如何在云中實(shí)現(xiàn)安全與合規(guī)的規(guī)模化？

在亞馬遜云科技，為滿足客戶不斷變化的需求，我們持續(xù)創(chuàng)新與迭代。我們?cè)O(shè)計(jì)的服務(wù)能幫助客戶滿足最嚴(yán)格的安全和合規(guī)性要求。針對(duì)安全相關(guān)工作，亞馬遜云科技服務(wù)團(tuán)隊(duì)與Amazon Security Guardians云守護(hù)者項(xiàng)目密切配合，始終保持服務(wù)的高標(biāo)準(zhǔn)。同時(shí)，我們內(nèi)部的合規(guī)團(tuán)隊(duì)密切監(jiān)測(cè)世界各地的安全管控要求，并通過(guò)與外部審計(jì)團(tuán)隊(duì)合作，對(duì)我們的服務(wù)針對(duì)這些要求進(jìn)行第三方驗(yàn)證。

下面，我們將通過(guò)一些關(guān)鍵策略和最佳實(shí)踐，介紹亞馬遜云科技在保持創(chuàng)新文化的同時(shí)，如何實(shí)現(xiàn)安全與合規(guī)的規(guī)?；?。

安全是基石

在亞馬遜云科技，安全是我們的首要任務(wù)。實(shí)現(xiàn)合規(guī)性或許充滿著挑戰(zhàn)，但通過(guò)將安全作為亞馬遜云科技所有工作中不可或缺的部分，可以幫助我們遵守更廣泛的合規(guī)要求、記錄合規(guī)性，并向?qū)徲?jì)員和客戶證明我們的合規(guī)性。

亞馬遜云科技的安全性始于安全合規(guī)的全球云基礎(chǔ)設(shè)施，企業(yè)無(wú)論規(guī)模大小均可獲得一致的云安全體驗(yàn)。展開來(lái)講就是，亞馬遜云科技的基礎(chǔ)設(shè)施不僅根據(jù)安全最佳實(shí)踐和最高標(biāo)準(zhǔn)來(lái)建立和管理，而且還考慮了云的獨(dú)特需求，采用冗余和分層控制、持續(xù)驗(yàn)證和測(cè)試，大量使用自動(dòng)化，確保底層基礎(chǔ)設(shè)施得到7X24小時(shí)全天候的監(jiān)控和保護(hù)，以滿足跨國(guó)銀行等高敏感組織的安全合規(guī)需求。

此外，亞馬遜云科技還支持143項(xiàng)安全標(biāo)準(zhǔn)與合規(guī)性認(rèn)證，幫助企業(yè)滿足全球幾乎所有監(jiān)管機(jī)構(gòu)的合規(guī)要求。亞馬遜云科技管理和控制從主機(jī)操作系統(tǒng)和虛擬化層到服務(wù)運(yùn)行設(shè)施的物理安全的組件，同時(shí)為企業(yè)提供了廣泛的最佳實(shí)踐、加密工具與其他指導(dǎo)，幫助企業(yè)完善應(yīng)用層面的安全措施。

隨著審計(jì)員深入了解我們所做的事情，我們甚至可以幫助他們改進(jìn)和完善審計(jì)方法。這也提高了亞馬遜云科技直接向客戶所提供報(bào)告的內(nèi)容深度和質(zhì)量。

其中，通過(guò)Amazon Artifact提供亞馬遜云科技安全與合規(guī)性文檔的按需下載，例如亞馬遜云科技ISO認(rèn)證、支付卡行業(yè)（PCI）報(bào)告和服務(wù)組織控制（SOC）報(bào)告。您可以向?qū)徲?jì)員或監(jiān)管機(jī)構(gòu)提交安全與合規(guī)性文件（也稱為審計(jì)項(xiàng)目），以證明您使用的亞馬遜云科技基礎(chǔ)設(shè)施和服務(wù)的安全性和合規(guī)性。您也可以使用這些文檔作為指導(dǎo)來(lái)評(píng)估自己的云架構(gòu)和評(píng)估公司內(nèi)部控制的有效性。

安全規(guī)模化的挑戰(zhàn)

據(jù)我們了解，很多客戶都致力在安全、合規(guī)性和生產(chǎn)效率之間取得平衡。例如，將他們的應(yīng)用程序快速提供給他們的用戶。在此之前，可能需要對(duì)這些應(yīng)用程序進(jìn)行審計(jì)。傳統(tǒng)的流程一般包括編寫應(yīng)用程序、投入生產(chǎn)，交由審計(jì)團(tuán)隊(duì)檢查以確保符合合規(guī)標(biāo)準(zhǔn)。這種方式可能會(huì)引發(fā)一些問(wèn)題，比如因?yàn)榉磸?fù)增加合規(guī)需求而導(dǎo)致開發(fā)團(tuán)隊(duì)返工，甚至可能導(dǎo)致開發(fā)人員的反感。

以傳統(tǒng)方法強(qiáng)制貫徹合規(guī)要求，非但不會(huì)幫助規(guī)?；踔吝€會(huì)導(dǎo)致團(tuán)隊(duì)關(guān)系更加復(fù)雜，出現(xiàn)很多分歧。那么，如何快速且安全地進(jìn)行規(guī)?；?/p>

用技術(shù)語(yǔ)言來(lái)表達(dá)合規(guī)要求

贏得開發(fā)團(tuán)隊(duì)信任的第一種方法是用他們的語(yǔ)言。使用開發(fā)人員所使用的術(shù)語(yǔ)和參考文獻(xiàn)，并了解他們正在使用的開發(fā)、部署和保護(hù)代碼的工具至關(guān)重要。讓工程團(tuán)隊(duì)將各種合規(guī)要求（通常是模糊的）轉(zhuǎn)化為工程規(guī)范，這種要求既不高效也不現(xiàn)實(shí)。合規(guī)團(tuán)隊(duì)?wèi)?yīng)該使用工程師熟悉的語(yǔ)言，并努力將所要求的內(nèi)容轉(zhuǎn)化為具體且必須執(zhí)行的事項(xiàng)。

另一個(gè)規(guī)模化的策略是將合規(guī)要求嵌入到開發(fā)人員的日常工作中。合規(guī)團(tuán)隊(duì)讓開發(fā)人員能夠像往常一樣完成工作，而不進(jìn)行干預(yù)。如果這一戰(zhàn)略取得成功，合規(guī)路徑成為簡(jiǎn)單且自然的路徑，那么這種方法將實(shí)現(xiàn)合規(guī)性的規(guī)?；?，并能夠促進(jìn)團(tuán)隊(duì)之間的理解和協(xié)作。這種方式還將有助于打破開發(fā)人員與審計(jì)、合規(guī)團(tuán)隊(duì)之間的障礙。

將審計(jì)員和監(jiān)管機(jī)構(gòu)視為合作伙伴

我們應(yīng)該把審計(jì)員和監(jiān)管者當(dāng)作真正的業(yè)務(wù)合作伙伴。獨(dú)立審計(jì)員或監(jiān)管機(jī)構(gòu)深入了解各行業(yè)客戶是如何在其產(chǎn)品中使用企業(yè)所提供的安全，因此他們能夠?qū)?bào)告的最佳使用方式給出寶貴見解。雖然，有時(shí)人們可能會(huì)將監(jiān)管機(jī)構(gòu)視為對(duì)手，但最好的方法是與監(jiān)管機(jī)構(gòu)開誠(chéng)布公地交流，幫助他們了解企業(yè)的業(yè)務(wù)以及帶給客戶的價(jià)值，增強(qiáng)他們對(duì)企業(yè)技術(shù)和流程的認(rèn)知。

在亞馬遜云科技，我們使用多種方式幫助審計(jì)員和監(jiān)管機(jī)構(gòu)快速了解。例如，我們舉辦數(shù)字審計(jì)研討會(huì)（Digital Audit Symposium），介紹亞馬遜云科技如何在安全和合規(guī)方面針對(duì)特定服務(wù)的管控和運(yùn)營(yíng)。同時(shí)，我們還開設(shè)了云審計(jì)學(xué)院（Cloud Audit Academy），提供了與云無(wú)關(guān)的以及亞馬遜云科技特定的培訓(xùn)課程，幫助現(xiàn)有和潛在的審計(jì)、風(fēng)險(xiǎn)和合規(guī)領(lǐng)域?qū)I(yè)人員了解如何對(duì)受監(jiān)管的云工作負(fù)載進(jìn)行審計(jì)。我們認(rèn)為，與審計(jì)員和監(jiān)管機(jī)構(gòu)合作是合規(guī)性規(guī)?；年P(guān)鍵。

將安全作為基礎(chǔ)，對(duì)于推動(dòng)和合規(guī)規(guī)?；陵P(guān)重要。使用工程師熟悉的語(yǔ)言，有助于他們保持工作節(jié)奏而不會(huì)被打斷，并將盡可能簡(jiǎn)化合規(guī)路徑。盡管仍然存在一些阻礙，但對(duì)于金融服務(wù)和醫(yī)療保健等受到高度監(jiān)管的企業(yè)而言，將審計(jì)員視為合作伙伴仍是一種積極的戰(zhàn)略轉(zhuǎn)變。越是積極主動(dòng)地幫助審計(jì)員完成工作，企業(yè)就能越快地收獲他們給業(yè)務(wù)帶來(lái)的價(jià)值。