重新思考 AWS 的安全与合规运营

Clarke：(00:05)
Chad，非常感谢您今天能够参与讨论。

Chad：(00:07)
很高兴来到这里。

Clarke：(00:09)
那么，能谈谈您的背景吗？是什么吸引您来到 AWS 的？

Chad：(00:13)
好啊。我在 AWS 工作了将近 11 年，从 2010 年开始就一直从事安全和合规方面的工作。我来自 EY，在那里，我们主要提供安全咨询，还有业务连续性咨询服务。这一背景对我今天的工作，也就是从事 AWS 的安全合规性相关事务，很有帮助。

Clarke：(00:43)
作为 AWS 的安全保障主管，您的主要职责是什么？

Chad：(00:50)
我们的主要目标和任务是帮助我们的客户将受监管的、真正敏感的数据迁移到云，以及处理随之而来的许多相关事务。您需要能够在内部证明您的环境是安全的。您还必须审核 AWS，确保您的供应商 AWS 是安全的。这就是我们要做的，我们要通过审计、认证以及其他直接的审计工作来证明，我们在后台做的工作，也就是客户不能直接看到的内容，是安全的，并且符合我们遵守的各种不同类型的法规和认证标准。

Clarke：(01:34)
所以，您有内部团队，内部合规团队来确保 AWS 服务达到特定标准。我猜您也和外部第三方审计师和监管机构合作吧？

Chad：(01:47)
是的，没错。我们的大部分工作会对外涉及外部审计师、监管机构、监管机构审查员以及对 AWS 进行审计和执行尽职调查的客户。

Clarke：(02:03)
从广义的角度看，在安全领域，对优质人才的物色、招聘、培训以及如何留住人才这一过程是十分困难的。我想，对于安全保障和合规性专业人才来说，情况也是如此。

Chad：(02:18)
您说的非常对。是这样的。

Clarke：(02:20)
您能谈一谈，您是如何培养新员工，如何让他们全身心投入，对自己的工作保持热情和激情，以及如何让安全保障工作成为他们的理想工作？

Chad：(02:33)
好的。退一步说，如今招聘真正优秀的技术安全人员的困难在于，我们是与一些相当强大的对外服务竞争。我们寻求的人才相同，比如开发人员和系统设计师之类。所以，我们不得不与之竞争。

Chad：(03:00)
很多时候，虽然感觉是完成了一项相当棒的工作，可是什么都没有改变，对吗？ 比如没有违规，没有升级，什么都没有发生。但是，当在服务方面做得非常好时，就会带来一些改变。他们发布了一款产品，所有人都很兴奋，因为这会带来利润，也会受到客户的喜欢。我们是在这些方面竞争。但是，我们所拥有的，安全专家所拥有的才是作为企业真正优秀的一面，而不是像企业公民。就像真正成为整个行业安全的一个好的贡献者一样。

Chad：(03:49)
因此，我们所做的就是，开发我们的内部流程和内部服务并将其延伸至外部，帮助我们所有的客户群更好地做到安全和合规。因此，这也是它的一个方面。那些真正重视这一点的人在我们的团队中表现得非常好，并且非常热爱从事合规相关工作。其实，没有人会在上大学时想到要成为一名审计师，或者要成为一名合规工程师。没有人想得到，但是当他们加入我们的团队，真正了解到我们在做什么，以及我们如何帮助客户后，这对我们所有的客户群来说都是一个非常广泛的价值主张，而不仅仅是那些使用特定服务的客户。这就是我们所做的事。

Chad：(04:40)
因此，当我们雇用员工时，往往不会雇用那些从事过传统合规工作的人，也许是因为他们对服务团队或开发人员总会有些抵触。我们实在不想出现这样的情况。我们要避免这样的情况。所以符合我们要求的人并不多。也有一些极具激情的人在做这个事情，并且这个群体正在不断扩大，但与以往一样，他们可能还是不太懂技术。因此，这也不是很适合我们。

Chad：(05:21)
但如果遇到了合适的人才，他们也需要符合 Amazon 的两条领导原则才行。第一是善于学习和充满好奇心。他们需要有好奇心，要了解开发人员的工作流程，了解他们使用的工具。就像我说的，要了解他们是如何工作的。这需要对技术充满好奇，钻研它，才能把它做好。

Chad：(05:54)
第二个领导原则是创新和简化，因为我们正致力于探寻一些以前没有人尝试过的合规方式。我知道，在我们询问同事或者在其他论坛和会议之类的场合询问时，别人可能不需要处理我们要面对的规模。因此，我们必须专门为开发人员开发出我们自己的产品，我们自己的工具以及我们自己的服务。所以我想说，这是我们真正需要的两条领导原则。

Chad：(06:29)
当我们引进人才时，我们会从各地招揽。我最优秀的员工之一是一名电气工程师。他在学校获得了电气工程学位，并从事了电气工程方面的一些其他工作。后来，他加入了我们公司，因为他对我们当时做的工作极度好奇，非常符合我们的价值主张。他确实是我们最优秀的人才之一。这就是我们所青睐的。

Chad：(06:57)
我们喜欢教育背景和企业背景的多样性。我的意思是，我们要有一个非常多元化的团队，团队成员的背景和想法，来自哪里，所在地点，所有这些都可以截然不同。这对公司的发展确实有好处，因为我们可以跳出思维定势。我们可以思考如何扩大规模。我让我的团队参与得越多，他们发挥的能量就越大，他们可以在这些方面为行业领先的事业做出贡献，以前所未有的速度扩展不同的活动和不同的流程。他们对此感到兴奋。就像我们所有人一样。我也同样如此，而且我们也正在积极准备，切实践行这一思维领导力。

Chad：(07:45)
而另一件令人兴奋的事情是，它也确实适用于我们的许多客户。我认为，我们让客户受益的事情比人们意识到的要多很多。我们不仅致力于开发流程、工具以及其他促进因素，而且我们还试图通过我们的其他服务将其延伸至外部，帮助我们的客户利用我们的经验教训从而不重蹈覆辙。

Clarke：(08:14)
Chad，过去的 18 个月、24 个月，对每个人来说都很艰难，因为疫情原因，人们不得不在家和咖啡馆等地方进行线上工作。这种远程工作对您的团队及其日常工作能力有什么影响，是否增加了一些功能和服务来帮助支持不同的开发团队？

Chad：(08:35)
从传统意义上来说，某些方面的审计工作没有意义，比如走访数据中心。在许多方面，审计师走访数据中心主要是为了能够在表面上完成这项工作。或者，他们亲自走访是为了能够勾选方框表明完成了这项任务，而实际上他们可以从其他方面获得他们所需要的信息。就像数据中心访查，我们的数据中心仪器化程度很高，我们可以远程收集所需的任何证据，包括摄像头的覆盖情况。所以为什么需要走访数据中心呢？ 实际上走访数据中心并不能为您提供帮助。

Chad：(09:12)
所以在疫情之前，我们会有各种各样的工作，这些工作实际上并没有必要做，而且花费了很多时间，尤其是走访世界各地的数据中心。当我们要去走访位于新加坡的一个数据中心时，就需要占用整个小组、审计师以及我们自己一整个星期的时间。

Chad：(09:40)
疫情发生后，我们就无法这样做了。起初，审计师确实很难开口说，好吧，我不去数据中心了。但我们的处理是，我们和他们一起工作，但会表达说我们工作的方式是多么的工具化。 是这样的。我们可以通过虚拟阅览室、查看文件和视频会议进行访谈等方式，远程完成通常需要亲自走访才能完成的所有工作。对抽样调查来说，审计师不需要前往数据中心，便能让我们下载包含需要审查内容的系统表。我们可以通过这种安全的方式向审计师提供数据，并展示我们如何下载数据以保证安全的监管链和所有相关内容。

Chad：(10:31)
疫情原因迫使所有人都以这样的方式工作，因此所有的审计工作都变得更有效率。我们能够提高审计的效率。我们不仅能更快、更有效率地完成审计工作，而且我们还能同时完成许多其他的工作。而在之前，通常情况下，我们必须协调好差旅行程才能依次完成全部工作。所以这种方式对审计工作本身带来了很多好处。

Chad：(10:56)
另外，我们已经能够真正地重新思考什么才是真正必要的，以便验证控制语句或控制过程。疫情在很多方面使我们放慢脚步，使审计师们放慢脚步，重新思考他们如何在我们的环境中真正获得保障。

Chad：(11:26)
我们花时间构建了更多的工具。我们有不同的方式来展示一个数据中心的走访。现在有一个线上的数据中心走访之旅。还有，我提到过数字审计研讨会，这种方式不需要让人们亲身聚集到在一个房间里，而是在一个虚拟的场景中，通过视频之类的形式来实现。这样他们就可以在自己的时区按需进行，我们不需要联系服务团队的领导和总经理，以便让他们到现场一遍又一遍地向客户展示基本上相同的信息。这种形式使我们的其他审计、其他工作以及培训活动更加有效。

Clarke：(12:17)
这听起来就是审计成为了一种服务？

Chad：(12:21)
审计成为了一种服务，或只是真正专注于那些重要的事情。我们之前 20 年里做的传统工作，是真正需要的吗? 有些不需要。我们现在能够做正确的事情，执行适当的程序以及评估合理的控制。

Clarke：(12:44)
太棒了。如果我们稍微换个角度，从客户的角度出发。假如我是客户，我将启动一个安全保障计划。显然，我不会从 AWS 的级别和规模开始着手，但客户如何获得对他们自己内部安全保障程序的支持呢? 您说过要有开发团队。这在我们的客户中并不是“标准操作”。一些规模较大的客户开始有这方面的考虑。但客户要如何说服领导，让其意识到这项工作的重要性以及意识到这是公司应该投入的投资。

Chad：(13:24)
这是个好问题，但我认为不同的客户有不同处理方法。大多数客户在其业务中都存在各自不同的情况，因而安全与合规的价值主张也各不相同。

Chad：(13:38)
总的来说，在许多方面，安全显然很重要，合规性也是绝对必要的。因此，建立相关计划必不可少。每个人都需要安全计划。每个人都需要合规计划，无论是安全合规还是法律合规，如果您想继续运营，就必须遵守法律，对吧?

Chad：(14:05)
但我想说的是……首先，要向领导层介绍安全和合规计划的价值，我认为这应该是一个商业决策，对吗？ 并不是说，这是某人的义务或工作，要去说服整个领导团队，告诉他们确保安全的重要性。这应该是 CEO 级别管理层的决策，表示要认真对待安全问题。

Chad：(14:46)
一旦做出了决策并且理解了它的价值，如果想进行投资，该如何做呢？ 我想说的是，就像我们刚才谈到的了解开发人员的实际工作流程一样。这可能是您必须真正关注的头等大事。大多数人一开始会问，“我们拥有哪些控制框架？” “我们需要遵守哪些控制措施？”首先需要先记录下这些控制措施，然后告诉企业他们需要做这些事情或实现这些目标。

Chad：(15:25)
如果您真正深入了解您的企业是如何运作的，不管它是什么企业。我们需要面对的是一群开发人员，对吧? 他们是如何工作的，他们是如何完成工作的，他们使用什么工具，所有这些都是非常重要的，因为我们必须在引入任何新东西之前深入了解它。很多时候，我们不需要引入任何新的东西，因为工作已经完成了。或者我们会解释控制框架是如何工作的。无论您从事什么行业，把他们实际在做的事情、工作方式与要求以及可能需要对企业进行的解释相结合，这些工作是最重要的。

Chad：(16:24)
为了在合规团队、安全团队和企业之间建立真正的良好伙伴关系，您需要做的第一件事可能就是这样。很多时候，我们把这一点搞反了。我认为这确实是我们成功的关键，不仅是在开始的时候是这样，而且始终都是如此。我们成功的唯一原因是，我们对 AWS 开发人员设计、开发、部署和维护软件的方式非常熟悉，其他一切都围绕着这一点。

Clarke：(16:59)
Chad，非常感谢您今天能够参与讨论。

Chad：(17:01)
很高兴来到这里。谢谢您，Clarke。