网络安全一直被算作企业IT的一部分,甚至是企业IT中的网络产品线的组成部分。但在很多企业当中,安全是与合规在一起的,不只是IT部门的事情,而成为企业整体战略的重要组成部分。安全合规的重要性和独特性,由此体现。
这样的组织架构不仅表现在企业用户身上,也表现在与企业密切接触的咨询公司身上。德勤中国的网络安全事业群负责人薛梓源,就隶属于德勤的风险咨询部门,而没有与其它IT咨询团队在一起。
由此看来,在IT服务中,安全合规重要而独特。作为企业最高优先级的工作之一,如今的安全合规,更加需要依靠生态合作的力量,需要建立起责任共担的机制。
相比自建数据中心,企业上云的一个常见顾虑就是担心安全问题。其实,这是一个不必要的顾虑,甚至恰恰相反。
亚马逊云科技大中华区战略业务发展部总经理顾凡认为,上云能够让企业的安全体验更上一个台阶。
他说,企业自建数据中心的时候也要构建安全,只不过需要自己从零做起构建一切,考虑到安全设备管理、合同签订、成本等各种问题。当应用上云之后,企业并不需要关心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。
也就是说,客户如果选择亚马逊云科技,就可以继承云厂商的合规,不必从零做起,可能是从50分做起,因为云厂商已经做好了另外50分。这大大节省了企业的前期投资,并实现了安全服务的按使用付费,做到更灵活的成本控制。
此外,客户还可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地的环境下,采用的是不同厂商的产品,安全数据整合非常复杂;而在云上,服务之间的深度集成,会让数据整合变得更简单。
既然客户是在云厂商的“50分”基础上构建自己的安全体系,那么双方之间的责任共担也就顺理成章了。
顾凡表示,亚马逊云科技首创了安全责任共担模型,推动安全及合规建设。亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。
责任共担的分界线,在IaaS、PaaS、SaaS不同的场景会有所不同。如果客户使用的是IaaS服务,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。如果客户采用的是PaaS服务,亚马逊云科技肩负的责任会更多。到使用SaaS服务的时候,客户的主要负责就是数据和访问权限,其它工作都交给了云厂商。
既然云厂商要承担重要责任,那么其自身的安全合规就尤为重要了。为此,亚马逊云科技通过四个方面保证自身的安全合规:安全的基础设施、安全的云服务、坚持客户拥有和控制数据的理念、获得安全标准和合规性认证。
目前,亚马逊云科技提供了280多种安全合规服务及功能,从而为客户打造起五层防护体系,这也被称为亚马逊云科技安全合规的洋葱型多层防护。洋葱模型的五层分别是:威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规。这样多层次的安全防护,层层递进,层层展开。
在云厂商与客户责任共担的同时,安全合规领域的生态合作也同样重要。云厂商需要与合作伙伴共同提供安全解决方案,从而实现对客户应用和数据安全的多层保护。
德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源认为,对于企业而言,安全并不仅是技术问题,而是与业务存在紧密关系。他举例说,欧洲国家对于汽车厂商的安全合规有很高的要求,国内车企出海时就必须首先实现安全合规,否则无法在海外开展业务。
这些企业就需要有服务商能够为其提供端到端的安全服务,并且对服务商的行业经验有着很高的要求。德勤的安全合规服务,实现了从咨询到部署再到运营的端到端服务,包括基础设施安全服务、应用安全服务、安全合规服务及安全托管服务。德勤多年来通过为各行各业提供咨询服务而积累的行业认知,也成为其安全服务的核心竞争力。
在服务客户的过程中,德勤也与亚马逊云科技紧密合作,来提升安全服务的能力和方案的完整性。去年7月,双方合作建设了云上安全实验室,共同为客户提供安全信息和事件管理解决方案。近期,德勤中国还构建了基于亚马逊云科技的安全运营中心服务,能够为客户提供安全监管、安全事件管理、威胁狩猎、安全产品托管、日志管理、漏洞管理等安全合规服务。
薛梓源表示,作为风险管理和网络安全服务市场的领导者,德勤帮助客户将信任、韧性、安全有机互联,从而实现行稳致远,适变长青。
