亚马逊云科技顾凡：让安全合规成为空气和水，助云上业务自在生长

（全球TMT2022年5月30日讯）近日， 亚马逊云科技大中华区战略业务发展部总经理顾凡针对亚马逊云服务数据安全及安全合规方面进行了分析。从创立以来，亚马逊云科技就将安全作为最高优先级的工作（Job Zero），致力于形成人人有责、人人参与的安全文化理念。具体来说，亚马逊云科技对于云环境的安全合规建设包括以下几个方面：基础设施、服务、用户拥有和控制数据的原则以及全球安全合规认证。

首先，云安全始于基础设施。亚马逊云科技提供极具扩展性和高度可靠的基础设施，并采用多种冗余和分层控制的数据中心，大量使用自动化确保底层基础设施7×24小时的监控和保护，以及对业务连续性和灾难恢复的响应和应对。并且，基础设施的安全性对于每一个使用亚马逊云服务的客户来说，是完全"一视同仁"的。无论是超大规模企业，还是小微企业，在云上所获得的基础设施安全性完全相同。因此基础设施安全也可视作云计算最显著的优越性之一，让用户从此告别传统数据中心的巨大安全成本支出。

第二，云安全不止安全服务。我们不仅要看有多少安全服务，同时也要考虑所有云服务自身的安全。这也是前面所说的"Job Zero"的重要目的，即每个服务在研发时就要优先解决安全问题，如果服务存在安全隐患，那么就不会被推出。另外，我们通过服务间的深度集成实现自动化并降低风险。亚马逊云科技有一套完整的安全运维流程、制度和最佳实践，来保证云自身的安全。我们可以应对风险，但更好的选择是规避风险。

第三，坚持用户拥有和控制数据的理念。我们始终坚持用户拥有自己的数据，并能够对数据进行自主操作。但我们并不会因为用户拥有和控制数据，而对数据的安全"免责"。亚马逊云科技的数据加密无处不在，数据的流动与进出基础设施，都会伴随物理层自动加密。我们还会为用户提供所需的控制权和可见性，帮助客户证明数据符合本区域和本地数据隐私法律法规，我们遍布全球的基础设施也可以帮助客户实现数据本地化的要求。

最后，在合规方面，亚马逊云科技在全球已经获得了98项安全标准和合规认证，并且定期对数千个全球合规性进行第三方验证，亚马逊云科技的用户可直接继承。在中国（光环新网运营北京区域、西云数据运营宁夏区域），西云数据和光环新网都通过了独立的第三方机构验证，也都完成了网络安全等级保护三级的测评，还获得了中国信息通信研究院的可信云的服务评估。另外我们也获得了通行的一系列安全性和合规性要求，例如ISO信息安全质量管理认证、PCI-DSS、SOC等。

除了确保云环境自身安全之外，亚马逊云科技同样为用户带来多层防护服务，进一步帮助用户提升上云后的安全合规。为了实现无限趋近于100%的云计算安全，我们同时也与全球丰富的亚马逊云科技合作伙伴网络成员构建1+1>2的安全合作。亚马逊云科技APN合作伙伴网络里面提供了数百种领先的安全合规解决方案，还包括专注于数据保护合规的咨询服务。目前我们正不断将亚马逊云科技在全球的合作伙伴网络成员引入中国，并加大与中国本土合作伙伴网络成员的合作，给客户提供更多的解决方案以更好满足中国用户在国内、国际业务中的安全合规需求。