安全合规是个麻烦,但亚马逊云科技用工具拆解麻烦

很多企业都在挖掘数据价值,希望用于提高运营效率或者开辟新业务,但面对外部行业监管和内部复杂的数据资产现状,安全合规问题成了大问题。

作为公有云市场的领头羊,亚马逊云科技将安全合规这一难题逐步拆分,并提供了具体的工具来一一解决,最后,呈现的则是一套越发成熟的安全合规实践。

将数据安全合规这一难题一一拆解

每家企业都有一座有待挖掘的数据宝藏,它蕴含无限可能,但在下手挖掘数据价值之前,必须解决安全合规的问题。

安全合规确实很复杂,在解决复杂问题之前,不如将问题进行拆分。

亚马逊云科技大中华区产品部总经理 陈晓建从用户需求的角度出发,将问题分解为四点:

用户希望,业务数据中的敏感数据可以被轻松地识别并提供有效的保护;

用户希望,数据消费团队可以方便快捷地找到有价值的数据资产并加以利用;

用户希望,可以与合作伙伴及上下游企业进行安全高效的数据共享与协同分析;

用户希望,所有的数据操作与安全事件可以被统一地监控与管理,帮助安全团队制定合理的安全事件策略,快速应对安全问题。​​

总结一下,就是要让业务数据做到可识别、可见、可协作,让安全数据做到可操作。为了做到以上四点,亚马逊云科技提供了对应的解决方案。

数据识别——快速高效识别敏感数据,满足合规要求

上面提到的业务数据“可识别”,识别的是敏感数据,为什么要识别敏感数据呢?因为识别敏感数据对于合规工作有很大帮助。

所谓合规指的是对个人数据、敏感数据的定义和使用提出的具体要求。近几年来,全球各地陆续都出台隐私保护法案,或者强化隐私保护的相关法案,比如欧盟有 GDPR,中国有《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例》。

陈晓建举例提到,我国在跨境数据流通方面有很多细致要求,对于个人数据的处理者,对于向境外提供个人信息,向境外提供敏感个人数据,都需要提交相关部门进行审核。

要做到合规,了解法规自然重要,除此之外,不难发现,如何找出敏感数据也很关键。具体到操作层面,需要懂业务的人,需要一套流程,还需要一套工具。

亚马逊云科技提供的工具叫做Sensitive Data Protection on AWS(以下简称SDP),敏感数据保护解决方案,这是在Github上的一个开源项目,用户可以在自己账号内部署使用。

首先,它是一个中心化的平台,它可以发现多个亚马逊云科技(AWS)账号下的数据资产,并生成一个数据目录。另外,它还提供了可视化管理界面,可以方便用户开展安全合规相关工作。

最重要的是,SDP可以自动识别敏感数据,可以发现用户存放在RDS数据库,S3对象存储等等数据源里的敏感数据。值得注意的是,它利用了机器学习等技术实现自动识别,避免了手动识别敏感数据的麻烦。

陈晓建介绍称,“敏感数据保护(SDP)”是一个完全开源的云原生解决方案,用户完全可以进行自助部署。当企业数据量特别多且特别分散时,或者当数据类型不好判断时,就能用SDP快速识别敏感数据,以此提高工作效率。

除了SDP以外,亚马逊云科技为中国用户开发了高级版的SDP PE,它除了有SDP的功能以外,还提供了跨境传输数据的相关功能,帮助在中国运营的企业在数据跨境传输方面实现合规。

数据可见——支撑企业内部的数据协作

顾名思义,“数据可见”要解决的是数据能不能被看见的问题。只有看见数据之后,数据团队和业务团队的协作才能真正开始。

从陈晓建的介绍中了解到,集中式和联邦式是比较常见的两种协作方式。

集中式的方式当中, 负责治理运营的人主要集中在数据团队,集中式方式能够实现快速的决策和高效的执行。这种做法结构较为简单,易于实施和控制,更适合刚开始数据分析之旅和小型组织的企业。

联邦式的方式当中,特定团队负责制定治理原则,但负责治理运营的人分散在各业务线,每个业务部门都拥有自己的数据,并在组织的监督下做出决策,以满足其特定需求和目标。适合有多个业务部门的中大型企业或跨国企业。

两种类型的协作方式都需要多个角色高效协同,特别是联邦式治理方式,它对于“数据可见”的需求更为迫切。

在“数据可见”需求的推动下,亚马逊云科技在推出了一个全新的管理数据的服务Amazon DataZone,它能让企业每个角色的人都能看见数据,然后解锁数据价值。

它可以让用户更轻松地对存储在亚马逊云科技、本地和第三方来源的数据进行编目、发现、共享和治理;它可以通过精细的控制工具管理和治理数据访问权限,确保数据访问发生在正确的权限和正确的情境之下;它可以让数据开发者、数据科学家、分析师和业务用户轻松访问整个组织的数据,通过数据进行协作来获得洞察。

Amazon DataZone一端连接着数据的生产者,一边连接着数据的使用者(消费者),它帮助数据生产者便捷地分享数据,也让数据的使用者能以自服务的方式看到并用到数据。

“数据可协作”——面向外部合作伙伴的数据协作

正常运营的企业,除了要在内部协作,也免不了与外部第三方合作伙伴进行产业协作,过程中难免需要共享一些数据,这些共享数据的安全要如何保障呢?

传统做法中,是把数据拷贝给合作伙伴,通过合同协议来防止数据泄露,但这种做法依然存在数据误用和泄露的风险。

陈晓建介绍称,亚马逊云科技提供了一种“数据可用而不可见”的能力,让第三方合作伙伴可以使用数据,但不能看到原始数据,能把基于数据运算的结果带走,但不会把原始数据带走,这种能力来自Amazon Clean Rooms。

如上图所示,Amazon Clean Rooms的一端是参与协作的组织,另一端则是Amazon S3对象存储。协作过程前后,数据都一直存放在Amazon S3里,而且,协作方看到的数据是加密过的。所以,原始数据不会被移动,也不会被暴露。

此外,AWS Clean Rooms还提供了一个密态计算的环境,它可以加密的形态完成数据分析操作,并将分析结果解密并返回。整个协作中的数据都处于加密状态,最大限度地保证了数据安全。

陈晓建还提到了一个帮助企业利用外部第三方数据的服务——Amazon Data Exchange,它可以简化获取第三方数据的麻烦,帮助企业在云上找到、订阅和使用第三方数据。

目前,AWS Data Exchange已经可以提供超过3500种的第三方数据,数据来源包括金融,天气,地理空间,健康医疗等等非常多的行业和领域。

安全数据的可操作,可操作的安全数据

多样化的安全问题,需要多种安全方案。来自Gartner的数据显示,有43%的企业采用了超过10家以上的安全产品。

越来越复杂的安全技术架构带来了额外管理负担,如何高效管理日志数据,并能在安全事故中通过分析日志快速追溯到源头,变得越来越有挑战。

陈晓建介绍称,由于历史的原因,企业所使用的安全系统并不统一,不同的厂商安全系统的日志格式也各不相同。为了解决这一问题,亚马逊云科技创立了业界首个安全数据湖——Amazon Security Lake,它可以统一管理安全日志,并利用日志进行安全分析。

为了解决安全日志格式不统一的问题,从2022年开始,亚马逊云科技联合了15家安全行业的头部企业推出了OCSF(Open Cybersecurity Schema Framework)的开源协议框架,目前,已有130多家安全企业支持OCSF。

Amazon Security Lake可以自动搜集来自亚马逊云科技安全产品的日志,其他公有云以及第三方安全系统的日志,统一使用OCSF把日志存储到Amazon S3上。整个流程中,亚马逊云科技会使用KMS这样的加密服务来实现自动化的加密管理。

整合而来的数据,随后可以使用Amazon Athena、Amazon SageMaker等数据分析和人工智能服务,也可以使用第三方合作伙伴的数据分析工具进行分析,为后续安全处置过程提供依据。

结束语

以上,就是亚马逊云科技在数据安全合规方面的四大举措。

在业务数据层面,SDP识别隐私数据的能力对于合规工作很有帮助,Amazon DataZone打通数据生产者和消费者的能力对于企业内部协作很重要,Amazon Clean Rooms对于企业与外部的协作很关键。

在安全数据层面,亚马逊云科技凭行业影响力牵头打造的OCSF,对于安全行业的发展有显而易见的积极贡献,配合Amazon Security Lake安全数据湖,打开了解决安全问题的新思路。

亚马逊云科技在安全领域也保持着开放态度,更多细分领域的安全问题,将由亚马逊云科技的合作伙伴来提供,中国市场上, 包括安恒信息和微步在线等安全企业都在合作伙伴列表当中。