亚马逊云科技：数据安全无忧，才能释放价值

面对来自数据安全与应用的挑战，企业应该如何保障数据安全和释放数据价值？

企业数据安全与应用的挑战

伴随着云计算、大数据等新兴技术的风起云涌，每天都有海量的数据诞生，同时也有越来越多的企业开始习惯于通过这些数据来进行产品开发和服务客户。从某种意义上来说，数据已经成为了驱动企业创新与发展的源动力。来自埃森哲2023年的一份报告更是指出，有90%的企业高管认为，数据已经成为一个组织内部和跨行业竞争的关键因素。

然而许多企业在实践中也发现，安全合规与数据应用之间经常会存在彼此矛盾的关系。合规团队需要保证敏感数据能被有效识别并得到合理的保护和存储；数据+业务团队需要在确保数据安全的前提下进行高效协作；运营和安全团队希望在自身范围内满足所有与数据安全相关的需求，并应对由此带来的挑战……那么在数字经济时代，企业怎样才能更好地通过数据资产实现创新增长？如何才能在保证数据本身安全合规的前提下，最大限度地促进数据的流通与应用，进一步释放数据资产的商业价值？

“通过我们日常的工作观察，我们看到用户希望：自身业务数据中的敏感数据可以被轻松地识别并提供有效的保护；企业的数据消费团队可以方便快捷地找到企业内部有价值的数据资产并快速加以利用；企业可以与合作伙伴以及产业上下游的企业进行安全高效的数据共享与协同分析；与此同时，所有的数据操作与安全事件可以被统一地监控与管理，以帮助安全团队可以指定合理的安全事件策略和进行快速应对。”亚马逊云科技大中华区产品部总经理陈晓建向趣味科技表示。

陈晓建指出，对于企业在数据的安全合规与流通应用中面临的挑战，亚马逊云科技将其归纳为四个方面，分别是业务数据的识别、可见、协作以及安全数据的可操作。亚马逊云科技一直在努力针对这四大场景提供创新服务和解决方案，来帮助用户更好地应对这些挑战。

数据识别

在数据识别方面，亚马逊云科技能够如何帮助用户识别敏感数据，从容应对合规方面的挑战？

近年来，数据合规开始成为越来越多企业高度关注的热门话题。从欧盟的GDPR，到美国的ADPPA，全球各地都连续出台了隐私保护法案或是强化隐私保护的相关法案。包括中国也针对隐私数据和敏感数据保护，制订了《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例》等，对个人数据、敏感数据的定义和使用提出了具体要求。

陈晓建指出，企业要实现数据的安全合规，需要人、流程、工具全链路的相互配合。而为用户的业务和计算负载提供最合适的工具，一直以来都是亚马逊云科技投入的方向。包括敏感数据的发现与识别，亚马逊云科技也是通过敏感数据保护解决方案（Sensitive Data Protection on Amazon Web Services, 简称SDP）等量身定制的工具产品与解决方案，与合作伙伴一起为用户提供价值。

利用机器学习、模式匹配等方式自动识别敏感数据，敏感数据保护解决方案SDP允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型。该解决方案还提供中心化的管理平台，客户可通过网页应用程序对敏感数据资产进行可视化管理。通过敏感数据保护解决方案，客户可以加速实现业务数据合规，为下一步释放数据价值铺平道路。在存量数据多且分散，需要发现四处分散的数据，以及在数据类型不好判断的情况下，自动根据合规要求来识别数据类型，提高准确率等应用场景，该解决方案都可以大展身手。

数据可见

如何才能保证数据在组织内能够被安全有效地发现、共享和协作？陈晓建指出，数据可见是企业内不同角色高效挖掘数据价值的前提，同时也是不同治理模式高效协同的基础。

在数据团队和业务团队的协作方式上，最常见的主要有集中式和联邦式这两种类型。其中集中式指的是负责治理运营的人主要集中在数据团队并负责所有治理工作，这种方式结构较为简单，易于实施和控制，能够实现快速的决策和高效的执行，更适合刚开始数据分析之旅和小型组织的客户；而联邦式是总的治理原则/政策有特定团队负责，但负责治理运营的人可以分散在各业务线，这样业务部门可以拥有自己的数据并在组织的监督下做出决策，以满足其特定需求和目标，更适合多BU的中大型企业或跨国企业。这两种协作方式都需要多个角色高效协同，特别是联邦式更是对“数据可见”有着极为迫切的需求。

在这样的客户需求背景下，为了让每个人都能看见数据，解锁数据，亚马逊云科技在2022年推出了一项全新的数据管理服务——Amazon DataZone。该服务可以让客户更快、更轻松地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理，同时可以使用精细的控制工具管理和治理数据访问权限，确保数据访问发生在正确的权限和正确的情境之下。该服务还使得广大数据开发者、数据科学家、分析师和业务用户，可以轻松访问整个组织的数据，从而发现、使用数据，通过数据进行协作来获得洞察。

多方协作

通过多方协作，让数据可以安全地共享和分析，需要产业上下游数据协作来快速创新，同时也为创新注入了活力。

陈晓建指出，在实际的场景中，数据协作的所有参与者，都需要面对数据保护与业务价值安全之间的权衡。有的企业实现数据协作的方式，是向合作伙伴提供数据副本，并依赖合同协议防止滥用。但显而易见的是，这种方式仍然产生了数据移动，存在数据误用和泄漏的风险。

为了解决这类问题，亚马逊云科技推出了Amazon Clean Rooms，实现了匹配、分析和协作彼此的数据，而不需要移动或者暴露原始数据，安全地实现数据分析协作。通过该工具，用户可以在几分钟内创建一个安全的数据Clean Room，通过创建协作项目实现数据的多方协作。数据提供方不仅可以通过数据预加密来保护数据，而且因为所有成员都是直接从自己的Amazon S3贡献数据，真正实现了只有数据查询和分析而没有数据移动。值得一提的是，该工具还提供了一个密态计算的环境，数据提供方在Clean Rooms环境中的数据能够以加密的形态完成数据分析操作，并将分析结果解密并返回，在数据安全得到最大保护的同时，还在协作方之间充分开发了数据价值。

在生成式AI时代，企业需要更多第三方的数据来协作创新。但是对于大多数企业来说，想要获取第三方数据却并不容易。为此亚马逊云科技提供了一项工具Amazon Data Exchange，让用户可以极大地简化获取第三方数据的过程。陈晓建表示，Amazon Data Exchange已经提供了超过3500种的第三方数据，数据来源包括金融、天气、地理空间、健康医疗等非常多的行业和领域，让用户可以轻松地在云上找到、订阅和使用自己想要的第三方数据。该工具还支持包括Amazon S3注入、查询表接口（query tables）以及API调用等多种访问方式。另外由于整合了亚马逊云科技的身份和访问控制管理系统（IAM）来设定权限，用来监控实际的访问过程，所有数据在Amazon Data Exchange存储和传输时都是加密的，有效地保障了用户的数据安全。

数据可操作

针对安全类的数据，亚马逊云科技主张实现数据可操作，即安全日志的统一管理及分析。

“所有的客户业务发展之后都会面临一个问题：背后的IT系统越来越复杂，所需要的IT供应商变得越来越多。从整个大背景来看，我们看到了一个越来越明显的趋势，那就是客户越来越重视安全工作，并且也在注重如何把这个工作做得更高效。在Gartner发布的2022年网络安全重点趋势里，安全供应商的整合排到了第4位。在2020年有29%的客户在寻求安全供应商的整合，仅仅过了2年，到2022年这个数字就变成了75%。”陈晓建透露。

陈晓建指出，企业要想在短时间内做到整合安全厂商，是有相当大的挑战和难度的，亚马逊云科技的解决方法是建立一个安全数据糊，统一管理来自不同厂商的日志，并且让这些日志可被用来进行安全事件的分析。

对于用户来说，Amazon Security Lake可以自动将来自多云、本地和第三方的安全数据集中到一个专门构建的数据湖中，并且具有多个特点：一是可以自动搜集并存储亚马逊云科技安全产品（如Amazon GuardDuty，Amazon Security Hub）的日志，以及第三方乃止线下安全设备的日志，并且使用OCSF统一格式；二是使用Amazon S3集中存储日志，可以充分利用Amazon S3的存储性能，将日志分层管理，提高性价比；三是和其他亚马逊云科技提供的服务一样，该数据湖本身的安全性由亚马逊云科技提供保证，譬如里面就集成了亚马逊云科技的加密服务Amazon KMS，可以实现自动加密管理。

“如今是一个数据爆炸的时代，迈入2023年以后，云上的业务越来越复杂，企业的业务发展和数据规模的扩大，也带来了数据的识别、可见、协同、可操作等多方面的挑战。只有真正实现了数据安全，才能释放数据背后的价值。”陈晓建说道，“亚马逊云科技从第一天就把安全作为我们的最高优先级，并借助云原生的安全特性和强大的数据分析工具，为企业用户上云并且实现数据安全、合规和实现数据协同提供全程的保驾护航，与用户一起共创未来。”