近日,美国网络安全与基础设施安全局(CISA)宣布了一项史无前例的、极为严苛的数据安全规定,这一提案主要针对从事受限交易的(科技)企业,并给出了组织级别和数据级别的具体要求,例如,提案要求对所有关键系统实施多因素认证(MFA)。在漏洞侧,已知漏洞须在14天内修补,关键漏洞在15天内、高风险漏洞在30天内修复「1」。
通过这一提案,CISA希望提升相关行业的数据安全标准,解决现存的严重数据安全漏洞。受该提案影响的企业范围广泛,波及大量技术企业,例如人工智能开发商、云服务提供商、电信公司、生物科技公司、金融机构等。
这为本就需要披荆斩棘的中国出海企业又增加了新的风险因素。不止是美国,联合国贸易和发展组织数据显示,超过70%的国家制定了相关的数据隐私立法「2」,这对出海企业在合规方面提出了更高的要求和更大的挑战,他们除了需要在技术合规和数据加密层面进行大规模投资,还需要在跨国业务管理中重新评估数据传输和存储的安全性,以减少因政策变动带来的业务中断和法律风险。
安全合规
是亚马逊云科技的第一优先级
亚马逊云科技作为全球云计算的开创者和引领者,始终秉承“安全自主设计”的理念,并将“安全”作为企业的“第一优先级”。通过制定行业领先的实践、技术和控制措施,并深度融入各个层面,从物理数据中心、网络设计、服务架构,为企业的应用程序和数据提供强大的安全性和数据保护。事实上,仅在过去一年,亚马逊云科技全球拒绝了超过240亿次尝试攻击Amazon S3的行为,阻止了近2.6万亿次尝试发现Amazon EC2上漏洞的行为「3」。
而作为近80%中国出海企业的选择,亚马逊云科技始终致力于基于自身能力帮助出海企业修好安全合规这门“必修课”。亚马逊云科技分三个阶段采取相应的应对措施:
建立云安全基础设施
落实这一阶段的目标,就像为一座大厦打好地基,不论上面建筑外观如何,地基必须坚实可靠。亚马逊云科技建议出海企业参考被广泛应用于北美地区的NIST框架(或遵循ISO 27001系列标准的130条准则)建立起企业基础的安全防护「4」。在建立此安全基础后,亚马逊云科技还为企业提供了全方位的云原生安全服务,覆盖预防、检测、响应、修复等各个环节,企业可根据自身需求在各个安全点上进行管控。此外,亚马逊云科技还提供了安全可视化和持续监控的工具,让企业安全负责人能够时刻掌握安全状况,如安全分数、风险评估等,使安全可视化、可持续、可监控。
保护核心数据资产
数据安全和合规性是出海安全合规中最关键一环。数据是驱动创新的宝贵资产,而让数据安全地释放价值,已是企业的首要工作。在数据安全性方面,亚马逊云科技将安全放在数据治理的整个生命周期中看待,通过人、机制和技术的完整闭环,来提升数据质量和利用率,同时满足数据安全和合规性需求。以识别和保护敏感数据和个人数据为例,Amazon Comprehend服务能够自动识别各类个人数据,对该数据进行匿名化处理,从而最大限度减少个人数据泄露的风险。
在数据合规性方面,亚马逊云科技支持143项安全标准和合规性认证,包括PCI-DSS、HIPAA或HITECH、FedRAMP、GDPR、FIPS 140-2和NIST 800-171,以帮助客户满足全球各地的合规要求,对于亚马逊云科技的合规标准,运用亚马逊云科技技术的客户可以直接继承,免掉了诸多合规成本和沟通成本。
培养安全人才
出海企业在创业初期往往无法拥有资深的安全团队,但合规要求强制企业必须配备相应的安全人员。为此,亚马逊云科技推出了相关安全项目,通过实训的方式,快速提升企业内部人员的安全能力,让他们能够承担起一定的安全职责。
无论任何产品或技术,亚马逊云科技始终坚持的原则是“只做客户需要的产品”,而任何产品,亚马逊云科技都会将安全置于第一优先级。对于出海企业来说,安全合规就像大海上莫测的天气,当外界环境不可预测时,最好的办法就是依托于一个大体量、安全的船体之上,亚马逊云科技就是这样的船体,帮助企业无惧风浪、顺畅开展全球业务。
数据来源:
[1]:https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf
[2]:https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
[3]:https://mp.weixin.qq.com/s/aOFyZHhUxXUwuADXi9WWVg
[4]:https://baijiahao.baidu.com/s?id=1802210464830410667&wfr=spider&for=pc
期待你的分享 收藏 在看 点赞!
亚马逊的一小步,云计算的一大步!
