上云是大势所趋，但上云安全吗？

　　在云计算逐步兴起的发展历程中，这一疑问一直如影随形。时至今日，数字化转型换挡提速，诸如平台自身的安全合规、数据隐私安全等要求也在不断升级，“安全”在一众企业的上云旅程中成为贯穿始终、重中之重的考虑因素：上云前，要确保云平台自身的安全性；上云中，要保证数据迁移过程中的安全性；上云后，要综合考量云中的安全建设，如何利用云原生的服务提升安全性和提高合规效率。

　　作为全球云计算的头号玩家，亚马逊云科技在云上安全领域积累了众多方法论和实践经验。本文将对亚马逊云科技构建的云上安全堡垒一窥全貌，进而解构其提出的三大安全理念，以飨读者。

一、企业上云，其实更安全1.1 相较自建数据中心，上云的安全体验如何？

　　过去很多年，企业都认为自建数据中心才是最安全的。但是亚马逊云科技认为：企业上云，安全体验能够比前者再上一个台阶。

　　对企业来说，如果自建数据中心需要由自身构建一切，包括安全设备管理、合同签订、成本等问题。但如果是应用上云，企业并不需要在底层基础设施的安全问题上投入精力，而且它在云端的安全治理有望更进一步。具体体现在以下四个方面：

　　第一，自动化。本地环境下采用的是不同厂商的产品，安全数据的整合会极其复杂。而在云上，云端安全服务之间的超高集成度，会让数据整合变得更简单，更好地做到自动化。

　　第二，可视化。当有了更好的数据整合之后，在云上也更有机会用一个集中的平台做安全的可视化管理。透过统一的日志平台，身份管理，以及统一的API，用户可以实现更好的可视化。

　　第三，成本。云端安全没有前期投入成本，是按使用量付费，企业在成本控制方面更具有灵活性。

　　第四，可以帮助企业在云上实现自动执行合规任务，更高效做合规。就亚马逊云科技来说，用户既可以自动继承亚马逊云在基础架构层面的合规认证，还可以参考亚马逊云提供的合规最佳实践，来进行安全合规建设。

　　简言之，如果自建数据中心做合规是从0做起，那上云的话可能就是从50分做起。因为云厂商已经做好另外50分，企业可以直接继承。上云后，企业在自动化、可见性、成本控制，以及更高效地实现合规方面都能享有优势。

1.2 云平台本身是否安全合规？

　　无论企业身处哪个行业，规模如何，其对云平台安全合规的诉求同样迫切。云自身的安全性是信任的基础，是企业决定迁移上云的前提条件，是企业在云上构建应用程序的基石。但问题在于，目前很多云厂商在云自身的安全性上解释不足，云厂商如何建设自身的安全合规，对企业而言就是一片盲区。

　　就亚马逊云科技来说，全球已有数百万用户把数据和业务放在亚马逊云上，其中不乏金融、电信等很多强监管的行业。比如，世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技，日本最大的电信运营商NTT

docomo会把PB级别的数据仓库迁移上云。能获得如此多的企业信赖，亚马逊云科技主要通过以下四点确保自身的安全合规：

　　其一，安全的基础设施。

提供极具扩展性和高度可靠的基础设施，比如1个区域（Region）中通常3个可用区（3AZ），这种部署理念就是为了搭建高可用架构。而可用区和可用区之间会有非常严格的物理距离的规定，达到容灾。

　　l 采用非常多的冗余和分层控制，大量使用了自动化，确保底层基础设施7×24小时的监控和保护。这一点尤其在疫情防控期间对保障业务连续性至关重要。

亚马逊云科技的数据中心和网络以最高安全标准构建，所有企业都可以获得一致的云基础安全性，同时不必花费传统数据中心那样巨大的资本支出和运营开销。

　　其二，安全的云服务。

　　云自身安全不能只看亚马逊云科技有多少种安全服务，同时要考虑其服务的安全。任何新服务的研发，安全团队从一开始就会介入。研发的过程中如果存在任何已知的安全问题，这项服务就不可能发布。另外，通过深度集成的服务实现自动化并降低风险。亚马逊云科技自身有一套完整的API管理和安全工具，可实现自动执行安全任务，包括持续进行的运行状态检测和保护、威胁修复和响应等，以上措施既确保了服务的安全性，还保证了利用服务来构建的解决方案的安全性。

　　其三，坚持客户拥有和控制数据的理念。

　　只有让用户始终拥有自己的数据，能够对数据进行自主操作，用户才会放心地把它的应用放在云上。亚马逊云科技不接触用户上传到云中的数据，是指亚马逊不知道也不了解用户上传到亚马逊的数据是否包括个人数据。同时保证客户拥有数据的完整控制权，用户可以自主决定哪些数据可以上传到亚马逊云，以及决定时间，地点和保护方式。

　　而且亚马逊云科技自身数据加密无处不在，所有的数据流动在离开其基础设施之前必须经过物理层自动加密。另外，还有其他的加密层存在，比如，所有VPC跨区域之间的流量也会进行加密，服务之间也会有很多的TLS连接。此外，亚马逊云科技遍布全球的区域可以帮助客户实现数据本地化的要求。

　　其四，支持众多安全标准与合规性认证，几乎满足全球所有监管机构的合规性要求。

　　目前，亚马逊云科技在全球已经获得了98项安全标准和合规认证，用户可以直接继承。比如ISO/IEC

认证，这是主要针对保护云中个人数据安全的准则。亚马逊云科技遵从这一国际公认的行为准则，并获得了独立的第三方评估，证明了亚马逊云在尊重隐私和保护用户内容方面所作出的承诺。

　　此外，北京区域和宁夏区域是两个位于中国境内提供服务的亚马逊云科技区域。为保证更好的用户体验并遵守中国的法律法规，亚马逊在中国与持有相关电信牌照的本地合作伙伴开展技术合作，由本地合作伙伴向客户提供云服务。北京光环新网科技股份有限公司是亚马逊云科技北京区域云的服务运营方和提供方，宁夏西云数据科技有限公司是亚马逊云科技宁夏区域云的服务运营方和提供方。

1.3 如何应对数据保护相关法律？

　　放眼全球，当前已有132个国家和地区制定了数据保护和隐私相关的法律法规。在国内，自2017年起，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的相继出台，也对企业的数据安全提出更高要求。提升对安全合规的重视不仅能帮助企业规避和预防很多行政甚至刑事处罚风险，另一个角度，安全合规也成为企业的核心竞争力之一。

　　数据安全建设是分层次的，亚马逊云科技提供了多种云原生安全服务，客户可以快速使用并提高安全水平，仅以中国地区来看：在访问控制层面，有Multi Factor Authentication, API-Request

　　另外，亚马逊云科技有一项信息安全计划（Information Security

Program），专门用于帮助用户保护数据免受意外或非法丢失、访问，识别内部安全风险及未经授权的网络访问，通过风险评估和定期测试来最大限度地降低安全风险。该计划主要包括5类措施：

　　网络安全。员工、承包商和服务提供商都可以通过授权来访问亚马逊云科技网络。亚马逊云科技负责管理和维护访问控制策略，管理每个网络连接和用户对亚马孙网络的访问权限，手段包括使用防火墙和其他身份验证控制。亚马逊还将负责策略纠正和对安全威胁事件的响应。

　　物理安全。亚马逊云科技的物理设备位于不对外披露的区域中。在周边和建筑物入口处使用了物理屏障来防止未经授权者进入亚马逊云科技的区域。

　　有限的员工和承包商访问权限。亚马逊云科技对有合法业务需求的员工和承包商提供访问这些区域的权限。当员工或承包商不再有业务需求时，访问权限会立即撤销。

　　物理安全保护。所有接入点（主入口门除外）都保持安全（锁定）状态。物理设施的接入点由旨在记录所有进入设施的个人的视频监控摄像头进行监控。

　　持续评估。亚马逊云科技根据行业安全标准及其政策和程序对其网络的安全性及其信息安全进行定期审查，持续评估其网络和相关服务的安全性，并判断是否需要额外或不同的安全措施来应对定期审查发现的安全风险。

　　关于上云本身的安全，以及亚马逊云科技自身的安全性，本文不再做更多的阐释。当前的市场环境下，数字化转型的提速与安全合规的收紧让企业似乎时刻处于矛盾之中，但快速创新和安全对企业来说并非是两者择其一的关系，如何在确保安全的前提下推动业务快速创新才是正解。针对这一痛点，亚马逊云科技提出了三大安全理念和洋葱模型，帮助企业完善云安全能力建设。

二、拆解亚马逊云科技三大安全理念2.1 理念一：利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。

　　网络安全最大的威胁还是来自于人，例如安全意识不足而被利用、人员疏忽导致配置错误或其他人为原因导致网络安全工作未能有效执行等。而且传统的企业安全体系基本是事后驱动型，网络安全团队往往承担着背锅侠和救火员的角色，常常陷入分身乏术的境地。

　　亚马逊云科技认为，推进标准化、自动化势在必行。人的过多参与会引发新的安全风险，因此应该建立起自动化的安全流程，同时让人远离数据。通过自动化来达到安全的标准化，达到一致性。

　　通过在亚马逊云上自动执行安全任务，用户可以通过减少人工配置错误并让开发人员有更多时间专注于业务本身来提高安全性。从各种深度集成的解决方案中进行选择，这些解决方案可以组合在一起以新颖的方式自动执行任务，从而使用户的安全团队可以更轻松地与开发人员团队和运营团队密切合作，以更快、更安全地创建和部署代码。

GuardDuty可以对亚马逊云科技的很多数据源做日志事件的分析，针对诸如Amazon CloudTrail事件日志、Amazon

VPC流日志、域名系统服务（DNS）日志、Amazon

S3数据事件日志的数百亿事件都去做分析，有能力检测到100多种安全威胁，并且自动对这些威胁进行分级，针对这些检测出来的威胁，用户可以通过Lambda来快速反应，从而快速高效地降低安全事件的影响，并且及时地修复。

Core构建设备物联平台，实现智能安防硬件的状态采集和双向消息传递，并基于微服务架构引入Amazon

Lambda服务让开发团队可以用简单的代码处理缓存等应用场景。配合Amazon

CloudWatch实现自动化的运维与监控后，安威士只需一名工程师就能够处理安智联365全球基础设施的运维管理工作，使企业可以将更多的人力资源投入到业务链的开发工作中。

2.2 理念二：云中安全是主动设计出来的，而不仅是被动响应。

　　中国用户的习惯是基于合规要求，或者社会性的安全事件触发进行安全合规建设，这种建设思路通常会滞后，会让企业疲于奔命，忙于各种应对。

　　亚马逊云科技认为，首先，安全合规与用户的业务开展与持续进行紧密相关，安全不是独立的存在，而应与企业业务充分结合，作为业务开展的首要条件。再者，安全合规是基于设计而不是基于对事件的响应。安全的建设应该是未雨绸缪，根据业务的情况和系统的特点，主动从技术和管理的层面去建设。最后，亚马逊云科技的安全服务建设就是按照预防、检测、响应、修复来展开的，用户也可以以此为参照来构建安全体系。

　　l 预防：确定用户权限和身份、基础设施保护和数据保护措施，以制定平稳且经过良好计划的安全策略。

　　l 检测：通过日志和监控服务来了解企业的安全状况。将这些信息提取到可扩展的平台中，以进行事件管理、测试和审计。

　　l 响应：自动化事件响应，以帮助安全团队将重点从响应转移到分析根本原因上。

　　l 修复：利用事件驱动的自动化功能，以近乎实时的方式快速修复和保护云中环境。

　　以Amazon GuardDuty为例。这种智能威胁检测服务可以持续监控针对用户的AWS

账户及其工作负载的恶意活动，并提供详细的安全侦察结果以实现可见性和补救。使用 Amazon GuardDuty 的控制台与 Amazon Detective

的集成，可以快速确定可疑活动的根本原因。比如，通常情况下，如果没有以近乎实时的方式持续监控相关因素，很难快速发现账户盗用威胁。GuardDuty

却可以实现持续监控和分析，通过提供上下文、元数据和受影响资源的详细信息的侦测结果，深入了解安全事件。同时还能及时停止未经授权的活动，防止使用受损凭证、Amazon

2.3 理念三：云中安全必须是一个洋葱型的多层防护，而不是一个鸡蛋。

　　随着多云环境的普遍应用，企业的IT架构日益复杂，云上安全威胁广泛分布在各个环节。企业面临的安全危胁和挑战日趋广泛，从CVE漏洞，非法入侵，再到DDoS攻击，各种安全事件层出不穷。

　　亚马逊云科技认为，云端的安全防护应该像一个洋葱模型，层层展开，而不是象一个鸡蛋。鸡蛋虽然给人感觉外壳比洋葱更坚硬，但实际上它是单层防护，而云上安全必须是像洋葱一样层层递进的防护机制。

　　而在洋葱模型中，亚马逊云科技将之设定为五层，从威胁检测、事件响应开始，进而到身份认证与访问控制，之后是网络和基础设施安全，然后是数据保护和隐私，最后是风险管控与合规。逐一了解一下这五大领域内的安全服务：

　　1）威胁检测与事件响应。需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。重点服务包括：

GuardDuty，可以实现威胁的精准定位。其优势在于，一方面具有丰富的情威胁报源，另一方面，集成了机器学习的能力，针对API的调用行为去建模，并结合概率预测，从而更准确地隔离和警告高度可疑的用户行为。

Hub，作为安全事件统一管理平台，不仅可以实现威胁检测7X24小时全天候在线实时监测，及时响应，并自动执行合规性检查，而且可以连接威胁事件的上下游，试着去做根因分析。

　　2）身份认证与访问控制。在企业安全管理中这一环节一直相对薄弱。数据统计，80%的安全事件是因为弱口令导致的。对此，亚马逊云科技有两个经验和三个技术建议。

　　两个经验：保持最小授权原则，每一次授权都要确认是否必须，是否与业务/职责相关；要对最小授权原则定期进行审计，不要有永久授权，所有的授权都必须有时效性。

　　三个技术建议：尽可能细化访问的颗粒度，可以根据时间，地点和服务来设置访问条件；结合多因素认证（MFA）技术加强身份认证；减少长期凭证的使用。

是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon

Organizations是高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

　　3）网络与基础设施安全。CDN侧的安全防护是这一层防护的重点。对于DDoS攻击的防御，应该长期进行，因为任何一次的攻击都可能带来业务的中断，进而影响最终用户的体验。如果等发现DDoS攻击之后再处理，业务的稳定性和持续性必将遭到重创。

　　Amazon Shield Advanced可以对加载的资源进行全天侯的防御，并且实现快速响应和缓解。另外一个标配产品是Amazon

WAF，作为Web应用防火墙服务，它的独到之处在于提供了丰富的规则库，既有亚马逊安全团队自研的全托管规则，也有用户可以根据自己的需求自定义的规则。

　　4）数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。

　　对于数据存储过程中的加密，Amazon

KMS密钥管理服务与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。高集成度减少了人工操作，降低了出错的概率。针对数据保密性要求更高的用户，Amazon

CloudHSM提供了安全、简单的云上专属加密机。

　　对于数据计算和使用过程中的加密，亚马逊云科技也有其解决方案。Amazon Nitro

Enclaves提供了一个云端的机密计算环境，通过它，用户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少了敏感数据处理过程中的攻击面。

　　5）风险管控及合规。亚马逊云科技从四个维度帮助用户合规。

　　其一，确保亚马逊云科技服务本身的合规性。亚马逊云科技的合规认证不仅在基础设施区域，还会深入到每一项云服务，客户部署亚马逊云服务，其合规性能够得到认证机构的认可；其二，成熟的合规方案，基于用户诉求，亚马逊云科技会提供很多合规落地的最佳实践；其三，自动化审计，合规的审计和评估总是要花费大量时间，通过Amazon

可以简化审计管理和合规性评估；四是合作伙伴的咨询和落地能力，这些合作伙伴提供数百种行业领先的安全解决方案，可帮助用户提高其安全性和合规性，合作伙伴能够在多个领域为用户提供支持，其中包括基础设施安全、策略管理、身份管理、安全监控、漏洞管理、数据保护和咨询服务。

三、三大云安全案例分享

　　全球有数百万的用户已经选择并且信赖亚马逊云科技，覆盖了几乎所有的行业。那些成功上云并已经建好云上安全屏障的企业是怎么做的呢?在此分享三个经典的业界上云案例。

案例1：风林火山借力实现持续性合规，全面提升安全效率

　　深圳市风林火山电脑技术有限公司（以下简称“风林火山”）成立于1996年，专注于在线棋牌类游戏，集研发、运营于一体，产品在国内在线棋牌游戏中位居前列。

　　早期，风林火山业务与游戏产品托管在IDC中，而整个服务器生命周期管理则全靠企业自己手动管理。彼时，发布一个游戏产品或进行一次升级时，相关人员要手动部署、配置设备，新版本从准备到正式发布通常需要花费1个月时间。

　　随着风林火山进入快速发展阶段，IDC托管的灵活扩展性差、计算资源受限和效率低等缺陷开始暴露。而且老旧的IDC托管模式缺乏对客户赋能和安全威胁的及时响应，过于传统的IT架构无法给业务足够的创新空间。

　　当看到亚马逊云科技已成为众多海外游戏公司的优选时，风林火山最终决定与亚马逊云科技合作，并于2017年底完成全部业务从IDC向亚马逊云科技云的迁移。

　　全服上云后，风林火山对游戏版本的发布、升级频率，从IDC托管时的每月1次，提升到每周至少1次，大大提高了业务交付速度。在安全方面，传统威胁探测服务对海量日志数据进行分析耗时耗力，持续性合规以及不同安全时间的汇聚管理也带来了很大的挑战。为此，风林火山利用Amazon

　　风林火山游戏运维工程师许华杰表示：“亚马逊云科技让我们可以将更多精力投入到软件工程中去，实现更快地交付，将事故率降低了70%以上。以前我们是不断‘救火’，现在我们时而还可以自己‘放火’，来不断提升平台的健壮性。”

另外，在人员不足的情况下，“亚马逊云科技为我们安全赋能，实现高效的安全监测，及时协助我们安全响应，降低了安全风险，可以从更高视角去看我们整个架构的安全事件。”

案例2：云上数据零丢失，涂鸦智能蓄力打造万物智能互联愿景

　　全球范围内，人工智能和物联网技术正在合围成为一个全新的智能产业生态。IoT开发平台涂鸦智能也致力于成为这个生态中的关键环节。不过，物联网行业中下游应用场景与需求的高度碎片化，往往会导致网络通信方式与平台的多样化，对实现设备的互联互通造成较大挑战。

　　为此，涂鸦智能不仅要努力推动实现软硬协同优化，还需要在全球布局云网络，使其云端服务能力遍布五大洲。到目前为止，涂鸦IoT开发平台已经为全球220个国家和地区提供基于全球主流公有云的IoT服务，而这得益于包括亚马逊云科技在内的覆盖全球的基础设施及丰富的云产品。

　　“在选云厂商时，我们会根据基础设施的覆盖范围、安全稳定，以及产品的丰富程度来决定。”涂鸦智能技术副总裁柯都敏说，“而亚马逊云科技完全能够满足这三方面的需求。”

　　从安全方面来说，亚马逊云科技是行业内最先推出密钥管理服务（KMS）的厂商。基于KMS的密钥保护能力和同其他亚马逊云科技服务集成能力，涂鸦在公有云行业内最先支持数据库等产品物理加密，这为涂鸦提供了非常好的基础安全保障。

PaaS平台作为数据的处理者，客户在其App上的注册信息及各种操作行为产生的数据也会被实时存放在公有云平台上，这就使得数据安全问题变得尤为重要。涂鸦智能使用了KMS管理加密数据的加密秘钥，并通过Identity

and Access Management（IAM）认证机制保障数据访问隔离，为数据安全提供了保障。

　　举个例子，“如果我们是在服务欧洲客户的话，其所有数据都是存储在欧洲的亚马逊云科技上，各数据中心之间物理隔离。”在亚马逊云科技的帮助下，涂鸦智能的IoT

PaaS从上线至今，实现了数据零丢失。

案例3：自主品牌海外扬帆，美的拿稳安全合规出海船票

　　2006年，以在越南建设工厂为开端，美的真正开启了海外自主品牌经营的探索之路。在十多年的出海之路上，美的坚持因地制宜的本土化策略，已经形成包括美的、COLMO、东芝等在内的品牌矩阵，据其财报显示，其海外营收占比也连续多年超过了40%。

　　随着全品类产品智能化的实现，如何以较低的成本建立起安全、稳定可靠、运维方便、服务范围涵盖全球的智能家居平台成为美的面临的主要挑战。经过对多家云平台的综合评估，美的选择了亚马逊云科技作为其海外平台的IT基础架构合作伙伴之一。

　　智能家居平台连接着用户的智能家电产品，相关用户数据都存放在上面，而欧盟和美国对数据合规性都有严苛要求。在与亚马逊云科技的合作中，美的不仅可以依托其丰富的安全服务，也可以继承其合规性，快速在海外部署自己的应用。

　　“IT架构部署在亚马逊云科技上，这些安全合规的问题就都是他们帮助解决，无需我们操心。如果我们自己去做这些工作，可能需要一个无比庞大的团队。”美的集团副总裁、美的国际总裁王建国说。

　　此外，亚马逊云科技成熟和丰富的全球客户经验，也是选择合作的一个驱动力，“亚马逊云科技的经验很丰富，已经有很多全球成功公司跑在它的云平台上，包括我们的很多上下游全球合作伙伴也在上面，这样就形成了一个很好的数据生态链。”

当前在云安全领域，云自身安全合规是用户选型时首要考量因素。如何确保云基础架构以及所提供的各种云服务本身的安全性是云平台服务商首先要沟通清楚的。

对于跨国公司和出海企业来说，云平台服务商的全球化安全和合规能力逐是这些企业关注的重点。像亚马逊云科技这样具有全球基础设施和合作伙伴网络成员的云服务商，提供的安全性和合规性，能帮助用户满足全球几乎所有监管机构的合规性要求。

云上安全场景比传统数据中心复杂和丰富很多，传统IT安全厂商要快速切入云安全市场，不仅要依靠长期的技术积累和客户基础，还要选择强大的云平台服务商进行合作。亚马逊云科技不仅在持续引入全球最新的安全合作伙伴的技术到中国，同时也在加强和本土安全合作伙伴的合作。这种强强联手的安全合作的生态也正在成为未来的一种趋势。

　　4. 对于云安全服务提供商来说，如何在构筑安全合规的同时，不影响用户业务创新，是需要仔细规划的。亚马逊云科技提供了新解:

三大安全理念的布局，分别从自动化、主动设计、多层防护的角度充分诠释了其兼顾安全与创新的实践标准。

　　声明：本文仅为传递更多网络信息，不代表IT资讯网观点和意见，仅供参考了解，更不能作为投资使用依据。

自研芯片会是改变云计算游戏规则的关键么？亚马逊云科技认为的确如此。

在2021年亚马逊云科技re:Invent全球大会上，亚马逊云科技公布了其最新芯片研究成果，包括自研CPU处理器Amazon Graviton3，这是亚马逊云科技自研设计的第三颗CPU处理器。

同时，继去年宣布研制机器学习训练芯片Amazon Trainium后，亚马逊云科技于今年宣布提供基于Trainium的实例。与P4d实例相比，由Amazon Trainium芯片支持的Trn1实例训练深度学习模型的成本降低多达40%。

云计算发展十余年来，正在变得越来越硬，直至底层芯片。同开创云时代一样，自研芯片的风潮很大程度上也是由亚马逊云科技开始，国内外云厂商不断跟进，例如阿里云自研CPU倚天710、AI推理芯片含光800等，腾讯云的AI推理芯片“紫霄”等。

自研芯片并不是云厂商开展业务的必需，但却决定了云厂商的天花板，象征着云巨头的身份。

打开APP，查看更多精彩图片

亚马逊云科技大中华区产品部总经理顾凡

对于自研芯片的驱动力，亚马逊云科技大中华区产品部总经理顾凡是这样解释的，“客户对云上性价比的追求永远不会有止境，同时，未来云上的新型工作负载对于计算创新的要求也是无止境的。而发生在底层的创新，往往最具备颠覆性。半导体和芯片层面的创新会是改变云计算游戏规则一个非常重要的能力。”

自研芯片比之云服务更具挑战，即使是亚马逊云科技，也在自研芯片的过程中也面临诸多权衡的选择。

提高频率or增加内核数量？

Graviton3相较于Graviton2多出200亿个晶体管，如何利用这200亿个晶体管，来实现最佳的性能和效率，是亚马逊在这一代芯片中要深入思考的问题。

亚马逊云科技大中华区产品部计算与存储总监周舸说道，“原则很简单，我们得从工作负载去看，从客户真正怎么使用这些设备去看，找到我们的起点。”

通常提升CPU性能的两个方向，提高频率或者增加内核数量，提高频率确实可以快速提升性能，而且大多数时候这种性能提升对所有的工作负载都有效。

但提高频率有局限性，以现在半导体的功率和能力，提高频率意味着产生更多的热量，散热会是一个大问题，尤其是在超大规模数据中心里，高频带来高能耗，高能耗带来高热量，高热量要求更高的散热效率，反而提升了耗电量，企业用云成本不降反升。

因此亚马逊云科技选择让内核的“宽度”增加，即使用指令并行的方式，让内核在同一个时钟周期里执行更多的指令、完成更多的任务，这样不用增加内核数量也能提高业务运行效率。

根据亚马逊云科技给出的数据，由Amazon Graviton3处理器支持的C7g实例与由 Graviton2 处理器支持的当前一代 C6g 实例相比，可将计算密集型工作负载性能提高多达25%。Amazon Graviton3处理器与Graviton2相比，为科学计算、机器学习和媒体编码工作负载提供高达2倍的浮点运算性能，为加密工作负载速度提升高达2倍，为机器学习工作负载提供高达3倍的性能。

增加核数or降低内存时延

如前所述，增加核数也是提高芯片性能快且有效的办法，Graviton从第一代到第二代，亚马逊云科技就选择增加核数，实现了不错的效果。

新的选择题出现，亚马逊云科技是将剩下的晶体管继续增加更多的核，还是去增加CPU内存的带宽和降低它的延迟？

“到了第三代的时候，我们研究在Graviton2上运行的工作负载，发现有大量工作负载是大数据类型，大量是微服务架构的，甚至一些HPC的服务等，这些服务对内存的带宽和延时的敏感度非常高，我们的判断是——在内存下工夫，会比增加核数的效果更好。”周舸表示。

C7g实例是云中第一个采用最新DDR5内存的实例，与基于Amazon Graviton2的实例相比，它提高了50%的内存带宽，从而提高了科学计算等内存密集型应用的性能。

与基于Amazon Graviton2的实例相比，C7g实例的网络带宽也高出20%。C7g 实例支持 Elastic Fabric Adapter (EFA)，允许应用程序直接与网络接口卡通信，提供更低且更一致的延迟，提高需要大规模并行处理（如高性能计算和视频编码）的应用程序的性能。

客户的反馈也说明了这一点，Twitter部分业务性能提升20%到80%；F1流体仿真在Graviton2的基础上提升40%。

与此同时，通过增加内存带宽和降低内存时延的方法，Graviton3的功耗降低了60%，保持了更好的能效比，企业客户无需付出很高的成本代价，也能获得性能的提升。

“亚马逊云科技是云厂商里面最早做自研芯片的，今天我们拥有Nitro、Graviton、人工智能机器学习自研芯片三条产品线，自研芯片需要经验积累，并不是花钱就能买来的，亚马逊云科技从对云上所有客户工作负载的深刻理解，逆向工作设计芯片，是我们在重构云计算底座自研芯片里面的最大优势。”顾凡表示。

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

“第一波企业出海的主流是‘数字化出海’。 社交、游戏、短视频这些新涌现的数字化企业进行海外拓展，捕捉全球数字经济的红利。而第二波，则主要属于‘出海数字化’。 传统行业的出海企业积极借助数字化技术，进行出海业务的全方位数字化转型和创新，在海外实现产品升级和品牌升级，提升全球竞争力。”4月25日，亚马逊云科技中国区商用市场事业部总经理李晓芒在谈及出海业务时表示。

此前3月中国贸促会研究院的报告显示，中国对外直接投资的流量和存量连续四年稳居全球的前三名。报告还显示，近八成的中国企业将会维持和扩大对外投资的意向，看好对外投资前景。

分析了过去十几年间的中国企业出海，李晓芒分享了亚马逊云科技所观察到的六大趋势。

第一个趋势关于出海企业的布局范围。中桥咨询调研报告显示，超过六成的企业出海布局超过了三大洲，出海的途径从传统的欧美已经扩展到南美、中东、非洲等地域。东南亚、欧洲和北美依然占据中国企业出海的首选目的地，同时，南美、非洲、中东等新兴地区正成为中国企业出海的“新蓝海”。

“东南亚是中国企业出海最容易涉足的地区，也是很多中国企业数字化出海的第一站。因为东南亚有庞大的人口基数，文化习惯和中国相近，所以中国很多企业创新的技术和创新的业务模式放到东南亚，更容易享受在东南亚地区的人口红利，比如游戏、金融科技这类的企业。”李晓芒补充道。

趋势二，中国企业出海正在经历从劳动密集型、资本密集型的产品出口到技术驱动型、思维创新型、品牌先导型的升级之路，实现从量到质的转变。李晓芒总结，即“从向全球输出‘中国成本’、‘中国规模’，转而向全球输出‘中国技术’、‘中国品牌’和‘中国体验’。“

第三个趋势关于一个特别领域——汽车。过去，全球汽车行业一直是欧美或者日韩车企的天下，中国的车企不仅难在海外发力，在国内也面临非常大的竞争。但是随着电动化浪潮在全球的席卷，中国品牌正在借助新能源车这个概念开辟出一个新的赛道，实现弯道超车。

根据中国汽车工业协会公布的数据，2021年我国新能源汽车出口同比大增305%。中国新能源汽车，在重塑全球汽车产业格局的过程中，扮演着越来越重要的角色。

趋势四，企业服务领域成出海新热点。从企业资源规划、客户关系管理 、协同办公 、人力资源等通用型企业级服务，到垂直行业所需的具体服务，再到IT 运维管理、数据库及大数据分析等IT应用，企业服务领域正在成为出海的新热点。甚至部分原来面向C端的出海企业，也把自身服务C端客户的经验开发成服务B端的新服务，向B端拓展业务。

“他们的出海路径，有些是在国内服务中国企业，随着客户的出海而一起出海，甚至是专门针对出海企业所需来打造服务，比如针对跨境电商的营销服务。还有一些则是直接瞄准海外，服务国外和全球的企业。“李晓芒进一步说道。

李晓芒还分享了一个观察，原来在出海企业中面向C端的企业，在海外经过多年的运营，取得了很大的成功，积累了大量的经验。在这些经验的基础上，把自身在To C端的经验开始提炼总结出来，将经验转化为新的业务机遇，将业务拓展到企业服务领域。

第五个趋势关于中小企业。李晓芒分享一组数据，已经出海的企业中，大企业占63%，中小企业占37%；计划出海的企业中，大企业占35%，中小企业占65%。

李晓芒分析其背后的变化，“在数字经济环境下，企业在数字化、智能化领域的创新能力是他们能否在全球取得成功更为关键的因素，企业规模的影响退居其次。我们对所谓‘跨国企业’的刻板印象，例如需要很大规模、很强财力、很久历史，也需要升级更新了。从‘大’到‘小’，中小企业开始在出海里面崭露头角，大家可以看到在数字经济环境下，云扮演了非常重要的角色，它让中小企业和大企业在技术创新和应用上处在同样起跑线，中小企业用一个比较低的成本来利用这些先进的技术降低出海的门槛。”

最后一个趋势，初创企业出道即瞄准出海。从游戏、开发者服务和SaaS，到硬件/手机、电商等行业，越来越多的初创企业是生而全球化的。2021年埃森哲中国独角兽研究显示，45%的独角兽企业认为海外拓展至关重要，其中，82%的企业计划24个月内就进军海外。

“移动营销第一股”汇量科技在2013年创立之初就选择云原生，汇量科技副总裁奚原在回答为何做如此选择时对澎湃新闻（）表示, “汇量业务经历过快速增长的时期，每日平均广告请求量从2017年的180亿次激增至2018年的约 500亿次，在2019年继续增长到600亿次，最高达到1000亿次。同时，我们在海外开展业务，要实现低响应延迟的服务，我们也不可能在每个国家都自建数据中心。亚马逊云科技全球化的服务，可以帮助我们在业务规模飞速增长的同时，实现资源和业务规模的动态匹配。”

中国的企业要走出去，那么如何能够成功走出去呢？李晓芒的答案是：全球化思考、本地化运营。

什么是全球化思考？李晓芒认为，首先要具备在全球高效率配备资源的能力，同时也要能够积极开展本地的运营，对地区的认知和了解是中国企业海外出海成功的根本。在进入一个新的文化环境，要了解当地的制度、法律、习俗，在做到合法合规的基础上，不断围绕当地客户来提供创新。

“云是帮助企业实现全球化思考、本地化运营的一个重要手段，无论是建立全球业务平台还是数据平台，有一个全球化的视角和运营，更好实现各地区的安全合规、技术创新，云都发挥了很重要的角色，云计算作为数字经济的技术底座，已经成为中国企业出海，实现全球业务布局和创新的关键技术桥梁。”李晓芒总结道。