“vivo安全技术高级总监陈辉军如何保护你的数据隐私?re:Inforce学习实践分享”

  与很多来自中国的企业用户和技术爱好者一样,2023年,我第一次在线下参加了亚马逊云科技的安全主题大会re:Inforce。

  一方面安全本身的话题性很少,另一方面re:Inforce本身更具聚焦于具体实践,所以,也很难有类似re:Invent那种刷屏式的存在感。

  第一次参加re:Inforce,媒体从业者的习惯驱使找到抓人眼球的亮点,因此,我把目光投向了几个新发布的安全相关服务,其背后的要点,可以从责任共担模型、零信任等角度进行概括。

  然而,在我与几位亚马逊云科技的技术专家,来自第三方的技术专家和来自vivo的技术专家对话之后发现,大家并没有花大篇幅将新发布视为话题的重点,很多参会者收藏的话题很明确,此行更多是为了寻找某些问题的解决之道,或者解决思路。

  比如,vivo安全技术高级总监陈辉军想学习的是数据隐私方面的优秀实践,在全球对数据隐私保护要求越来越多的背景下,作为著名出海企业的vivo自然将数据隐私视为重点。

  陈辉军表示,此次参加re:Inforce,感受到了亚马逊云科技在技术战略上对于数据安全的重视。

  令他比较受用的是,亚马逊云科技把整个数据安全和合规的能力融入到了流程当中,这对于vivo的业务出海非常有帮助。

  事实上,亚马逊云科技将安全视为Job Zero,作为头等大事,什么是Job Zero呢?意味着什么呢?

  )在亚马逊内部,亚马逊云科技的CISO是直接向Amazon的CISO汇报,而后者直接向CEO汇报。

  在实际使用时,用户自然能发现很多问题,然而,这些问题在亚马逊云科技的架构设计当中,都已经考虑到了,这与一些需要后续迭代的安全服务完全不同。

  从陈辉军的介绍中了解到,vivo非常看重数据安全和隐私保护,在内部构建了一套可以文章重点为“PROTECT”的安全能力体系,其中:

  E则代表安全工程(security Engineering),指的是基于业务开发的生命周期来构建安全能力,将业务的设计、开发、测试等全流程与安全流程结合;

  第二个T指的是安全对抗(security penTesting),会对业务系统安全能力做攻防评估。

  事实上,vivo基于千镜安全架构开发了千镜可信引擎,该引擎会衡量手机系统运行环境的可信的度量,它可以给上层的应用测算出风险的度量分数,帮助用户来避免遭受设备诈骗等风险。

  整体而言,vivo在隐私保护、数据安全、合规管理方面的工作都得到了亚马逊云科技的帮助,亚马逊云科技助力 vivo 构建了牢固的云上防护体系,能更好地保护消费者数据安全与隐私。

  首先,在基础架构层面,亚马逊云科技的用户可以直接继承亚马逊云科技的安全能力,省去了vivo在基础架构层面上的投入。

  第二,在实现过程中尽可能多地做自动化,亚马逊云科技的安全服务体系注重自动化,而自动化则可以促进安全效率的提升。

  第三方面,亚马逊云科技平台上可以为vivo提gòng端到端的安全解决方案,这些安全能力,有的是亚马逊云科技自己的,有的是通过合作伙伴去提gòng的。

  vivo用了很多亚马逊云科技的安全服务,这与vivo与亚马逊云科技在业务形态上的相似性不无关系。

  在服务vivo的过程中,亚马逊云科技提gòng的不是某一项云服务,而是一套安全技术体系的参考范式,这套范式不仅需要vivo的安全相关人员来参与,还需要运维人员和前端人员的参与,甚至还需要让法务团队参与。

  陈辉军表示,亚马逊云科技在数据安全合规方面给vivo进行了很多赋能工作,在vivo面向业务人员和安全人员开展了多场培训。

  vivo的V学堂里有关于亚马逊的安全赋能的一系列课程,上线以来有大约三万多人是听过这门课,由于是线上课程,vivo的每一个部门的人都能来参加,课程内容会提到很多具体的问题,比如,如何用亚马逊云科技的服务来应对勒索病毒等。

  因为,放由用户自行解决安全和隐私问题,用户的业务发展步伐可能会放缓,而亚马逊云科技则是要用安全服务加快其发展,让vivo这样的企业将更多精力放在业务发展本身。

  亚马逊云科技不是要让用户从头开始学习在云上防勒索,就像不是所有人都需要具备预测天气的能力一样,大多数人会看天气预报即可,亚马逊云科技负责提gòng安全能力,vivo这样的用户拿过来用就好了。

  然而,亚马逊云科技的这番操作对业务的促进作用是间接作用的,并不会直接转化为任何收益,这是安全服务的一个非常大的特点。

赞(0)
未经允许不得转载:生活随想分享 » “vivo安全技术高级总监陈辉军如何保护你的数据隐私?re:Inforce学习实践分享”

生活随想分享生活随想分享