数字经济时代,数据是现代发明和创新的源头已成为业内的共识,如何在确保数据安全的前提下有效发挥数据资产的商业价值,成为企业数字化亟需解决的问题。
数据成组织内部和跨行业竞争关键因素,数据安全挑战显现
埃森哲2023年的某报告显示,有90%的高管都认为数据已经成为一个组织内部和跨行业竞争的关键因素。当然他们也非常积极地探索,如何从数据本身既保证安全的前提下,同样促进数据安全的应用。
以在亚马逊云科技的某跨国零售企业客户为例,该企业业务覆盖全球各个区域,涉及到线下和线上多方销售渠道,它通过亚马逊云科技来承载核心的业务系统,构建企业ERP系统,网络商城外部的系统,以及包括运营、广告用来支撑业务周边的辅助系统。这之中有几个突出的挑战,当然这些挑战是具有共性的。
具体表现在,合规团队需要保证敏感数据能被有效识别并得到合理的保护和存储。数据+业务团队需要在确保数据安全的前提下进行高效协作。运营和安全团队也希望在自身的范围内,满足所有与数据安全相关的需求,应对由此带来的挑战。
对此,亚马逊云科技把上述挑战总结为四个方面,分别是业务数据的识别、可见、协作以及安全数据的可操作。
以数据识别为例,目前,全球各地连续出台隐私保护法案,或者强化隐私保护的相关法案,比如欧盟的 GDPR,美国的 ADPPA。具体到中国,也非常强调对隐私数据和敏感数据的保护。制订了根据《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例》,对个人数据、敏感数据的定义和使用提出了具体要求。
那么问题来了,如何评估什么是个人数据、什么是个人敏感数据,这就变成每个企业必须要思考和解决的重大问题。比如我国率先出台的《生成式人工智能服务管理暂行办法》,对大语言模型进行训练的整个数据类型、敏感数据等方面进制定了相应的要求。这些大的背景都需要企业能够强化自己对数据的管理能力,以及充分的合法合规。
又如在数据可见方面,它指的是在一个公司内部有很多的业务数据,分别分布在不同的“烟囱”(silo)里,是企业内不同角色高效挖掘数据价值的前提和不同治理模式高效协同的基础,在这个背景下,如何在不同用户数据的“烟囱”里实现公司内部跨组织之间数据的可见并共享也是一个挑战。
对此,亚马逊云科技大中华区产品部总经理陈晓建认为,在数据团队和业务团队协作方式上,集中式和联邦式是比较常见的两种类型,这两种方式都需要多个角色的协同,比如联邦式管理,虽然有它自己的好处,但同时也带来了数据的孤岛化,所以如何实现数据的可见就变成了一个非常重要的工作。一个部门承载了这些数据,怎么能够通过一种有效的方式能让其他部门可见可用,是很多部门所面临的挑战。
至于多方协作方面,众所周知,多方数据协作可以为创新注入活力,企业之间需要产业上下游数据协作来快速创新,这就需要企业在保障安全和创造价值之间寻求平衡实际的场景中,数据协作的所有参与者都需要面对数据保护与业务价值安全之间的权衡。但事实是,现在有一些企业实现数据协作的方式是向合作伙伴提供数据副本,并依赖合同协议防止滥用。弹这样的方式仍然发生了不可避免的数据移动,同样存在数据误用和泄漏的风险。
最后是数据的可操作性。Gartner的调查显示,高达43%的企业与超过10家以上的安全供应商合作,这个数据也说明这么多企业对安全供应商整合的需求日益增长。安全领域并不仅仅是安全供应商的整合问题,安全本身也带来很多别的挑战。比如说安全日志的监管和审计的要求,比如说金融支付领域,支付数据需要存储一年,其中“热数据”需要存储3个月等。
对此,日常的日志管理如何更加高效,以及在发生一些安全风险的时候,如何通过日志的回溯和分析,可以很快、有效地追溯到问题的源头,这些都是每个用户或者说很多用户都会碰到的问题。此外,由于历史的原因,很多的用户所使用的系统并不统一,不同的厂商所提供的安全系统,安全日志的格式也各不相同。
实现与做到真正安全、亚马逊云科技助企业释放数据价值
正是得益于上述亚马逊云科技对于数据安全挑战的洞察,在应对这些挑战方面,亚马逊云科技通过自身的产品和解决方案实现和做到了数据的真正安全。
例如针对上述数据识别的挑战,亚马逊云科技推出了敏感数据保护解决方案(Sensitive Data Protection on Amazon Web Services, SDP)。它是亚马逊云科技转为敏感数据识别与保护这一场景量身定做的方案,是一个开源的数据安全及数据隐私云原生解决方案,客户可以在自己账号内部署使用。
该方案利用机器学习、模式匹配等方式自动识别敏感数据,允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型。此外,该解决方案还提供中心化的管理平台,客户可通过网页应用程序对敏感数据资产进行可视化管理。通过敏感数据保护解决方案,客户可以加速实现业务数据合规,为下一步释放数据价值铺平道路。
需要说明的是,该方案特别适用于两种场景,一是存量数据多且分散,需要使用这个方案来发现四处分散的数据。二是对于数据类型不好判断的情况下,可以使用这个方案自动根据合规要求来识别,提高准确率。
而在应对数据可见挑战方面,亚马逊云科技去年推出了一项全新的数据管理服务Amazon DataZone,让每个人都能看见数据,解锁数据。具体表现在,它可以让客户更快、更轻松地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理。此外,借助Amazon DataZone可以使用精细的控制工具管理和治理数据访问权限,确保数据访问发生在正确的权限和正确的情境之下。最后,Amazon DataZone使数据开发者、数据科学家、分析师和业务用户可以轻松访问整个组织的数据,从而发现、使用数据,通过数据进行协作来获得洞察。
而为了应对多方协作出现的挑战,亚马逊云科技则推出了Amazon Clean Rooms,实现了匹配、分析和协作彼此的数据,而不需要移动或者暴露原始数据,安全地实现数据分析协作。
例如使用Amazon Clean Rooms,用户可以在几分钟内创建一个安全的数据Clean Room,通过创建协作项目,实现数据的多方协作。而对于数据提供方而言,不仅可以通过数据预加密来对数据进行保护,而且因为所有成员都是直接从自己的Amazon S3贡献数据,从而真正实现了只有数据查询和分析而没有数据移动。
需要强调的是,Amazon Clean Rooms提供了一个密态计算的环境,数据的提供方可以对数据进行预加密,从而在Clean Rooms 环境中的数据以加密的形态完成数据分析操作,并将分析结果解密并返回,从而在数据安全的到最大保护的同时充分在协作方之间开发了数据价值。
最后在数据的可操作性上,亚马逊云科技的解决方法是建立一个安全数据糊,统一管理来自不同厂商的日志,并且让这些日志可被用来进行安全事件的分析。
其中,Amazon Security Lake可以自动将来自多云、本地和第三方的安全数据集中到一个专门构建的数据湖中。主要特点包括:它自动搜集并存储亚马逊云科技安全产品(如Amazon GuardDuty,Amazon SecurityHub)的日志,以及第三方乃止线下安全设备的日志,并且使用OCSF统一格式;它使用Amazon S3集中存储日志,可以充分利用Amazon S3的存储性能,将日志分层管理,提高性价比;和其他亚马逊云科技提供的服务一样,这个数据湖本身的安全性由亚马逊云科技来保证,例如集成了亚马逊云科技的加密服务Amazon KMS,可以实现自动加密管理。
写在最后:毫无疑问,我们今天已经到了数据爆炸的时代,数据的价值被越来越多的企业所认可的同时,也带来了很多合规安全方面的挑战,而亚马逊云科技的洞察和实践证明,惟有真正实现数据安全,真正做到数据安全,才能释放数据背后的价值。
