在 AWS 擴展合規性和安全保障

Clarke Rodgers︰(00:05)
Chad，非常感謝您參加我們今天的談論。

Chad Woolf︰(00:07)
很高興能來這裡。

Clarke Rodgers︰(00:09)
那麼您能否分享一下您的背景以及您加入 AWS 的原因？

Chad Woolf︰(00:14)
好的。我已經在 AWS 工作了大約 11 年，從 2010 年開始就一直從事安全性和合規性方面的工作。我之前在 EY 工作，在那裡，我們做過很多安全諮詢，很多業務連續性諮詢。這種背景對我今天的工作有很大的助益，而這就是 AWS 的安全合規性。

Clarke Rodgers︰(00:43)
那麼作為 AWS 的安全保障主管，您的主要職責是什麼？

Chad Woolf︰(00:49)
我們的主要目標和使命是幫助我們的客戶將受管制且非常敏感的資料遷移到雲端，以及處理與之相關的諸多事項。您需要在內部證明您的環境安全無虞。您還必須稽核 AWS，確保您的供應商 AWS 同樣安全。這就是我們要做的工作，我們透過稽核與認證以及其他直接稽核業務來證明，我們在後台所做的事情、客戶看不到的事情等，均安全無虞且符合所有我們須遵守的各種不同類型的法規和認證標準。

Clarke Rodgers︰(01:35)
因此，您有內部團隊、內部合規團隊來確保 AWS 服務符合特定標準。我想您也會和外部第三方稽核員和監管機構合作吧？

Chad Woolf︰(01:46)
好的。是的。因此，我們的大部分工作都與外部稽核員、監管機構、監管機構審查員以及對 AWS 執行稽核、對我們展開盡職調查的客戶的外部業務相關。

Clarke Rodgers︰(02:03)
原來如此。作為目前最大的新創公司，AWS 可謂聲譽卓著。我們的行動非常非常迅速，我們會在客戶提出要求時或之後盡快為他們發佈產品和功能。我可以想象在您的世界裡，您會研究這個控制或是那個控制，並確保一切完美無瑕。我們，特別是您的團隊，如何滿足仍然能夠快速行動的需求，同時滿足合規性和安全保障目標？

Chad Woolf︰(02:35)
這是一個很好的問題，也是我們經常面臨的挑戰。我的意思是，我們絕對希望保持並維護這種快速行動、快速反覆運算、向客戶發佈優質產品的文化。

Chad Woolf︰(02:53)
這有時與我們試圖做的事情不一致，即確認記錄流程，記錄控制，以及我們擁有大型全面合規框架 (如 FedRamp 或 ISO 等) 所需的所有控制，其中他們需要一個全面的控制框架和流程，以符合產業對這些最佳實務的期望。因此，有時當我們實際所做的事情與其他公司的潛在傳統做法不一致時，這會是一個挑戰。

Chad Woolf︰(03:31)
但是在這裡工作並成為該團隊的一員的好處便是，安全性是首要目標。而現實情況是，如果您能夠妥善獲得安全，您可以對安全性進行投資並且每個人都在同一頁面上，那麼其餘的合規操作就非常簡單了。我本想說簡單，但我的意思是它非常明確，也就是說我們可以將其進行記錄，我們可以追蹤每個人所做的事情並形成文件，以與稽核員和監管機構產生共鳴的方式記錄流程。

Chad Woolf︰(04:10) 
有時我們需要做一些事情並加以改進。隨著時間的推移，以及稽核員對我們所做工作的深入了解，我們也在協助改進事情。但最主要的是，因為我們內部的安全性非常好，無論是從戰術角度還是領導贊助角度來看，它都確實做到了，所以我們的工作非常明確。

Chad Woolf︰(04:37)
但是，沒錯，我們的團隊也做了很多事情來幫助實現合規流程以及我們服務團隊的稽核，並減輕其負擔。我們會盡我們所能做到這一點。 當我們致力於此並且逐漸做得更好時，我們可以實現更多擴展，我們就可以為更多的客戶和更多的 GO 開展更多的此類稽核。

Clarke Rodgers︰(05:00)
我很高興您提起了這個流程。許多客戶都在竭盡所能。您知道的，他們有可向客戶提供的應用程式，他們有時必須對其進行稽核，即編寫應用程式，將其投入生產，然後稽核團隊會對其進行檢查並確保其符合現有的任何標準。可以想像，以我們營運的速度和規模，可能會有一些來自 AWS 開發流程本身的自動化成品，並對每個人都有所幫助。

Chad Woolf︰(05:33)
好的。我的意思是，隨著規模的擴大，我們面臨的另一個問題是，我們可以收集多少證據，而不是我們需要與開發團隊進行某種形式的接觸，也就是說我們自己無法獲得這一證據。我們需要您為我們提供證據，或為我們與稽核員交談。

Chad Woolf︰(05:58)
因此，我們提供服務的能力，內部開發人員為我們的客戶提供的服務 (諸如文件記錄、收集證據、理解或虛構他們正在做的事情，以及稽核員想要如何查看)，我們在這方面做得越好，我們便可實現更多的擴展，進而就可以將我們的合規框架擴展到其他不同類型的認證、其他不同類型的客戶和其他 GEO。

Clarke Rodgers︰(06:33)
那麼，您的團隊中是否真的有這樣的人才，可以編寫程式碼來幫助收集證據？ 你們是否開發了自己的程序來執行這一動作？

Chad Woolf︰(06:40)
是的，這是個好問題。這是客戶經常會問我的問題，比如就我們的技術水平而言，我們如何構建這個團隊？

Chad Woolf︰(06:50)
您也知道，我們確實有一個團隊。我確實擁有一個可執行這一動作的團隊。這是一個控制自動化團隊，就像一個工作流程團隊，他們會執行一些事項，比如支援證據收集等。對我們而言，擁有這個團隊真的很重要。確實非常重要，因為我們要與組織中的開發人員打交道，我們需要能夠使用他們的語言。我們不僅需要能夠使用他們的語言，還需要知道他們使用的工具。我們需要了解他們如何開發程式碼、如何部署程式碼、如何保護程式碼、他們必須做什麼才能發佈、他們必須做什麼來營運他們的服務、進行更新等等，以及提供新服務。我們必須對其進行深入了解，然後才能建置工具來了解它們的運作方式。

Chad Woolf︰(07:45)
而且我認為這非常關鍵，因為很多時候您會發現一個合規團隊或計劃並未真正理解，然後他們最終只是把一堆要求與合規整合在一起，就是這樣，如果我們不這樣做，就將會遇到麻煩。這確實不是真正實現規模化的好方法。其並未擴展。可以這樣做，但實際上無法擴展。擴大規模的唯一方法是真正融入他們的工作方式，並採用這種方式，使他們能夠像平常一樣在沒有任何干擾的情況下完成工作，例如合規特定干擾。如果我們確實在這方面取得了成功，那麼這就是一個切實完全可擴展的合規計劃。

Clarke Rodgers︰(08:39)
相比起我之前聽過的員工會完全避開合規人員的案例，這聽起來更具協作性。我想在這種情況下，人們不會在咖啡間之類的地方避開您。

Chad Woolf︰(08:49)
這個觀點不錯。很多時候，技術領導者會來找我，以更好地了解需要什麼以及他們如何協助支援我和我的團隊，因為他們了解這部分業務、我們和 AWS 的合規角度，而為了讓我們的客戶使用我們來完成受管制的工作負載，這絕對非常重要。否則他們根本就做不到，而如果我們不這樣做，我們將無法為我們的大部分客戶群提供服務。他們明白這一點，並多找到我，要我協助他們更好地協調路線，並獲得資源及完成任務，從而支援他們的業務。

Clarke Rodgers︰(09:34)
Chad，您已見過很多客戶、監管機構和稽核員。就他們如何看待雲端服務供應商以及他們如何進行稽核而言，您從這些群體中看到了哪些趨勢？

Chad Woolf︰(09:45)
五年前，我確信到 2020 年，我們肯定能夠實現稽核員共享證據的情況，且我們不必重複索要證據。不過，這根本就沒有實現。如果有的話，他們會退一步說，您知道嗎，我們的證據是我們自己的，我們需要從主觀和客觀兩種角度來研究您的環境。我們需要能夠得出自己的結論。而且，如果您為其他人收集了證據，我們將不會接受。 我們需要自己進行測試和採樣。不幸的是，情況就是這樣。因此，我們必須非常非常擅長產生證據，並且我們的證據產生能力已經能與之匹配，但我們仍然...我的意思是，我們總是可以做得更好，因為這是其中一個困難部分。

Chad Woolf︰(10:35)
但我只想說總體而言，是人們變得越來越聰明了。他們會提出合理的問題。他們會提出更深層次的問題。憑藉我們與這些客戶稽核員及常規和外部稽核員往來的所有經驗，我們在回答這些問題方面也表現得越來越好。

Clarke Rodgers︰(10:53) 我完全可以想象您所描述的情況，當人們...雲端已不再新奇，對吧？ 它無處不在，每個人都在使用它，因此人們對其相當了解，只當要具體詢問哪些問題。所以我知道我們有一些面向客戶的工具 (例如 AWS Artifact)，這些工具允許客戶查看我們的第三方證明。您還可以向監管機構提供任何其他資訊嗎？ 您知道，他們可能是也可能不是客戶，是否要協助滿足他們？

Chad Woolf︰(11:23)
是的。

Clarke Rodgers︰(11:24)
那就我們的控制而言呢？

Chad Woolf︰(11:26)
好吧，我想說，首先，使用 AWS 的客戶正在驗證他們的供應鏈，這些稽核完全不同，因為我們必須將他們如何使用 AWS 與我們在幕後所做的事情進行關聯，而這些是他們無法觀察到的。所以我們要幫助他們。與不是 AWS 使用者的監管機構相比，這種對話更為直接。他們會進來，然後根據他們認為我們應該如何管理風險等提出問題。這稍微更具挑戰性一些，因為我們沒有他們的使用背景以進行介入，對吧？

Chad Woolf︰(12:10)
因此，當客戶開始詢問我們時，這種合作夥伴關係就非常不錯。他們會告訴我們，他們將如何使用 AWS。他們基本上向我們解釋了他們需要如何向監管機構闡明其用途和所使用的供應鏈。因此，我們可以幫助他們，並為他們指明正確的方向。這是一個非常不錯且又積極正面的夥伴關係。

Chad Woolf︰(12:35)
監管機構，它只是稍微更廣泛一點，並且提出了與這種環境無關的問題。 所以這只是一個不同的挑戰。不過，我們還是...我認為在過去幾年中，我們獲得的啟發之一就是要將我們的稽核員、我們的監管機構以及我們客戶的稽核員當成真正的合作夥伴。就像您前面所說的那樣，很多客戶，或者很多普通人，就是不想與合規打交道。監管者來了。哦，不，我們把門關上吧。每個人保持沉默，不出聲，您知道嗎？ 這確實在兩個組織之間造成了某種障礙。我認為這些障礙無處不在，尤其是大銀行及其監管機構或醫療保健公司及其監管機構之間。

Chad Woolf︰(13:26)
有時... 合作的程度會有所不同，但我們看到我們和我們的客戶，那些與審查員和稽核員有真正合作夥伴關係的人，他們可以真的互相幫助，因為稽核員和審查員也是他們的客戶，真的，即使他們不使用 AWS，他們也是客戶，他們需要進行相關了解，他們需要完成一些事情。我們越積極主動地幫助他們完成他們需完成之事，事情就進展得越快，且體驗也會越好。所以我們確實吸取了這一教訓，成為真正的合作夥伴並以積極的方式與其互動，才真正算是最佳方式，也可能是未來擴大規模的唯一方式。

Clarke Rodgers︰(14:12) 
同樣，您要向監管機構和第三方稽核員提供什麼樣的機制、培訓材料和教育材料，以便他們更好地了解雲端以及如何更好地對其進行稽核？

Chad Woolf︰(14:28)
他們走進來，然後卻對雲端一無所知，我認為，這種情況現在再也不會出現了。我記得在 2012 年，S3 的總經理出席了一次稽核會議，並被稽核員問及 S3 是什麼？ 後來他把我拉到一邊說，他們為什麼會問我這種非常基本的問題？ 不過，這種情況再也不會發生了。

Chad Woolf︰(14:54)
我的意思是，有很多材料可供使用。我們不僅擁有雲端學院，而且我們開發的材料是與雲端無關的培訓，以及還有 AWS 特定培訓。那裡還有大量涉及雲端的更好培訓、知識和理解。所以我們不再是第一方了。當有人進來的時候，我們就可以是第二方，甚至可能是第三方。

Chad Woolf︰(15:21) 
因此，儘管如此，我們需要提供協助，以不斷提升這些審查員和稽核員的能力，並且我們擁有內部材料。我們設有一個數位稽核座談會，會上有很多控制方面的摘述，還有控制所有者和總經理的演講，他們討論了如何營運他們的服務以及與控制相關的內容。所以我們有很多可用的操作，但也僅限於此，因為就像我說的那樣，任何前來進行稽核的人員都會提出自己的問題並深入研究，而我們必須在訪談中即時回答這些問題。 這只是產業中的標準。但是隨著我們撰寫的敘述不斷增加，我們會變得越來越好，因為每當我們被問到涉及非常具體和深刻的問題時，我們會說，我們將撰寫一篇關於它的敘述。所以對於下一個問我們的人，我們已經準備好了相關摘述，這樣他們就可以更輕鬆地進行閱讀和理解。

Clarke Rodgers︰(16:25)
Chad，非常感謝您參加我們今天的談論。

Chad Woolf︰(16:27) 
很高興能來這裡。謝謝 Clarke。