數(shù)據(jù)安全難保障？亞馬遜云科技為OPPO海量用戶數(shù)據(jù)保駕護航

縱觀成功出海的眾多樣板企業(yè)，第一批“吃螃蟹的人”中，一定有國產(chǎn)手機品牌的名字。從制造業(yè)巨頭到互聯(lián)網(wǎng)手機品牌，從中國市場主動走出去的手機廠商，以中國出海新一代先鋒軍的身份，開始于全球地圖上進行“跑馬圈地”。屬于中國手機品牌的“大航海時代”已經(jīng)到來，而OPPO正是其中的主角之一。

OPPO廣東移動通信有限公司（以下簡稱“OPPO”）是一家全球領(lǐng)先的智能終端制造商和移動互聯(lián)網(wǎng)服務(wù)提供商，自2004年成立以來，OPPO業(yè)務(wù)已遍及全球60多個國家和地區(qū)。作為一家全球領(lǐng)先的智能設(shè)備制造商，OPPO始終秉持著“科技為人，以善天下”的使命，始終站在用戶的角度看待問題，并把用戶的數(shù)據(jù)安全放在首要位置。

亞馬遜云科技為OPPO提供了數(shù)據(jù)全生命周期的安全服務(wù)，使OPPO進一步提高了數(shù)據(jù)安全保護等級，為海外用戶提供更為安全的移動體驗。

目前，OPPO使用的亞馬遜云科技服務(wù)包括：Amazon CloudHSM、Amazon Key Management Service（Amazon KMS）、Amazon Relational Database Service（Amazon RDS）、Amazon Simple Storage Service（Amazon S3）等。

機會丨大數(shù)據(jù)時代下，

數(shù)據(jù)安全是一切業(yè)務(wù)的基礎(chǔ)

作為最早“走出去”的中國品牌之一，OPPO能把業(yè)務(wù)拓展至全球，其過人之處不僅僅在于產(chǎn)品品質(zhì)，更在于領(lǐng)先的戰(zhàn)略眼光。在智能手機于科技層面“內(nèi)卷”嚴重的今天，OPPO早已不再滿足于對硬件性能進行升級，而是把目光投向了用戶的數(shù)據(jù)安全，著手構(gòu)建相應(yīng)的安全體系和措施。對于OPPO來說，“重視安全合規(guī)”的理念已深深地融入到產(chǎn)品設(shè)計的全流程中。

為了更好地保護全球用戶的數(shù)據(jù)安全，OPPO希望獲得健全、完善的數(shù)據(jù)安全與合規(guī)保護，在相應(yīng)基礎(chǔ)設(shè)施技術(shù)框架的幫助下，去滿足不同國家與地區(qū)的安全合規(guī)要求。由于加密機硬件的購置涉及到成本因素，為了最優(yōu)化性價比，OPPO選擇整體托管上云。最終，在綜合多家友商對比之下，亞馬遜云科技憑借優(yōu)質(zhì)的產(chǎn)品性能、與OPPO相一致的價值觀脫穎而出。

亞馬遜云科技經(jīng)過多年的積累，已經(jīng)擁有超過300+項安全、合規(guī)服務(wù)功能，能幾乎滿足全球所有監(jiān)管機構(gòu)的合規(guī)性要求。并且亞馬遜云科技在設(shè)計之初，就把安全作為第一優(yōu)先級，這與OPPO對用戶數(shù)據(jù)安全的理念高度一致。因此，OPPO選擇與亞馬遜云科技開啟合作，在新加坡、法國和印度進行加密服務(wù)的部署，為海外用戶數(shù)據(jù)保駕護航。

OPPO數(shù)據(jù)安全架構(gòu)師周潔表示：“隨著海外業(yè)務(wù)的不斷擴張，對于用戶數(shù)據(jù)的安全保護要求也相應(yīng)提高，進行加密業(yè)務(wù)的部署可以為終端用戶帶來更好更方便的體驗，亞馬遜云科技在多個國家和地區(qū)建立了嚴格的安全性和合規(guī)性標準，支持眾多安全標準且獲得多項合規(guī)認證，可以幫助我們更加順利、便捷的部署業(yè)務(wù)。”

OPPO始終站在用戶的角度發(fā)自內(nèi)心地踐行安全合規(guī)，而非因為法律的約束被迫去執(zhí)行，這是我們的初心?；贏mazon CloudHSM，我們與亞馬遜云科技攜手構(gòu)建了獨特的數(shù)據(jù)保護體系，將安全合規(guī)內(nèi)嵌在我們每一項產(chǎn)品流程設(shè)計中。

OPPO數(shù)據(jù)安全架構(gòu)師周潔

解決方案丨基于Amazon CloudHSM，

構(gòu)建專屬數(shù)據(jù)保護體系

·全托管、高安全性，Amazon KMS雙層密鑰保障用戶

OPPO對存儲在云端的數(shù)據(jù)有著高等級的安全防護要求，而加密是數(shù)據(jù)保護策略的核心組成部分。對于可以直接托管的應(yīng)用，亞馬遜云科技提供了Amazon Key Management Service（Amazon KMS）密鑰管理服務(wù)，Amazon KMS與140多個亞馬遜云科技其他服務(wù)集成，能夠有效提升安全性能。

例如，OPPO在新加坡、法國和印度的業(yè)務(wù)中，用到了Amazon RDS數(shù)據(jù)庫服務(wù)，而所有的RDS數(shù)據(jù)庫引擎都無縫集成Amazon KMS，并且支持兩層密鑰。這就意味著，OPPO的運維人員可以用唯一數(shù)據(jù)密鑰加密客戶數(shù)據(jù)，同時用Amazon KMS主密鑰加密數(shù)據(jù)密鑰。這種信封加密的方式，既保證了密鑰的安全，又可以在加密大量數(shù)據(jù)時提供更好的性能。通過使用Amazon KMS，OPPO可以輕松創(chuàng)建和控制用于保護數(shù)據(jù)的加密密鑰，并借助Amazon RDS的服務(wù)端加密能力實現(xiàn)安全的數(shù)據(jù)靜態(tài)加密。同時，所有的Amazon RDS數(shù)據(jù)庫都支持強制要求使用SSL連接（Secure Sockets Layer，安全套接層協(xié)議），來實現(xiàn)傳輸過程加密。綜合傳輸過程加密和靜態(tài)加密這兩個層級的保障，敏感的業(yè)務(wù)數(shù)據(jù)可以得到安全保護的同時，還滿足了當?shù)氐姆ㄒ?guī)要求。

對于OPPO開發(fā)的定制化應(yīng)用，由于OPPO在海外的發(fā)展長期而持久，OPPO為海外業(yè)務(wù)應(yīng)用所做的諸多定制化設(shè)計，已經(jīng)與OPPO自有的加密服務(wù)天然深度集成。因此，為了在海外部署自有的加密服務(wù)，OPPO需要硬件加密機來安全存儲和管理海外自有加密服務(wù)所涉及的密鑰。此時，OPPO擁有兩種方案選擇。首先是使用布局在海外的OPPO本地數(shù)據(jù)中心部署硬件加密機，但這一方案可能導致本地數(shù)據(jù)中心在與云上應(yīng)用結(jié)合時，產(chǎn)生網(wǎng)絡(luò)延遲問題，并增加海外數(shù)據(jù)中心的整體運維成本。在經(jīng)過仔細論證后，OPPO選擇了第二種方案，使用亞馬遜云科技提供的云上加密機。

·Amazon CloudHSM，高可用的云上專屬加密機

與市場上諸多加密機不同，亞馬遜云科技所提供的Amazon CloudHSM擁有三大核心優(yōu)勢：

第一：專用安全模塊設(shè)計，Amazon CloudHSM允許用戶在亞馬遜云科技上管理和使用加密密鑰，這些密鑰都存儲在專用的、通過了FIPS（聯(lián)邦信息處理標準）140-2第3級認證的HSM實例上，以滿足企業(yè)、合同和監(jiān)管機構(gòu)對數(shù)據(jù)安全的合規(guī)要求。

第二：從設(shè)計之初就考慮到的全方位安全性，該產(chǎn)品在設(shè)計之初就考慮到了責任分離和基于角色的訪問控制，支持集群管理和密鑰管理職責分離，從管理上避免潛在風險。

第三：按需擴展，按小時付費。OPPO所部署的每一個Amazon CloudHSM集群都至少包含2臺加密機硬件，集群中的加密機硬件會自動同步密鑰并進行負載均衡。OPPO可根據(jù)業(yè)務(wù)隨時擴展加密機硬件容量，從而獲得更高的性能，整個部署過程以小時付費，在不需要時，可以備份和關(guān)閉HSM。

此外，Amazon CloudHSM還簡化了加密機繁雜的管理工作，例如密鑰的備份、集群的擴展、日志的收集，和日常設(shè)備的維護等，使用Amazon CloudHSM，OPPO只需要做好用戶管理和應(yīng)用的集成，因而有更多的時間專注于業(yè)務(wù)上。

OPPO基于亞馬遜云科技的架構(gòu)示意圖

業(yè)務(wù)成果丨全生命周期的數(shù)據(jù)加密服務(wù)，為海量用戶數(shù)據(jù)保駕護航

高度安全、高度可用、彈性靈活的Amazon CloudHSM服務(wù)，滿足了OPPO在安全合規(guī)方面的高等級要求，能夠全面保護用戶的數(shù)據(jù)安全，為海量用戶保駕護航。OPPO運維人員可以隨時靈活調(diào)整Amazon CloudHSM數(shù)量，以應(yīng)對因業(yè)務(wù)增長而增加的用戶連接。相對于本地托管和使用第三方服務(wù)，使用Amazon CloudHSM無需預(yù)付費用，成本模型架構(gòu)更簡單，成本更低，為OPPO節(jié)省了人力、運維以及設(shè)備的購買成本。

得益于亞馬遜云科技全生命周期的數(shù)據(jù)安全服務(wù)，用戶對OPPO產(chǎn)品和服務(wù)更加信任，為OPPO在更大范圍內(nèi)的業(yè)務(wù)拓展打下了堅實基礎(chǔ)。

隨著量子計算、聯(lián)邦學習（FL）、安全多方計算（MPC）、可信執(zhí)行環(huán)境（TEE）等技術(shù)的逐漸成熟與應(yīng)用，OPPO考慮與亞馬遜云科技繼續(xù)開展廣泛而深入的合作，雙方共同致力于增強云端安全通信中的安全保護，堅守安全合規(guī)的“初心”不變，為終端用戶提供更好的數(shù)據(jù)安全保護體驗。

關(guān)于OPPO

OPPO創(chuàng)立于2004年，是一家全球領(lǐng)先的智能終端制造商和移動互聯(lián)網(wǎng)服務(wù)提供商，業(yè)務(wù)遍及60多個國家和地區(qū)。秉承著“科技為人，以善天下”的品牌使命，致力于打造令人怦然心動的偉大產(chǎn)品。希望通過科技創(chuàng)新，推動行業(yè)與社會進步，讓每一位爬坡者在前行路上有伙伴、有力量；即使置身風雨，也能心向光明，微笑前行。