扩展 AWS 的合规性与安全性保障

Clarke Rodgers：（00:05）
Chad，非常感谢您今天能够光临。

Chad Woolf：（00:07）
很高兴来到这里。

Clarke Rodgers：（00:09）
那么，能谈谈您的背景吗？是什么吸引您来到 AWS 的？

Chad Woolf：（00:14）
没错。我在 AWS 工作了将近 11 年，从 2010 年开始就一直从事安全和合规方面的工作。我来自安永，在那里，我们主要提供安全咨询，还有业务连续性咨询服务。这一背景对我今天的工作，即 AWS 的安全合规性，很有帮助。

Clarke Rodgers：（00:43）
作为 AWS 的安全性保障主管，您的主要职责是什么？

Chad Woolf：（00:49）
我们的主要目标和任务是帮助我们的客户将受监管的、真正敏感的数据迁移到云，以及处理随之而来的许多相关事务。您需要能够在内部证明您的环境是安全的。您还必须审核 AWS，确保您的供应商 AWS 是安全的。这就是我们要做的，我们要通过审计、认证和其他直接审计来证明，我们在后台做的事情，客户看不到的事情，是安全的，并且符合我们遵守的各种不同类型的法规和认证标准。

Clarke Rodgers（01:35）
所以，您有内部团队，内部合规团队来确保 AWS 服务达到特定标准。我猜您也和外部第三方审计员和监管者合作吧？

Chad Woolf：（01:46）
没错。是的。我们的大部分工作会涉及与外部审计员、监管者、监管审查员以及对 AWS 进行审计、对我们进行尽职调查的客户的外部接触。

Clarke Rodgers：（02:03）
明白了。AWS 是著名的最大的初创公司。我们的行动非常迅速，我们会在客户提出要求时或之后尽快向他们发布产品和功能。我认为在您的世界里，您总是运筹帷幄，一切都必须是完美的。我们，特别是您的团队，如何做到既能够快速行动，同时又达到合规性和安全性保障目标？

Chad Woolf：（02:35）
这是一个很好的问题，也是我们经常被质疑的问题。我的意思是，我们绝对希望保持并维护这种快速行动、快速迭代、向客户发布优秀产品的文化。

Chad Woolf：（02:53）
这有时与我们试图做的事情不一致，即确保记录流程、记录控制措施，并且我们拥有大型综合合规框架（如 FedRamp 或 ISO 等）所需的所有控制措施，它们需要一个全面的控制框架和流程，以符合行业对这些最佳实践的期望。有时，我们所做的事情与其他公司传统上可能会做的事情不一致，这是一个挑战。

Chad Woolf：（03:31）
但是，在这里工作并成为这个团队的一员很棒的一点是，安全是第一要务。实际上，如果您能够正确保证安全性、可以投资于安全性，并且大家达成共识，那么其余的合规性工作就非常明确了。我想说简单，但我的意思是它非常明确，这意味着我们可以把它记录下来，我们可以追踪每个人所做的事情并正式化文档，以与审计员和监管者产生共鸣的方式记录流程。

Chad Woolf：（04:10） 
有时我们需要完成并改进一些工作。随着时间的推移，随着审计员对我们所做工作的深入了解，我们也在帮助改进工作。但主要是因为我们内部的安全性非常好，无论是从战术角度还是从领导支持的角度来看，都十分安全，所以我们的工作非常明确。

Chad Woolf（04:37）
但是，是的，我们的团队也做了很多工作来帮助实现这一目标，减轻合规流程以及我们服务团队审计工作的负担。我们竭尽所能。 在此过程中，我们做得越好，扩展能力就越强，就可以为更多的客户和更多的 GO 做更多此类审计。

Clarke Rodgers：（05:00）
我很高兴您提出了这个过程。许多客户还在苦苦挣扎。您知道，他们有向客户提供的应用程序，他们有时必须对其进行审核，即编写应用程序，将其投入生产，然后审核团队对其进行分析并确保它符合需要遵守的任何标准。我会设想，以我们的运营速度和运营规模，一些来自 AWS 内部开发过程本身的自动化构件可能会对每个人都有帮助。

Chad Woolf：（05:33）
没错。我的意思是，这是我们在扩展时面临的另一个问题，即我们可以收集多少证据，而不是我们需要与开发团队进行某种接触才能说，我们自己无法获得这些证据。我们需要您为我们提供证据或者为我们与审计员沟通。

Chad Woolf：（05:58）
我们提供服务的能力，内部开发人员为我们的客户提供的服务，诸如文档记录、收集证据、以审计员想要看到的方式使他们正在做的事情合理并有条理，我们在这方面做得越好，扩展能力就越强，就越能够将我们的合规框架扩展到其他不同类型的认证、其他不同类型的客户和其他 GEO 中。

Clarke Rodgers：（06:33）
那么，您的团队中是否有真正编写代码来帮助收集证据的人才？ 您是否开发了自己的程序来做到这一点？

Chad Woolf：（06:40）
这是个好问题。这是我经常从客户那里得到的一个问题，比如就我们的技术水平而言，我们如何组建这方面的团队？

Chad Woolf：（06:50）
我们确实有一个团队。我确实有一个工程团队来做这件事。这是一个控制自动化团队，就像一个工作流团队，处理诸如启用证据收集之类的工作。有一个这样的团队真的很重要。这真的很重要，因为我们在组织中与一群开发人员打交道，我们需要能够说他们的语言。我们不仅需要会说他们的语言，还需要知道他们使用的是什么工具。我们需要了解他们如何开发代码、如何部署代码、如何保护代码、他们必须做什么才能启动、他们必须做什么来实施他们的服务、更新等等，从而提供新服务。我们必须深入了解它，然后才能构建融入他们的工作方式的工具。

Chad Woolf：（07:45）
而且我认为这非常关键，因为很多时候，您会看到合规团队或计划对这些信息一无所知，然后他们最终只是把一堆要求扔到了墙上，敲着合规锤说，“嘿，如果不这样做，我们就会遇到麻烦”。这确实不是真正实现扩展的好方法。它不能扩展。可以这样做，但实际上无法扩展。实现扩展的唯一方法是真正融入他们的工作方式，并采用这种方式，使他们能够像平常一样在没有任何干扰，例如特定于合规性的干扰的情况下完成工作。如果我们真的在这方面取得了成功，那么这就是一个高度可扩展的合规计划。

Clarke Rodgers：（08:39）
这比我听到的那些人们完全避开合规人员的故事更具协作性。我想在这种情况下，人们在咖啡厅之类的地方不会躲着你。

Chad Woolf：（08:49）
这个观点很好。很多时候，技术领导者会来找我，希望更深入地了解需要什么以及他们如何帮助支持我和我的团队，因为他们了解这部分业务，我们的合规角度，AWS，为了让我们的客户将我们用于那些受监管的工作负载，这绝对是必不可少的。否则他们根本做不到，如果我们不这样做，我们将无法服务于我们大部分的客户群体。他们明白这一点，他们多次向我寻求帮助，以便更好地协调某个业务线，并获得资源和事物来帮助支持他们的业务。

Clarke Rodgers：（09:34）
Chad，您会见了很多客户，监管者和审计员。根据他们看待云服务提供商以及进行审计的方式，您从这些群体中看到了哪些趋势？

Chad Woolf：（09:45）
五年前，我认为到 2020 年，审计员肯定已经共享证据了，我们不必再一遍又一遍地要求证据。但这根本没有实现。如果说有什么进步的话，那就是他们会退一步说，您知道吗？我们的证据是我们自己的，我们需要主观和客观地看看您的环境。我们需要能够得出自己的结论。而且，如果您为其他人收集了证据，我们不会接受它们。 我们需要自己进行测试和采样。不幸的是，情况就是这样。因此，我们必须非常擅长生成证据，并且我们的证据生成能力已经能够与之匹配，但我们仍然......我的意思是，我们总是可以做得更好，因为这是其中一个棘手的部分。

Chad Woolf：（10:35）
但我想说总的来说，我想说人们越来越聪明了。他们提出了正确的问题。他们提出了更深层次的问题。凭借我们与这些客户审计员以及常规和外部审计员的所有经验，我们在回答这些问题方面做得越来越好。

Clarke Rodgers：（10:53）正如您所说，我会想象，人们......云不再是新鲜事物了，对吗？ 它无处不在，每个人都在使用它，因此人们在使用它方面获得了更多的经验，因此他们知道要问哪些问题。我知道我们有一些面向客户的工具，例如 AWS Artifact，客户可以通过它们来查看我们的第三方证明。您还可以向监管者提供什么其他信息吗？ 他们可能是，也可能不是客户，要帮助满足他们吗？

Chad Woolf：（11:23）
是的。

Clarke Rodgers：（11:24）
就我们的控制措施而言？

Chad Woolf：（11:26）
好吧，我想说，首先，使用 AWS 的客户正在验证他们的供应链，这些审计是非常不同的，因为我们必须将他们如何使用 AWS 与我们在幕后所做的事情联系起来，这是他们看不到的。所以，我们帮助他们做到这一点。与非 AWS 用户的监管者相比，这种对话更为直接。他们会进来，然后开始根据他们认为我们应该如何管理风险等方面提出问题。这比因为我们没有任何关于它们的使用背景要更有挑战性，对吧？

Chad Woolf：（12:10）
当客户向我们提问题的时候，我们是非常好的合作伙伴。他们告诉我们他们是如何使用 AWS 的。他们基本上向我们解释了他们需要如何向监管者阐明其用途和使用的供应链。我们可以帮助他们，并为他们指明正确的方向。这是一个非常良好和积极的合作伙伴关系。

Chad Woolf：（12:35）
监管者只是范围更加宽泛一点，他们在没有这种背景的情况下提出问题。 所以这只是一个不同的挑战。但我们还是……比如说，我认为我们在过去几年里其中一项收获就是，像对待真正的合作伙伴一样对待我们的审计员、监管者和客户审计员。就像您在本次采访中早些时候所说的那样，很多客户，或者很多人，就是不想处理合规问题。监管者来了。哦，不，让我们把门关上。嘘……大家什么都不要说。 这确实在两个组织之间制造了一些障碍。我认为这些障碍无处不在，尤其是在大银行与监管者或医疗保健公司与监管者之间。

Chad Woolf：（13:26）
有时……合作的程度会有所不同，但我们看到我们和我们的客户，那些与审查员和审计员有真正伙伴关系的人，他们真的可以互相帮助，因为审计员和审查员也是他们的客户，真的，即使他们不使用 AWS，他们也是客户，他们需要了解，他们需要完成一些事情。我们越积极主动地帮助他们完成他们需要完成的事情，速度就越快，体验就越好。所以，我们真的吸取教训，成为真正的合作伙伴并以积极的方式真正与他们互动是最好的方式，也可能是未来实现扩展的唯一方式。

Clarke Rodgers：（14:12） 
同样，您向监管者和第三方审计员提供了什么样的机制、培训材料和教育材料，以便他们更好地了解云以及如何更好地审计它？

Chad Woolf：（14:28）
我认为来者对云一无所知的日子已经一去不复返了。我记得在 2012 年，S3 的总经理参加了一次审计会议，审计人员问 S3 是什么？ 后来他把我拉到一边说，他们为什么要问我这些非常基本的问题？ 这样的日子一去不复返了。

Chad Woolf：（14:54）
我的意思是，那里有很多材料。我们不仅拥有像云学院这样的材料，还有我们开发的材料，与云无关的培训，以及特定于 AWS 的培训。那里有大量关于云的更好的培训、知识和理解。所以我们不再是第一方了。当有人进来的时候，我们已经是第二方，甚至第三方了。

Chad Woolf：（15:21） 
尽管如此，我们需要帮助不断提升这些审查员和审计员的能力，并且我们拥有一些内部材料。我们会举行一个叫做“数字审计研讨会”的会议，会上有很多关于控制方面的叙述，还有控制所有者和总经理的演讲，他们谈论如何运营他们的服务，以及与控制相关的内容。我们有很多这样的东西，但也仅限于此，因为就像我说的，任何来进行审计的人都会提出自己的问题并深入研究，我们必须以面试的形式即时回答这些问题。 这只是行业中的标准。但随着我们写的叙述越来越多，我们会写得越来越好，因为每当我们被问到一个非常具体和深刻的问题时，我们会说，我们会写一个关于它的叙述。所以下一个问我们的人，我们已经准备好了一个叙述，这样他们就可以更容易地阅读和理解它。

Clarke Rodgers：（16:25）
Chad，非常感谢您今天能够光临。

Chad Woolf：（16:27） 
很高兴来到这里。谢谢您，Clarke。