在数字经济时代,如何在确保数据安全的前提下有效发挥数据资产的商业价值,成为企业数字化亟需解决的问题。
作为全球云服务领导者,亚马逊云科技不断探索云上数据创新的边界,围绕业务数据的可识别、可见、可协作和安全数据的可操作四大场景提供创新服务和解决方案,持续加速分析与安全服务创新,守护安全基座,助力企业进一步释放数据要素价值,实现创新增长。
亚马逊云科技提供的服务包括保障数据合规的敏感数据保护解决方案,提升数据可见性的数据治理服务Amazon DataZone,助力多方数据协作的分析服务Amazon Clean Rooms和Amazon Data Exchange,以及对安全日志进行统一管理的安全数据湖服务Amazon Security Lake。亚马逊云科技分析与安全服务协同,也助力生成式AI基础模型广泛获取内外部数据并实现安全训练。
“在数字化、智能化的时代,安全是企业的首要优先级,数据是驱动创新的宝贵资产。”亚马逊云科技大中华区产品部总经理陈晓建表示,“我们致力于通过数据分析与安全服务的融合帮助客户释放数据价值,确保客户在数据安全上无后顾之忧。通过丰富的工具集和创新的解决方案,我们广泛赋能安全合规团队、数据团队、业务团队和运营团队提高效率、加强协作、实现创新。”
·强化敏感业务数据识别 帮助用户应对合规挑战
数据合规越来越成为企业关注的话题,全球各地陆续出台隐私保护法案,或者强化隐私保护的相关法案,对个人数据、敏感数据的定义和使用提出了具体要求。
企业要实现数据的安全合规需要人,流程,工具相互配合,要求企业从多个数据源中自动识别敏感数据以进行管理、分级,这项工作耗时费力。
为解决这一难题,亚马逊云科技推出了专为敏感数据识别与保护场景量身定做的方案——云原生的敏感数据保护解决方案(Sensitive Data Protection on Amazon Web Services, SDP),这是一个开源的数据安全及数据隐私云原生解决方案,客户可以在自己账号内部署使用。
SDP利用机器学习、模式匹配等方式自动识别敏感数据,允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型。该解决方案还提供中心化的管理平台,客户可通过网页应用程序对敏感数据资产进行可视化管理。通过敏感数据保护解决方案,客户可以加速实现业务数据合规,为下一步释放数据价值铺平道路。
SDP 特别适用于两种场景,一是存量数据多且分散,需要使用这个方案来发现四处分散的数据。二是对于数据类型不好判断的情况下,可以使用这个方案自动根据合规要求来识别,提高准确率。
·提高数据可见性 促进安全有效的共享和协作
数据可见是企业内不同部门、不同角色高效挖掘数据价值的前提,因此企业需要构建连接数据提供者与数据消费者的桥梁,但出于数据安全的考虑又不能无限制地将所有数据共享给所有人。
在数据团队和业务团队协作方式上,集中式和联邦式是比较常见的两种类型,都需要多个角色高效协同,特别是联邦式治理更是对“数据可见”需求迫切。
亚马逊云科技去年推出的全新数据管理服务Amazon DataZone让每个人都能看见数据,解锁数据,能够加速企业的数据网格建设以及对不同网格来源的数据进行共享和治理。通过数据所有权的去中心化、联邦式数据治理、点对点的数据共享等功能,Amazon DataZone能够让客户更快、更轻松地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理。
借助Amazon DataZone可以使用精细的控制工具管理和治理数据访问权限,确保数据访问发生在正确的权限和正确的情境之下。Amazon DataZone使数据开发者、数据科学家、分析师和业务用户可以轻松访问整个组织的数据,让数据消费者发现和使用数据并开展数据协作,在快速实现协作分析的同时大大简化数据治理难度。
·多方数据安全共享 赋能生成式AI创新
释放数据价值并非只局限在企业自身的业务数据,多方数据协作可以为行业创新注入活力,产业上下游和合作伙伴需要数据协作来快速创新。但在实际的场景中,实现数据协作的方式往往要进行数据移动,存在数据误用和泄漏的风险,因此数据协作的所有参与者都需要面对数据保护与业务价值安全之间的权衡。
陈晓建说:“亚马逊云科技始终秉承安全为先的理念,任何服务首先要保证的是安全,但安全团队的工作并不是为了防止一些事情发生。对安全团队来说,最大的价值应该是在满足合规的前提下是业务尽快上线。我们的安全团队分为两种,第一种团队是集中化的团队,他们就是做安全,另外会有很多安全人员是分布在各个产品团队的,来帮助业务团队去做到整个产品的安全性。这个不能讲是最优的实践,但这就是亚马逊云科技在自身产品开发时怎么去保证业务灵活性和安全性之间所做的选择。”
亚马逊云科技推出的Amazon Clean Rooms分析服务,能够实现匹配、分析和协作彼此的数据,能够帮助企业与其合作伙伴在互相不暴露原始数据的情况下进行数据协作,也无需在云上移动数据,从而安全地实现数据分析协作。
Amazon Clean Rooms提供了一个密态计算的环境,用户可以在几分钟内创建一个安全的数据Clean Room,数据提供方不仅可以通过数据预加密来对数据进行保护,而且因为所有成员都是直接从自己的Amazon S3贡献数据,从而真正实现了只有数据查询和分析而没有数据移动。Clean Rooms环境中的数据以加密的形态完成数据分析操作,并将分析结果解密并返回,从而在数据安全得到最大保护的同时充分在协作方之间开发了数据价值。
生成式AI时代,企业需要海量的第三方非结构化数据来协作创新,但第三方数据的获取却并非易事。亚马逊云科技Amazon Data Exchange可以大大简化获取第三方数据的过程。
Amazon Data Exchange已经可以提供超过3500种的第三方数据,数据来源包括金融,天气,地理空间,健康医疗等等非常多的行业和领域,可以帮助客户轻松查找、订阅和使用所需的各种第三方数据。通过Amazon Data Exchange获取数据也非常简便,支持包括Amazon S3注入,查询表接口(query tables)以及API调用等多种访问方式。
Amazon Data Exchange与Amazon EMR Serverless等分析服务相结合,可以大大简化企业生成式AI应用开发方面的数据获取难题,加速生成式AI落地。例如像生成式AI的模型训练场景,用户只需要将下单的数据集注入到Amazon S3数据湖,就可以使用数据分析工具进行数据处理进而开始模型训练。
·实现安全数据可操作 提升安全运营效率
与业务数据不同,安全数据是指各类安全日志和安全事件的数据。安全数据的统一管理能够帮助企业更高效地实现安全合规,应用多样化分析工具从数据中获取洞察,提升安全性。
在Gartner发布的2022年网络安全重点趋势里,安全供应商的整合排到第4位。企业在短时间内做到整合安全厂商是有挑战和难度的,亚马逊云科技的解决方法是建立一个安全数据湖(Amazon Security Lake),统一管理来自不同厂商的日志,并且让这些日志可被用来进行安全事件的分析。
Amazon Security Lake是一项正式可用的安全数据湖服务,它支持包括亚马逊云科技、安全合作伙伴和第三方分析服务提供商在内的80多个安全数据源。企业可以将这些来源的安全数据传入该数据湖中并转换为符合开放网络安全架构框架(Open Cybersecurity Schema Framework,OCSF)要求的格式,从而自动收集、组合和分析这些安全数据。
Amazon Security Lake使用Amazon S3集中存储日志,可以充分利用Amazon S3的存储性能,将日志分层管理,提高性价比。和其他亚马逊云科技提供的服务一样,这个数据湖本身的安全性由亚马逊云科技来保证,例如集成了亚马逊云科技的加密服务Amazon KMS,可以实现自动加密管理。该服务还与亚马逊云科技成熟的数据分析工具集成,助力企业安全团队在熟悉的分析环境中实现更快的威胁检测、调查和事件响应,有效解决潜在安全隐患。
亚马逊云科技大中华区产品部总经理陈晓建在采访中表示,“企业需要人—流程—工具全链路的数据安全合规。为用户的业务和计算负载提供最合适的工具,一直是亚马逊云科技投入的方向。在敏感数据的发现与识别也是一样,我们通过合适的工具产品与解决方案,与我们的合作伙伴一起,为亚马逊云科技的用户提供价值。”
陈晓建表示,“亚马逊云科技一贯秉承的产品策略是基于builder(构建者)的方案,我们认为客户是构建者,他们可以通过自身的能力,结合亚马逊云科技所提供的各种积木式的服务能力,很好地构建覆盖整个业务生命周期的底层的、云的服务。数字经济时代,亚马逊云科技不断探索云上数据创新,提供丰富的端到端的服务,可以为客户带来很多价值。”