首页概览

Provide an overall guide about AWS security services.

非官方授权网站,内容仅供参考。个人学习使用内容。

目标对象

使用AWS云服务的企业或者开发者。

AWS 云安全知识库

AWS 云安全知识库主要为企业客户提供有关云安全的信息。新用户可以学习如何更加安全地使用AWS云资源。通过免费学习资源,知识库旨在帮助企业削减培训成本、提升员工的云安全技能,并以最小成本避免常见云上安全风险,降低企业的安全风险损失。

上云的安全还需要企业的努力

上云并不意味着自动获得了全面的安全保障。云计算环境提供了一个灵活、可扩展的基础设施,但安全是一个需要持续关注和管理的过程。企业在迁移到云平台时,必须认识到云安全是一个责任共担的模型。在这个模型中,云服务提供商(CSP)负责保护云基础设施的安全性,而客户则需要负责云中的数据、应用程序和访问权限的安全。

共享职责模型在日常业务开展中仍然被使用者广泛误解。大约77% 的IT决策者认为,公有云提供商负责保护云上的客户数据安全,68%则认为这些提供商也负责保护客户应用的安全。许多安全事件发生的根本原因是,客户以为云提供商会处理一些事情,但后来的事实证明没有任何一方会处理。在真实世界中,因客户对共享职责模型理解不足而导致的安全事件,有很多来自AWS(Amazon Web Service)简单存储服务(Simple Storage Service,S3)中的桶(bucket)。AWS S3存储本身是安全的和加密的,但是如果没有设置恰当的访问控制,这些安全功能也起不到任何作用。这种错误理解导致了以下数据的泄露:

  • 1.98亿名美国选民的数据

  • 自动跟踪公司记录

  • 无线客户记录

  • 超过300万份人口调查记录

  • 超过5万份印度公民信用报告

云服务提供商通常会提供一系列的安全服务和工具,例如身份和访问管理(IAM)、网络安全组、数据加密服务以及安全监控和日志记录工具。企业需要利用这些服务,并结合自身的业务需求,进行细致的安全设计和规划。这包括但不限于:

  • 制定严格的访问控制策略,确保只有授权用户才能访问敏感数据。

  • 实施数据加密,保护存储和传输中的数据不被未授权访问。

  • 定期进行安全审计和合规性检查,确保云资源配置符合安全标准。

  • 利用自动化工具监控云环境,以便及时发现和响应安全事件。

  • 教育员工了解云安全最佳实践,提高他们对潜在威胁的认识。

通过这种合作方式,企业可以最大化地利用云服务的灵活性和可扩展性,同时确保其云上资产的安全性。记住,云安全是一个共同的责任,需要云服务提供商和企业共同努力,才能实现真正的安全。

持续全面的安全合规建设方案

在AWS上实现持续全面的安全合规建设方案,可以通过以下五个关键领域来扩展和描述:

  1. 身份与访问控制

    • 真人用户:使用IAM Identity Center创建权限;

    • 应用程序:使用IAM Role进行授权;

    • 实施最小权限原则,确保用户和应用程序仅拥有执行其任务所需的权限。

    • 使用多因素认证(MFA)增加账户安全性。

    • 通过IAM Access Analyzer定期审查和更新访问权限。

  2. 基础架构安全

    • 使用Amazon VPC来隔离资源,并控制对AWS资源的网络访问。

    • 应用安全组和网络ACLs来精细化控制进出流量。

    • 利用AWS WAF(Web Application Firewall)保护应用程序免受常见的网络攻击。

    • 确保所有服务都运行在最新的安全补丁和更新上。

  3. 数据保护

    • 使用Amazon S3的加密功能来保护静态数据。

    • 利用AWS KMS(Key Management Service)管理加密密钥。

    • 为数据库和敏感数据实施透明数据加密(TDE)。

    • 遵循数据分类和生命周期管理的最佳实践,确保数据在不同状态下的安全。

  4. 日志与监控

    • 利用Amazon CloudWatch监控AWS资源和应用程序的性能和健康状况。

    • 使用AWS CloudTrail记录和跟踪AWS账户中API的使用情况。

    • 部署Amazon GuardDuty来检测恶意活动和未经授权的行为。

    • 配置日志管理策略,确保所有日志数据的安全存储和可检索性。

  5. 事件响应

    • 制定和维护一个全面的安全事件响应计划。

    • 使用AWS Security Hub来集中安全警报和操作。

    • 定期进行安全演练,提高对安全事件的响应能力。

    • 与外部安全社区和组织合作,共享威胁情报和最佳实践。

此外,企业还应该考虑以下方面以增强云安全合规性:

  • 合规性审计:使用AWS Config和AWS Audit Manager跟踪资源的合规性状态,确保符合行业标准和法规要求。

  • 自动化安全:利用AWS Lambda和AWS CloudFormation等工具自动化安全流程和合规性检查。

  • 员工培训:定期对员工进行安全意识和最佳实践的培训,以减少人为错误和安全风险。

  • 第三方安全评估:定期进行渗透测试和漏洞评估,以识别和修复安全漏洞。

  • 灾难恢复计划:制定和测试灾难恢复计划,确保在发生安全事件时能够快速恢复业务运营。

通过这些综合措施,企业可以在AWS云平台上构建一个强大、灵活且符合行业最佳实践的安全合规框架。

知识库管理与维护者: lilycjh@amazon.com

因为只有一个人维护,页面缺失和内容缺失常有发生,如果有需要的内容或者错误页面请发送给我,会尽快修正。

下一页三个常见的云安全误解

最后更新于