如何在云中實現(xiàn)安全與合規(guī)的規(guī)模化？

在亞馬遜云科技，為滿足客戶不斷變化的需求，我們持續(xù)創(chuàng)新與迭代。我們設計的服務能幫助客戶滿足最嚴格的安全和合規(guī)性要求。針對安全相關工作，亞馬遜云科技服務團隊與Amazon Security Guardians云守護者項目密切配合，始終保持服務的高標準。同時，我們內(nèi)部的合規(guī)團隊密切監(jiān)測世界各地的安全管控要求，并通過與外部審計團隊合作，對我們的服務針對這些要求進行第三方驗證。

下面，我們將通過一些關鍵策略和最佳實踐，介紹亞馬遜云科技在保持創(chuàng)新文化的同時，如何實現(xiàn)安全與合規(guī)的規(guī)?；?/p>

安全是基石

在亞馬遜云科技，安全是我們的首要任務。實現(xiàn)合規(guī)性或許充滿著挑戰(zhàn)，但通過將安全作為亞馬遜云科技所有工作中不可或缺的部分，可以幫助我們遵守更廣泛的合規(guī)要求、記錄合規(guī)性，并向?qū)徲媶T和客戶證明我們的合規(guī)性。

亞馬遜云科技的安全性始于安全合規(guī)的全球云基礎設施，企業(yè)無論規(guī)模大小均可獲得一致的云安全體驗。展開來講就是，亞馬遜云科技的基礎設施不僅根據(jù)安全最佳實踐和最高標準來建立和管理，而且還考慮了云的獨特需求，采用冗余和分層控制、持續(xù)驗證和測試，大量使用自動化，確保底層基礎設施得到7X24小時全天候的監(jiān)控和保護，以滿足跨國銀行等高敏感組織的安全合規(guī)需求。

此外，亞馬遜云科技還支持143項安全標準與合規(guī)性認證，幫助企業(yè)滿足全球幾乎所有監(jiān)管機構的合規(guī)要求。亞馬遜云科技管理和控制從主機操作系統(tǒng)和虛擬化層到服務運行設施的物理安全的組件，同時為企業(yè)提供了廣泛的最佳實踐、加密工具與其他指導，幫助企業(yè)完善應用層面的安全措施。

隨著審計員深入了解我們所做的事情，我們甚至可以幫助他們改進和完善審計方法。這也提高了亞馬遜云科技直接向客戶所提供報告的內(nèi)容深度和質(zhì)量。

其中，通過Amazon Artifact提供亞馬遜云科技安全與合規(guī)性文檔的按需下載，例如亞馬遜云科技ISO認證、支付卡行業(yè)（PCI）報告和服務組織控制（SOC）報告。您可以向?qū)徲媶T或監(jiān)管機構提交安全與合規(guī)性文件（也稱為審計項目），以證明您使用的亞馬遜云科技基礎設施和服務的安全性和合規(guī)性。您也可以使用這些文檔作為指導來評估自己的云架構和評估公司內(nèi)部控制的有效性。

安全規(guī)模化的挑戰(zhàn)

據(jù)我們了解，很多客戶都致力在安全、合規(guī)性和生產(chǎn)效率之間取得平衡。例如，將他們的應用程序快速提供給他們的用戶。在此之前，可能需要對這些應用程序進行審計。傳統(tǒng)的流程一般包括編寫應用程序、投入生產(chǎn)，交由審計團隊檢查以確保符合合規(guī)標準。這種方式可能會引發(fā)一些問題，比如因為反復增加合規(guī)需求而導致開發(fā)團隊返工，甚至可能導致開發(fā)人員的反感。

以傳統(tǒng)方法強制貫徹合規(guī)要求，非但不會幫助規(guī)?；踔吝€會導致團隊關系更加復雜，出現(xiàn)很多分歧。那么，如何快速且安全地進行規(guī)模化？

用技術語言來表達合規(guī)要求

贏得開發(fā)團隊信任的第一種方法是用他們的語言。使用開發(fā)人員所使用的術語和參考文獻，并了解他們正在使用的開發(fā)、部署和保護代碼的工具至關重要。讓工程團隊將各種合規(guī)要求（通常是模糊的）轉(zhuǎn)化為工程規(guī)范，這種要求既不高效也不現(xiàn)實。合規(guī)團隊應該使用工程師熟悉的語言，并努力將所要求的內(nèi)容轉(zhuǎn)化為具體且必須執(zhí)行的事項。

另一個規(guī)?；牟呗允菍⒑弦?guī)要求嵌入到開發(fā)人員的日常工作中。合規(guī)團隊讓開發(fā)人員能夠像往常一樣完成工作，而不進行干預。如果這一戰(zhàn)略取得成功，合規(guī)路徑成為簡單且自然的路徑，那么這種方法將實現(xiàn)合規(guī)性的規(guī)模化，并能夠促進團隊之間的理解和協(xié)作。這種方式還將有助于打破開發(fā)人員與審計、合規(guī)團隊之間的障礙。

將審計員和監(jiān)管機構視為合作伙伴

我們應該把審計員和監(jiān)管者當作真正的業(yè)務合作伙伴。獨立審計員或監(jiān)管機構深入了解各行業(yè)客戶是如何在其產(chǎn)品中使用企業(yè)所提供的安全，因此他們能夠?qū)蟾娴淖罴咽褂梅绞浇o出寶貴見解。雖然，有時人們可能會將監(jiān)管機構視為對手，但最好的方法是與監(jiān)管機構開誠布公地交流，幫助他們了解企業(yè)的業(yè)務以及帶給客戶的價值，增強他們對企業(yè)技術和流程的認知。

在亞馬遜云科技，我們使用多種方式幫助審計員和監(jiān)管機構快速了解。例如，我們舉辦數(shù)字審計研討會（Digital Audit Symposium），介紹亞馬遜云科技如何在安全和合規(guī)方面針對特定服務的管控和運營。同時，我們還開設了云審計學院（Cloud Audit Academy），提供了與云無關的以及亞馬遜云科技特定的培訓課程，幫助現(xiàn)有和潛在的審計、風險和合規(guī)領域?qū)I(yè)人員了解如何對受監(jiān)管的云工作負載進行審計。我們認為，與審計員和監(jiān)管機構合作是合規(guī)性規(guī)模化的關鍵。

將安全作為基礎，對于推動和合規(guī)規(guī)?；陵P重要。使用工程師熟悉的語言，有助于他們保持工作節(jié)奏而不會被打斷，并將盡可能簡化合規(guī)路徑。盡管仍然存在一些阻礙，但對于金融服務和醫(yī)療保健等受到高度監(jiān)管的企業(yè)而言，將審計員視為合作伙伴仍是一種積極的戰(zhàn)略轉(zhuǎn)變。越是積極主動地幫助審計員完成工作，企業(yè)就能越快地收獲他們給業(yè)務帶來的價值。