數據爆炸的時代,數據價值越來越為人們所認可,但是隨之而來的安全合規問題也同樣不可忽視。如何識別云上敏感數據、如何實現安全數據可視化、如何實現高效的數據協同等問題,成為了企業在數字化浪潮下不可忽視的重要課題。
尤其是在企業業務上云、業務出海等大趨勢下,對于有全球化業務需求的企業而言,其所面對的客戶角色更加豐富、由各類終端組成的物聯網生態也更加多樣化,隨之而來的便是海量數據以及跨區域的數據存儲、處理等問題。
在近日召開的亞馬遜云科技數據分析與安全媒體溝通會上,全球化的物聯網生態企業兆瓏科技介紹了其在全球拓展業務時,在安全合規方面的實踐經驗。
兆瓏科技的主要業務是全球化物聯網設備管理平臺以及商用終端產品,業務覆蓋了超100個國家和地區,平臺設備量超過了1000萬臺,不同行業商戶解決方案及增值服務需求的平臺應用已經超過1萬個。
而隨著其全球化業務的持續增長,據兆瓏科技云安全專家顧問李少奕介紹,公司每天要處理的數據量劇增,之前使用的安全分析平臺以及第三方的SIEM(Security Information and Event Management安全信息與事件管理)解決方案已經無法滿足需求。其需要能夠保障云上資源的安全性,符合PCI-DSS金融合規標準和要求、簡化安全數據收集、管理和分析的解決方案。
針對于此,兆瓏科技采用亞馬遜云科技安全數據湖,滿足了PCI-DSS對日志的監控與分析的全部9項要求。同時,安全日志收集效率提升了40%,安全日志存儲成本降低了60%。該方案集中管理了企業組織賬戶下所有賬戶的安全數據。通過Amazon Athena、Amazon SageMaker等安全分析服務,提升分析的效率,幫助企業搭建基于業務的安全威脅檢測的模型。
誠然,降本增效一直是企業數字化轉型的重要衡量標準,而在金融等強監管的行業中,安全合規有時候很可能會在一定程度上影響效率。對此,李少奕在回答記者有關“兆瓏科技如何看待合規和效率的平衡”這一問題時,解答道,以審計為例,金融行業最高標準的PCI-DSS合規要求中300余項要求,如果公司采用多家第三方供應商,就需要進行多次審計,無形中就會降低效率。所以,兆瓏科技集中使用亞馬遜云科技的安全合規服務,利用其合規性幫助兆瓏科技增效。
李少奕還表示,亞馬遜安全合規服務是可以提升金融企業的合規效率的。例如,Payment Cryptography——專門用于金融行業的加密機,在這項服務推出前,金融機構可能會用Amazon Cloud HSM處理交易端到端(P2PE)的加密,但這就需要做很多額外的開發工作來適配合規的硬性要求。而亞馬遜云科技推出了這項服務之后,根據用戶的需求以及合規的要求,不斷做產品迭代和創新,幫助客戶實現效率提升。
據介紹,兆瓏科技基于數據湖底層Amazon S3生命周期管理的功能有效降低成本,實現了熱數據存儲90天,365天失效,90天之后公司會歸檔到成本更低的存儲檔位,成本降到約1/5。
值得一提的是,針對才不斷涌現的創新技術,例如量子計算、AI等,其實也會在安全合規方面帶來新的挑戰,但同時,企業能夠成為安全防護的重要助力。
據李少奕介紹,面對生成式AI的爆火,兆瓏科技的策略是用AI對抗AI。具體而言,亞馬遜云科技擁有多款AI為安全賦能的服務,例如Amazon CodeWhisperer,可以幫助公司有效識別安全漏洞,為企業的開發者提供代碼建議和代碼審查功能,這樣就可以在SDLC前端把安全威脅消除。
此外,兆瓏科技也會利用亞馬遜云科技AI相關的服務,例如,利用Amazon CodeGuru對代碼進行安全掃描,幫助兆瓏實現全開發生命周期DevSecOps;通過Amazon GuardDuty利用AI技術檢測云上的威脅。同時,兆瓏科技會搭配Amazon Detective服務,以圖分析的形式查看云上威脅和各個資源之間的關聯性,幫助公司有效定位威脅事件,以便進行快速響應和快速排查。
兆瓏科技同時還會把AI能力應用到其平臺安全服務和產品中,例如應用掃描、終端安全檢測分析等,通過這些工具可以對平臺上應用和設備進行更嚴格安全掃描,,及時發現惡意軟件等漏洞,保證整個生態的安全性。
在業務出海方面,李少奕表示,“亞馬遜云科技為兆瓏科技提供了很大的幫助,其基礎設施覆蓋的國家非常廣,超過240個。亞馬遜云科技通過安全標準和合規認證的數量非常多,超過140項,幫助我們滿足合規需求。另外,兆瓏科技利用亞馬遜云科技的責任共擔模型實現‘合規繼承’,更好地保障云平臺上的用戶數據安全。”
正如李少奕所講“安全合規永不止步”。未來,兆瓏科技將持續提升安全數據分析的效率,為設備管理平臺保駕護航!
