当下，众多企业与机构向云端的“大迁徙”仍在持续，而安全合规也毫不意外地成为考量与选择云平台的重要关键因素之一。当我们将越来越多的重要、敏感数据迁移上云，对于数据泄露、信息窃取等安全威胁的警惕也必然与日俱增。

随着创新技术的发展，越来越多企业云计算安全理念开始从限制业务发展向赋能增长转变。以往，当人们看到那些头部企业纷纷加码网络安全团队建设，或是在数据安全及合规方面加大资金投入，可能会更加难以跳出这样一个误区——安全合规，意味着限制和负担。例如，不少企业会将“安全合规”视作与业务之间彼此区隔的独立工程，前者只是IT团队安全专家的职责，并且认为安全与合规大概率会带来对业务发展的限制，以及额外的成本支出。

无论这种思维是否有其合理性，但却不再适用于云计算环境。云平台及服务让企业无需再从零起步构建安全合规体系。那些基础而琐碎的基础设施安全合规问题，将成为云服务提供商的责任，不再需要企业为此投入前期成本。另一方面，服务于大量用户的云服务商利用规模化的安全服务带来更具可视化及自动化的服务，使用户以更少的成本和更精简的人力达成既定安全目标。概括来说，云上安全合规有望成为企业可即时拥有的常态。它对企业不再意味着负担和阻碍，而是推动业务发展的合作力量。

亚马逊云科技一直致力于让安全合规成为用户可自动获得并可有效支持业务开展的“空气和水”。虽然我们也拥有优秀的安全专家，但安全从不是某个团队特有的职责，或者是对某些威胁提供对策。从创立以来，亚马逊云科技就将安全作为最高优先级的工作（Job Zero），致力于形成人人有责、人人参与的安全文化理念。这使我们不仅能确保用户上云的安全合规，还能让用户在云上获得更好的安全服务体验。

安全是人人有责、全员参与的“Job Zero”

现任亚马逊总裁兼首席执行官的Andy Jassy先生在创立亚马逊云科技时就提出“安全是我们的‘Job Zero’。”其意思是安全比任何事情都要更重要，在所有工作中拥有最高优先级。在过去16年里，“Job Zero”始终是亚马逊云科技一直坚守的重要企业文化。

我们对“Job Zero”的贯彻远不止推出某些技术或产品，更是使其成为一种机制和处事方式。包括亚马逊云科技CEO在内的管理层，每周都会召开专门的安全会议，安全团队也能够通畅地向CEO等管理层进行汇报。我们要确保任何一项战略或战术决策，都能在充分考虑到安全需求的前提下做出正确的选择。

“Job Zero”安全理念也自下而上地将公司每一个人囊括其中。不仅是公司高层、安全团队，还包括每一个主管、经理、工程师和开发人员……人人都肩负安全责任。亚马逊云科技所提供的每项服务都不会将功能性和安全性分别考虑。事实上，这些服务从诞生之初，就被置于安全与合规的“底座”之上，这也使安全合规成为云服务所天然具有的基因。当然，亚马逊云科技的安全团队也会随时与业务部门开展合作，事实上，很多服务研发团队都有自己的安全官，来确保开发过程始终保持在安全框架之内。

让安全合规成为云上的“空气和水”

“Job Zero”不仅是亚马逊云科技推动安全与业务相辅相成的文化，也让我们能够不断为用户带来可充分保障业务开展的安全云计算环境。当用户将数据与计算迁移至亚马逊云科技，我们希望让用户感受到安全合规就如同“空气和水”一样的存在——既随手可得，又有助于业务成长。

这也是为什么亚马逊云科技不会给安全合规服务设定业绩目标。安全合规之于业务就如同空气和水一样重要且必须，我们有责任帮助用户获得足以免于威胁与担忧的安全云上环境，并不必为“空气和水”去负担过多额外成本。

我们希望安全合规是云上的空气和水，但并不代表亚马逊云科技所要管理的范围没有边界。边界在哪里？在于用户对其置于云上的数据、应用、访问权限等要素的拥有权及完全控制权。我们提出了“安全责任共担模型”，进行了责权划分：亚马逊云科技对云自身安全负责，用户对云中安全负责，但我们会帮客户在云中构建安全防护。

具体来说，亚马逊云科技对于云环境的安全合规建设包括以下几个方面：基础设施、服务、用户拥有和控制数据的原则以及全球安全合规认证。

首先，云安全始于基础设施。亚马逊云科技提供极具扩展性和高度可靠的基础设施，并采用多种冗余和分层控制的数据中心，大量使用自动化确保底层基础设施7×24小时的监控和保护，以及对业务连续性和灾难恢复的响应和应对。并且，基础设施的安全性对于每一个使用亚马逊云服务的客户来说，是完全“一视同仁”的。无论是超大规模企业，还是小微企业，在云上所获得的基础设施安全性完全相同。因此基础设施安全也可视作云计算最显著的优越性之一，让用户从此告别传统数据中心的巨大安全成本支出。

第二，云安全不止安全服务。我们不仅要看有多少安全服务，同时也要考虑所有云服务自身的安全。这也是前面所说的“Job Zero”的重要目的，即每个服务在研发时就要优先解决安全问题，如果服务存在安全隐患，那么就不会被推出。另外，我们通过服务间的深度集成实现自动化并降低风险。亚马逊云科技有一套完整的安全运维流程、制度和最佳实践，来保证云自身的安全。我们可以应对风险，但更好的选择是规避风险。

第三，坚持用户拥有和控制数据的理念。我们始终坚持用户拥有自己的数据，并能够对数据进行自主操作。但我们并不会因为用户拥有和控制数据，而对数据的安全“免责”。亚马逊云科技的数据加密无处不在，数据的流动与进出基础设施，都会伴随物理层自动加密。我们还会为用户提供所需的控制权和可见性，帮助客户证明数据符合本区域和本地数据隐私法律法规，我们遍布全球的基础设施也可以帮助客户实现数据本地化的要求。

最后，在合规方面，亚马逊云科技在全球已经获得了98项安全标准和合规认证，并且定期对数千个全球合规性进行第三方验证，亚马逊云科技的用户可直接继承。在中国（光环新网运营北京区域、西云数据运营宁夏区域），西云数据和光环新网都通过了独立的第三方机构验证，也都完成了网络安全等级保护三级的测评，还获得了中国信息通信研究院的可信云的服务评估。另外我们也获得了通行的一系列安全性和合规性要求，例如ISO信息安全质量管理认证、PCI-DSS、SOC等。

除了确保云环境自身安全之外，亚马逊云科技同样为用户带来多层防护服务，进一步帮助用户提升上云后的安全合规。为了实现无限趋近于100%的云计算安全，我们同时也与全球丰富的亚马逊云科技合作伙伴网络成员构建1+1>2的安全合作。亚马逊云科技APN合作伙伴网络里面提供了数百种领先的安全合规解决方案，还包括专注于数据保护合规的咨询服务。目前我们正不断将亚马逊云科技在全球的合作伙伴网络成员引入中国，并加大与中国本土合作伙伴网络成员的合作，给客户提供更多的解决方案以更好满足中国用户在国内、国际业务中的安全合规需求。

尽管云计算已经走过了十几年的发展历程，但仍处在十分早期的阶段。无论是在全球还是在中国，IT支出总量中用于公有云的比例到现在还只是个位数。从长远角度看，我们认为云计算安全合规不仅仅是解决眼前的威胁或是提升技术能力，也同样考验着云服务提供商与云计算用户关于安全的思维演进和机制建立。相比于解决独立问题，思维和理念的变化才会让我们更好地适应云环境的安全与合规需求，并将其转化为数字化转型和业务发展的新动力。

据国际知名咨询机构Canalys日前发布的报告显示，国内云基础设施服务市场增长45%，达到274亿美元。2021年第四季度同比增长33%，达到77亿美元。Canalys 预计，到2026年国内云基础设施市场规模将达到850亿美元，五年复合年增长率为25%

一方面企业对云计算的需求旺盛，另一方面安全合规也成企业上云之后需要迫切解决的问题。

作为全球云计算领导者，亚马逊云科技不断深化国内市场的安全合规体系，为中国云计算行业带来更为成熟的立体方案。

不久之前，亚马逊云科技在北京召开云上安全合规媒体沟通会， 亚马逊云科技大中华区战略业务发展部总经理顾凡详细阐述亚马逊云科技安全合规体系的最新动态。

云端安全更具优势

顾凡首先提到亚马逊云科技团队经常面对企业对于上云的“灵魂三问”：“我从自己的数据中心，把我的应用迁移到云上，上云安全吗？” “亚马逊云科技本身是不是安全合规的？” “我现在想上云，我也愿意上云，我把应用放到云上之后，亚马逊云科技如何帮助我在云中安全合规？”

相较于传统的数据中心，企业上云后不需要考虑到安全设备管理、合同签订、成本等琐碎的底层基础设施安全问题。云计算在安全性上更进一步：更加自动化、更好的可见性、灵活的成本控制、高效地做合规。

顾凡介绍，正是看到云端安全的优越性，全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业，其中包括金融、电信等很多强监管的行业，都已经把业务上云，例如世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁移上云。

由内至外两大体系赋能上云企业安全合规

从众多企业的顾虑着眼，亚马逊云科技由内至外打造更安全可靠的安全合规体系。

首先如何保证亚马逊云科技本身的安全合规？

从亚马逊云科技创立开始，安迪·贾西就确立亚马逊云科技Job Zero 安全文化。因为安全不仅仅是技术的问题，也是管理的问题。从第一天开始，安迪·贾西及其团队就将安全作为亚马逊云科技最高优先级的工作。“Job Zero 安全文化”贯穿在亚马逊云科技整个企业当中。每一位员工都负有安全责任，CEO每周召开安全会议，每个级别的员工都有安全目标，定期举行安全合规的培训及考试。每个服务在设计阶段都要考虑安全问题。亚马逊云科技高度重视安全自动化，通过自动化实现安全标准化和一致性。在安全运营方面，组成了一级响应团队和二级响应团队，提供全天候响应的能力。

通过业界首创的安全责任共担模型，亚马逊云科技和客户共同推动安全及合规建设。亚马逊云科技负责底层云基础设施和所提供云服务的安全，从四个方面保证自身的安全合规，即：安全的基础设施；安全的云服务；坚持客户拥有和控制数据的理念；亚马逊云科技获得了众多安全标准和合规性认证，几乎满足全球所有监管机构的合规认证。

其次，亚马逊云科技如何帮助客户安全合规？

顾凡介绍，在云服务安全方面，亚马逊云科技有三个理念：利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡；云中安全是主动设计出来的，而不仅是被动响应；云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。

亚马逊云科技所提供的多层防护体系包括：威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规。

机密计算护航数据保护和隐私

数据保护及隐私越来越成为全球大公司特别是跨国公司安全合规的重点之一。从美国国土安全法夯实数据安全法案、到欧盟《通用数据保护条例》（GDPR）、再到国内2021年6月公布的《中华人民共和国数据安全法》，数据安全已成为全球各国国家安全的重要部分。

从技术层面，亚马逊云科技有一整套数据保护及隐私的解决方案。

亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。

Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。

Amazon Nitro Enclaves提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

正是基于亚马逊云科技出色的可见性和控制力、深度集成实现自动化、以最高的安全与隐私保护标准构建、客户可以继承亚马逊云科技全面的安全性与合规性控制、丰富的安全、合规合作伙伴等五个方面优势，亚马逊云科技云上安全合规已成为行业佼佼者，也赢得更多客户的信赖。

亚马逊云科技大中华区战略业务发展部总经理顾凡表示，“安全合规是亚马逊云科技开展一切业务的基础。安全是我们最高优先级的工作，它贯穿于整个亚马逊云科技当中，每个员工都负有安全责任，每项服务都有自己的安全基准。我们本着安全责任共担的原则，一方面确保我们云基础设施以及所提供的云服务自身的安全合规，同时帮助客户掌控云中安全，和客户共同应对云安全威胁，并帮助他们满足不断变化的合规性要求。我们将不断努力，把更多亚马逊云科技全球领先的安全合规产品组合落地中国区域，为企业云上业务保驾护航。”

云自身的安全合规是客户选择亚马逊云科技的基础

亚马逊云科技构建了安全的大规模全球云基础设施，客户无论规模大小均可获得一致的云安全体验。亚马逊云科技的基础设施不仅根据安全最佳实践和标准来建立和管理，而且还考虑了云的独特需求，采用冗余和分层控制、持续验证和测试，大量使用自动化，确保底层基础设施得到7X24小时全天候的监控和保护。亚马逊云科技使用相同的安全硬件和软件来构建和运营全球每个区域。客户无论规模大小均可基于亚马逊云科技强扩展性、高度可靠的基础设施，快速、安全地部署应用程序和数据。

亚马逊云科技坚持客户拥有和控制数据的理念，并提供数据全生命周期的加密保护

亚马逊云科技严格遵从客户拥有和控制数据的理念，用户对自己的数据拥有完整控制权，可以用任何想用的方式管理私有数据。亚马逊云科技提供了复杂的技术和物理措施来防止未经授权的访问，并以超高的数据隐私和安全标准构建数据相关服务。

亚马逊云科技提供了数据全生命周期的加密服务，涵盖了数据的存储、传输以及使用各个环节。所有流经连接亚马逊云科技基础设施和区域互连的全球网络中，所有数据在离开安全设施之前，均在物理层自动加密。在存储过程中，客户可使用Amazon Key Management Service (Amazon KMS)实现存储过程中的加密。Amazon KMS已与140多个亚马逊云科技其他服务集成，用于支持存储在这些服务中的数据的加密，这不但提升了客户的数据安全性，还降低了客户云上加密工作的复杂度，并节省成本。数据计算使用过程中，Amazon Nitro 提供硬件级别的安全机制，实现了网络、存储隔离的独立安全通道，使用 Nitro Enclaves 的加密证明功能，客户可以设置多方计算，其中多个参与方可以加入和处理高度敏感的数据，而无需分别向每个参与方披露或共享实际数据。

亚马逊云科技提供所需的控制权和可见性，帮助客户证明遵守本区域和本地数据隐私法律和法规。亚马逊云科技全球基础设施，让客户可以完全控制数据实际所在的区域，从而满足数据驻留要求。

提供多层次安全防护，提升客户云中安全

亚马逊云科技为用户提供全方位的安全服务，全球目前有280多项安全、合规服务及功能，涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。例如，客户可使用威胁检测服务Amazon GuardDuty，持续监测恶意活动和未经授权的行为，该服务具有丰富的情报源并集成了机器学习的能力，可实现威胁的精准定位，并对案件事件进行快速反应。Amazon Security Hub安全事件统一管理平台让客户针对威胁及时响应，并自动执行合规性检查，同时不会影响用户的应用性能。在身份认证和访问控制层面，亚马逊云科技提供Amazon Identity and Access Management，以细颗粒度的身份认证与访问控制机制，结合对安全事件的持续监控和精准的安全权限设置，保障正确资源被相应正确人员访问。针对 DDoS攻击，可使用 Amazon Shield advanced实现全天候的防范DDoS攻击。Amazon Audit Manager通过技术手段让合规更容易，该服务可实现自动地收集各项合规要求的证据，并且持续地进行风险和合规评估。

亚马逊云科技支持众多安全标准与合规性认证，几乎满足全球所有监管机构的合规性要求，客户可全面继承

亚马逊云科技致力于在全球业务范围内建立严格的安全性和合规性标准，支持众多安全标准并获得多项合规认证。这些认证和资格鉴定也印证了亚马逊云科技行业领先的安全合规能力，例如，技术措施方面的 ISO 27001、云安全性方面的 ISO 27017、云隐私方面的 ISO 27018、SOC 1、SOC 2 及 SOC 3、PCI DSS 1 级，以及  Common Cloud Computing Controls Catalogue（C5）等面向欧洲地区的认证。此外，亚马逊云科技还定期对数千个全球合规性要求进行第三方验证，以帮助客户满足财务、零售、医疗保健、政府等其他方面的安全性与合规性标准。

亚马逊云科技在中国区域（北京与宁夏）通过独立的第三方机构验证其标准符合能力，已经完成了网络安全等级保护三级测评 ，获得了中国信息通信研究院可信云服务评估证书，以及诸如ISO9001质量管理体系认证、ISO20000信息技术服务体系认证、ISO27001信息安全管理体系认证、ISO27018云隐私安全管理认证、ISO22301业务连续性管理认证、PCI-DSS支付卡行业数据安全标准认证、SOC认证， TISAX汽车行业信息安全认证等。

客户可全面继承亚马逊云科技的安全性与合规性控制，加强自己的合规和认证计划。借助亚马逊云科技在基础设施覆盖区域取得的安全合规认证以及对各个国家、地区法规的深刻理解，中国企业通过亚马逊云科技可加快实现满足各地合规性控制的要求，快速扩张业务。客户还可以使用亚马逊云科技提供的自动化工具，随时验证其合规性，减轻合规方面的管理负担，让合规更容易。

丰富的安全合规合作伙伴解决方案，为客户构建1+1>2的安全保护

亚马逊云科技广泛的合作伙伴网络提供数百种行业领先的安全及合规解决方案，多层保护客户的应用和数据安全。德勤是亚马逊云科技全球核心级咨询合作伙伴，双方在中国也开展了多年的战略合作。在安全合规领域，德勤中国和亚马逊云科技携手创建了云上安全实验室，为客户提供网络安全事件管理解决方案，并发布了一系列企业安全白皮书，为企业解读不同国家和地区关于数据安全和保护的法律法规。此次，亚马逊云科技进一步升级与德勤中国的合作，由德勤中国推出安全运营中心服务。德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源表示，“安全运营中心是德勤与亚马逊云科技合作的又一重要成果。非常高兴跟亚马逊云科技不断深化合作，将德勤在风险合规方面的能力与亚马逊云科技的云上安全合规能力优势叠加，助力企业提升云上安全，完善企业安全合规管理，满足企业不断发展变化的安全合规要求。”

全球数百万客户选择并信赖亚马逊云科技，包括金融、医疗等对数据高度敏感的组织

15 年来全球数百万用户选择亚马逊云科技，包括对数据高度敏感的组织如纳斯达克、道琼斯、美国金融监管局（FINRA）、默沙东等，以及TCL实业、洛阳钼业、安克创新等众多中国客户。TCL实业作为“中国智造”出海的代表性企业，TCL实业已将海外业务的多个重要核心系统部署在亚马逊云科技上，实现安全合规的全球部署，同时使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全。TCL实业CTO孙力表示：“云上安全是TCL实施全球化战略、实现业务创新的基石。我们信赖亚马逊云自身的安全，欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系，让我们能够全方位保障云端安全，并且提高运维效率，节省人力成本。”

2018年 6 月29日，亚马逊通技术服务（北京）有限公司（以下简称“亚马逊AWS”）宣布，携手亚信安全、神州绿盟、启明星辰、百度安全、Palo Alto、Fortinet、F5、Barracuda、德勤、凯捷、华讯等知名安全厂商和咨询公司，构建端到端的解决方案和服务，帮助中国客户满足当前在国内和海外的安全合规要求。

AWS全球副总裁、大中华区执行董事容永康表示，“AWS运营十多年来，始终把安全作为最高优先级的事项。为了帮助客户达到最高的安全标准，AWS提出了安全责任共担模型，集合AWS、AWS客户、APN合作伙伴三方的力量，共同做好客户的安全。其中，AWS管理和控制好云服务所在的物理设施安全，以及托管操作系统和虚拟层的安全，AWS负责构建安全的应用。AWS提供丰富的最佳实践文档、加密工具和指南，帮助客户实现应用级的安全。APN合作伙伴提供了几百个工具和功能，帮助AWS客户实现安全目的，这些工具涵盖网络安全、配置管理、访问控制和数据加密的方方面面。这次宣布跟安全生态APN合作伙伴的合作，就是AWS安全责任共担模型在中国的体现。”

在中国，AWS中国（北京）区域由光环新网运营，AWS中国（宁夏）区域由西云数据运营。AWS也跟中国的光环新网和西云数据一起，积极努力地提供相关解决方案和技术，分享经验，帮助在中国国内使用AWS的客户同样能够满足中国及海外的安全合规要求。我们在中国的安全合规APN合作伙伴生态，将AWS的安全技术和服务，与亚信安全、神州绿盟等APN合作伙伴的技术和服务融合在一起，为各行业的客户提供基于中国网络安全法规要求、等级保护国家标准、欧洲GDPR等方面的咨询、架构设计、技术支持，以及等级保护认证的端到端服务。

AWS合作伙伴网络(APN)成员提供了数百种行业领先的产品，跟本地环境的现有安全控制等效、相同或相融，对AWS现有的云服务是很好的补充，使客户能够在云环境和本地环境部署全面的安全架构，实现更加无缝的体验。AWS在中国的安全合规生态APN合作伙伴包括三类：第一类是安全解决方案APN合作伙伴，通过提供安全合规类型的产品和技术解决方案，帮助客户搭建符合法律法规要求的安全技术架构；第二类是安全咨询APN合作伙伴，为客户提供针对各类型安全合规要求的咨询服务，为客户搭建安全架构提供咨询方案，帮助客户建立和维护安全管理体系； 第三类是等保认证APN合作伙伴，针对网络安全等级保护国家标准，帮助客户提供等级保护认证服务。

亚信科技自2000年发力安全业务，2015年通过收购全球著名的独立安全软件提供商趋势科技中国，实现了推动中国自主可控战略实施，助力清朗的网络空间。亚信安全CEO张凡表示，“AWS云基础架构以灵活性和安全性享誉业界。作为中国网络安全产业领跑者, 亚信安全在云安全、APT威胁治理、身份安全、终端安全等多个领域处于先进地位。很高兴与AWS一起，帮助中国客户构建更强大的云计算安全保护体系，满足合规要求。“

上海华讯网络系统有限公司副总裁马壮先生表示：“亚马逊AWS作为全球公有云的领头羊，在安全合规方面有着丰富的资源和经验。欧盟于2018年5月25日生效的《通用数据保护条例》（General Data Protection Regulation，简称GDPR），AWS也是第一时间取得合规认证的。作为AWS的咨询合作伙伴，华讯网络将把我们18年系统集成和专业服务经验，与AWS的资源和经验相结合，高效地帮助客户满足在国内和海外的合规需求。“