在亞馬遜云科技,為滿足客戶不斷變化的需求,我們持續(xù)創(chuàng)新與迭代。我們設(shè)計的服務(wù)能幫助客戶滿足最嚴(yán)格的安全和合規(guī)性要求。針對安全相關(guān)工作,亞馬遜云科技服務(wù)團(tuán)隊與Amazon Security Guardians云守護(hù)者項目密切配合,始終保持服務(wù)的高標(biāo)準(zhǔn)。同時,我們內(nèi)部的合規(guī)團(tuán)隊密切監(jiān)測世界各地的安全管控要求,并通過與外部審計團(tuán)隊合作,對我們的服務(wù)針對這些要求進(jìn)行第三方驗證。
下面,我們將通過一些關(guān)鍵策略和最佳實踐,介紹亞馬遜云科技在保持創(chuàng)新文化的同時,如何實現(xiàn)安全與合規(guī)的規(guī)模化。
安全是基石
在亞馬遜云科技,安全是我們的首要任務(wù)。實現(xiàn)合規(guī)性或許充滿著挑戰(zhàn),但通過將安全作為亞馬遜云科技所有工作中不可或缺的部分,可以幫助我們遵守更廣泛的合規(guī)要求、記錄合規(guī)性,并向?qū)徲媶T和客戶證明我們的合規(guī)性。
亞馬遜云科技的安全性始于安全合規(guī)的全球云基礎(chǔ)設(shè)施,企業(yè)無論規(guī)模大小均可獲得一致的云安全體驗。展開來講就是,亞馬遜云科技的基礎(chǔ)設(shè)施不僅根據(jù)安全最佳實踐和最高標(biāo)準(zhǔn)來建立和管理,而且還考慮了云的獨特需求,采用冗余和分層控制、持續(xù)驗證和測試,大量使用自動化,確保底層基礎(chǔ)設(shè)施得到7X24小時全天候的監(jiān)控和保護(hù),以滿足跨國銀行等高敏感組織的安全合規(guī)需求。
此外,亞馬遜云科技還支持143項安全標(biāo)準(zhǔn)與合規(guī)性認(rèn)證,幫助企業(yè)滿足全球幾乎所有監(jiān)管機構(gòu)的合規(guī)要求。亞馬遜云科技管理和控制從主機操作系統(tǒng)和虛擬化層到服務(wù)運行設(shè)施的物理安全的組件,同時為企業(yè)提供了廣泛的最佳實踐、加密工具與其他指導(dǎo),幫助企業(yè)完善應(yīng)用層面的安全措施。
隨著審計員深入了解我們所做的事情,我們甚至可以幫助他們改進(jìn)和完善審計方法。這也提高了亞馬遜云科技直接向客戶所提供報告的內(nèi)容深度和質(zhì)量。
其中,通過Amazon Artifact提供亞馬遜云科技安全與合規(guī)性文檔的按需下載,例如亞馬遜云科技ISO認(rèn)證、支付卡行業(yè)(PCI)報告和服務(wù)組織控制(SOC)報告。您可以向?qū)徲媶T或監(jiān)管機構(gòu)提交安全與合規(guī)性文件(也稱為審計項目),以證明您使用的亞馬遜云科技基礎(chǔ)設(shè)施和服務(wù)的安全性和合規(guī)性。您也可以使用這些文檔作為指導(dǎo)來評估自己的云架構(gòu)和評估公司內(nèi)部控制的有效性。
安全規(guī)?;奶魬?zhàn)
據(jù)我們了解,很多客戶都致力在安全、合規(guī)性和生產(chǎn)效率之間取得平衡。例如,將他們的應(yīng)用程序快速提供給他們的用戶。在此之前,可能需要對這些應(yīng)用程序進(jìn)行審計。傳統(tǒng)的流程一般包括編寫應(yīng)用程序、投入生產(chǎn),交由審計團(tuán)隊檢查以確保符合合規(guī)標(biāo)準(zhǔn)。這種方式可能會引發(fā)一些問題,比如因為反復(fù)增加合規(guī)需求而導(dǎo)致開發(fā)團(tuán)隊返工,甚至可能導(dǎo)致開發(fā)人員的反感。
以傳統(tǒng)方法強制貫徹合規(guī)要求,非但不會幫助規(guī)模化,甚至還會導(dǎo)致團(tuán)隊關(guān)系更加復(fù)雜,出現(xiàn)很多分歧。那么,如何快速且安全地進(jìn)行規(guī)?;??
用技術(shù)語言來表達(dá)合規(guī)要求
贏得開發(fā)團(tuán)隊信任的第一種方法是用他們的語言。使用開發(fā)人員所使用的術(shù)語和參考文獻(xiàn),并了解他們正在使用的開發(fā)、部署和保護(hù)代碼的工具至關(guān)重要。讓工程團(tuán)隊將各種合規(guī)要求(通常是模糊的)轉(zhuǎn)化為工程規(guī)范,這種要求既不高效也不現(xiàn)實。合規(guī)團(tuán)隊?wèi)?yīng)該使用工程師熟悉的語言,并努力將所要求的內(nèi)容轉(zhuǎn)化為具體且必須執(zhí)行的事項。
另一個規(guī)?;牟呗允菍⒑弦?guī)要求嵌入到開發(fā)人員的日常工作中。合規(guī)團(tuán)隊讓開發(fā)人員能夠像往常一樣完成工作,而不進(jìn)行干預(yù)。如果這一戰(zhàn)略取得成功,合規(guī)路徑成為簡單且自然的路徑,那么這種方法將實現(xiàn)合規(guī)性的規(guī)?;?,并能夠促進(jìn)團(tuán)隊之間的理解和協(xié)作。這種方式還將有助于打破開發(fā)人員與審計、合規(guī)團(tuán)隊之間的障礙。
將審計員和監(jiān)管機構(gòu)視為合作伙伴
我們應(yīng)該把審計員和監(jiān)管者當(dāng)作真正的業(yè)務(wù)合作伙伴。獨立審計員或監(jiān)管機構(gòu)深入了解各行業(yè)客戶是如何在其產(chǎn)品中使用企業(yè)所提供的安全,因此他們能夠?qū)蟾娴淖罴咽褂梅绞浇o出寶貴見解。雖然,有時人們可能會將監(jiān)管機構(gòu)視為對手,但最好的方法是與監(jiān)管機構(gòu)開誠布公地交流,幫助他們了解企業(yè)的業(yè)務(wù)以及帶給客戶的價值,增強他們對企業(yè)技術(shù)和流程的認(rèn)知。
在亞馬遜云科技,我們使用多種方式幫助審計員和監(jiān)管機構(gòu)快速了解。例如,我們舉辦數(shù)字審計研討會(Digital Audit Symposium),介紹亞馬遜云科技如何在安全和合規(guī)方面針對特定服務(wù)的管控和運營。同時,我們還開設(shè)了云審計學(xué)院(Cloud Audit Academy),提供了與云無關(guān)的以及亞馬遜云科技特定的培訓(xùn)課程,幫助現(xiàn)有和潛在的審計、風(fēng)險和合規(guī)領(lǐng)域?qū)I(yè)人員了解如何對受監(jiān)管的云工作負(fù)載進(jìn)行審計。我們認(rèn)為,與審計員和監(jiān)管機構(gòu)合作是合規(guī)性規(guī)模化的關(guān)鍵。
將安全作為基礎(chǔ),對于推動和合規(guī)規(guī)?;陵P(guān)重要。使用工程師熟悉的語言,有助于他們保持工作節(jié)奏而不會被打斷,并將盡可能簡化合規(guī)路徑。盡管仍然存在一些阻礙,但對于金融服務(wù)和醫(yī)療保健等受到高度監(jiān)管的企業(yè)而言,將審計員視為合作伙伴仍是一種積極的戰(zhàn)略轉(zhuǎn)變。越是積極主動地幫助審計員完成工作,企業(yè)就能越快地收獲他們給業(yè)務(wù)帶來的價值。