候要使用密钥管理服务，而访问和使用密钥管理服务中的密钥需要相应的权限，这个访问行为是可以被监控和审计，由IAM来进行策略设计。

在强监管、高风险的时代背景下，企业需要对出海业务可能面临的安全风险与合规环境进行判断，尤其是在不同的国家，企业要对监管意图和管理尺度进行把握，一方面可以通过观察同类企业实践或者遇到的事件来进行分析和借鉴。一方面，也可以与外部云平台、咨询机构、安全合作伙伴进行沟通，基于自身的财务或者自有支撑能力进行判断，进行综合规划。

从数据中心到云、从以前的单体产品到现在用云托管服务、从以前安全定期的轮检到现在云中的持续监控，企业对于新场景下的安全建设习惯如同消费者过去的购物体验一样，在不断变化。因此，如何将有限的时间投入在出海业务上，如何安全地建立与云平台的依赖关系是一个长期的过程，企业需要摆脱一定的传统思维束缚，更加拥抱托管服务，我们也希望能够在服务客户的过程中与客户建立信任，未来能够分担更多在云当中安全与合规的责任，企业在出海的道路上能够安全地前行。