使用AWS不意味着组织不负责保护整个云基础设施,而是与 AWS 分担责任。
简而言之,AWS 将其云基础设施作为一个整体来保护,创建 AWS 并为客户提供 AWS 云服务的硬件、软件、网络和设施。客户有责任保护他们在 AWS 上创建的基础设施:他们的数据、操作系统、网络、应用程序和其他资源。对于每个云供应商来说,这可能不一样。
做好准备:针对安全威胁制定计划和策略
在开始使用任何安全服务之前,组织必须制定如何处理安全威胁的计划和策略。做好准备是最重要的 AWS 安全基础知识之一。AWS 建议组织制定一个根据其安全要求(如法规)进行事件管理的流程。
根据 AWS 的说法,组织应运行事件演练,以确保团队做好准备。演练还可以识别组织的弱点、检测威胁的低效率、改进安全事件调查的方法以及如何从安全事件中恢复。
保护所有基础架构层
云基础架构的所有层都需要得到保护。在责任共担模型中,AWS 负责运行 AWS 的基础层,客户负责他们在 AWS 上运行的环境。对于组织来说,了解他们负责什么以及他们可以使用哪些安全工具是最佳做法。
AWS建议使用其虚拟私有云 (VPC) 在 AWS 中创建一个隔离的私有虚拟网络环境。此外,添加 AWS WAF(Web 应用程序防火墙)等防火墙可以防止对关键应用程序和数据的未经授权的访问。
AWS WAF 是 AWS 安全性的基础,可保护 Web 应用程序和 API 免受典型 Web 漏洞的攻击。组织可以创建安全规则来阻止常见的攻击流量模式,同时允许其他流量传递到应用程序。
AWS防火墙管理器使组织能够在其所有 AWS 账户和应用程序中拥有一致的防火墙规则。使用 AWS 防火墙管理器的组织可以从一个中心位置配置和管理所有防火墙规则和策略。通过这种方式,AWS 防火墙管理器能够保护组织的整个云基础设施。
做好准备:针对安全威胁制定计划和策略
在开始使用任何安全服务之前,组织必须制定如何处理安全威胁的计划和策略。做好准备是最重要的 AWS 安全基础知识之一。AWS 建议组织制定一个根据其安全要求(如法规)进行事件管理流程。
根据 AWS 的说法,组织应运行事件模拟,以确保团队做好准备。模拟还可以识别组织的弱点、检测威胁的低效率、改进安全事件调查的方法以及如何从安全事件中恢复。
保护所有基础架构层
云基础架构的所有层都需要得到保护。在责任共担模型中,AWS 负责运行 AWS 的基础层,客户负责他们在 AWS 上运行的环境。对于组织来说,了解他们负责什么以及他们可以使用哪些安全工具是最佳做法。
AWS建议使用其虚拟私有云 (VPC) 在 AWS 中创建一个隔离的私有虚拟网络环境。此外,添加 AWS WAF(Web 应用程序防火墙)等防火墙可以防止对关键应用程序和数据的未经授权的访问。
AWS WAF 是 AWS 安全性的基础,可保护 Web 应用程序和 API 免受典型 Web 漏洞的攻击。组织可以创建安全规则来阻止常见的攻击流量模式,同时允许其他流量传递到应用程序。
AWS防火墙管理器使组织能够在其所有 AWS 账户和应用程序中拥有一致的防火墙规则。使用 AWS 防火墙管理器的组织可以从一个中心位置配置和管理所有防火墙规则和策略。通过这种方式,AWS 防火墙管理器能够保护组织的整个云基础设施。
使用身份系统并强制实施权限级别划分
身份访问管理 (IAM) 等身份系统在保护云资源免遭不当使用方面大有帮助。此类系统是AWS 安全性和整体安全性的基础。IAM 使组织能够遵循最小特权原则,即用户仅被授予对其作业所需数据的访问权限。
借助 AWS IAM,组织可以使用该服务作为授予不同级别访问权限的一种方式,并影响用户对云资源的影响。帐户管理员可以使用基于身份的策略向用户授予权限。该策略对不同用户和组的影响不同。
标识可以绑定到一个用户或一组用户。该标识通知安全策略是否允许用户执行某些操作或访问某些资源。允许用户执行哪些操作和资源的程度是已授予他们多少特权的标志。
除 AWS IAM 外,控制用户访问的其他 AWS 服务包括 Amazon Cognito 和 AWS Single Sign-On (SSO)。
Cognito授予授权用户访问组织应用程序的权限。用户可以是可以授权访问应用程序后端的员工,也可以是只需要访问前端的日常用户。
AWS SSO 允许组织的员工使用一组凭证访问多个 AWS 账户。应用程序、帐户和关联的权限都可以集中管理。
监控云环境
组织无法保护自己免受无法检测到的威胁的侵害。这就是为什么监控云环境对安全性至关重要的原因。通过充分的监视,当发生安全事件时,组织会快速收到警报。
在安全事件发生后,最好有日志,提供导致安全事件所执行操作的历史记录以及由谁执行的操作。各种亚马逊安全服务都具有这样的监控和日志记录功能。
Amazon Detective 会自动收集组织所有云资源的日志数据,并使用该信息来确定可能的安全问题的来源。
Amazon GuardDuty 还会持续监控云环境,并分析日志数据中是否存在威胁、异常活动和异常行为。
Amazon Macie 是一项基于机器学习的服务,可自动查找、分类和保护敏感数据。例如,个人身份信息 (PII) 或知识产权可由 Amazon Macie 找到并进行保护。
AWS安全中心是一个控制面板,用于编译来自各种 AWS 安全服务的通知和警报。中心聚合、组织监视信息,并为查看它的管理员设置其优先级。
自动化安全功能
上一节中提到的许多服务都是自动化工具。这对管理员来说很重要,因为它将许多单调且耗时的任务从他们的盘子中移除,并使不需要的任务成为各种服务的责任。
通过让软件接管数据分析或监视活动等任务,管理员有更多时间用于直接影响其组织业务需求的项目。此外,自动化策略部署和实施等流程使云实例能够更轻松地快速扩展。
保护静态和传输中的数据
另一个 AWS 安全基础是在数据未被访问或移动时保护数据,以及在整个组织网络中传输数据时保护数据。
静态数据可以通过加密和使用如上所述的访问控制来保护。传输中的数据可以通过加密、安全密钥和证书管理、安全协议(如传输层安全性 (TLS)、VPN 以及可以检测将数据移出特定边界的尝试的工具进行保护。同样,有几种 AWS 服务可以执行这些任务。
AWS有两种安全服务可以提供加密:AWS CloudHSM 和 AWS Key Management Service (KMS)。
AWS CloudHSM 是基于云的硬件安全模块 (HSM) 服务,组织可以使用它在云中创建自己的加密密钥。这些模块经过FIPS 140-2 3 级验证,这意味着它们符合美国联邦信息处理法规。
AWS KMS 是创建和控制加密密钥的托管方式。借助此服务,组织可以跨多个 AWS 服务和在自己的应用程序中控制密钥的使用。AWS KMS 也使用 HSM。这两者都提供了防止数据在静态时被攻击者访问所需的加密。
数据传输的安全协议是确保传输中数据安全的关键。安全套接字层/传输层安全性 (SSL/TLS) 证书可通过 AWS 证书管理器进行预置、管理和部署。通过这些安全协议,数据在通过网络传输时会被加密。
AWS密钥管理器可确保数据库凭证或 API 密钥等机密的安全。存储和控制机密是通过控制台、CLI 或 API 集中完成的。使用此服务,机密不会硬编码到应用程序中。相反,对 AWS 密钥管理器的 API 调用会检索密钥。
这样做意味着检查应用程序代码的人找不到可以授予他们进一步访问权限的机密。这可以保护处于任何状态的应用程序内的数据。
总结:AWS安全基础知识关键要点:
1. 每个组织都应该制定如何保护其云环境并有效执行的计划。
2. 防火墙是保护云基础架构不同层的好方法。
3. 身份访问管理和最小特权原则是云安全的基本要素。
4. 通过监视和记录云活动,可以更轻松地找出导致安全事件的人员或原因。
5. 自动化使 IT 管理员的生活更加轻松,因为他们不再需要专注于单调和苛刻的任务。
6. 加密是保护静态和传输中数据的常见且有效的方法。
原文链接:https://www.sdxcentral.com/cloud/definitions/aws-security-fundamentals/