AWS安全基礎(chǔ)知識(shí)包括使用有案可查的計(jì)劃，為安全威脅做好準(zhǔn)備和演練，保護(hù)基礎(chǔ)設(shè)施的所有層，使用身份系統(tǒng)并強(qiáng)制執(zhí)行權(quán)限級(jí)別劃分、監(jiān)控云環(huán)境、盡可能使用自動(dòng)化工具以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)。

使用AWS不意味著組織不負(fù)責(zé)保護(hù)整個(gè)云基礎(chǔ)設(shè)施，而是與 AWS 分擔(dān)責(zé)任。

簡(jiǎn)而言之，AWS 將其云基礎(chǔ)設(shè)施作為一個(gè)整體來(lái)保護(hù)，創(chuàng)建 AWS 并為客戶提供 AWS 云服務(wù)的硬件、軟件、網(wǎng)絡(luò)和設(shè)施。客戶有責(zé)任保護(hù)他們?cè)?AWS 上創(chuàng)建的基礎(chǔ)設(shè)施：他們的數(shù)據(jù)、操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序和其他資源。對(duì)于每個(gè)云供應(yīng)商來(lái)說(shuō)，這可能不一樣。

做好準(zhǔn)備：針對(duì)安全威脅制定計(jì)劃和策略

在開(kāi)始使用任何安全服務(wù)之前，組織必須制定如何處理安全威脅的計(jì)劃和策略。做好準(zhǔn)備是最重要的 AWS 安全基礎(chǔ)知識(shí)之一。AWS 建議組織制定一個(gè)根據(jù)其安全要求（如法規(guī)）進(jìn)行事件管理的流程。

根據(jù) AWS 的說(shuō)法，組織應(yīng)運(yùn)行事件演練，以確保團(tuán)隊(duì)做好準(zhǔn)備。演練還可以識(shí)別組織的弱點(diǎn)、檢測(cè)威脅的低效率、改進(jìn)安全事件調(diào)查的方法以及如何從安全事件中恢復(fù)。

保護(hù)所有基礎(chǔ)架構(gòu)層

云基礎(chǔ)架構(gòu)的所有層都需要得到保護(hù)。在責(zé)任共擔(dān)模型中，AWS 負(fù)責(zé)運(yùn)行 AWS 的基礎(chǔ)層，客戶負(fù)責(zé)他們?cè)?AWS 上運(yùn)行的環(huán)境。對(duì)于組織來(lái)說(shuō)，了解他們負(fù)責(zé)什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創(chuàng)建一個(gè)隔離的私有虛擬網(wǎng)絡(luò)環(huán)境。此外，添加 AWS WAF（Web 應(yīng)用程序防火墻）等防火墻可以防止對(duì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)。

AWS WAF 是 AWS 安全性的基礎(chǔ)，可保護(hù) Web 應(yīng)用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創(chuàng)建安全規(guī)則來(lái)阻止常見(jiàn)的攻擊流量模式，同時(shí)允許其他流量傳遞到應(yīng)用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應(yīng)用程序中擁有一致的防火墻規(guī)則。使用 AWS 防火墻管理器的組織可以從一個(gè)中心位置配置和管理所有防火墻規(guī)則和策略。通過(guò)這種方式，AWS 防火墻管理器能夠保護(hù)組織的整個(gè)云基礎(chǔ)設(shè)施。

做好準(zhǔn)備：針對(duì)安全威脅制定計(jì)劃和策略

在開(kāi)始使用任何安全服務(wù)之前，組織必須制定如何處理安全威脅的計(jì)劃和策略。做好準(zhǔn)備是最重要的 AWS 安全基礎(chǔ)知識(shí)之一。AWS 建議組織制定一個(gè)根據(jù)其安全要求（如法規(guī)）進(jìn)行事件管理流程。

根據(jù) AWS 的說(shuō)法，組織應(yīng)運(yùn)行事件模擬，以確保團(tuán)隊(duì)做好準(zhǔn)備。模擬還可以識(shí)別組織的弱點(diǎn)、檢測(cè)威脅的低效率、改進(jìn)安全事件調(diào)查的方法以及如何從安全事件中恢復(fù)。

保護(hù)所有基礎(chǔ)架構(gòu)層

云基礎(chǔ)架構(gòu)的所有層都需要得到保護(hù)。在責(zé)任共擔(dān)模型中，AWS 負(fù)責(zé)運(yùn)行 AWS 的基礎(chǔ)層，客戶負(fù)責(zé)他們?cè)?AWS 上運(yùn)行的環(huán)境。對(duì)于組織來(lái)說(shuō)，了解他們負(fù)責(zé)什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創(chuàng)建一個(gè)隔離的私有虛擬網(wǎng)絡(luò)環(huán)境。此外，添加 AWS WAF（Web 應(yīng)用程序防火墻）等防火墻可以防止對(duì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)。

AWS WAF 是 AWS 安全性的基礎(chǔ)，可保護(hù) Web 應(yīng)用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創(chuàng)建安全規(guī)則來(lái)阻止常見(jiàn)的攻擊流量模式，同時(shí)允許其他流量傳遞到應(yīng)用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應(yīng)用程序中擁有一致的防火墻規(guī)則。使用 AWS 防火墻管理器的組織可以從一個(gè)中心位置配置和管理所有防火墻規(guī)則和策略。通過(guò)這種方式，AWS 防火墻管理器能夠保護(hù)組織的整個(gè)云基礎(chǔ)設(shè)施。

使用身份系統(tǒng)并強(qiáng)制實(shí)施權(quán)限級(jí)別劃分

身份訪問(wèn)管理 （IAM） 等身份系統(tǒng)在保護(hù)云資源免遭不當(dāng)使用方面大有幫助。此類系統(tǒng)是AWS 安全性和整體安全性的基礎(chǔ)。IAM 使組織能夠遵循最小特權(quán)原則，即用戶僅被授予對(duì)其作業(yè)所需數(shù)據(jù)的訪問(wèn)權(quán)限。

借助 AWS IAM，組織可以使用該服務(wù)作為授予不同級(jí)別訪問(wèn)權(quán)限的一種方式，并影響用戶對(duì)云資源的影響。帳戶管理員可以使用基于身份的策略向用戶授予權(quán)限。該策略對(duì)不同用戶和組的影響不同。

標(biāo)識(shí)可以綁定到一個(gè)用戶或一組用戶。該標(biāo)識(shí)通知安全策略是否允許用戶執(zhí)行某些操作或訪問(wèn)某些資源。允許用戶執(zhí)行哪些操作和資源的程度是已授予他們多少特權(quán)的標(biāo)志。

除 AWS IAM 外，控制用戶訪問(wèn)的其他 AWS 服務(wù)包括 Amazon Cognito 和 AWS Single Sign-On （SSO）。

Cognito授予授權(quán)用戶訪問(wèn)組織應(yīng)用程序的權(quán)限。用戶可以是可以授權(quán)訪問(wèn)應(yīng)用程序后端的員工，也可以是只需要訪問(wèn)前端的日常用戶。

AWS SSO 允許組織的員工使用一組憑證訪問(wèn)多個(gè) AWS 賬戶。應(yīng)用程序、帳戶和關(guān)聯(lián)的權(quán)限都可以集中管理。

監(jiān)控云環(huán)境

組織無(wú)法保護(hù)自己免受無(wú)法檢測(cè)到的威脅的侵害。這就是為什么監(jiān)控云環(huán)境對(duì)安全性至關(guān)重要的原因。通過(guò)充分的監(jiān)視，當(dāng)發(fā)生安全事件時(shí)，組織會(huì)快速收到警報(bào)。

在安全事件發(fā)生后，最好有日志，提供導(dǎo)致安全事件所執(zhí)行操作的歷史記錄以及由誰(shuí)執(zhí)行的操作。各種亞馬遜安全服務(wù)都具有這樣的監(jiān)控和日志記錄功能。

Amazon Detective 會(huì)自動(dòng)收集組織所有云資源的日志數(shù)據(jù)，并使用該信息來(lái)確定可能的安全問(wèn)題的來(lái)源。

Amazon GuardDuty 還會(huì)持續(xù)監(jiān)控云環(huán)境，并分析日志數(shù)據(jù)中是否存在威脅、異常活動(dòng)和異常行為。

Amazon Macie 是一項(xiàng)基于機(jī)器學(xué)習(xí)的服務(wù)，可自動(dòng)查找、分類和保護(hù)敏感數(shù)據(jù)。例如，個(gè)人身份信息 （PII） 或知識(shí)產(chǎn)權(quán)可由 Amazon Macie 找到并進(jìn)行保護(hù)。

AWS安全中心是一個(gè)控制面板，用于編譯來(lái)自各種 AWS 安全服務(wù)的通知和警報(bào)。中心聚合、組織監(jiān)視信息，并為查看它的管理員設(shè)置其優(yōu)先級(jí)。

自動(dòng)化安全功能

上一節(jié)中提到的許多服務(wù)都是自動(dòng)化工具。這對(duì)管理員來(lái)說(shuō)很重要，因?yàn)樗鼘⒃S多單調(diào)且耗時(shí)的任務(wù)從他們的盤(pán)子中移除，并使不需要的任務(wù)成為各種服務(wù)的責(zé)任。

通過(guò)讓軟件接管數(shù)據(jù)分析或監(jiān)視活動(dòng)等任務(wù)，管理員有更多時(shí)間用于直接影響其組織業(yè)務(wù)需求的項(xiàng)目。此外，自動(dòng)化策略部署和實(shí)施等流程使云實(shí)例能夠更輕松地快速擴(kuò)展。

保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)

另一個(gè) AWS 安全基礎(chǔ)是在數(shù)據(jù)未被訪問(wèn)或移動(dòng)時(shí)保護(hù)數(shù)據(jù)，以及在整個(gè)組織網(wǎng)絡(luò)中傳輸數(shù)據(jù)時(shí)保護(hù)數(shù)據(jù)。

靜態(tài)數(shù)據(jù)可以通過(guò)加密和使用如上所述的訪問(wèn)控制來(lái)保護(hù)。傳輸中的數(shù)據(jù)可以通過(guò)加密、安全密鑰和證書(shū)管理、安全協(xié)議（如傳輸層安全性 （TLS）、VPN 以及可以檢測(cè)將數(shù)據(jù)移出特定邊界的嘗試的工具進(jìn)行保護(hù)。同樣，有幾種 AWS 服務(wù)可以執(zhí)行這些任務(wù)。

AWS有兩種安全服務(wù)可以提供加密：AWS CloudHSM 和 AWS Key Management Service （KMS）。

AWS CloudHSM 是基于云的硬件安全模塊 （HSM） 服務(wù)，組織可以使用它在云中創(chuàng)建自己的加密密鑰。這些模塊經(jīng)過(guò)FIPS 140-2 3 級(jí)驗(yàn)證，這意味著它們符合美國(guó)聯(lián)邦信息處理法規(guī)。

AWS KMS 是創(chuàng)建和控制加密密鑰的托管方式。借助此服務(wù)，組織可以跨多個(gè) AWS 服務(wù)和在自己的應(yīng)用程序中控制密鑰的使用。AWS KMS 也使用 HSM。這兩者都提供了防止數(shù)據(jù)在靜態(tài)時(shí)被攻擊者訪問(wèn)所需的加密。

數(shù)據(jù)傳輸?shù)陌踩珔f(xié)議是確保傳輸中數(shù)據(jù)安全的關(guān)鍵。安全套接字層/傳輸層安全性 （SSL/TLS） 證書(shū)可通過(guò) AWS 證書(shū)管理器進(jìn)行預(yù)置、管理和部署。通過(guò)這些安全協(xié)議，數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)會(huì)被加密。

AWS密鑰管理器可確保數(shù)據(jù)庫(kù)憑證或 API 密鑰等機(jī)密的安全。存儲(chǔ)和控制機(jī)密是通過(guò)控制臺(tái)、CLI 或 API 集中完成的。使用此服務(wù)，機(jī)密不會(huì)硬編碼到應(yīng)用程序中。相反，對(duì) AWS 密鑰管理器的 API 調(diào)用會(huì)檢索密鑰。

這樣做意味著檢查應(yīng)用程序代碼的人找不到可以授予他們進(jìn)一步訪問(wèn)權(quán)限的機(jī)密。這可以保護(hù)處于任何狀態(tài)的應(yīng)用程序內(nèi)的數(shù)據(jù)。

總結(jié)：AWS安全基礎(chǔ)知識(shí)關(guān)鍵要點(diǎn)：

1. 每個(gè)組織都應(yīng)該制定如何保護(hù)其云環(huán)境并有效執(zhí)行的計(jì)劃。

2.  防火墻是保護(hù)云基礎(chǔ)架構(gòu)不同層的好方法。

3.  身份訪問(wèn)管理和最小特權(quán)原則是云安全的基本要素。

4.  通過(guò)監(jiān)視和記錄云活動(dòng)，可以更輕松地找出導(dǎo)致安全事件的人員或原因。

5.  自動(dòng)化使 IT 管理員的生活更加輕松，因?yàn)樗麄儾辉傩枰獙Ｗ⒂趩握{(diào)和苛刻的任務(wù)。

6. 加密是保護(hù)靜態(tài)和傳輸中數(shù)據(jù)的常見(jiàn)且有效的方法。

原文鏈接：https://www.sdxcentral.com/cloud/definitions/aws-security-fundamentals/