如何在云中实现安全与合规的规模化?

在亚马逊云科技，为满足客户不断变化的需求，我们持续创新与迭代。我们设计的服务能帮助客户满足最严格的安全和合规性要求。针对安全相关工作，亚马逊云科技服务团队与Amazon Security Guardians云守护者项目密切配合，始终保持服务的高标准。同时，我们内部的合规团队密切监测世界各地的安全管控要求，并通过与外部审计团队合作，对我们的服务针对这些要求进行第三方验证。

本文将通过一些关键策略和最佳实践，介绍亚马逊云科技在保持创新文化的同时，如何实现安全与合规的规模化。

安全是基石

在亚马逊云科技，安全是我们的首要任务。实现合规性或许充满着挑战，但通过将安全作为亚马逊云科技所有工作中不可或缺的部分，可以帮助我们遵守更广泛的合规要求、记录合规性，并向审计员和客户证明我们的合规性。

随着审计员深入了解我们所做的事情，我们甚至可以帮助他们改进和完善审计方法。这也提高了亚马逊云科技直接向客户所提供报告的内容深度和质量。

安全规模化的挑战

很多客户都努力在安全、合规性和生产效率之间取得平衡。这些客户希望将他们的应用程序快速提供给他们的用户。他们可能需要对这些应用程序进行审计。传统的流程一般包括编写应用程序、投入生产，交由审计团队检查以确保符合合规标准。这种方式可能会引发一些问题，比如因为反复增加合规需求而导致开发团队返工，甚至开发人员的反感。

以传统方法强制贯彻合规要求，非但不会帮助规模化，甚至还会导致团队关系更加复杂，出现很多分歧。那么，如何快速且安全地进行规模化?

用技术语言来表达合规要求

赢得开发团队信任的第一种方法是用他们的语言。使用开发人员所使用的术语和参考文献，并了解他们正在使用的开发、部署和保护代码的工具至关重要。让工程团队将各种合规要求(通常是模糊的)转化为工程规范，这种要求既不高效也不现实。合规团队应该使用工程师熟悉的语言，努力将所要求的内容转化为具体且必须执行的事项。

另一个规模化的策略是将合规要求嵌入到开发人员的日常工作中。合规团队让开发人员能够像往常一样完成工作，而不进行干预。如果这一战略取得成功，合规路径成为简单且自然的路径，那么这种方法将实现合规性的规模化，并能够促进团队之间的理解和协作。这种方式还将有助于打破开发人员与审计、合规团队之间的障碍。

将审计员和监管机构视为合作伙伴

我们应该把审计员和监管者当作真正的业务合作伙伴。独立审计员或监管机构深入了解各行业客户是如何在其产品中使用企业所提供的安全，因此他们能够对报告的最佳使用方式给出宝贵见解。有时人们可能会将监管机构视为对手。但最好的方法是与监管机构开诚布公地交流，帮助他们了解企业的业务以及为客户带去的价值，增强他们对企业技术和流程的认知。

在亚马逊云科技，我们使用多种方式帮助审计员和监管机构快速了解。例如，我们举办数字审计研讨会(Digital Audit Symposium)，介绍亚马逊云科技如何在安全和合规方面针对特定服务的管控和运营。同时，我们还开设了云审计学院(Cloud Audit Academy)，提供了与云无关的以及亚马逊云科技特定的培训课程，帮助现有和潜在的审计、风险和合规领域专业人员了解如何对受监管的云工作负载进行审计。我们认为，与审计员和监管机构合作是合规性规模化的关键。

结论

将安全作为基础，对于推动和合规规模化至关重要。使用工程师熟悉的语言，有助于他们保持工作节奏而不会被打断，并将尽可能简化合规路径。尽管仍然存在一些阻碍，但对于金融服务和医疗保健等受到高度监管的企业而言，将审计员视为合作伙伴仍是一种积极的战略转变。越是积极主动地帮助审计员完成工作，企业就能越快地收获他们给业务带来的价值。