首先�����,它是一個中心化的平臺����,它可以發(fā)現(xiàn)多個亞馬遜云科技(AWS)賬號下的數據資產,并生成一個數據目錄�。另外,它還提供了可視化管理界面�����,可以方便用戶開展安全合規(guī)相關工作���。
最重要的是����,SDP可以自動識別敏感數據�,可以發(fā)現(xiàn)用戶存放在RDS數據庫�����,S3對象存儲等等數據源里的敏感數據�。值得注意的是���,它利用了機器學習等技術實現(xiàn)自動識別����,避免了手動識別敏感數據的麻煩��。
陳曉建介紹稱����,“敏感數據保護(SDP)”是一個完全開源的云原生解決方案,用戶完全可以進行自助部署��。當企業(yè)數據量特別多且特別分散時����,或者當數據類型不好判斷時,就能用SDP快速識別敏感數據����,以此提高工作效率���。
除了SDP以外,亞馬遜云科技為中國用戶開發(fā)了高級版的SDP PE�,它除了有SDP的功能以外�,還提供了跨境傳輸數據的相關功能,幫助在中國運營的企業(yè)在數據跨境傳輸方面實現(xiàn)合規(guī)���。
數據可見——支撐企業(yè)內部的數據協(xié)作
顧名思義�����,“數據可見”要解決的是數據能不能被看見的問題�。只有看見數據之后����,數據團隊和業(yè)務團隊的協(xié)作才能真正開始。
從陳曉建的介紹中了解到�����,集中式和聯(lián)邦式是比較常見的兩種協(xié)作方式���。
集中式的方式當中��, 負責治理運營的人主要集中在數據團隊����,集中式方式能夠實現(xiàn)快速的決策和高效的執(zhí)行。這種做法結構較為簡單���,易于實施和控制��,更適合剛開始數據分析之旅和小型組織的企業(yè)����。
聯(lián)邦式的方式當中��,特定團隊負責制定治理原則���,但負責治理運營的人分散在各業(yè)務線���,每個業(yè)務部門都擁有自己的數據,并在組織的監(jiān)督下做出決策�,以滿足其特定需求和目標。適合有多個業(yè)務部門的中大型企業(yè)或跨國企業(yè)�。
兩種類型的協(xié)作方式都需要多個角色高效協(xié)同,特別是聯(lián)邦式治理方式,它對于“數據可見”的需求更為迫切��。
在“數據可見”需求的推動下����,亞馬遜云科技在推出了一個全新的管理數據的服務Amazon
DataZone,它能讓企業(yè)每個角色的人都能看見數據��,然后解鎖數據價值����。
它可以讓用戶更輕松地對存儲在亞馬遜云科技�����、本地和第三方來源的數據進行編目�����、發(fā)現(xiàn)����、共享和治理;它可以通過精細的控制工具管理和治理數據訪問權限��,確保數據訪問發(fā)生在正確的權限和正確的情境之下;它可以讓數據開發(fā)者����、數據科學家、分析師和業(yè)務用戶輕松訪問整個組織的數據���,通過數據進行協(xié)作來獲得洞察����。
Amazon
DataZone一端連接著數據的生產者��,一邊連接著數據的使用者(消費者)�����,它幫助數據生產者便捷地分享數據���,也讓數據的使用者能以自服務的方式看到并用到數據�����。
“數據可協(xié)作”——面向外部合作伙伴的數據協(xié)作
正常運營的企業(yè)��,除了要在內部協(xié)作���,也免不了與外部第三方合作伙伴進行產業(yè)協(xié)作�,過程中難免需要共享一些數據�����,這些共享數據的安全要如何保障呢���?
傳統(tǒng)做法中��,是把數據拷貝給合作伙伴��,通過合同協(xié)議來防止數據泄露,但這種做法依然存在數據誤用和泄露的風險��。
陳曉建介紹稱����,亞馬遜云科技提供了一種“數據可用而不可見”的能力,讓第三方合作伙伴可以使用數據����,但不能看到原始數據,能把基于數據運算的結果帶走��,但不會把原始數據帶走,這種能力來自Amazon Clean Rooms�����。
如上圖所示���,Amazon
Clean Rooms的一端是參與協(xié)作的組織�,另一端則是Amazon S3對象存儲��。協(xié)作過程前后����,數據都一直存放在Amazon S3里,而且��,協(xié)作方看到的數據是加密過的�����。所以�����,原始數據不會被移動�����,也不會被暴露。
此外����,AWS Clean
Rooms還提供了一個密態(tài)計算的環(huán)境,它可以加密的形態(tài)完成數據分析操作����,并將分析結果解密并返回。整個協(xié)作中的數據都處于加密狀態(tài)�,最大限度地保證了數據安全。
陳曉建還提到了一個幫助企業(yè)利用外部第三方數據的服務——Amazon Data Exchange�,它可以簡化獲取第三方數據的麻煩,幫助企業(yè)在云上找到�、訂閱和使用第三方數據。
目前���,AWS Data
Exchange已經可以提供超過3500種的第三方數據,數據來源包括金融����,天氣,地理空間�,健康醫(yī)療等等非常多的行業(yè)和領域��。
安全數據的可操作���,可操作的安全數據
多樣化的安全問題,需要多種安全方案����。來自Gartner的數據顯示,有43%的企業(yè)采用了超過10家以上的安全產品�����。
越來越復雜的安全技術架構帶來了額外管理負擔�����,如何高效管理日志數據���,并能在安全事故中通過分析日志快速追溯到源頭�����,變得越來越有挑戰(zhàn)��。
陳曉建介紹稱�,由于歷史的原因,企業(yè)所使用的安全系統(tǒng)并不統(tǒng)一��,不同的廠商安全系統(tǒng)的日志格式也各不相同��。為了解決這一問題�,亞馬遜云科技創(chuàng)立了業(yè)界首個安全數據湖——Amazon Security Lake,它可以統(tǒng)一管理安全日志���,并利用日志進行安全分析�����。
為了解決安全日志格式不統(tǒng)一的問題��,從2022年開始�����,亞馬遜云科技聯(lián)合了15家安全行業(yè)的頭部企業(yè)推出了OCSF(Open Cybersecurity Schema Framework)的開源協(xié)議框架�����,目前,已有130多家安全企業(yè)支持OCSF����。
Amazon
Security Lake可以自動搜集來自亞馬遜云科技安全產品的日志�,其他公有云以及第三方安全系統(tǒng)的日志�,統(tǒng)一使用OCSF把日志存儲到Amazon S3上。整個流程中�����,亞馬遜云科技會使用KMS這樣的加密服務來實現(xiàn)自動化的加密管理�����。
整合而來的數據�,隨后可以使用Amazon Athena、Amazon SageMaker等數據分析和人工智能服務����,也可以使用第三方合作伙伴的數據分析工具進行分析,為后續(xù)安全處置過程提供依據��。
結束語
以上�����,就是亞馬遜云科技在數據安全合規(guī)方面的四大舉措�����。
在業(yè)務數據層面,SDP識別隱私數據的能力對于合規(guī)工作很有幫助�,Amazon DataZone打通數據生產者和消費者的能力對于企業(yè)內部協(xié)作很重要,Amazon
Clean Rooms對于企業(yè)與外部的協(xié)作很關鍵��。
在安全數據層面�����,亞馬遜云科技憑行業(yè)影響力牽頭打造的OCSF�����,對于安全行業(yè)的發(fā)展有顯而易見的積極貢獻��,配合Amazon Security
Lake安全數據湖�����,打開了解決安全問題的新思路��。
亞馬遜云科技在安全領域也保持著開放態(tài)度�����,更多細分領域的安全問題����,將由亞馬遜云科技的合作伙伴來提供,中國市場上�,
包括安恒信息和微步在線等安全企業(yè)都在合作伙伴列表當中。
