AWS安全基础知识包括使用记录的计划、准备和演练安全威胁、保护基础设施的所有层、使用身份系统和实施特权级别、监控云环境、使用自动化工具,并保护静态和传输中的数据。使用AWS并不意味着该组织不负责保护整个云基础设施,而是与AWS共同承担该责任。简而言之,AWS将其云基础设施作为一个整体来保护,创建AWS并为客户提供AWS云服务的硬件、软件、网络和设施。客户有责任保护他们在AWS上创建的基础设施:他们的数据、操作系统、网络、应用程序和其他资源。这可能因每个云提供商而异。做好准备:制定安全威胁的计划和策略在开始使用任何安全服务之前,组织必须制定如何应对安全威胁的计划和策略。做好准备是最重要的AWS安全基础之一。AWS建议组织根据其安全要求(例如法规)制定事件管理流程。根据AWS的说法,组织应该进行事件演练以确保团队做好准备。演习还可以识别组织弱点、威胁检测效率低下、改进安全事件调查的方法以及如何从安全事件中恢复。保护所有基础设施层云基础设施的所有层都需要保护。在责任共担模型中,AWS负责运行AWS的底层,客户负责他们在AWS上运行的环境。组织的最佳做法是了解他们负责什么以及他们可以使用哪些安全工具。AWS建议使用其VirtualPrivateCloud(VPC)在AWS中创建隔离的私有虚拟网络环境。此外,添加AWSWAF(Web应用程序防火墙)等防火墙可以防止对关键应用程序和数据进行未经授权的访问。AWSWAF是AWS安全性的基础,可保护Web应用程序和API免受典型Web漏洞的侵害。组织可以创建安全规则来阻止常见的攻击流量模式,同时允许其他流量通过应用程序。AWSFirewallManager使组织能够在其所有AWS账户和应用程序中拥有一致的防火墙规则。使用AWSFirewallManager的组织可以从一个中央位置配置和管理所有防火墙规则和策略。通过这种方式,AWSFirewallManager能够保护组织的整个云基础设施。做好准备:制定安全威胁的计划和策略在开始使用任何安全服务之前,组织必须制定如何应对安全威胁的计划和策略。做好准备是最重要的AWS安全基础之一。AWS建议组织根据其安全要求(例如法规)制定事件管理流程。根据AWS的说法,组织应该运行事件模拟以确保团队做好准备。模拟还可以识别组织弱点、威胁检测效率低下以及改进安全事件调查和从安全事件中恢复的方法。保护所有基础设施层云基础设施的所有层都需要保护。在责任共担模型中,AWS负责运行AWS的底层,客户负责他们在AWS上运行的环境。组织的最佳做法是了解他们负责什么以及他们可以使用哪些安全工具。AWS建议使用其VirtualPrivateCloud(VPC)在AWS中创建隔离的私有虚拟网络环境。此外,添加AWSWAF(Web应用程序防火墙)等防火墙可以防止对关键应用程序和数据进行未经授权的访问。AWSWAF是AWS安全性的基础,可保护Web应用程序和API免受典型Web漏洞的侵害。组织可以创建安全规则来阻止常见的攻击流量模式,同时允许其他流量通过应用程序。AWSFirewallManager使组织能够在其所有AWS账户和应用程序中拥有一致的防火墙规则。使用AWSFirewallManager的组织可以从一个中央位置配置和管理所有防火墙规则和策略。通过这种方式,AWSFirewallManager能够保护组织的整个云基础设施。使用身份系统并强制执行权限级别身份访问管理(IAM)等身份系统在保护云资源免遭不当使用方面大有帮助。此类系统是AWS安全性和整体安全性的基础。IAM使组织能够遵循最小特权原则,用户仅被授予访问他们工作所需数据的权限。借助AWSIAM,组织可以使用该服务来授予不同级别的访问权限并影响用户可以对云资源执行的操作。帐户管理员可以使用基于身份的策略向用户授予权限。此策略对不同的用户和组有不同的影响。身份可以绑定到一个用户或一组用户。此ID通知安全策略是否允许用户执行某些操作或访问某些资源。允许用户执行的操作和资源的范围表明已授予他们多少特权。除了AWSIAM之外,其他控制用户访问的AWS服务包括AmazonCognito和AWSSingleSign-On(SSO)。Cognito授予授权用户访问组织应用程序的权限。用户可以是可以授予应用程序后端访问权限的员工,也可以是只需要访问前端的日常用户。AWSSSO允许组织的员工使用一组凭证访问多个AWS账户。应用程序、帐户和相关权限都可以集中管理。监控云环境组织无法保护自己免受无法检测到的威胁。这就是监控云环境对安全至关重要的原因。通过充分的监控,组织可以在发生安全事件时迅速收到警报。发生安全事件后,最好有日志来提供导致安全事件发生的操作的历史记录以及由谁执行的操作。各种亚马逊安全服务都具有此类监控和日志记录功能。AmazonDetective自动从您组织的所有云资源收集日志数据,并使用该信息来识别可能的安全问题的来源。AmazonGuardDuty还持续监控云环境并分析日志数据以了解威胁、异常活动和异常行为。AmazonMacie是一种基于机器学习的服务,可以自动查找、分类和保护敏感数据。例如,AmazonMacie可以找到并保护个人身份信息(PII)或知识产权。AWS安全中心是一个仪表板,它汇集了来自各种AWS安全服务的通知和警报。该中心为查看它的管理员聚合、组织和优先监控信息。自动化安全功能上一节中提到的许多服务都是自动化工具。这对管理员来说很重要,因为它从他们的盘子中删除了许多繁琐且耗时的任务,并使不需要的任务成为各种服务的责任。通过让软件接管数据分析或监控活动等任务,管理员可以将更多时间花在直接影响其组织业务需求的项目上。此外,策略部署和执行等流程的自动化使云实例更容易快速扩展。保护静态和传输中的数据AWS安全性的另一个基础是在数据未被访问或移动时保护数据,以及在数据跨组织网络传输时保护数据。静态数据可以通过加密和使用如上所述的访问控制来保护。传输中的数据可以通过加密、安全密钥和证书管理、传输层安全(TLS)等安全协议、VPN以及可以检测将数据移出特定边界的尝试的工具来保护。同样,几个AWS服务可以执行这些任务。AWS有两个提供加密的安全服务:AWSCloudHSM和AWSKeyManagementService(KMS)。AWSCloudHSM是一种基于云的硬件安全模块(HSM)服务,组织可以使用它来创建自己的加密密钥。这些模块经过FIPS140-23级验证,这意味着它们符合美国联邦信息处理法规。AWSKMS是创建和控制加密密钥的托管方式。借助这项服务,组织可以控制密钥在多个AWS服务和他们自己的应用程序中的使用。AWSKMS还使用HSM。这两者都提供了防止数据在静止时被攻击者访问所需的加密。数据传输的安全协议是保证数据在传输过程中安全的关键。可以通过AWSCertificateManager预置、管理和部署安全套接字层/传输层安全性(SSL/TLS)证书。使用这些安全协议,数据在通过网络传输时会被加密。AWSKeyManager保护数据库凭证或API密钥等秘密。存储和控制秘密是通过控制台、CLI或API集中完成的。使用此服务,机密不会硬编码到应用程序中。相反,对AWSKeyManager的API调用会检索密钥。这样做意味着检查应用程序代码的人无法找到可以授予他们进一步访问权限的秘密。这可以在任何状态下保护应用程序内的数据。摘要:AWS安全基础知识的要点:1.每个组织都应该有一个计划来保护其云环境并有效地执行它。2.防火墙是保护云基础设施不同层的好方法。3.身份访问管理和最小权限原则是云安全的基本要素。4.通过监控和记录云活动,更容易查明安全事件发生的人或原因。5.自动化让IT管理员的生活更轻松,因为他们不再需要专注于单调和苛刻的任务。6.加密是保护静态和传输中数据的一种常用且有效的方法。原文链接:https://www.sdxcentral.com/cloud/definitions/aws-security-fundamentals/
