亚马逊云科技为OPPO提供数据全生命周期的安全服务，进一步提高数据安全保护等级

纵观成功出海的众多样板企业，第一批“吃螃蟹的人”中，一定有国产手机品牌的名字。从制造业巨头到互联网手机品牌，从中国市场主动走出去的手机厂商，以中国出海新一代先锋军的身份，开始于全球地图上进行“跑马圈地”。属于中国手机品牌的“大航海时代”已经到来，而OPPO正是其中的主角之一。

OPPO广东移动通信有限公司(以下简称“OPPO”)是一家全球领先的智能终端制造商和移动互联网服务提供商，自2004年成立以来，OPPO业务已遍及全球60多个国家和地区。作为一家全球领先的智能设备制造商，OPPO始终秉持着“科技为人，以善天下”的使命，始终站在用户的角度看待问题，并把用户的数据安全放在首要位置。

亚马逊云科技为OPPO提供了数据全生命周期的安全服务，使OPPO进一步提高了数据安全保护等级，为海外用户提供更为安全的移动体验。

目前，OPPO使用的亚马逊云科技服务包括：Amazon CloudHSM、Amazon KMS、Amazon RDS、Amazon S3等。

机会丨大数据时代下，

数据安全是一切业务的基础

作为最早“走出去”的中国品牌之一，OPPO能把业务拓展至全球，其过人之处不仅仅在于产品品质，更在于领先的战略眼光。在智能手机于科技层面“内卷”严重的今天，OPPO早已不再满足于对硬件性能进行升级，而是把目光投向了用户的数据安全，着手构建相应的安全体系和措施。对于OPPO来说，“重视安全合规”的理念已深深地融入到产品设计的全流程中。

为了更好地保护全球用户的数据安全，OPPO希望获得健全、完善的数据安全与合规保护，在相应基础设施技术框架的帮助下，去满足不同国家与地区的安全合规要求。由于加密机硬件的购置涉及到成本因素，为了最优化性价比，OPPO选择整体托管上云。最终，在综合多家友商对比之下，亚马逊云科技凭借优质的产品性能、与OPPO相一致的价值观脱颖而出。

亚马逊云科技经过多年的积累，已经拥有超过300+项安全、合规服务功能，能几乎满足全球所有监管机构的合规性要求。并且亚马逊云科技在设计之初，就把安全作为第一优先级，这与OPPO对用户数据安全的理念高度一致。因此，OPPO选择与亚马逊云科技开启合作，在新加坡、法国和印度进行加密服务的部署，为海外用户数据保驾护航。

OPPO数据安全架构师周洁表示：“随着海外业务的不断扩张，对于用户数据的安全保护要求也相应提高，进行加密业务的部署可以为终端用户带来更好更方便的体验，亚马逊云科技在多个国家和地区建立了严格的安全性和合规性标准，支持众多安全标准且获得多项合规认证，可以帮助我们更加顺利、便捷的部署业务。”

解决方案丨基于Amazon CloudHSM，

构建专属数据保护体系

全托管、高安全性，Amazon KMS双层密钥保障用户

OPPO对存储在云端的数据有着高等级的安全防护要求，而加密是数据保护策略的核心组成部分。对于可以直接托管的应用，亚马逊云科技提供了Amazon Key Management Service(Amazon KMS)密钥管理服务，Amazon KMS与140多个亚马逊云科技其他服务集成，能够有效提升安全性能。

例如，OPPO在新加坡、法国和印度的业务中，用到了Amazon RDS数据库服务，而所有的RDS数据库引擎都无缝集成Amazon KMS，并且支持两层密钥。这就意味着，OPPO的运维人员可以用唯一数据密钥加密客户数据，同时用Amazon KMS主密钥加密数据密钥。这种信封加密的方式，既保证了密钥的安全，又可以在加密大量数据时提供更好的性能。通过使用Amazon KMS，OPPO可以轻松创建和控制用于保护数据的加密密钥，并借助Amazon RDS的服务端加密能力实现安全的数据静态加密。同时，所有的Amazon RDS数据库都支持强制要求使用SSL连接(Secure Sockets Layer，安全套接层协议)，来实现传输过程加密。综合传输过程加密和静态加密这两个层级的保障，敏感的业务数据可以得到安全保护的同时，还满足了当地的法规要求。

对于OPPO开发的定制化应用，由于OPPO在海外的发展长期而持久，OPPO为海外业务应用所做的诸多定制化设计，已经与OPPO自有的加密服务天然深度集成。因此，为了在海外部署自有的加密服务，OPPO需要硬件加密机来安全存储和管理海外自有加密服务所涉及的密钥。此时，OPPO拥有两种方案选择。首先是使用布局在海外的OPPO本地数据中心部署硬件加密机，但这一方案可能导致本地数据中心在与云上应用结合时，产生网络延迟问题，并增加海外数据中心的整体运维成本。在经过仔细论证后，OPPO选择了第二种方案，使用亚马逊云科技提供的云上加密机。

Amazon CloudHSM，高可用的云上专属加密机

与市场上诸多加密机不同，亚马逊云科技所提供的Amazon CloudHSM拥有三大核心优势：

第一：专用安全模块设计，Amazon CloudHSM允许用户在亚马逊云科技上管理和使用加密密钥，这些密钥都存储在专用的、通过了FIPS(联邦信息处理标准)140-2第3级认证的HSM实例上，以满足企业、合同和监管机构对数据安全的合规要求。

第二：从设计之初就考虑到的全方位安全性，该产品在设计之初就考虑到了责任分离和基于角色的访问控制，支持集群管理和密钥管理职责分离，从管理上避免潜在风险。

第三：按需扩展，按小时付费。OPPO所部署的每一个Amazon CloudHSM集群都至少包含2台加密机硬件，集群中的加密机硬件会自动同步密钥并进行负载均衡。OPPO可根据业务随时扩展加密机硬件容量，从而获得更高的性能，整个部署过程以小时付费，在不需要时，可以备份和关闭HSM。

此外，Amazon CloudHSM还简化了加密机繁杂的管理工作，例如密钥的备份、集群的扩展、日志的收集，和日常设备的维护等，使用Amazon CloudHSM，OPPO只需要做好用户管理和应用的集成，因而有更多的时间专注于业务上。

业务成果丨全生命周期的数据加密服务，为海量用户数据保驾护航

高度安全、高度可用、弹性灵活的Amazon CloudHSM服务，满足了OPPO在安全合规方面的高等级要求，能够全面保护用户的数据安全，为海量用户保驾护航。OPPO运维人员可以随时灵活调整Amazon CloudHSM数量，以应对因业务增长而增加的用户连接。相对于本地托管和使用第三方服务，使用Amazon CloudHSM无需预付费用，成本模型架构更简单，成本更低，为OPPO节省了人力、运维以及设备的购买成本。

得益于亚马逊云科技全生命周期的数据安全服务，用户对OPPO产品和服务更加信任，为OPPO在更大范围内的业务拓展打下了坚实基础。