2025AWS-ISACA安全白皮书指南.docxVIP

ISACA.亚马逊云科技

ISACA.

云深不知处合规是归途

云安全合规建设最佳实践白皮书

亚马逊云科技

ISACA.

编写指导

蔡俊磊ISACA中国技术委员会主席

江学森首席安全布道师

开发小组成员

陈家慧亚马逊云科技

朱自强亚马逊云科技

王仡骐万豪国际集团

首席开发人员

季莹亚马逊云科技

声明：

本白皮书由北京阿萨卡信息技术有限公司(“ISACA中国”)和AmazonWebServices,Inc.

或其关联方(“亚马逊云科技”)分别撰写，双方就各自撰写的内容分别、独立享有相关知

识产权。其中ISACA中国负责第一章1.1、第四章，单独享有该部分的知识产权；亚马逊云

科技负责第一章1.2、1.3部分，第二章、第三章，单独享有该部分的知识产权。

关于ISACA中国部分的声明：ISACA中国设计并编制了本白皮书中“云安全治理建设部分”(

下称“作品”),主要用作专业人员的学习资料。ISACA中国无法保证使用本作品就一定能

够实现成功的结果。本作品不应被视为包含所有适用的信息、程序和测试，不排除在其它信

息、程序和测试的合理指导下获得同样结果的可能。在确定任何具体信息、程序或测试的适

宜性时，专业人员应就具体的情况(特定的系统或信息技术环境)做出自己专业性的判断。

关于亚马逊云科技部分的声明：本部分内容陈述了亚马逊云科技在封面页所示日期的有关服

务产品及实践，该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊

云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明

示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、提供方或许可方

的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由

适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也

不构成对任何协议的修改。在中国大陆区域，亚马逊云科技中国(宁夏)区域和亚马逊云科

技中国(北京)区域严格按照中国法律法规的监管要求依法合规经营。亚马逊云科技向西云

数据和光环新网提供行业领先的技术、指导和专业知识，西云数据和光环新网运营并向本地

企业提供亚马逊云科技云服务。

云深不知处合规是归途

云安全合规建设最佳实践白皮书01

前言03

第一章云安全治理建设03

1.1云安全治理体系

1.2安全责任共担模型7

1.3云安全管理和成熟度模型8

第二章云原生安全技术服务

第三章云安全服务最佳实践17

3.1多账号管理18

3.2数据边界防护23

3.3安全合规检测29

3.4威胁检测和自动修复32

第四章云安全合规审计能力建设CCAK35

前言尤其是在云环境快速变化、新技术和服务不断涌现以及越来越多企业使用多云环境的

前言

大背景下。

云上安全合规建设的挑战

随着数字经济的蓬勃发展，在商业世界中越来越多企业拥抱云计算，这一趋势在全球

范围内尤其明显。而在中国，政府也高度重视云计算技术在数字中国建设过程中的作用，在云计算建设、技术、安全和管理等方面颁布了一系列支持政策。商业机构可以通过使用云计算技术，优化资源使用效率，提升技术投入产出，更好支持数字化转型进程。

与此同时，在云计算技术提供巨大优势的同时，也带来了重大挑战，包括复杂的安全性管理、不断变化的合规性要求以及日益严峻的云安全威胁形势。在监管合规方面，

中国监管对于云计算安全合规制定了一系列法律、法规、行业标准和技术规范，在法律层面，《网络安全法》、《数据安全法》以及《个人信息保护法》分别对于云平台基础设施安全、云环境中的数据安全和隐私保护等提出了明确要求，而在政策法规和

标准指南方面，包括《信息安全技术——云计算服务安全指南》、《信息安全技术—

云计算服务安全能力要求》和《云计算服务安全评估办法》等也明确对提供和使用云计算技术的各方提出了具体安全合规要求和指引，包括适当的技术和组织管理措施来确保云安全合规。

而另一方面，云计算相关的网络攻击数量近几年明显增加，2023年云相关的网络攻击

增加48%,平均每家企业每周遭受超过1000次的云端攻击，79%的