【谈出海】亚马逊云科技助力出海企业数据资产安全合规

关键字: [亚马逊云科技中国峰会2024, Amazon Data Clean Room, 数据安全态势管理, 数据边界控制, 数据共享利用, 数据血缘可视化, 安全人才培养]

本文字数: 1600, 阅读完需: 8 分钟

导读

在亚马逊云科技中国峰会2024上,演讲者分享了出海企业如何确保数据资产安全合规的创新实践。他们阐述了出海企业面临的安全和合规挑战,如数据泄露、勒索攻击、内部威胁和监管要求。为应对这些挑战,演讲者提出了三个步骤:首先建立云安全基础设施,遵循NIST等安全框架;其次重点保护隐私和关键数据,采用数据边界控制、数据共享和利用、敏感数据识别等技术;最后培养安全人才,通过安全冠军计划培养兼职安全人员。演讲者还介绍了亚马逊云科技在数据安全合规方面的产品和解决方案。

演讲精华

以下是小编为您整理的本次演讲的精华，共1300字，阅读时间大约是6分钟。

在当前的全球形势下,安全事件频发态势令人担忧。根据数据,从2021年到去年,仅仅两年的时间,全球数据泄露的安全事件数量就增长了超过70%,这一惊人数字反映出了问题的严重性。与此同时,超过70%的国家都制定了相关的数据隐私立法,对出海企业在合规方面提出了更高的要求和更大的挑战。

出海企业面临的主要挑战可分为两大类:安全类和合规类。在安全类挑战方面,大规模数据泄露会给企业和客户带来极其负面的影响,包括声誉受损和法律责任。一旦勒索攻击成功实施,意味着业务应用系统和数据将完全不可用且无法恢复,对整个业务产生毁灭性打击。此外,部分员工由于缺乏安全意识或利用职权恶意操作,可能导致企业的知识产权、敏感信息和客户数据被盗取和泄露,给企业带来巨大损失。

在合规监管方面,无论是法律法规还是行业标准,都对出海企业提出了严格的要求,构成了重大挑战。为了应对这些挑战,我们将分三个阶段采取相应的应对措施。

第一阶段是建立云安全基础设施。我们建议参考NIST网络安全框架的108个基线,以此作为框架在云上建立起最基础的安全防护。NIST框架被广泛应用于北美地区,如果企业在欧洲开展业务,也可以选择遵循ISO 27001系列标准的130条基线,或者行业内的相关规范,因为它们在本质上是大同小异的。落实这一阶段的目标,就像为一座大厦打好地基,不论上面的建筑外观如何,地基必须坚实可靠。

在建立了这一安全基础之后,亚马逊云科技为企业提供了全方位的云原生安全服务,覆盖预防、检测、响应修复等各个环节,企业可以根据需求综合使用这些服务,从而在各个安全点上实现管控。例如利用IAM服务进行身份访问管理,实现事前预防;使用GuardDuty、Security Hub和Macie等服务进行事中检测;利用Backup和Systems Manager等服务进行事后修复。亚马逊云科技还提供了安全可视化和持续监控的工具,让CISO能够时刻掌握安全状况,如安全分数、风险评估等,使安全可视化、可持续、可监控。

第二阶段是保护核心数据资产。数据安全和合规性是出海安全合规中最关键的一环,需要从法律和技术两个角度采取全方位的措施。我们将数据安全放在数据治理的整个生命周期中来看,通过人、机制和技术的完整闭环,来提升数据质量和利用率,同时满足数据安全和合规性要求。

其中一个非常重要的环节,就是建立清晰的数据访问边界。我们从身份、资源和环境三个维度,制定了严格的多重保护策略,只有合法身份、可信资源和可信环境三者同时满足,数据访问才被允许,否则一概拒绝。通过这种方式,我们能够对数据访问实现深度的安全防护,从根本上杜绝不当访问。

随着数据源越来越多、数据碎片化加剧,以及安全控制导致数据流动受限,数据利用和共享面临着严峻挑战。但作为出海企业,我们希望在安全合规的前提下,最大化数据利用和共享。为此,我们基于Amazon Web Services Clean Room服务,搭建了一套体系,通过数据交换和共享,提高数据利用率。

在这一过程中,我们采用了多种技术手段来确保安全合规,其中一项重要的技术就是识别和保护敏感数据和个人数据。我们利用Amazon Comprehend等服务,能够自动识别各类个人数据及其类型,然后对这些数据进行匿名化或假名化处理,从而在共享时最大限度地减少个人数据泄露风险。一个例子是,Comprehend可以非常准确地识别出姓名、电话号码、电子邮件地址等个人数据,并给出相应的置信度分数。

此外,我们发现日志数据往往是出海企业在数据安全合规方面的一个薄弱环节。日志文件中常常随意输出敏感信息和个人数据,且后续处理也存在安全隐患。为此,我们基于Amazon CloudWatch Logs等服务,开发了相关工具,能够自动识别并去标识化日志中的敏感数据,从而加强日志数据的安全管理。

过去,我们更多关注的是网络安全态势管理,但现在越来越多的客户将重心转移到数据安全态势管理上来,因为数据已经成为企业最重要的资产。数据安全态势管理能够帮助我们发现数据合规管理流程中的薄弱环节,如影子数据等未纳入管控的数据,及时发现数据安全漏洞,并采取相应措施提升数据安全成熟度。

在数据安全管理过程中,我们往往缺乏良好的可视化手段。因此,我们基于开源软件搭建了数据血缘可视化工具,能够清晰展现数据的整个流动路径,从而审视数据流动中的合规性,为后续的数据安全合规治理提供了有力抓手。这一工具甚至能支持PB级别的海量数据集成。我们还可以与安全领域的合作伙伴集成,对多云和混合云环境进行统一的安全管理。

第三阶段是培养安全人才。我们意识到,出海企业在初期往往无法拥有资深的安全团队,但合规要求迫使企业必须配备相应的安全人员。为此,我们推出了Security Champion Program,通过实训的方式,快速提升企业内部兼职安全人员的能力,使他们能够承担起一定的安全职责。

我们不仅对安全岗位的职责进行了清晰定义,还提供了真实操作式的培训,而非纸上谈兵式的考试培训。我们甚至可以在沙箱环境中为企业搭建安全事件应急响应平台,让企业可以在其中开展模拟演练,以提高实战能力。

总的来说,我们为出海企业量身定制了一整套创新的解决方案,分三个阶段有序开展:首先建立云安全基础设施,然后重点保护核心数据资产,最后培养企业自身的安全人才,使企业能够在遵守合规要求的同时,最大限度保护数据资产安全,助力业务发展。这一解决方案切合出海企业的实际需求,具有很强的操作指导意义。

下面是一些演讲现场的精彩瞬间：

在亚马逊云科技中国峰会2024上,主讲人通过提问互动的方式,了解与会者公司的出海业务情况和安全合规挑战,为后续分享做好铺垫。

亚马逊云科技中国峰会2024上,演讲者强调了企业面临的三大安全挑战:数据泄露、勒索攻击和内部员工风险,呼吁加强安全防护。

亚马逊云科技中国峰会2024:云安全工具之间的协同关系,为检测和应对威胁提供全面解决方案

亚马逊云科技中国峰会2024:通过多重保护建立清晰的数据访问边界,实现深度安全保护策略

亚马逊云科技在数据安全管理方面采用数据血缘工具,可视化数据流动情况,有助于识别合规和安全的数据流动,为数据安全合规治理提供良好抓手。

亚马逊云科技为客户提供”安全卫士计划”,帮助培养兼职安全人才并强化现有安全人员的能力,通过实训平台进行真实操作培训和演练。

总结

亚马逊云科技专家分享了助力出海企业数据资产安全合规的创新实践。他们强调,面对日益严峻的安全威胁和不断升级的合规要求,出海企业需要采取全面的数据安全和合规管理措施。首先,企业应基于权威安全框架(如NIST)建立云基础设施安全基线,利用亚马逊云科技安全服务构建可视化、可持续的安全监控体系。其次,企业需重点保护核心数据资产,通过数据边界控制、数据共享和利用优化、敏感数据识别等手段,实现数据安全合规。最后,企业可借助亚马逊云科技安全人才培养计划,快速提升内部安全人员的专业能力,助力企业高效应对出海过程中的安全合规挑战。

亚马逊云科技专家呼吁出海企业高度重视数据资产安全合规,采取创新实践,从人、技术、流程多维度全面加强数据安全合规管理,为业务出海保驾护航。亚马逊云科技专业服务团队将一如既往地为客户提供全方位的安全合规支持和服务。

2024年5月29日，亚马逊云科技中国峰会在上海召开。峰会期间，亚马逊全球副总裁、亚马逊云科技大中华区总裁储瑞松全面阐述了亚马逊云科技如何利用在算力、模型、以及应用层面丰富的产品和服务，成为企业构建和应用生成式 AI 的首选。此外，活动还详细介绍了亚马逊云科技秉承客户至尚的原则，通过与本地合作伙伴一起支持行业客户数字化转型和创新，提供安全、稳定、可信赖的服务，以及持续深耕本地、链接全球，助力客户在中国和全球化发展的道路上取得成功。