AWS用于安全支持的資源

本章涵蓋以下主題:

安全支持工具：本章的這一節(jié)詳細介紹了AWS中安全支持的各種重要工具。

其他安全支持資源：本章的這一部分提供了更多的安全支持資源想法，這些想法可供您作為AWS客戶，甚至作為潛在客戶使用。

在AWS中，您的基礎架構和架構比以往任何時候都更安全。為了實現最高級別的安全級別和最低的風險級別，您應該準備好利用可用于安全支持的大量資源。在這方面,本章至關重要。

安全支持工具

當你有一個像安全這樣重要的話題時，你需要大量的工具來幫助你。使用AWS，這正是您所獲得的。

認證和認證

Aws安全認證和認證的數量是相當驚人的。想想看，這個榜單還在不斷增加！這些認證和認證可幫助您確保滿足可能需要提供的安全級別。

此類別中的保證計劃包括：

·DoD SRG

·FedRAMP

·FIPS

·IRAP

·ISO 9001

·ISO 27001

·ISO 27017

·ISO 27018

·MLPS Level 3

·MTCS

·PCI DSS Level 1

·SEC Rule 17a-4(f)

·SOC 1

·SOC 2

·SOC 3

您可能需要滿足許多法律和法規(guī)。幸運的是，AWS允許滿足以下要求：

·EU Model Clauses

·FERPA

·HIPAA

·IRS-1075

·ITAR

·My Number Act(Japan)

·VPAT/Section 508

·EU Data Protection Directive

最后，AWS遵循許多建議的安全框架，其中包括：

·CJIS

·FedRAMP TIC

·FISC

·FISMA

·GxP(FDA 21 CFR Part 11)

·IT-Grundschutz

·MPAA

·NERC

·NIST

·UK Cyber Essentials

AWS項目

AWS項目是您的核心資源，可提供與合規(guī)性相關的信息，這對您來說很重要。它提供對AWS安全和合規(guī)性報告的按需訪問，并選擇在線協(xié)議。AWS項目中提供的報告包括服務組織控制(SOC)報告、支付卡行業(yè)(PCI)報告，以及來自跨地域和合規(guī)性垂直領域的認證，以驗證實施和AWS安全控制的運行效率。AWS項目中提供的協(xié)議包括業(yè)務關聯附錄(BAA)和保密協(xié)議(NDA)。

AWS值得信賴的顧問

如果我們有自己的云專家在AWS為我們工作，這不是很好嗎？這是受信任的顧問工具背后的概念。此管理工具可確保您遵循安全最佳實踐，并幫助您彌補安全差距。

實驗室:使用受信任的顧問

本練習將引導您完成使用受信任顧問的步驟，了解您可能能夠進行的安全問題和改進，以增強您的AWS安全性。

注意

本實驗室假定您擁有AWS賬戶。

要使用受信任的顧問，請按照以下步驟操作：

步驟1。在AWS管理控制臺中，搜索受信任的顧問。選擇出現的“受信任的顧問”鏈接。

步驟2。在頁面左側的儀表板中，單擊“安全性”。

步驟3。請注意已執(zhí)行的安全檢查和結果。還請注意可能購買的其他安全檢查。圖8-1顯示了安全檢查。

AWS云支持協(xié)會和工程師

通常情況下，在安全問題和問題上，您的第一個聯系人將是AWS的支持人員。這些員工被稱為云支持助理，也被稱為云支持工程師。

請記住，您可以從AWS購買不同級別的支持。表8-3顯示了所包含的支持級別和支持選項。

其他安全支持資源

信不信由你，安全支持資源甚至比我們迄今在本章中提到的還要多。本節(jié)探討了更多的問題。

專業(yè)服務網絡

AWS專業(yè)服務組織是一個全球性的專家團隊，可幫助您在使用AWS云時實現所需的業(yè)務成果。Amazon與您的團隊和您選擇的AWS合作伙伴網絡(APN)成員合作，執(zhí)行您的企業(yè)云計算計劃。

AWS專業(yè)服務組織通過一系列產品提供幫助，幫助您實現與企業(yè)云采用相關的特定結果。AWS專業(yè)服務還通過其涵蓋各種解決方案、技術和行業(yè)的全球專業(yè)實踐提供有針對性的指導。除了與AWS客戶合作外，AWS專業(yè)服務還通過可供任何人使用的技術對話網絡研討會、白皮書和博客文章分享他們的經驗。

AWS合作伙伴網絡

AWS合作伙伴網絡(APN)是AWS的全球合作伙伴計劃。它專注于通過提供業(yè)務、技術、營銷和上市支持,幫助APN合作伙伴建立成功的基于aws的業(yè)務或解決方案。

APN合作伙伴可獲得業(yè)務、技術、銷售和營銷資源，幫助您發(fā)展業(yè)務并更好地支持客戶。您可以加入APN，并利用眾多APN計劃來區(qū)分您的業(yè)務并與AWS上的客戶建立聯系。

AWS合作伙伴網絡致力于確?？蛻舫浞掷肁WS提供的所有業(yè)務優(yōu)勢。憑借其在AWS領域的深厚專業(yè)知識，APN合作伙伴具有得天獨厚的優(yōu)勢，可以在云采用過程的任何階段為您的公司提供幫助，并幫助您實現業(yè)務目標。

建議和公告

無論aws服務的設計多么仔細，可能都需要不時地通知客戶使用AWS服務發(fā)生的安全和隱私事件。因此，亞馬遜發(fā)布安全公告，可通過其網站公開獲取。您還可以訂閱安全公告RSS源，以及時了解安全公告。

下面是一個示例AWS安全公告：

標題：L1終端故障投機執(zhí)行問題

日期：2018年8月16日下午2:45 PDT

CVE鑒定人:CVE-2018-3620，CVE-2018-3646

內容：英特爾已發(fā)布了有關其處理器的新的側信道分析方法"L1終端故障"(l1tf)的安全通報(INTELA-SA-00161)。AWS設計并實施了其基礎架構，保護其免受此類攻擊，并為L1TF部署了其他保護。所有EC2主機基礎結構都已使用這些新的保護進行了更新，并且不需要在基礎結構級別執(zhí)行客戶操作。更新的內核為Amazon Linux ami 2017.09(ALAS-2018-1058)、Amazon Linux ami 2017.09(ALAS-2018-1058)和Amazon Linux 2(ALAS-2018-1058)的內核可在各自的存儲庫中找到。作為一般的安全最佳做法，我們建議客戶在相關修補程序可用來解決新出現的側通道問題時對其操作系統(tǒng)或軟件進行修補。我們發(fā)布了新版本的Amazon Linux和Amazon Linux 2 Ami，它們自動包含了更新后的內核。具有更新內核的映像的ami id可以在Amazon Linux 2018.03 Ami Id、Amazon Linux 2 AMI Id和AWS系統(tǒng)管理器參數存儲中找到。同時，我們建議使用EC2實例更強大的安全和隔離屬性，而不是在工作負載使用不同的安全特權執(zhí)行時依賴于操作系統(tǒng)進程邊界或容器。

審核員學習路徑

AWS審核員學習路徑專為那些希望了解其內部操作如何使用AWS平臺演示合規(guī)性的審核員、合規(guī)性和法律角色的人員而設計。借助此學習路徑，您可以構建必要的技能，以了解如何在AWS云上審核解決方案。

合規(guī)性解決方案指南

AWS合規(guī)性解決方案指南旨在為您提供在AWS上履行合規(guī)性責任所需的常用資源和流程的存儲庫。

AWS保護全球數百萬活躍客戶--從大型企業(yè)和政府組織到初創(chuàng)企業(yè)和非營利組織。通過這些關系，Amazon開發(fā)了一流的資源，使來自任何行業(yè)的客戶都能快速了解如何在AWS云中實現合規(guī)性?？蛻衾^承了AWS員工豐富經驗的所有好處，包括根據外部保證框架驗證的安全策略、體系結構和操作過程的最佳實踐。

范圍內的服務

AWS還根據預期的用例、反饋和需求，將服務納入其合規(guī)性工作范圍。如果服務當前未在最近評估的范圍中列出，則并不意味著您不能使用該服務。確定數據的性質是組織的共同責任的一部分。根據您在AWS上構建的內容的性質，您應該確定服務是否會處理或存儲客戶數據，以及它將如何影響或不會影響客戶數據環(huán)境的合規(guī)性。

Amazon鼓勵您與您的AWS賬戶團隊討論您的工作負載目標和目的；他們將能夠評估您建議的用例和體系結構，以及AWS安全和合規(guī)性流程如何覆蓋該體系結構。

安全博客

Amazon還提供了一個以安全為中心的博客網站，該網站不斷更新有關安全相關發(fā)展的最新重要公告和培訓機會。