面對來自數據安全與應用的挑戰，企業應該如何保障數據安全和釋放數據價值？

企業數據安全與應用的挑戰

伴隨著云計算、大數據等新興技術的風起云涌，每天都有海量的數據誕生，同時也有越來越多的企業開始習慣于通過這些數據來進行產品開發和服務客戶。從某種意義上來說，數據已經成為了驅動企業創新與發展的源動力。來自埃森哲2023年的一份報告更是指出，有90%的企業高管認為，數據已經成為一個組織內部和跨行業競爭的關鍵因素。

然而許多企業在實踐中也發現，安全合規與數據應用之間經常會存在彼此矛盾的關系。合規團隊需要保證敏感數據能被有效識別并得到合理的保護和存儲；數據+業務團隊需要在確保數據安全的前提下進行高效協作；運營和安全團隊希望在自身范圍內滿足所有與數據安全相關的需求，并應對由此帶來的挑戰……那么在數字經濟時代，企業怎樣才能更好地通過數據資產實現創新增長？如何才能在保證數據本身安全合規的前提下，最大限度地促進數據的流通與應用，進一步釋放數據資產的商業價值？

“通過我們日常的工作觀察，我們看到用戶希望：自身業務數據中的敏感數據可以被輕松地識別并提供有效的保護；企業的數據消費團隊可以方便快捷地找到企業內部有價值的數據資產并快速加以利用；企業可以與合作伙伴以及產業上下游的企業進行安全高效的數據共享與協同分析；與此同時，所有的數據操作與安全事件可以被統一地監控與管理，以幫助安全團隊可以指定合理的安全事件策略和進行快速應對。”亞馬遜云科技大中華區產品部總經理陳曉建向趣味科技表示。

陳曉建指出，對于企業在數據的安全合規與流通應用中面臨的挑戰，亞馬遜云科技將其歸納為四個方面，分別是業務數據的識別、可見、協作以及安全數據的可操作。亞馬遜云科技一直在努力針對這四大場景提供創新服務和解決方案，來幫助用戶更好地應對這些挑戰。

數據識別

在數據識別方面，亞馬遜云科技能夠如何幫助用戶識別敏感數據，從容應對合規方面的挑戰？

近年來，數據合規開始成為越來越多企業高度關注的熱門話題。從歐盟的GDPR，到美國的ADPPA，全球各地都連續出臺了隱私保護法案或是強化隱私保護的相關法案。包括中國也針對隱私數據和敏感數據保護，制訂了《個人信息保護法》、《數據出境安全評估辦法》、《網絡數據安全管理條例》等，對個人數據、敏感數據的定義和使用提出了具體要求。

陳曉建指出，企業要實現數據的安全合規，需要人、流程、工具全鏈路的相互配合。而為用戶的業務和計算負載提供最合適的工具，一直以來都是亞馬遜云科技投入的方向。包括敏感數據的發現與識別，亞馬遜云科技也是通過敏感數據保護解決方案（Sensitive Data Protection on Amazon Web Services, 簡稱SDP）等量身定制的工具產品與解決方案，與合作伙伴一起為用戶提供價值。

利用機器學習、模式匹配等方式自動識別敏感數據，敏感數據保護解決方案SDP允許客戶創建數據目錄、使用內置或定制數據識別規則定義敏感數據類型。該解決方案還提供中心化的管理平臺，客戶可通過網頁應用程序對敏感數據資產進行可視化管理。通過敏感數據保護解決方案，客戶可以加速實現業務數據合規，為下一步釋放數據價值鋪平道路。在存量數據多且分散，需要發現四處分散的數據，以及在數據類型不好判斷的情況下，自動根據合規要求來識別數據類型，提高準確率等應用場景，該解決方案都可以大展身手。

數據可見

如何才能保證數據在組織內能夠被安全有效地發現、共享和協作？陳曉建指出，數據可見是企業內不同角色高效挖掘數據價值的前提，同時也是不同治理模式高效協同的基礎。

在數據團隊和業務團隊的協作方式上，最常見的主要有集中式和聯邦式這兩種類型。其中集中式指的是負責治理運營的人主要集中在數據團隊并負責所有治理工作，這種方式結構較為簡單，易于實施和控制，能夠實現快速的決策和高效的執行，更適合剛開始數據分析之旅和小型組織的客戶；而聯邦式是總的治理原則/政策有特定團隊負責，但負責治理運營的人可以分散在各業務線，這樣業務部門可以擁有自己的數據并在組織的監督下做出決策，以滿足其特定需求和目標，更適合多BU的中大型企業或跨國企業。這兩種協作方式都需要多個角色高效協同，特別是聯邦式更是對“數據可見”有著極為迫切的需求。

在這樣的客戶需求背景下，為了讓每個人都能看見數據，解鎖數據，亞馬遜云科技在2022年推出了一項全新的數據管理服務——Amazon DataZone。該服務可以讓客戶更快、更輕松地對存儲在亞馬遜云科技、客戶本地和第三方來源的數據進行編目、發現、共享和治理，同時可以使用精細的控制工具管理和治理數據訪問權限，確保數據訪問發生在正確的權限和正確的情境之下。該服務還使得廣大數據開發者、數據科學家、分析師和業務用戶，可以輕松訪問整個組織的數據，從而發現、使用數據，通過數據進行協作來獲得洞察。

多方協作

通過多方協作，讓數據可以安全地共享和分析，需要產業上下游數據協作來快速創新，同時也為創新注入了活力。

陳曉建指出，在實際的場景中，數據協作的所有參與者，都需要面對數據保護與業務價值安全之間的權衡。有的企業實現數據協作的方式，是向合作伙伴提供數據副本，并依賴合同協議防止濫用。但顯而易見的是，這種方式仍然產生了數據移動，存在數據誤用和泄漏的風險。

為了解決這類問題，亞馬遜云科技推出了Amazon Clean Rooms，實現了匹配、分析和協作彼此的數據，而不需要移動或者暴露原始數據，安全地實現數據分析協作。通過該工具，用戶可以在幾分鐘內創建一個安全的數據Clean Room，通過創建協作項目實現數據的多方協作。數據提供方不僅可以通過數據預加密來保護數據，而且因為所有成員都是直接從自己的Amazon S3貢獻數據，真正實現了只有數據查詢和分析而沒有數據移動。值得一提的是，該工具還提供了一個密態計算的環境，數據提供方在Clean Rooms環境中的數據能夠以加密的形態完成數據分析操作，并將分析結果解密并返回，在數據安全得到最大保護的同時，還在協作方之間充分開發了數據價值。

在生成式AI時代，企業需要更多第三方的數據來協作創新。但是對于大多數企業來說，想要獲取第三方數據卻并不容易。為此亞馬遜云科技提供了一項工具Amazon Data Exchange，讓用戶可以極大地簡化獲取第三方數據的過程。陳曉建表示，Amazon Data Exchange已經提供了超過3500種的第三方數據，數據來源包括金融、天氣、地理空間、健康醫療等非常多的行業和領域，讓用戶可以輕松地在云上找到、訂閱和使用自己想要的第三方數據。該工具還支持包括Amazon S3注入、查詢表接口（query tables）以及API調用等多種訪問方式。另外由于整合了亞馬遜云科技的身份和訪問控制管理系統（IAM）來設定權限，用來監控實際的訪問過程，所有數據在Amazon Data Exchange存儲和傳輸時都是加密的，有效地保障了用戶的數據安全。

數據可操作

針對安全類的數據，亞馬遜云科技主張實現數據可操作，即安全日志的統一管理及分析。

“所有的客戶業務發展之后都會面臨一個問題：背后的IT系統越來越復雜，所需要的IT供應商變得越來越多。從整個大背景來看，我們看到了一個越來越明顯的趨勢，那就是客戶越來越重視安全工作，并且也在注重如何把這個工作做得更高效。在Gartner發布的2022年網絡安全重點趨勢里，安全供應商的整合排到了第4位。在2020年有29%的客戶在尋求安全供應商的整合，僅僅過了2年，到2022年這個數字就變成了75%。”陳曉建透露。

陳曉建指出，企業要想在短時間內做到整合安全廠商，是有相當大的挑戰和難度的，亞馬遜云科技的解決方法是建立一個安全數據糊，統一管理來自不同廠商的日志，并且讓這些日志可被用來進行安全事件的分析。

對于用戶來說，Amazon Security Lake可以自動將來自多云、本地和第三方的安全數據集中到一個專門構建的數據湖中，并且具有多個特點：一是可以自動搜集并存儲亞馬遜云科技安全產品（如Amazon GuardDuty，Amazon Security Hub）的日志，以及第三方乃止線下安全設備的日志，并且使用OCSF統一格式；二是使用Amazon S3集中存儲日志，可以充分利用Amazon S3的存儲性能，將日志分層管理，提高性價比；三是和其他亞馬遜云科技提供的服務一樣，該數據湖本身的安全性由亞馬遜云科技提供保證，譬如里面就集成了亞馬遜云科技的加密服務Amazon KMS，可以實現自動加密管理。

“如今是一個數據爆炸的時代，邁入2023年以后，云上的業務越來越復雜，企業的業務發展和數據規模的擴大，也帶來了數據的識別、可見、協同、可操作等多方面的挑戰。只有真正實現了數據安全，才能釋放數據背后的價值。”陳曉建說道，“亞馬遜云科技從第一天就把安全作為我們的最高優先級，并借助云原生的安全特性和強大的數據分析工具，為企業用戶上云并且實現數據安全、合規和實現數據協同提供全程的保駕護航，與用戶一起共創未來。”