面對來自數(shù)據(jù)安全與應用的挑戰(zhàn)，企業(yè)應該如何保障數(shù)據(jù)安全和釋放數(shù)據(jù)價值？

企業(yè)數(shù)據(jù)安全與應用的挑戰(zhàn)

伴隨著云計算、大數(shù)據(jù)等新興技術(shù)的風起云涌，每天都有海量的數(shù)據(jù)誕生，同時也有越來越多的企業(yè)開始習慣于通過這些數(shù)據(jù)來進行產(chǎn)品開發(fā)和服務客戶。從某種意義上來說，數(shù)據(jù)已經(jīng)成為了驅(qū)動企業(yè)創(chuàng)新與發(fā)展的源動力。來自埃森哲2023年的一份報告更是指出，有90%的企業(yè)高管認為，數(shù)據(jù)已經(jīng)成為一個組織內(nèi)部和跨行業(yè)競爭的關(guān)鍵因素。

然而許多企業(yè)在實踐中也發(fā)現(xiàn)，安全合規(guī)與數(shù)據(jù)應用之間經(jīng)常會存在彼此矛盾的關(guān)系。合規(guī)團隊需要保證敏感數(shù)據(jù)能被有效識別并得到合理的保護和存儲；數(shù)據(jù)+業(yè)務團隊需要在確保數(shù)據(jù)安全的前提下進行高效協(xié)作；運營和安全團隊希望在自身范圍內(nèi)滿足所有與數(shù)據(jù)安全相關(guān)的需求，并應對由此帶來的挑戰(zhàn)……那么在數(shù)字經(jīng)濟時代，企業(yè)怎樣才能更好地通過數(shù)據(jù)資產(chǎn)實現(xiàn)創(chuàng)新增長？如何才能在保證數(shù)據(jù)本身安全合規(guī)的前提下，最大限度地促進數(shù)據(jù)的流通與應用，進一步釋放數(shù)據(jù)資產(chǎn)的商業(yè)價值？

“通過我們?nèi)粘５墓ぷ饔^察，我們看到用戶希望：自身業(yè)務數(shù)據(jù)中的敏感數(shù)據(jù)可以被輕松地識別并提供有效的保護；企業(yè)的數(shù)據(jù)消費團隊可以方便快捷地找到企業(yè)內(nèi)部有價值的數(shù)據(jù)資產(chǎn)并快速加以利用；企業(yè)可以與合作伙伴以及產(chǎn)業(yè)上下游的企業(yè)進行安全高效的數(shù)據(jù)共享與協(xié)同分析；與此同時，所有的數(shù)據(jù)操作與安全事件可以被統(tǒng)一地監(jiān)控與管理，以幫助安全團隊可以指定合理的安全事件策略和進行快速應對。”亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建向趣味科技表示。

陳曉建指出，對于企業(yè)在數(shù)據(jù)的安全合規(guī)與流通應用中面臨的挑戰(zhàn)，亞馬遜云科技將其歸納為四個方面，分別是業(yè)務數(shù)據(jù)的識別、可見、協(xié)作以及安全數(shù)據(jù)的可操作。亞馬遜云科技一直在努力針對這四大場景提供創(chuàng)新服務和解決方案，來幫助用戶更好地應對這些挑戰(zhàn)。

數(shù)據(jù)識別

在數(shù)據(jù)識別方面，亞馬遜云科技能夠如何幫助用戶識別敏感數(shù)據(jù)，從容應對合規(guī)方面的挑戰(zhàn)？

近年來，數(shù)據(jù)合規(guī)開始成為越來越多企業(yè)高度關(guān)注的熱門話題。從歐盟的GDPR，到美國的ADPPA，全球各地都連續(xù)出臺了隱私保護法案或是強化隱私保護的相關(guān)法案。包括中國也針對隱私數(shù)據(jù)和敏感數(shù)據(jù)保護，制訂了《個人信息保護法》、《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等，對個人數(shù)據(jù)、敏感數(shù)據(jù)的定義和使用提出了具體要求。

陳曉建指出，企業(yè)要實現(xiàn)數(shù)據(jù)的安全合規(guī)，需要人、流程、工具全鏈路的相互配合。而為用戶的業(yè)務和計算負載提供最合適的工具，一直以來都是亞馬遜云科技投入的方向。包括敏感數(shù)據(jù)的發(fā)現(xiàn)與識別，亞馬遜云科技也是通過敏感數(shù)據(jù)保護解決方案（Sensitive Data Protection on Amazon Web Services, 簡稱SDP）等量身定制的工具產(chǎn)品與解決方案，與合作伙伴一起為用戶提供價值。

利用機器學習、模式匹配等方式自動識別敏感數(shù)據(jù)，敏感數(shù)據(jù)保護解決方案SDP允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識別規(guī)則定義敏感數(shù)據(jù)類型。該解決方案還提供中心化的管理平臺，客戶可通過網(wǎng)頁應用程序?qū)γ舾袛?shù)據(jù)資產(chǎn)進行可視化管理。通過敏感數(shù)據(jù)保護解決方案，客戶可以加速實現(xiàn)業(yè)務數(shù)據(jù)合規(guī)，為下一步釋放數(shù)據(jù)價值鋪平道路。在存量數(shù)據(jù)多且分散，需要發(fā)現(xiàn)四處分散的數(shù)據(jù)，以及在數(shù)據(jù)類型不好判斷的情況下，自動根據(jù)合規(guī)要求來識別數(shù)據(jù)類型，提高準確率等應用場景，該解決方案都可以大展身手。

數(shù)據(jù)可見

如何才能保證數(shù)據(jù)在組織內(nèi)能夠被安全有效地發(fā)現(xiàn)、共享和協(xié)作？陳曉建指出，數(shù)據(jù)可見是企業(yè)內(nèi)不同角色高效挖掘數(shù)據(jù)價值的前提，同時也是不同治理模式高效協(xié)同的基礎(chǔ)。

在數(shù)據(jù)團隊和業(yè)務團隊的協(xié)作方式上，最常見的主要有集中式和聯(lián)邦式這兩種類型。其中集中式指的是負責治理運營的人主要集中在數(shù)據(jù)團隊并負責所有治理工作，這種方式結(jié)構(gòu)較為簡單，易于實施和控制，能夠?qū)崿F(xiàn)快速的決策和高效的執(zhí)行，更適合剛開始數(shù)據(jù)分析之旅和小型組織的客戶；而聯(lián)邦式是總的治理原則/政策有特定團隊負責，但負責治理運營的人可以分散在各業(yè)務線，這樣業(yè)務部門可以擁有自己的數(shù)據(jù)并在組織的監(jiān)督下做出決策，以滿足其特定需求和目標，更適合多BU的中大型企業(yè)或跨國企業(yè)。這兩種協(xié)作方式都需要多個角色高效協(xié)同，特別是聯(lián)邦式更是對“數(shù)據(jù)可見”有著極為迫切的需求。

在這樣的客戶需求背景下，為了讓每個人都能看見數(shù)據(jù)，解鎖數(shù)據(jù)，亞馬遜云科技在2022年推出了一項全新的數(shù)據(jù)管理服務——Amazon DataZone。該服務可以讓客戶更快、更輕松地對存儲在亞馬遜云科技、客戶本地和第三方來源的數(shù)據(jù)進行編目、發(fā)現(xiàn)、共享和治理，同時可以使用精細的控制工具管理和治理數(shù)據(jù)訪問權(quán)限，確保數(shù)據(jù)訪問發(fā)生在正確的權(quán)限和正確的情境之下。該服務還使得廣大數(shù)據(jù)開發(fā)者、數(shù)據(jù)科學家、分析師和業(yè)務用戶，可以輕松訪問整個組織的數(shù)據(jù)，從而發(fā)現(xiàn)、使用數(shù)據(jù)，通過數(shù)據(jù)進行協(xié)作來獲得洞察。

多方協(xié)作

通過多方協(xié)作，讓數(shù)據(jù)可以安全地共享和分析，需要產(chǎn)業(yè)上下游數(shù)據(jù)協(xié)作來快速創(chuàng)新，同時也為創(chuàng)新注入了活力。

陳曉建指出，在實際的場景中，數(shù)據(jù)協(xié)作的所有參與者，都需要面對數(shù)據(jù)保護與業(yè)務價值安全之間的權(quán)衡。有的企業(yè)實現(xiàn)數(shù)據(jù)協(xié)作的方式，是向合作伙伴提供數(shù)據(jù)副本，并依賴合同協(xié)議防止濫用。但顯而易見的是，這種方式仍然產(chǎn)生了數(shù)據(jù)移動，存在數(shù)據(jù)誤用和泄漏的風險。

為了解決這類問題，亞馬遜云科技推出了Amazon Clean Rooms，實現(xiàn)了匹配、分析和協(xié)作彼此的數(shù)據(jù)，而不需要移動或者暴露原始數(shù)據(jù)，安全地實現(xiàn)數(shù)據(jù)分析協(xié)作。通過該工具，用戶可以在幾分鐘內(nèi)創(chuàng)建一個安全的數(shù)據(jù)Clean Room，通過創(chuàng)建協(xié)作項目實現(xiàn)數(shù)據(jù)的多方協(xié)作。數(shù)據(jù)提供方不僅可以通過數(shù)據(jù)預加密來保護數(shù)據(jù)，而且因為所有成員都是直接從自己的Amazon S3貢獻數(shù)據(jù)，真正實現(xiàn)了只有數(shù)據(jù)查詢和分析而沒有數(shù)據(jù)移動。值得一提的是，該工具還提供了一個密態(tài)計算的環(huán)境，數(shù)據(jù)提供方在Clean Rooms環(huán)境中的數(shù)據(jù)能夠以加密的形態(tài)完成數(shù)據(jù)分析操作，并將分析結(jié)果解密并返回，在數(shù)據(jù)安全得到最大保護的同時，還在協(xié)作方之間充分開發(fā)了數(shù)據(jù)價值。

在生成式AI時代，企業(yè)需要更多第三方的數(shù)據(jù)來協(xié)作創(chuàng)新。但是對于大多數(shù)企業(yè)來說，想要獲取第三方數(shù)據(jù)卻并不容易。為此亞馬遜云科技提供了一項工具Amazon Data Exchange，讓用戶可以極大地簡化獲取第三方數(shù)據(jù)的過程。陳曉建表示，Amazon Data Exchange已經(jīng)提供了超過3500種的第三方數(shù)據(jù)，數(shù)據(jù)來源包括金融、天氣、地理空間、健康醫(yī)療等非常多的行業(yè)和領(lǐng)域，讓用戶可以輕松地在云上找到、訂閱和使用自己想要的第三方數(shù)據(jù)。該工具還支持包括Amazon S3注入、查詢表接口（query tables）以及API調(diào)用等多種訪問方式。另外由于整合了亞馬遜云科技的身份和訪問控制管理系統(tǒng)（IAM）來設(shè)定權(quán)限，用來監(jiān)控實際的訪問過程，所有數(shù)據(jù)在Amazon Data Exchange存儲和傳輸時都是加密的，有效地保障了用戶的數(shù)據(jù)安全。

數(shù)據(jù)可操作

針對安全類的數(shù)據(jù)，亞馬遜云科技主張實現(xiàn)數(shù)據(jù)可操作，即安全日志的統(tǒng)一管理及分析。

“所有的客戶業(yè)務發(fā)展之后都會面臨一個問題：背后的IT系統(tǒng)越來越復雜，所需要的IT供應商變得越來越多。從整個大背景來看，我們看到了一個越來越明顯的趨勢，那就是客戶越來越重視安全工作，并且也在注重如何把這個工作做得更高效。在Gartner發(fā)布的2022年網(wǎng)絡(luò)安全重點趨勢里，安全供應商的整合排到了第4位。在2020年有29%的客戶在尋求安全供應商的整合，僅僅過了2年，到2022年這個數(shù)字就變成了75%。”陳曉建透露。

陳曉建指出，企業(yè)要想在短時間內(nèi)做到整合安全廠商，是有相當大的挑戰(zhàn)和難度的，亞馬遜云科技的解決方法是建立一個安全數(shù)據(jù)糊，統(tǒng)一管理來自不同廠商的日志，并且讓這些日志可被用來進行安全事件的分析。

對于用戶來說，Amazon Security Lake可以自動將來自多云、本地和第三方的安全數(shù)據(jù)集中到一個專門構(gòu)建的數(shù)據(jù)湖中，并且具有多個特點：一是可以自動搜集并存儲亞馬遜云科技安全產(chǎn)品（如Amazon GuardDuty，Amazon Security Hub）的日志，以及第三方乃止線下安全設(shè)備的日志，并且使用OCSF統(tǒng)一格式；二是使用Amazon S3集中存儲日志，可以充分利用Amazon S3的存儲性能，將日志分層管理，提高性價比；三是和其他亞馬遜云科技提供的服務一樣，該數(shù)據(jù)湖本身的安全性由亞馬遜云科技提供保證，譬如里面就集成了亞馬遜云科技的加密服務Amazon KMS，可以實現(xiàn)自動加密管理。

“如今是一個數(shù)據(jù)爆炸的時代，邁入2023年以后，云上的業(yè)務越來越復雜，企業(yè)的業(yè)務發(fā)展和數(shù)據(jù)規(guī)模的擴大，也帶來了數(shù)據(jù)的識別、可見、協(xié)同、可操作等多方面的挑戰(zhàn)。只有真正實現(xiàn)了數(shù)據(jù)安全，才能釋放數(shù)據(jù)背后的價值。”陳曉建說道，“亞馬遜云科技從第一天就把安全作為我們的最高優(yōu)先級，并借助云原生的安全特性和強大的數(shù)據(jù)分析工具，為企業(yè)用戶上云并且實現(xiàn)數(shù)據(jù)安全、合規(guī)和實現(xiàn)數(shù)據(jù)協(xié)同提供全程的保駕護航，與用戶一起共創(chuàng)未來。”