數(shù)據(jù)安全難保障？亞馬遜云科技為OPPO海量用戶數(shù)據(jù)保駕護(hù)航

縱觀成功出海的眾多樣板企業(yè)，第一批“吃螃蟹的人”中，一定有國(guó)產(chǎn)手機(jī)品牌的名字。從制造業(yè)巨頭到互聯(lián)網(wǎng)手機(jī)品牌，從中國(guó)市場(chǎng)主動(dòng)走出去的手機(jī)廠商，以中國(guó)出海新一代先鋒軍的身份，開(kāi)始于全球地圖上進(jìn)行“跑馬圈地”。屬于中國(guó)手機(jī)品牌的“大航海時(shí)代”已經(jīng)到來(lái)，而OPPO正是其中的主角之一。

OPPO廣東移動(dòng)通信有限公司（以下簡(jiǎn)稱“OPPO”）是一家全球領(lǐng)先的智能終端制造商和移動(dòng)互聯(lián)網(wǎng)服務(wù)提供商，自2004年成立以來(lái)，OPPO業(yè)務(wù)已遍及全球60多個(gè)國(guó)家和地區(qū)。作為一家全球領(lǐng)先的智能設(shè)備制造商，OPPO始終秉持著“科技為人，以善天下”的使命，始終站在用戶的角度看待問(wèn)題，并把用戶的數(shù)據(jù)安全放在首要位置。

亞馬遜云科技為OPPO提供了數(shù)據(jù)全生命周期的安全服務(wù)，使OPPO進(jìn)一步提高了數(shù)據(jù)安全保護(hù)等級(jí)，為海外用戶提供更為安全的移動(dòng)體驗(yàn)。

目前，OPPO使用的亞馬遜云科技服務(wù)包括：Amazon CloudHSM、Amazon Key Management Service（Amazon KMS）、Amazon Relational Database Service（Amazon RDS）、Amazon Simple Storage Service（Amazon S3）等。

機(jī)會(huì)丨大數(shù)據(jù)時(shí)代下，

數(shù)據(jù)安全是一切業(yè)務(wù)的基礎(chǔ)

作為最早“走出去”的中國(guó)品牌之一，OPPO能把業(yè)務(wù)拓展至全球，其過(guò)人之處不僅僅在于產(chǎn)品品質(zhì)，更在于領(lǐng)先的戰(zhàn)略眼光。在智能手機(jī)于科技層面“內(nèi)卷”嚴(yán)重的今天，OPPO早已不再滿足于對(duì)硬件性能進(jìn)行升級(jí)，而是把目光投向了用戶的數(shù)據(jù)安全，著手構(gòu)建相應(yīng)的安全體系和措施。對(duì)于OPPO來(lái)說(shuō)，“重視安全合規(guī)”的理念已深深地融入到產(chǎn)品設(shè)計(jì)的全流程中。

為了更好地保護(hù)全球用戶的數(shù)據(jù)安全，OPPO希望獲得健全、完善的數(shù)據(jù)安全與合規(guī)保護(hù)，在相應(yīng)基礎(chǔ)設(shè)施技術(shù)框架的幫助下，去滿足不同國(guó)家與地區(qū)的安全合規(guī)要求。由于加密機(jī)硬件的購(gòu)置涉及到成本因素，為了最優(yōu)化性價(jià)比，OPPO選擇整體托管上云。最終，在綜合多家友商對(duì)比之下，亞馬遜云科技憑借優(yōu)質(zhì)的產(chǎn)品性能、與OPPO相一致的價(jià)值觀脫穎而出。

亞馬遜云科技經(jīng)過(guò)多年的積累，已經(jīng)擁有超過(guò)300+項(xiàng)安全、合規(guī)服務(wù)功能，能幾乎滿足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)性要求。并且亞馬遜云科技在設(shè)計(jì)之初，就把安全作為第一優(yōu)先級(jí)，這與OPPO對(duì)用戶數(shù)據(jù)安全的理念高度一致。因此，OPPO選擇與亞馬遜云科技開(kāi)啟合作，在新加坡、法國(guó)和印度進(jìn)行加密服務(wù)的部署，為海外用戶數(shù)據(jù)保駕護(hù)航。

OPPO數(shù)據(jù)安全架構(gòu)師周潔表示：“隨著海外業(yè)務(wù)的不斷擴(kuò)張，對(duì)于用戶數(shù)據(jù)的安全保護(hù)要求也相應(yīng)提高，進(jìn)行加密業(yè)務(wù)的部署可以為終端用戶帶來(lái)更好更方便的體驗(yàn)，亞馬遜云科技在多個(gè)國(guó)家和地區(qū)建立了嚴(yán)格的安全性和合規(guī)性標(biāo)準(zhǔn)，支持眾多安全標(biāo)準(zhǔn)且獲得多項(xiàng)合規(guī)認(rèn)證，可以幫助我們更加順利、便捷的部署業(yè)務(wù)。”

OPPO始終站在用戶的角度發(fā)自內(nèi)心地踐行安全合規(guī)，而非因?yàn)榉傻募s束被迫去執(zhí)行，這是我們的初心。基于Amazon CloudHSM，我們與亞馬遜云科技攜手構(gòu)建了獨(dú)特的數(shù)據(jù)保護(hù)體系，將安全合規(guī)內(nèi)嵌在我們每一項(xiàng)產(chǎn)品流程設(shè)計(jì)中。

OPPO數(shù)據(jù)安全架構(gòu)師周潔

解決方案丨基于Amazon CloudHSM，

構(gòu)建專屬數(shù)據(jù)保護(hù)體系

·全托管、高安全性，Amazon KMS雙層密鑰保障用戶

OPPO對(duì)存儲(chǔ)在云端的數(shù)據(jù)有著高等級(jí)的安全防護(hù)要求，而加密是數(shù)據(jù)保護(hù)策略的核心組成部分。對(duì)于可以直接托管的應(yīng)用，亞馬遜云科技提供了Amazon Key Management Service（Amazon KMS）密鑰管理服務(wù)，Amazon KMS與140多個(gè)亞馬遜云科技其他服務(wù)集成，能夠有效提升安全性能。

例如，OPPO在新加坡、法國(guó)和印度的業(yè)務(wù)中，用到了Amazon RDS數(shù)據(jù)庫(kù)服務(wù)，而所有的RDS數(shù)據(jù)庫(kù)引擎都無(wú)縫集成Amazon KMS，并且支持兩層密鑰。這就意味著，OPPO的運(yùn)維人員可以用唯一數(shù)據(jù)密鑰加密客戶數(shù)據(jù)，同時(shí)用Amazon KMS主密鑰加密數(shù)據(jù)密鑰。這種信封加密的方式，既保證了密鑰的安全，又可以在加密大量數(shù)據(jù)時(shí)提供更好的性能。通過(guò)使用Amazon KMS，OPPO可以輕松創(chuàng)建和控制用于保護(hù)數(shù)據(jù)的加密密鑰，并借助Amazon RDS的服務(wù)端加密能力實(shí)現(xiàn)安全的數(shù)據(jù)靜態(tài)加密。同時(shí)，所有的Amazon RDS數(shù)據(jù)庫(kù)都支持強(qiáng)制要求使用SSL連接（Secure Sockets Layer，安全套接層協(xié)議），來(lái)實(shí)現(xiàn)傳輸過(guò)程加密。綜合傳輸過(guò)程加密和靜態(tài)加密這兩個(gè)層級(jí)的保障，敏感的業(yè)務(wù)數(shù)據(jù)可以得到安全保護(hù)的同時(shí)，還滿足了當(dāng)?shù)氐姆ㄒ?guī)要求。

對(duì)于OPPO開(kāi)發(fā)的定制化應(yīng)用，由于OPPO在海外的發(fā)展長(zhǎng)期而持久，OPPO為海外業(yè)務(wù)應(yīng)用所做的諸多定制化設(shè)計(jì)，已經(jīng)與OPPO自有的加密服務(wù)天然深度集成。因此，為了在海外部署自有的加密服務(wù)，OPPO需要硬件加密機(jī)來(lái)安全存儲(chǔ)和管理海外自有加密服務(wù)所涉及的密鑰。此時(shí)，OPPO擁有兩種方案選擇。首先是使用布局在海外的OPPO本地?cái)?shù)據(jù)中心部署硬件加密機(jī)，但這一方案可能導(dǎo)致本地?cái)?shù)據(jù)中心在與云上應(yīng)用結(jié)合時(shí)，產(chǎn)生網(wǎng)絡(luò)延遲問(wèn)題，并增加海外數(shù)據(jù)中心的整體運(yùn)維成本。在經(jīng)過(guò)仔細(xì)論證后，OPPO選擇了第二種方案，使用亞馬遜云科技提供的云上加密機(jī)。

·Amazon CloudHSM，高可用的云上專屬加密機(jī)

與市場(chǎng)上諸多加密機(jī)不同，亞馬遜云科技所提供的Amazon CloudHSM擁有三大核心優(yōu)勢(shì)：

第一：專用安全模塊設(shè)計(jì)，Amazon CloudHSM允許用戶在亞馬遜云科技上管理和使用加密密鑰，這些密鑰都存儲(chǔ)在專用的、通過(guò)了FIPS（聯(lián)邦信息處理標(biāo)準(zhǔn)）140-2第3級(jí)認(rèn)證的HSM實(shí)例上，以滿足企業(yè)、合同和監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)安全的合規(guī)要求。

第二：從設(shè)計(jì)之初就考慮到的全方位安全性，該產(chǎn)品在設(shè)計(jì)之初就考慮到了責(zé)任分離和基于角色的訪問(wèn)控制，支持集群管理和密鑰管理職責(zé)分離，從管理上避免潛在風(fēng)險(xiǎn)。

第三：按需擴(kuò)展，按小時(shí)付費(fèi)。OPPO所部署的每一個(gè)Amazon CloudHSM集群都至少包含2臺(tái)加密機(jī)硬件，集群中的加密機(jī)硬件會(huì)自動(dòng)同步密鑰并進(jìn)行負(fù)載均衡。OPPO可根據(jù)業(yè)務(wù)隨時(shí)擴(kuò)展加密機(jī)硬件容量，從而獲得更高的性能，整個(gè)部署過(guò)程以小時(shí)付費(fèi)，在不需要時(shí)，可以備份和關(guān)閉HSM。

此外，Amazon CloudHSM還簡(jiǎn)化了加密機(jī)繁雜的管理工作，例如密鑰的備份、集群的擴(kuò)展、日志的收集，和日常設(shè)備的維護(hù)等，使用Amazon CloudHSM，OPPO只需要做好用戶管理和應(yīng)用的集成，因而有更多的時(shí)間專注于業(yè)務(wù)上。

OPPO基于亞馬遜云科技的架構(gòu)示意圖

業(yè)務(wù)成果丨全生命周期的數(shù)據(jù)加密服務(wù)，為海量用戶數(shù)據(jù)保駕護(hù)航

高度安全、高度可用、彈性靈活的Amazon CloudHSM服務(wù)，滿足了OPPO在安全合規(guī)方面的高等級(jí)要求，能夠全面保護(hù)用戶的數(shù)據(jù)安全，為海量用戶保駕護(hù)航。OPPO運(yùn)維人員可以隨時(shí)靈活調(diào)整Amazon CloudHSM數(shù)量，以應(yīng)對(duì)因業(yè)務(wù)增長(zhǎng)而增加的用戶連接。相對(duì)于本地托管和使用第三方服務(wù)，使用Amazon CloudHSM無(wú)需預(yù)付費(fèi)用，成本模型架構(gòu)更簡(jiǎn)單，成本更低，為OPPO節(jié)省了人力、運(yùn)維以及設(shè)備的購(gòu)買(mǎi)成本。

得益于亞馬遜云科技全生命周期的數(shù)據(jù)安全服務(wù)，用戶對(duì)OPPO產(chǎn)品和服務(wù)更加信任，為OPPO在更大范圍內(nèi)的業(yè)務(wù)拓展打下了堅(jiān)實(shí)基礎(chǔ)。

隨著量子計(jì)算、聯(lián)邦學(xué)習(xí)（FL）、安全多方計(jì)算（MPC）、可信執(zhí)行環(huán)境（TEE）等技術(shù)的逐漸成熟與應(yīng)用，OPPO考慮與亞馬遜云科技繼續(xù)開(kāi)展廣泛而深入的合作，雙方共同致力于增強(qiáng)云端安全通信中的安全保護(hù)，堅(jiān)守安全合規(guī)的“初心”不變，為終端用戶提供更好的數(shù)據(jù)安全保護(hù)體驗(yàn)。

關(guān)于OPPO

OPPO創(chuàng)立于2004年，是一家全球領(lǐng)先的智能終端制造商和移動(dòng)互聯(lián)網(wǎng)服務(wù)提供商，業(yè)務(wù)遍及60多個(gè)國(guó)家和地區(qū)。秉承著“科技為人，以善天下”的品牌使命，致力于打造令人怦然心動(dòng)的偉大產(chǎn)品。希望通過(guò)科技創(chuàng)新，推動(dòng)行業(yè)與社會(huì)進(jìn)步，讓每一位爬坡者在前行路上有伙伴、有力量；即使置身風(fēng)雨，也能心向光明，微笑前行。