本系列来自亚马逊网络服务(AWS),以AWS研究所的主要发现为基础,专注于指导公共部门组织成功完成数字化转型过程。第4部分探讨了超大规模云平台如何为本地替代方案提供卓越的安全性,以及如何利用云技术使公共部门组织能够更好地保护公民的数据。
政府必须保证公民数据的安全。随着云计算的成熟和理解的增加,从国防到国际金融等行业的组织都认识到,他们的数据在云中比在本地数据中心更安全。
组织通常以三种方式衡量其安全性:机密性、完整性和可用性。这些在传统的安全风险管理环境中被称为“CIA三位一体”:
与本地数据存储相比,云能够更好地处理所有这三个需求。良好的数据分类有助于保护机密性。它决定你有什么,在哪里,并确保它的标签是正确的。它还控制访问权限。有了云,你可以更容易地知道你拥有什么,你需要保护什么,一旦你有了这种可见性,管理和监控访问就更容易了。有许多工具可以帮助您做到这一点,例如AWS CloudTrail可以监控和记录组织基础设施的活动,并简化审计。
虽然管理和监控可以在内部完成,但它最终会增加组织的负担。部署新的加密密钥来保护您的系统是很困难的,而且您很可能会错过一些东西——试图保护90%的安全而留下10%的开放是没有意义的。
完整性
保护数据免受威胁和入侵是完整性的一个核心方面。负责任的云服务提供商专注于保护数百万客户的数据,并不断检查威胁和入侵。从内部部署环境被攻破到发现并解决该攻破之间的时间平均为9个月。
规模经济意味着云服务提供商能够在安全方面投入数十亿美元,而AWS的架构旨在成为当今最灵活、最安全的云计算环境。我们的基础设施旨在满足军方、全球银行和其他高敏感性组织的安全需求,全天候监控,并允许在网络上流动的所有数据离开我们的安全设施之前进行加密。这是由一组深入的云安全工具支持的,其中有超过300个安全、合规性和治理服务和特性,比任何其他云提供商都要多。
可用性
可用性是安全性的一个方面,可能不是人们首先考虑的特性。但是,政府服务需要全天候工作,并且需要对数据进行持续访问,如果将数据存储在本地,则会牺牲可用性以获得控制权。有一种过时的观点认为你有更多的控制权,因为你可以看到一些东西,但在云中,数据存储在多个数据中心,确保了更高的可用性。
为了说明这一点,请考虑AWS区域。这是一个物理位置的数据中心集群。每一组逻辑数据中心称为可用区(AZ)。每个AWS区域由一个地理区域内至少三个隔离且物理上分离的az组成,而不是单个数据中心。每个AZ具有独立的电源、冷却和物理安全,并通过冗余、超低延迟的网络连接。这对高可用性和容错性有好处。az之间的所有流量都是加密的。虽然所有AZ之间的距离都在100公里(60英里)以内,但它们在物理上与其他AZ之间的距离有很大,可以达到许多公里。
军方批准的数据安全
英国国防部数字服务部门负责人Rich Crowther最近评论道:“今天,我想说的是,在大多数情况下,我们在云中可以比在本地做得更好。”
提高数据安全性有三个主要原因。首先,超大规模企业可以快速应用更新,确保技术堆栈的所有部分都是最新的。其次,云平台的构建便于调整。这使用户可以更改安全设置,监视不寻常的在线活动,并确保服务器不容易受到黑客攻击。最后,这些系统中的几乎每个操作都需要批准,并且所有这些操作和交互都有明确的记录。
当然,云计算的用户仍然有一定的安全责任。在AWS,这被称为共享责任模型。作为云服务提供商,AWS不仅保证硬件和软件的安全,还确保数据库和存储的安全。客户负责配置他们的加密、流量保护、他们运行的应用程序等等。有一些细粒度的工具可以根据客户的安全策略和风险偏好来控制所有这些特性。
公共部门仍然需要明确的安全政策,基于他们的风险偏好,以及首席信息安全官(CISO)。理想情况下,董事会应该有人了解网络安全。然而,迁移到云显著地提高了安全决策的质量,因为它提高了作为安全决策基础的可用信息的质量。这包括从威胁级别和基础设施可靠性的知识到安全工具的能力。
AWS本系列的下一个也是最后一个专题将重点展示公共部门组织如何设计更好地为公民服务的数字服务。
