使用亚马逊云科技 Marketplace 简化治理和第三方评估

云计算
re:Invent
0
0
## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 在本论坛中,了解亚马逊云科技 Marketplace 如何跨多个亚马逊云科技账户加速第三方软件购买的采购、安全和治理。了解如何创建私人市场,以仅包括不同客户的预批准产品。通过显示 ISO、SOC2、HIPAA、GDPR 和 FedRamp 的最新控制,以及亚马逊云科技的自动监控和警报,了解供应商见解等功能,这些功能可以帮助实现法规遵从合规性。听取一位亚马逊云科技客户的 CISO 介绍,该客户为其软件需求做出“构建与购买”决策,并使用亚马逊云科技 Marketplace 采购与其组织战略一致的网络安全解决方案。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华,共1600字,阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。</font> 在会议开始时,作为亚马逊云科技Marketplace主要业务发展专家的Arun Sakana发表了一场热情洋溢的欢迎致辞。他介绍了两位尊贵的演讲嘉宾——Kartik Balakrishnan,担任亚马逊云科技Marketplace卖家工程服务总经理,以及Chris Jak,吉利德科学公司的首席信息安全官。 Arun通过分析软件行业的关键趋势来为会议定下基调。他指出,软件行业正充满活力,不断涌现出新创新。仅在美国市场,就有超过10,000家软件供应商在运营。总体来看,软件支出持续增长,高于IT服务的支出。此外,根据亚马逊云科技Marketplace的经验,软件价格每年都在以10-20%的速度稳步增长。 对企业来说,这种高速增长和选择过剩意味着一个管理挑战——如何在数千种选项中高效地选择来自可信赖供应商的正确产品。同时,如何快速满足业务需求,还要管理风险和成本。 Arun解释说,尽管公司购买软件已有几十年历史,但整个过程并未发生太大变化。许多摩擦点会导致软件采购过程中的延误。例如,安全评估通常由一个小团队使用电子邮件和电子表格手动完成。这个过程可能需要几周甚至几个月的时间才能完成。同样,合同谈判也涉及到法律团队与供应商之间关于条款的反复讨论和修改。这是一个可能持续数周或几个月的漫长过程。 因此,评估和签订合同等关键流程会给软件供应链带来效率低下。此外,一旦购买了软件,手动跟踪许可证使用情况、权利和进行定期安全评估也会产生额外的开销。在整个供应链中,没有用于管理软件的集中系统。 据Arun介绍,公司在软件评估上花费如此多时间的原因是错误决策的成本非常高昂。行业研究表明,全球范围内,劣质软件给企业造成了超过2.4万亿美元的损失。这些损失是由于低质量软件导致的安全问题、操作失败和其他问题造成的。 在此背景下,企业在软件采购过程中努力寻求速度与灵活性的平衡,同时确保适当的治理和控制。建筑商希望能够快速访问他们喜欢的工具来进行工作,而采购、法律和财务团队则希望在管理风险方面有足够的保障。自约10年前引入以来,类似于亚马逊云科技市场的在线市场正助力企业实现这一平衡。亚马逊云科技对北美和欧洲的700多名高管进行调查,了解他们对软件供应链风险管理的看法。48%的受访者表示,在线市场让他们更容易实施适当的治理控制。超过40%的人提到,信任供应商的访问、更高质量的产品和成本节省作为关键好处。 亚马逊云科技市场于2012年推出,在过去十年里取得了显著增长。如今,它提供了来自4000多家卖家的超过15000个软件产品。此外,还有300多家数据提供商提供第三方数据集。而且,亚马逊云科技已经吸引了2000多家渠道合作伙伴,包括通过市场为其最终客户采购解决方案的经销商和系统集成商。 市场目录中有数百万个活跃订阅和数千家客户。为了方便发现,目录按照70个类别进行组织。作为云原生服务,亚马逊云科技市场在所有亚马逊云科技区域和地区都可用。 然而,亚马逊云科技市场并不仅仅是一个目录,它还提供了许多管理和治理能力来解决前面概述的许多采购挑战。例如,市场提供了标准化的合同条款,根据亚马逊云科技的调查结果,这可以将买卖双方谈判合同的时间减少50%以上。 为了简化供应商评估,市场提供了供应商洞察——基于125个关键控制的产品和卖家的安全概览。这取代了漫长的手动问卷和评估。 对于SaaS产品和数据集,使用权管理使管理员能够轻松地在整个组织内分配、管理和跟踪许可证。 其他功能如专用市场允许创建预先批准的产品白名单,以增强治理。与公司的身份系统(如Active Directory)集成简化了用户管理。 艾伦还强调,亚马逊云科技Marketplace拥有超过2000家渠道合作伙伴,可在安全评估、合同签订和监管合规等领域补充内部技能和专业知识。他们提供这些定制服务以满足每个公司的需求。 在可操作的成果方面,艾伦向观众提出了一些需要思考的关键问题: 1. 贵公司的谁应该访问亚马逊云科技Marketplace以订阅产品?他们的权限应该是怎样的?亚马逊云科技Identity and Access Management (IAM)可以帮助实现这一点。 2. 是否应允许所有账户从Marketplace订购?还是只允许特定批准的账户?像亚马逊云科技Organizations和Service Control Policies这样的工具可以限制对Marketplace的访问。 3. 如何创建预批准目录以实现自助服务?Private Marketplace提供这种功能。 4. 如何将Marketplace与您现有的采购系统集成? 接下来,卡提克·巴拉克里希南上台深入探讨亚马逊云科技Marketplace的特定功能: 1. Private Marketplaces - 这允许创建自定义目录,其中预批准的产品映射到内部用户和账户。这实现了自助服务,同时确保治理。 2. Vendor Insights - 此功能集中了125多个控制措施的供应商和产品安全评估,取代了手动问卷。它从认证、供应商回应、亚马逊云科技审计日志等中获取数据。 3. Standardized terms和Private Offers - 这有助于预先标准化与供应商的合同条款,加速谈判。可以为特定买家创建自定义报价。 4. 使用IAM进行细粒度权限 - 管理员可以定义对Marketplace上产品的订阅或取消订阅的精细访问控制。 5. 权利追踪 - 提供对组织内软件许可证使用情况的可见性。 6. 与采购工具集成 - 允许与现有的采购平台(如Coupa、Ariba等)无缝集成。 7. 持续监控 - Vendor Insights主动提醒购买者产品安全性立场的任何变化,以便他们可以与供应商接洽。这消除了定期评估的需求。 卡提克总结说,亚马逊云科技Marketplace为企业提供了许多更多的治理功能,以确保在云上安全地现代化软件采购。 在接下来的会议上,重点将放在对Gilead Sciences这一生物制药公司的案例研究中。作为首席信息安全官,Chris Jak将分享其最佳实践以及使用亚马逊云科技Marketplace的经验。 Chris表示,Gilead致力于研发和创新药物的开发和商业化,旨在治疗致命疾病。公司致力于与社区合作,消除护理障碍并提高健康公平性。在实施新解决方案时,Gilead会评估自建与购买选项。在选择供应商之前,他们会发布招标书并参考同行实施情况,进行概念验证。 Chris强调,他们倾向于从可靠供应商处购买,特别是那些属于亚马逊云科技合作伙伴网络的供应商。这为他们提供了额外的质量保证。通过渠道合作伙伴购买还有助于Gilead履行支出承诺并获得亚马逊云科技积分。 Gilead会根据业务关键性和数据敏感性来定制第三方风险评估。一个问卷表提前捕捉这些信息,以确定是否需要进行轻型或全面的评估。对于第三方数据访问等特定使用场景,Gilead会对安全政策、数据保护和其他相关控制进行特定的风险评估。 全面的评估涉及针对控件的冗长问卷,而轻型评估则更有针对性。回应由Gilead的安全团队审查并在需要时澄清。最终报告记录了安全建议,以便纳入合同中。 Chris承认,由于需要跨安全、采购、法律、合规和供应商团队协调,从问卷到合同谈判的整个过程可能非常耗时。然而,亚马逊云科技Marketplace正在以多种方式帮助Gilead简化治理过程:Vendor Insights提供预完成的安保评估,Gilead可以查看;私人报价允许Gilead通过与渠道合作伙伴提前协商定制条款和定价;私有市场创建了一个预先批准的应用程序目录,用户可以从这个目录自助服务。 亚马逊云科技的IAM提供了一种精细的访问控制方式,以确保只有经过授权的用户才能访问和获取软件。遵循最佳实践,克里斯(Chris)建议在软件材料清单(SBOM)数据的协助下,能够迅速发现受到新漏洞影响的供应商。他在使用开源软件之前,鼓励对其中的漏洞和许可影响进行全面评估。将供应商洞察数据整合至GRC系统可进一步提高自动化程度并简化保证过程。通过统一安全术语,可以实现所有供应商间的一致合规监控。最后,阿拉恩(Arun)为观众提供了一些建议: - 了解亚马逊云科技市场的功能和能力目录 - 对供应商进行评估,以便简化流程并开展试点项目 - 评估私人市场,以创建预批准的目录 - 将市场整合到整体的云软件战略中 总的来说,本次会议全面概述了亚马逊云科技市场如何帮助企业现代化并简化其云软件供应链管理。市场平台提供了多种能力,使组织能够在确保第三方解决方案得到有效监督的同时,保持业务灵活性。 **下面是一些演讲现场的精彩瞬间:** 使用亚马逊云科技市场(Amazon Web Services Marketplace)和原生亚马逊云科技服务能够帮助企业优化第三方解决方案的管理和监督。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_0.png) 一项针对高管的调查表明,软件和数据的在线市场能够提供更简便的管理和控制,更多的选择和可靠的供应商,以及成本节省。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_1.png) 演讲者探讨了亚马逊云科技市场如何简化并加速第三方软件的安全评估过程。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_2.png) 供应商洞察(Vendor Insights)简化了客户和供应商之间的问卷流程。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_3.png) 私人市场通过提供一个已经过安全评估的解决方案精选、批准的目录,从而简化了访问管理。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_4.png) 领导者强调了亚马逊云科技在开源软件方面所进行的谨慎评估过程,以确保在使用前满足安全和许可合规性。 ![](https://d1trpeugzwbig5.cloudfront.net/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace/images/rebranded/MKT201-Simplify_governance___third_party_assessments_using_AWS_Marketplace_5.png) ## 总结 在本章中,我们将探讨企业如何利用亚马逊云科技市场(Amazon Web Services Marketplace)和原生亚马逊云科技服务来优化第三方解决方案的管理和监督。当前的关键趋势是类似亚马逊云科技市场的在线市场的兴起,它们提供精选目录以及管理和监督能力,帮助企业在这两者的平衡中实现软件采购的速度与灵活性以及与适当的管控。 第一个关键点是亚马逊云科技市场提供的功能,例如标准化许可条款、加速合同签订、供应商洞察和软件许可证管理。此外,它还有一个针对已批准产品的自定义目录的私有市场,并与亚马逊云科技的身份和访问管理集成以实现访问控制。 第二个关键点在于亚马逊云科技市场的渠道合作伙伴可以提供关于安全评估、合同签订、法规要求和风险缓解的专业知识,以补充内部团队。他们还可以将这些服务作为持续支持的管理服务来提供。 第三个关键点涉及最佳实践,包括使用供应商洞察进行评估,通过私有优惠简化合同谈判,使用私有市场整理已批准的目录,并利用软件材料清单和安全工具(如安全评分表)进行尽职调查。企业应先熟悉市场功能,并通过试用供应商洞察和私有优惠等功能开始实施。 总之,亚马逊云科技市场为企业提供了一个结合选择、采购便利和管理能力的解决方案,有助于企业使其软件供应链现代化。通过运用这些功能和最佳实践,组织可以在软件采购中实现速度和管理的适当平衡。 ## 演讲原文 ## 想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站! [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处"),一键获取亚马逊云科技全球最新产品/服务资讯! [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处"),一键获取亚马逊云科技中国区最新产品/服务资讯! ## 即刻注册亚马逊云科技账户,开启云端之旅! [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")
目录
亚马逊云科技解决方案 基于行业客户应用场景及技术领域的解决方案
联系亚马逊云科技专家
亚马逊云科技解决方案
基于行业客户应用场景及技术领域的解决方案
联系专家
0
目录
关闭