在亚马逊云科技,为满足客户不断变化的需求,亚马逊云科技持续创新与迭代,设计的服务能帮助客户满足最严格的安全和合规性要求。针对安全相关工作,亚马逊云科技服务团队与Amazon Security Guardians云守护者项目密切配合,始终保持服务的高标准。同时,亚马逊云科技内部的合规团队密切监测世界各地的安全管控要求,并通过与外部审计团队合作,对亚马逊云科技的服务针对这些要求进行第三方验证。
安全是基石
在亚马逊云科技,安全是首要任务。实现合规性或许充满着挑战,但通过将安全作为亚马逊云科技所有工作中不可或缺的部分,可以帮助亚马逊云科技遵守更广泛的合规要求、记录合规性,并向审计员和客户证明亚马逊云科技的合规性。
亚马逊云科技的安全性始于安全合规的全球云基础设施,企业无论规模大小均可获得一致的云安全体验。展开来讲就是,亚马逊云科技的基础设施不仅根据安全最佳实践和最高标准来建立和管理,而且还考虑了云的独特需求,采用冗余和分层控制、持续验证和测试,大量使用自动化,确保底层基础设施得到7X24小时全天候的监控和保护,以满足跨国银行等高敏感组织的安全合规需求。
此外,亚马逊云科技还支持143项安全标准与合规性认证,帮助企业满足全球几乎所有监管机构的合规要求。亚马逊云科技管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件,同时为企业提供了广泛的最佳实践、加密工具与其他指导,帮助企业完善应用层面的安全措施。
随着审计员深入了解亚马逊云科技所做的事情,亚马逊云科技甚至可以帮助他们改进和完善审计方法。这也提高了亚马逊云科技直接向客户所提供报告的内容深度和质量。
其中,通过Amazon Artifact提供亚马逊云科技安全与合规性文档的按需下载,例如亚马逊云科技ISO认证、支付卡行业(PCI)报告和服务组织控制(SOC)报告。可以向审计员或监管机构提交安全与合规性文件(也称为审计项目),以证明使用的亚马逊云科技基础设施和服务的安全性和合规性。也可以使用这些文档作为指导来评估自己的云架构和评估公司内部控制的有效性。
安全规模化的挑战
据亚马逊云科技了解,很多客户都致力在安全、合规性和生产效率之间取得平衡。例如,将他们的应用程序快速提供给他们的用户。在此之前,可能需要对这些应用程序进行审计。传统的流程一般包括编写应用程序、投入生产,交由审计团队检查以确保符合合规标准。这种方式可能会引发一些问题,比如因为反复增加合规需求而导致开发团队返工,甚至可能导致开发人员的反感。
以传统方法强制贯彻合规要求,非但不会帮助规模化,甚至还会导致团队关系更加复杂,出现很多分歧。那么,如何快速且安全地进行规模化?
用技术语言来表达合规要求
赢得开发团队信任的第一种方法是用他们的语言。使用开发人员所使用的术语和参考文献,并了解他们正在使用的开发、部署和保护代码的工具至关重要。让工程团队将各种合规要求(通常是模糊的)转化为工程规范,这种要求既不高效也不现实。合规团队应该使用工程师熟悉的语言,并努力将所要求的内容转化为具体且必须执行的事项。
另一个规模化的策略是将合规要求嵌入到开发人员的日常工作中。合规团队让开发人员能够像往常一样完成工作,而不进行干预。如果这一战略取得成功,合规路径成为简单且自然的路径,那么这种方法将实现合规性的规模化,并能够促进团队之间的理解和协作。这种方式还将有助于打破开发人员与审计、合规团队之间的障碍。
将审计员和监管机构视为合作伙伴
我们应该把审计员和监管者当作真正的业务合作伙伴。独立审计员或监管机构深入了解各行业客户是如何在其产品中使用企业所提供的安全,因此他们能够对报告的最佳使用方式给出宝贵见解。虽然,有时人们可能会将监管机构视为对手,但最好的方法是与监管机构开诚布公地交流,帮助他们了解企业的业务以及带给客户的价值,增强他们对企业技术和流程的认知。
在亚马逊云科技,使用多种方式帮助审计员和监管机构快速了解。例如,亚马逊云科技举办数字审计研讨会(Digital Audit Symposium),介绍亚马逊云科技如何在安全和合规方面针对特定服务的管控和运营。同时,还开设了云审计学院(Cloud Audit Academy),提供了与云无关的以及亚马逊云科技特定的培训课程,帮助现有和潜在的审计、风险和合规领域专业人员了解如何对受监管的云工作负载进行审计。亚马逊云科技认为,与审计员和监管机构合作是合规性规模化的关键。
将安全作为基础,对于推动和合规规模化至关重要。使用工程师熟悉的语言,有助于他们保持工作节奏而不会被打断,并将尽可能简化合规路径。尽管仍然存在一些阻碍,但对于金融服务和医疗保健等受到高度监管的企业而言,将审计员视为合作伙伴仍是一种积极的战略转变。越是积极主动地帮助审计员完成工作,企业就能越快地收获他们给业务带来的价值。