发布于: Oct 17, 2023

纵观成功出海的众多样板企业,第一批“吃螃蟹的人”中,一定有国产手机品牌的名字。从制造业巨头到互联网手机品牌,从中国市场主动走出去的手机厂商,以中国出海新一代先锋军的身份,开始于全球地图上进行“跑马圈地”。属于中国手机品牌的“大航海时代”已经到来,而 OPPO 正是其中的主角之一。

OPPO 广东移动通信有限公司(以下简称“OPPO”)是一家全球领先的智能终端制造商和移动互联网服务提供商,自 2004 年成立以来,OPPO 业务已遍及全球 60 多个国家和地区。作为一家全球领先的智能设备制造商,OPPO 始终秉持着“科技为人,以善天下”的使命,始终站在用户的角度看待问题,并把用户的数据安全放在首要位置。

亚马逊云科技为 OPPO 提供了数据全生命周期的安全服务,使 OPPO 进一步提高了数据安全保护等级,为海外用户提供更为安全的移动体验。

目前,OPPO 使用的亚马逊云科技服务包括:Amazon CloudHSM、Amazon Key Management Service(Amazon KMS)Amazon Relational Database Service (Amazon RDS)Amazon Simple Storage Service (Amazon S3) 等。

作为最早“走出去”的中国品牌之一,OPPO 能把业务拓展至全球,其过人之处不仅仅在于产品品质,更在于领先的战略眼光。在智能手机于科技层面“内卷”严重的今天,OPPO 早已不再满足于对硬件性能进行升级,而是把目光投向了用户的数据安全,着手构建相应的安全体系和措施。对于 OPPO 来说,“重视安全合规”的理念已深深地融入到产品设计的全流程中。

为了更好地保护全球用户的数据安全,OPPO 希望获得健全、完善的数据安全与合规保护,在相应基础设施技术框架的帮助下,去满足不同国家与地区的安全合规要求。由于加密机硬件的购置涉及到成本因素,为了最优化性价比,OPPO 选择整体托管上云。最终,在综合多家友商对比之下,亚马逊云科技凭借优质的产品性能、与 OPPO 相一致的价值观脱颖而出。

亚马逊云科技经过多年的积累,已经拥有超过300+项安全、合规服务功能,能几乎满足全球所有监管机构的合规性要求。并且亚马逊云科技在设计之初,就把安全作为第一优先级,这与 OPPO 对用户数据安全的理念高度一致。因此,OPPO 选择与亚马逊云科技开启合作,在新加坡、法国和印度进行加密服务的部署,为海外用户数据保驾护航。

OPPO 数据安全架构师周洁表示:“随着海外业务的不断扩张,对于用户数据的安全保护要求也相应提高,进行加密业务的部署可以为终端用户带来更好更方便的体验,亚马逊云科技在多个国家和地区建立了严格的安全性和合规性标准,支持众多安全标准且获得多项合规认证,可以帮助我们更加顺利、便捷的部署业务。”

"OPPO 始终站在用户的角度发自内心地践行安全合规,而非因为法律的约束被迫去执行,这是我们的初心。基于 Amazon CloudHSM,我们与亚马逊云科技携手构建了独特的数据保护体系,将安全合规内嵌在我们每一项产品流程设计中。"

OPPO 数据安全架构师 周洁

  • 全托管、高安全性,Amazon KMS 双层密钥保障用户

OPPO 对存储在云端的数据有着高等级的安全防护要求,而加密是数据保护策略的核心组成部分。对于可以直接托管的应用,亚马逊云科技提供了 Amazon Key Management Service(Amazon KMS)密钥管理服务,Amazon KMS 与 140 多个亚马逊云科技其他服务集成,能够有效提升安全性能。

例如,OPPO 在新加坡、法国和印度的业务中,用到了 Amazon RDS 数据库服务,而所有的 RDS 数据库引擎都无缝集成 Amazon KMS,并且支持两层密钥。这就意味着,OPPO 的运维人员可以用唯一数据密钥加密客户数据,同时用 Amazon KMS 主密钥加密数据密钥。这种信封加密的方式,既保证了密钥的安全,又可以在加密大量数据时提供更好的性能。通过使用 Amazon KMS,OPPO 可以轻松创建和控制用于保护数据的加密密钥,并借助 Amazon RDS 的服务端加密能力实现安全的数据静态加密。同时,所有的 Amazon RDS 数据库都支持强制要求使用 SSL 连接(Secure Sockets Layer,安全套接层协议),来实现传输过程加密。综合传输过程加密和静态加密这两个层级的保障,敏感的业务数据可以得到安全保护的同时,还满足了当地的法规要求。

对于 OPPO 开发的定制化应用,由于 OPPO 在海外的发展长期而持久,OPPO 为海外业务应用所做的诸多定制化设计,已经与 OPPO 自有的加密服务天然深度集成。因此,为了在海外部署自有的加密服务,OPPO 需要硬件加密机来安全存储和管理海外自有加密服务所涉及的密钥。此时,OPPO 拥有两种方案选择。首先是使用布局在海外的 OPPO 本地数据中心部署硬件加密机,但这一方案可能导致本地数据中心在与云上应用结合时,产生网络延迟问题,并增加海外数据中心的整体运维成本。在经过仔细论证后,OPPO 选择了第二种方案,使用亚马逊云科技提供的云上加密机。

  • Amazon CloudHSM,高可用的云上专属加密机

与市场上诸多加密机不同,亚马逊云科技所提供的 Amazon CloudHSM 拥有三大核心优势:

第一:专用安全模块设计,Amazon CloudHSM 允许用户在亚马逊云科技上管理和使用加密密钥,这些密钥都存储在专用的、通过了 FIPS(联邦信息处理标准)140-2 第 3 级认证的 HSM 实例上,以满足企业、合同和监管机构对数据安全的合规要求。

第二:从设计之初就考虑到的全方位安全性,该产品在设计之初就考虑到了责任分离和基于角色的访问控制,支持集群管理和密钥管理职责分离,从管理上避免潜在风险。

第三:按需扩展,按小时付费。OPPO 所部署的每一个 Amazon CloudHSM 集群都至少包含 2 台加密机硬件,集群中的加密机硬件会自动同步密钥并进行负载均衡。OPPO 可根据业务随时扩展加密机硬件容量,从而获得更高的性能,整个部署过程以小时付费,在不需要时,可以备份和关闭 HSM。

此外,Amazon CloudHSM 还简化了加密机繁杂的管理工作,例如密钥的备份、集群的扩展、日志的收集,和日常设备的维护等,使用 Amazon CloudHSM,OPPO 只需要做好用户管理和应用的集成,因而有更多的时间专注于业务上。

为了帮助您入门,亚马逊云科技推出了AI 应用场景浏览器。这是一套免费、交互式的指南,用于帮助业务领导者和 AI 从业者构想和开发他们的应用。

OPPO 基于亚马逊云科技的架构示意图

高度安全、高度可用、弹性灵活的 Amazon CloudHSM 服务,满足了 OPPO 在安全合规方面的高等级要求,能够全面保护用户的数据安全,为海量用户保驾护航。OPPO 运维人员可以随时灵活调整 Amazon CloudHSM 数量,以应对因业务增长而增加的用户连接。相对于本地托管和使用第三方服务,使用 Amazon CloudHSM 无需预付费用,成本模型架构更简单,成本更低,为 OPPO 节省了人力、运维以及设备的购买成本。

得益于亚马逊云科技全生命周期的数据安全服务,用户对 OPPO 产品和服务更加信任,为 OPPO 在更大范围内的业务拓展打下了坚实基础。

随着量子计算、联邦学习(FL)、安全多方计算(MPC)、可信执行环境(TEE)等技术的逐渐成熟与应用,OPPO 考虑与亚马逊云科技继续开展广泛而深入的合作,双方共同致力于增强云端安全通信中的安全保护,坚守安全合规的“初心”不变,为终端用户提供更好的数据安全保护体验。

OPPO 创立于 2004 年,是一家全球领先的智能终端制造商和移动互联网服务提供商,业务遍及 60 多个国家和地区。秉承着 “科技为人,以善天下” 的品牌使命,致力于打造令人怦然心动的伟大产品。希望通过科技创新,推动行业与社会进步,让每一位爬坡者在前行路上有伙伴、有力量;即使置身风雨,也能心向光明,微笑前行。