中国企业迎来出海大潮，如何保障数据安全合规？

在拓展海外市场的过程中，兆珑科技在数据安全合规上的心得体会，相信可以让众多企业获益匪浅。

业务覆盖全球的行业领导者

在近年来轰轰烈烈的中国企业出海大潮中，深圳市兆珑科技有限公司（以下简称“兆珑科技”）可以说是非常典型的一个范例。

作为百富集团旗下的子公司，兆珑科技的主要业务是全球化的物联网设备管理平台以及商用终端产品。截至目前为止，兆珑科技业务在全球覆盖的国家和地区已经超过了100个，平台设备量超过了1000万台，不同行业商户解决方案及应用已经超过了1万个，已经成为了当之无愧的行业领导者。

与此同时，作为一家物联网生态企业，兆珑科技还打造了一个庞大的物联网生态系统，从而能够充分为产业赋能。据该公司云安全专家顾问李少奕介绍，其生态系统主要包括以下四个组成部分：

1、设备制造商：兆珑科技平台提供了丰富的标准化协议和接口，只需要进行简单适配，不同设备制造商的设备就能轻松地接入平台。轻松实现在同一个平台管理各种不同类型和厂商的设备，为设备赋能，使各种物联网设备更加智能化。

2、设备拥有者：通过兆珑科技提供的SaaS平台，设备拥有者可以创建属于自己的独立品牌市场，并有效地管理、运维和监控自有设备。同时，他们还可以利用平台提供的多种增值服务，提升运营效率，创造更多价值。

3、商户：兆珑科技平台为商户提供了全面的行业解决方案和大数据分析等多种增值服务，商户可以轻松的实现降本增效，有效的提升自身业务水平。

4、服务提供商：兆珑科技平台为第三方服务提供商打造了一个开放、合作和共赢的开发者平台。这里汇聚了广泛的商机，让服务提供商能够轻松触达众多商户。他们可以为平台上的海量商户提供各种商业应用和服务，实现与平台的互利双赢。

公司业务痛点与理想解决方案

在业务不断发展壮大的同时，随着设备量、数据量的飞速增长，兆珑科技每天的数据量也在急剧增加。之前兆珑科技所采用的安全分析平台以及第三方的SIEM（Security Information and Event Management，安全信息与事件管理）解决方案，已经无法满足公司业务的需求。

深圳市兆珑科技有限公司云安全专家顾问李少奕向趣味科技透露，兆珑科技在企业数据安全与应用上遭遇的痛点与挑战，主要来自以下几个方面：

1、安全合规的监管要求：金融行业最高标准的PCI-DSS合规，要求对涉及支付设备管理的物联网通用设备平台的审计日志设置监控和报警，这就需要让云上的事件是可见的，提升更高的可见性，而且要有实时的预警。

2、数据孤岛与海量信息处理：兆珑科技的环境是多元化的，会导致数据孤岛的现象。兆珑科技的内部环境包括本地防火墙和云上多来源日志，另外由于设备量非常大，每天新增数据也非常多。每天约2亿条、超过50GB的安全数据，给现有的SIEM平台带来了很大压力。

3、数据持久性与机密性要求：在数据持久性方面，PCI-DSS也要求数据至少要保存一年，有三个月的热数据，同时对机密性也有要求，需要用高强度的安全密钥进行加密，并且要对数据有权限管理、访问限制。

4、多样化数据分析工具需求：这些需求包括可视化、报警、快速分析以及未来可能做一些基于业务的预测的模型，而且要与云上的服务进行原生集成。

李少奕指出，为了解决以上痛点，兆珑科技的理想解决方案需要具备以下几个特征：

1、提高云上资源的安全性，能够满足PCI-DSS金融合规的标准和要求；

2、降低日志存储成本，提升对账户、混合环境下日志的收集、管理效率；

3、能够对安全数据进行生命周期管理，拥有日志的加密、IAM管理功能；

4、支持多样化分析工具，满足不同的分析需求（包括轻盈化查询、可视化、报警、准确预测等）。

携手亚马逊云科技构建安全合规平台

为了解决业务痛点，兆珑科技选择了亚马逊云科技作为合作伙伴。而亚马逊云科技也针对企业的实际情况，有的放矢地给出了相应的解决方案。

举例来说，亚马逊云科技的Amazon Security Lake安全数据湖可以自动收集合规要求里最关键的四种数据：VPC的Flow Log，记录了网络层级的审计的事件；Resolver Query Log，对于VPC内部的DNS访问有审计的日志；CloudTrail，记录云上所有API的访问；Security Hub，集成了非常多的不同的云安全服务，譬如Config合规性检测、Inspector漏洞管理、GuardDuty云上威胁检测等。

针对集成本地日志，譬如Cisco Firewall Logs，由于Cisco是亚马逊安全数据湖众多的OCSF日志格式供应商合作伙伴之一，它原生支持OCSF格式的日志，我们可以直接将其导入Security Lake中进行安全数据分析，显著提升了日志收集和处理的效率。针对云上用户的行为日志、ELB、CloudFront以及WAF Logs的一些访问请求日志，可通过日志的标准格式化转成OCSF格式，统一导入到Security Lake进行集中储存和管理，并且能够用Amazon Macie对敏感数据进行发现和保护。

通过容量预置的方式，亚马逊云科技提供的Amazon Athena不但可以帮助企业控制成本，而且能够提升查询效率；Amazon SageMaker可以训练基于业务的威胁检测的模型；Amazon OpenSearch提供了可视化和报警的功能；通过集成Splunk，兆珑科技还可以利用亚马逊云科技合作伙伴的能力去分析安全数据。

依托亚马逊云科技的安全性、稳定性以及扩展性，兆珑科技在赋能自身业务的同时，也为客户带来了更好的体验。“对于出海的业务，亚马逊云科技给我们提供了很大的帮助，首先亚马逊云科技的基础设施在全球覆盖的国家和地区非常广，超过了240个；亚马逊云科技在全球的安全标准和合规性认证数量非常多，超过了140项；亚马逊云科技的安全合规服务与功能超过了300项，可以完美地满足我们的业务需求；另外我们利用亚马逊云科技的责任共担模型实现‘合规继承’，不但可以更好地保证好云平台上的用户的数据，而且还为我们的用户带来了更多的信心，让客户可以更放心地使用我们的平台。”李少奕表示。

双方携手的合作收益与共创未来

李少奕透露，与亚马逊云科技的携手合作，让兆珑科技取得了立竿见影的收益：

1、满足了PCI-DSS对日志的监控与分析的全部9项要求；

2、安全日志收集效率提升了40%，安全日志存储成本降低了60%；

3、可以对企业的安全数据进行安全、有效的管理，因为Amazon S3集中地管理了企业组织账户下所有账户的安全数据；

4、通过Amazon Athena、Amazon SageMaker等安全分析服务，提升了分析效率，帮助企业搭建了基于业务驱动的安全威胁检测模型。

放眼未来，兆珑科技还将与亚马逊云科技继续展开深入合作，持续提升安全数据分析效率：一是集成更多样化的分析工具，深入洞察安全数据；二是会继续在混合的企业环境下收集更多日志类型，让云上的安全数据更加可见；三是简化安全运营，将SIEM管理平台搭配SoC做自动化的安全威胁响应，利用Amazon Security Lake进一步简化安全运营。

“对兆珑科技来说，安全合规不管多少都不算多，对安全合规我们也是永不止步。未来我们将持续与亚马逊云科技展开合作，提升安全数据分析的效率，为兆珑科技的设备管理平台保驾护航。”李少奕说道。