AWS：云安全和合規(guī)性

本章涵蓋以下主題:

AWS安全簡(jiǎn)介：本節(jié)討論保護(hù)基礎(chǔ)架構(gòu)和資源的AWS方法的主要方面。

AWS安全合規(guī)性計(jì)劃：本章的這一部分可確保您了解AWS為確保您可能面臨的法律和法規(guī)的安全性保持合規(guī)性所做的許多工作。

在AWS方面，了解Amazon對(duì)安全性采取的方法非常重要。了解有關(guān)AWS認(rèn)為重要的合規(guī)性和認(rèn)證級(jí)別的詳細(xì)信息也很重要。本章詳細(xì)討論了這些要點(diǎn)，提供了AWS使用的特定技術(shù)，以幫助確保您可以在云中和更高的環(huán)境中創(chuàng)建最安全的體系結(jié)構(gòu)。

AWS安全簡(jiǎn)介

亞馬遜明白，對(duì)于許多考慮轉(zhuǎn)向公共(或混合)云的組織來(lái)說(shuō)，一個(gè)主要的擔(dān)憂是安全性。因此，他們付出了巨大的努力，以確保您的組織具有令人難以置信的潛在安全性級(jí)別。這包括圍繞保密性、完整性和可用性(CIA)的大規(guī)模努力。這就是所謂的“安全三位一體”，如圖6-1所示。

亞馬遜采用了哪些主要方法來(lái)保護(hù)AWS？現(xiàn)在讓我們來(lái)報(bào)道這些。

首先是盡可能地保護(hù)客戶(hù)數(shù)據(jù)的安全。Amazon確保了具有彈性和高可用性的基礎(chǔ)架構(gòu)。部署了高水平的最新安全技術(shù)，并為亞馬遜安全責(zé)任的各個(gè)方面提供了強(qiáng)有力的保障。

借助AWS，您可以大規(guī)模利用安全技術(shù)的快速創(chuàng)新。這包括強(qiáng)大的身份和訪問(wèn)管理(IAM)系統(tǒng)、靜態(tài)和傳輸中的數(shù)據(jù)加密以及分段服務(wù)。圖6-2顯示了AWS中的IAM組件。

借助AWS安全性，您可以為所需內(nèi)容付費(fèi)。這使得高度的安全性具有可控和彈性的容量和成本。

AWS還確保提供多樣化的合規(guī)性支持，以提供對(duì)治理、監(jiān)督和自動(dòng)化的遵守。

此外，AWS遵循一個(gè)共享責(zé)任模型，在客戶(hù)(您)和Amazon之間(明確)劃分責(zé)任。您可以利用他們?cè)诎踩A(chǔ)設(shè)施和技術(shù)知識(shí)方面令人難以置信的專(zhuān)業(yè)知識(shí)。但是，您必須具備保護(hù)AWS服務(wù)中組件的專(zhuān)業(yè)知識(shí)。例如，您將負(fù)責(zé)修補(bǔ)某些虛擬機(jī)(EC2)部署。

注意

注意：您的虛擬機(jī)所在的硬件由Amazon保持高度安全。

特定的安全產(chǎn)品和功能包括各種工具和監(jiān)視資源,其中包括:

·強(qiáng)大的網(wǎng)絡(luò)安全：內(nèi)置防火墻、傳輸中的加密、專(zhuān)用連接選項(xiàng)和內(nèi)置DDoS緩解。

·高效的安全工具：管理資源傭金和退役、庫(kù)存和配置管理工具以及最佳做法模板定義。

·每個(gè)級(jí)別的數(shù)據(jù)加密：這包括數(shù)據(jù)庫(kù)系統(tǒng)、密鑰管理、基于硬件的存儲(chǔ)選項(xiàng)和API支持(如AWS中的所有內(nèi)容)。

·訪問(wèn)控制和管理：身份和訪問(wèn)管理、多重身份驗(yàn)證、聯(lián)合身份驗(yàn)證支持、將IAM集成到所有服務(wù)中，以及API支持。

·監(jiān)視和日志記錄工具：深入了解API調(diào)用、日志聚合工具、警報(bào)和降低風(fēng)險(xiǎn)。

·AWS應(yīng)用商店：反惡意軟件、入侵防護(hù)系統(tǒng)(Ips)和策略管理工具。

AWS安全合規(guī)程序

亞馬遜在遵守安全最佳實(shí)踐和法規(guī)方面如何衡量他們的成功？他們眾多客戶(hù)的成功！客戶(hù)在這些類(lèi)別中推動(dòng)AWS工作(僅舉幾例)：

·合規(guī)性報(bào)告

·證明

·認(rèn)證

合規(guī)性計(jì)劃和您對(duì)這些計(jì)劃的遵守實(shí)際上將幫助您在AWS中大規(guī)模實(shí)施出色的安全性。這也可以幫助您在安全實(shí)現(xiàn)方面實(shí)現(xiàn)總體成本節(jié)約。

Amazon,尤其是當(dāng)您是客戶(hù)時(shí)，將使用以下方法傳達(dá)其安全責(zé)任、成功、失敗和總體努力:

·獲得行業(yè)認(rèn)證

·獲得獨(dú)立的第三方證明

·發(fā)布安全信息白皮書(shū)和web內(nèi)容

·向客戶(hù)提供證書(shū)、報(bào)告和其他文檔，有時(shí)是根據(jù)保密協(xié)議(NDA)提供的

亞馬遜還為客戶(hù)提供以下服務(wù):

·通過(guò)安全功能的功能

·合規(guī)性劇本

·映射文檔

AWS還提供了強(qiáng)大的風(fēng)險(xiǎn)和合規(guī)性計(jì)劃，可幫助您執(zhí)行以下操作:

·風(fēng)險(xiǎn)管理

·控制環(huán)境

·信息安全

亞馬遜定期掃描所有面向公眾的點(diǎn)，以了解漏洞。他們甚至?xí)褂锚?dú)立的第三方公司對(duì)其技術(shù)和基礎(chǔ)設(shè)施進(jìn)行威脅評(píng)估。如果您(作為客戶(hù))有興趣對(duì)您的資源執(zhí)行滲透(筆)測(cè)試，您可以這樣做，但您必須獲得AWS的明確許可。

請(qǐng)記住,作為AWS的客戶(hù)，您應(yīng)該(必須):

采用強(qiáng)大的安全生命周期方法，包括評(píng)審階段、設(shè)計(jì)階段以及識(shí)別和驗(yàn)證階段。標(biāo)識(shí)階段應(yīng)包括保護(hù)客戶(hù)資源所需的外部控制。

·了解所需的合規(guī)性目標(biāo)。

·建立控制環(huán)境。

·了解基于風(fēng)險(xiǎn)容忍度的驗(yàn)證。

·始終驗(yàn)證所部署的安全措施的有效性。