目录 分担责任环境... 6 AWS 基础设施安全... 6 AWS 合规性计划... 6 物理和环境安全... 7 火灾探测及补救... 7 电源... 7 气候与温度... 7 管理... 8 存储设备的退役... 8 业务连续性管理... 8 可用性... 8 事件响应... 8 公司范围内的

Transcription

1 Amazon Web Services: 安全过程概述 ( 有关此文件的最新版本, 请查阅 第 1 页, 共 56 页

2 目录 分担责任环境... 6 AWS 基础设施安全... 6 AWS 合规性计划... 6 物理和环境安全... 7 火灾探测及补救... 7 电源... 7 气候与温度... 7 管理... 8 存储设备的退役... 8 业务连续性管理... 8 可用性... 8 事件响应... 8 公司范围内的行政审查... 9 通信... 9 网络安全性... 9 安全网络架构... 9 安全接入点... 9 传输保护 第 2 页, 共 56 页

3 Amazon 公司分离 容错设计 网络监控和保护 AWS 访问 账户审查和审计 背景调查 密码策略 安全设计原则 变更管理 软件 基础设施 AWS 账户安全功能 AWS Identity and Access Management (AWS IAM) 密钥管理和定期轮替 临时安全证书 AWS Multi-Factor Authentication (AWS MFA) 特定 AWS 服务的安全性 Amazon Elastic Compute Cloud (Amazon EC2) 的安全性 多级安全性 虚拟机监控程序 第 3 页, 共 56 页

4 实例隔离 Elastic Block Storage (Amazon EBS) 的安全性 Amazon Virtual Private Cloud (Amazon VPC) 的安全性 Amazon Direct Connect 的安全性 Amazon Elastic Load Balancing 的安全性 Amazon Simple Storage Service (Amazon S3) 的安全性 数据访问 数据传输 数据存储 数据耐久性和可靠性 访问日志 AWS Storage Gateway 的安全性 AWS Import/Export 的安全性 Auto Scaling 的安全性 Amazon Simple Database (SimpleDB) 的安全性 Amazon DynamoDB 的安全性 Amazon Relational Database Service (Amazon RDS) 的安全性 访问控制 网络隔离 SSL 连接 第 4 页, 共 56 页

5 自动备份和数据库快照 复制 自动执行软件修补 Amazon ElastiCache 的安全性 Amazon Simple Queue Service (Amazon SQS) 的安全性 Amazon Simple Notification Service (Amazon SNS) 安全性 Amazon Simple Workflow Service (Amazon SWF) 的安全性 Amazon Simple Service (Amazon SES) 的安全性 Amazon CloudWatch 的安全性 Amazon CloudFront 的安全性 Amazon Elastic MapReduce (Amazon EMR) 的安全性 Amazon Route 53 的安全性 Amazon CloudSearch 的安全性 AWS Elastic Beanstalk 的安全性 AWS CloudFormation 的安全性 附录 : 术语表 第 5 页, 共 56 页

6 Amazon Web Services (AWS) 推出了一个具有高可用性和可靠性的可扩展云计算平台, 为客户提供创建各种应用程序的灵活性 有助于保护客户系统和数据的机密性 完整性和可用性, 对 AWS 而言至关重要, 同时也维持了客户的信任和自信 此文件旨在回答 AWS 如何帮助我保护数据 之类的问题 特别是对于 AWS 管理下的网络和服务器基础设施以及服务专用安全性的落实, 进行了 AWS 物理及运行的安全过程说明 分担责任环境 将信息技术基础结构移到 AWS 建立了一个客户和 AWS 共享的责任模式 此共享模式能够减轻您的操作负担, 因为 AWS 运行 管理并控制从主机操作系统 虚拟化层次到服务运行设备物理安全性的组件 反过来, 您也要负责并管理客户端操作系统 ( 包括更新和安全补丁程序 ) 其他相关应用软件以及 AWS 提供的安全组防火墙配置 您应慎重选择服务, 因为所承担的责任会因所使用的服务 集成服务于其 IT 环境以及适用法律法规而各异 您可以利用各种技术提高安全性和 / 或满足更为严格的合规性要求, 如基于主机的防火墙 基于主机的侵入检测 / 预防和加密等 AWS 基础设施安全 AWS 通过运行您使用的云基础设施预配置各种各样的基本计算资源, 如处理和存储资源 AWS 基础设施包括各种设施 网络和硬件以及一些操作软件 ( 例如, 主机操作系统 虚拟软件等等 ), 支持资源的预配置和使用 AWS 基础设施是按照最佳安全实践以及各种安全合规性标准进行设计和管理的 作为 AWS 客户, 您构建的 Web 体系结构运行在全球最安全的计算基础设施上, 这点是毫无疑问的 AWS 合规性计划 AWS 合规性计划可让客户了解我们提供的可靠安全性, 并帮助他们简单而有效率地达到行业和政府关于安全性和数据保护的合规性要求 AWS 向客户提供的 IT 基础设施是根据最佳安全实践和各种 IT 安全标准设计和管理的, 包括 : SOC 1/SSAE 16/ISAE 3402( 以前的 SAS 70 Type II) SOC 2 FISMA DIACAP 与 FedRAMP PCI DSS 第 1 级 ISO ITAR 第 6 页, 共 56 页

7 FIPS 另外,AWS 平台提供的灵活性和控制允许客户部署符合多个行业特定标准的解决方案, 包括 : HIPAA 云安全联盟 (CSA) 美国电影协会 (MPAA) AWS 通过白皮书 报告 资质证书 认证和其他第三方认证, 向客户提供了有关 IT 控制环境的各种信息 有关风险和合规性白皮书的更多信息, 请访问 : 物理和环境安全 AWS 的数据中心利用了创新的架构及工程设计方法, 代表了最顶级的技术水平 Amazon 具有多年设计 构建和运行大规模数据中心的经验 这些经验已运用到 AWS 平台和基础结构中 AWS 数据中心安置在难区别的设施中, 专业的安保人员会利用视频监控 入侵检测系统和其他电子工具严格控制对大楼周边和入口的物理访问 授权员工必须经过至少两次双重身份验证才能进入数据中心层 所有参观人士和承包人员都要求出示身份证明并签名登记方可进入, 并由授权人员全程陪同 AWS 仅针对有合理业务需要此特权的员工和承包人提供数据中心的访问权限和信息 当某位员工不再具备对这些特权的业务需求时, 其访问权限将被立即取消, 即使他仍是 Amazon 或 Amazon Web Services 的员工 以日志记录并例行稽查 AWS 员工对数据中心所有的物理访问 火灾探测及补救 已安装了自动火灾探测及补救设备, 以减少风险 火灾探测系统利用烟雾探测传感器在所有数据中心的环境 机 械和电气基础设施空间 冷藏室及发电设备室中 这些区域受到湿式 双重联锁预动式或气体式喷洒系统的保护 电源 数据中心的电源系统被设计为充分冗余且可维护, 能够每天二十四小时 每周七天运行而不受任何影响 不间断电源系统 (UPS) 单元在电气故障时为设施内的关键及基本负载提供备用电源 数据中心使用发电机为整个设施提供备用电源 气候与温度 温度控制是必需的条件来维持服务器和其他硬件在一个恒定的温度工作, 以防止过热并降低服务中断的可能性 数控中心配有空调, 将气候条件维持在最佳水平 人员和系统监测温度和湿度并将它们控制在合适的水平 第 7 页, 共 56 页

8 管理 AWS 监控电气 机械及生命保障系统及设备, 以便立即确认任何问题 进行预防性维护, 以维持设备的持续运 行性 存储设备的退役 当某个存储设备已达到其使用寿命的终点时,AWS 程序包括一个退役进程, 此进程的设计是防止客户数据暴露给未授权人 在退役流程的一部分,AWS 使用 DoD M ( National Industrial Security Program Operating Manual, 国家工业安全计划行手动册 ) 或 NIST ( Guidelines for Media Sanitization, 存储介质清理指南 ) 中详细描述的技术来销毁数据 所有停止使用的磁性存储设备都已消磁, 并根据行业的标准操作规程进行物理销毁 业务连续性管理 Amazon 的基础设施具有很高的可用性水平, 并向客户提供部署弹性 IT 体系结构的功能 AWS 设计了容忍系统或硬件故障的系统, 把对于客户的影响降至最低 AWS 的数据中心业务连续性管理是由 Amazon 基础设施团队指导 可用性 数据中心是在全球多个地区的集群中构建的 所有数据中心均在网上并为客户服务, 没有所谓的 冷 数据中心 如果出现故障, 自动化流程会将客户数据流量从受影响区域转移出去 核心应用程序部署在 N+1 的配置上, 在数据中心发生故障时, 将有足够的容量使流量能够均衡加载至其他中心 AWS 为您提供足够的灵活性, 让您能够将实例和数据存储在多个地理地区以及每个地区中的多个可用区域 每个可用区域均设计为独立的故障区域 这意味着可用区域被物理分隔到几个有代表性的大都市圈中, 并位于风险较低的防洪保护区内 ( 特定洪水区分类随地区而不同 ) 除了离散分布的不间断电源 (UPS) 和现场备用发电设施, 它们通过独立公用事业公司的不同电网供以电力, 进一步减少了单点故障 可用区域冗余连接至多家 Tier-1 中转供应商 您应利用多地区和多可用区域来设计其 AWS 使用方式 当面对包括自然灾害或系统故障等的大多数故障模式, 分布应用程序在多个可用区域提供了保持弹性的能力 事件响应 Amazon 事件管理团队在影响业务的事件期间, 使用行业标准诊断程序来推进解决方案 员工管理人提供 24 x 7 x 365 的服务时程来检测事件并管理影响和解决方案 第 8 页, 共 56 页

9 公司范围内的行政审查 Amazon 的内部稽查组最近审查了 AWS 服务弹性计划, 高级行政管理团队及董事会稽查委员会的成员也会定期 审查此计划 通信 AWS 在全球范围内使用各种内部通信方法, 帮助员工了解他们各自的任务和责任, 并及时传达重大事件 这些方法包括对新员工进行的任职培训及教育训练 ; 对企业绩效的更新及其他事项召开常规管理会议 ; 以及通过视频会议 电子邮件信息 Amazon 企业内部网发布信息之类等电子方式 AWS 还使用各种对外传播方法支持它的客户群和社群 有合理的机制能够使客户支持团队获悉影响客户体验的运行问题 服务运行状况仪表板 可供客户支持团队使用并维护, 以便让客户对任何可能具有广泛影响的问题保持警觉 现已推出 安全性与合规性中心, 可为您提供一个获取 AWS 安全性及合规性详细信息的位置 您可以认购 Premium Support 服务, 它包括与客户支持团队进行直接沟通以及对影响客户的问题进行主动式警报 网络安全性 AWS 网络的设计可让您选择适合您工作负载的安全和弹性级别 为了帮助您使用云资源构建位置分散的 能容错的 Web 体系结构,AWS 实施了被仔细监控和管理的世界顶级网络基础设施 安全网络架构 包括防火墙及其他边界设备等的网络设备都已各就各位, 可以监控和控制网络外部边界和网络内的主要内部边界的通信 这些边界设备使用规则集 访问控制列表 (ACL) 和配置等, 以强化对特定的信息系统服务的信息流 每个被管理的接口上都建立了 ACL 或数据流策略, 以便管理和强化数据流 ACL 策略由 Amazon 信息安全部门批准 这些策略通过 AWS 的 ACL 管理工具进行自动推送, 确保这些受管理的界面强制执行最新的 ACL 安全接入点 AWS 战略性地设置了有限数量的云接入点, 可以更广泛地监控入站和出站通信以及网络流量 这些客户接入点称为 API 终端节点, 允许进行安全 HTTP 访问 (HTTPS), 可让您与 AWS 内部的存储或者计算实例建立安全通信 为了支持客户达到 FIPS 要求,AWS GovCloud( 美国 ) 中的 Amazon Virtual Private Cloud VPN 终端节点和中止 SSL 负载均衡器采用经过 FIPS 的 2 级验证的硬件运行 另外,AWS 使用了专门的网络设备, 用于管理与 Internet 服务提供商 (ISP) 的接口通信 AWS 采用冗余方式连接到 AWS 网络中每个面向 Internet 的节点上的多个通信服务 其中的每个连接都拥有专用网络设备 第 9 页, 共 56 页

10 传输保护 您可以使用安全套接层 (SSL) 通过 HTTP 或者 HTTPS 连接到 AWS 接入点 SSL 是一种加密协议, 旨在防止窃听 篡改和消息伪造 无论您是使用 HTTP 还是 HTTPS 协议,AWS 都会要求对每个消息进行验证 对于使用 SOAP 的 API 请求, 必须对消息进行哈希处理和签名, 以便确保完整性和不可否认性 AWS 服务需要使用 Web 服务安全性 (WS-Security) 标准 BinarySecurityToken 配置文件保障 SOAP 消息的安全, 此种配置文件包含带有 RSA 公共密钥的 X.509 证书 对于使用 Query 构建的 API 请求, 必须计算它的签名并将其包含在每个请求中 除验证请求之外, 签名会在传输前后使用加密哈希算法, 确保传输途中的消息不会出现损坏或者改变 系统会立即拒绝传输途中发生改变或者损坏的数据 可用的加密哈希算法包括 SHA-1 和 SHA-256 AWS 还支持使用安全外壳 (SSH) 网络协议, 它可让您远程连接 UNIX/Linux 实例, 并安全地获取访问权限, 因为所有的流量都通过 SSH 进行了加密 AWS 上使用的 SSH 身份验证是通过公有 / 私有密钥对进行的, 这可以降低您实例上的未授权访问风险 您还可以使用为您的实例生成的 RDP 证书, 通过远程桌面协议 (RDP) 远程连接 Windows 实例 有关更多信息, 请访问 AWS 网站上的 Amazon EC2 User Guide: 对于需要额外网络安全的客户而言,AWS 提供了 Amazon Virtual Private Cloud (VPC), 可在 AWS 云内部提供私有子网以及使用 IPsec 虚拟专用网 (VPN) 设备的功能, 可在 Amazon VPC 和您的数据中心之间提供加密的隧道 有关 VPC 配置选项的更多信息, 请参阅下面的 Amazon Virtual Private Cloud (Amazon VPC) 安全 部分 Amazon 公司分离 从逻辑上看,AWS 生产网络是通过复杂的系列网络安全 / 隔离设备与 Amazon 公司网络分隔开的 对于为了完成维护工作而需要访问 AWS 云组件的公司网络上的 AWS 开发人员和管理员而言, 他们必须明确地通过 AWS 票证系统请求访问权限 所有的请求都会由相应的服务负责人进行审查和批准 获得批准的 AWS 工作人员随后通过堡垒主机连接 AWS 网络, 堡垒主机会限制网络设备及其他云组件的访问权限, 并记录所有的活动供安全审查使用 访问堡垒主机需要对该主机上的所有用户账户进行 SSH 公共密钥身份验证 有关 AWS 开发人员和管理员逻辑访问权限的更多信息, 请参阅下面的 AWS 访问 容错设计 Amazon 的基础设施具有很高的可用性水平, 并向您提供部署弹性 IT 体系结构的功能 AWS 已经设计出容忍 系统或硬件故障的系统, 把对于客户的影响降至最低 第 10 页, 共 56 页

11 数据中心是在全球多个地区的集群中构建的 所有数据中心均在网上并为客户服务 ; 没有所谓的 冷 数据中心 如果出现故障, 自动化流程会将客户数据流量从受影响区域转移出去 核心应用程序部署在 N+1 的配置上, 在数据中心发生故障时, 将有足够的容量使流量能够均衡加载至其他中心 AWS 为您提供足够的灵活性, 让您能够将实例和数据存储在多个地理地区以及每个地区中的多个可用区域 每个可用区域均设计为独立的故障区域 这意味着可用区域被物理分隔到几个有代表性的大都市圈中, 并位于风险较低的防洪保护区内 ( 特定洪水区分类随地区而不同 ) 除了离散分布的不间断电源 (UPS) 和现场备用发电设施, 它们通过独立公用事业公司的不同电网供以电力, 进一步减少了单点故障 可用区域冗余连接至多家 Tier- 1 中转供应商 您应利用多地区和多可用区域来设计其 AWS 使用方式 当面对包括自然灾害或系统故障等的大多数故障模式, 分布应用程序在多个可用区域提供了保持弹性的能力 不过, 您应该了解因为位置而不同的隐私和合规性要求, 如 欧盟数据隐私指令 除非客户主动为之, 数据不会在地区之间复制, 因此允许具有这些类型数据放置和隐私要求的客户建立合规的环境 应该指出地区之间的所有通讯都在公共互联网基础设施上传输 因此, 应该使用适当的加密方法保护敏感数据 截至本文编写之时, 共有九个地区 : 美国东部 ( 弗吉尼亚州北部 ) 美国西部( 俄勒冈州 ) 美国西部( 加利福尼亚州北部 ) AWS GovCloud( 俄勒冈州 ) 欧洲( 爱尔兰 ) 亚太地区( 新加坡 ) 亚太地区( 东京 ) 亚太地区 ( 悉尼 ) 和南美洲 ( 圣保罗 ) 第 11 页, 共 56 页

12 图 1: 地区和可用区域 注意, 可用区域的数量可能会有变化 AWS GovCloud( 美国 ) 是 AWS 的政府社区云, 仅限经过审查的 与美国政府职能和服务部门有直接或者间接联系的美国政府和美国商业实体使用 AWS GovCloud( 美国 ) 地区提供基于 CONUS 的专用地区, 以供必须符合美国政府 ITAR 规章制度要求的政府和商业工作负载使用 我们向使用 GovCloud 区域的 AWS 客户保证 : 仅让具有美国国籍的 AWS 工作人员控制和管理他们的组件 GovCloud 不只面向 ITAR, 它还支持所有受控的非保密信息 (CUI) 工作负载, 包括美国出口管制限制下的商业 IT 系统 CUI 类别包括农业 版权 核心基础设施 出口管制 (ITAR) 金融 移民 情报 法律实施 法律 核武器 专利 隐私 知识产权 (IP) 统计数据 税和运输 ( 根据 EO 划分, 详见 GovCloud 地区提供与其他区域相同的容错设计 ( 带有两个可用区域 ), 还提供符合 FIPS 要求的接入点 另外, 所有 GovCloud 账户都默认使用 AWS Virtual Private Cloud (VPC) 服务创建隔离的 AWS 云部分, 并启动具备私有 (RFC 1918) 地址的 Amazon EC2 实例 有关 GovCloud 的详细信息, 请参阅 AWS 网站 : 第 12 页, 共 56 页

13 网络监控和保护 AWS 使用各种各样的自动化监控系统提供高级别的服务性能和可用性 根据设计,AWS 监控工具可在进入通信点和外出通信点上检测异常的或者未经授权的活动和条件 这些工具会监控服务器以及网络的使用情况 端口扫描活动 应用程序使用情况和未经授权的侵入企图 该工具能够对异常活动设置自定义性能指标阈值 AWS 内的系统拥有齐全的检测功能, 以监控关键的运行度量 配置好了的警报, 在关键运行度量的早期报警阈值被超越的时候, 警报会自动通知操作及管理人员 使用一个随时待命方案, 因此始终有人对运行问题做出响应 此方案包括一个寻呼系统, 因此警报能够迅速可靠地传递至操作人员 维护文档, 以辅助并通知操作人员处理事件或问题 如果需要合作解决问题, 则使用一个支持通信和日志功能的会议系统 在处理需要合作的操作问题时, 受过培训的呼叫主管促进了通信和进展 不管有无外部影响, 在发生任何重大操作问题后进行事后总结并起草错误原因 (COE) 文件, 这样就抓住了根本原因, 并在日后采取预防措施 通过每周操作会议追踪预防性措施的实施 AWS 安全监控工具可识别出几种类型的拒绝服务 (DoS) 攻击, 包括分布式的泛滥型软件 / 逻辑攻击 当识别出 DoS 攻击时, 会启动 AWS 事件响应流程 除 DoS 防护工具之外, 每个区域的冗余电信提供商以及附加容量可防止潜在的 DoS 攻击 AWS 网络提供强大的保护功能, 以应对传统网络安全性问题, 而且您还能实施进一步的保护 以下是一些例子 : 分布式拒绝服务 (DDoS) 攻击 AWS 应用程序编程接口 (API) 端点承载在大型 互联网范围内与世界级基础设施上, 该种基础设施是受益于将 Amazon 建成为世界最大网上零售商的工程专业人士 它使用了专有的 DDoS 缓解技术 此外,AWS 的网络是跨越多个供应商的多宿主网络, 可获得互联网访问的多样性 中间人 (MITM) 攻击 所有的 AWS API 均是通过提供服务器身份验证的 SSL 保护终端节点 Amazon EC2 AMI 在首次启动时自动生成新的 SSH 主机证书, 并将证书记录至实例的控制台 您然后能使用安全的 API 来调用控制台, 并在首次登录实例之前访问主机证书 我们鼓励您用 SSL 进行所有与 AWS 的互动 IP 电子欺骗 Amazon EC2 实例无法发送欺诈的网络流量 在 AWS 管控下基于主机的防火墙基础设施不允许实例用非自身的源 IP 或 MAC 地址发送流量 端口扫描 Amazon EC2 客户未经授权的端口扫描违反 AWS 可接受使用政策 违反此政策是很严重的, 每例违反报告必经调查 客户可以通过下列网站上提供的联系信息报告涉嫌滥用情况 : 当 AWS 检测到未经授权的端口扫描时, 会停止并锁定该扫描 对 Amazon EC2 实例的端口扫描通常是无效的, 因为在默认情形下,Amazon EC2 的所有入站端口是关闭的且只能由您打开 您对安全组的严格管理能进一步减轻端口扫描的威胁 如果您对安全组进行配置, 让来自任何源的流量进入某个特定端口, 那么此特定端口将容易遭受端口扫描 在这些情 第 13 页, 共 56 页

14 况下, 您必须使用恰当的安全措施来保护他们的收听服务是不可少的, 以防止被未经授权的端口扫描发现其应用程序 例如, 一个网络服务器必须具有对世界开放的 80 (HTTP) 端口, 此服务器的管理人负责 HTTP 服务器软件的安全, 如 Apache 您可根据需要请求进行漏洞扫描的权限, 以满足您特定的合规性要求 这些扫描必须限制为您自己的实例, 且不可违反 AWS 可接受使用政策 这些类型的扫描需要预先批准, 请通过网址提交请求 TestRequest 其他租户的数据包嗅探 运行在混杂模式之下的虚拟实例, 是无法接收或 嗅探 另一个不同目的之虚拟实例的使用流量 然而您可将您的接口置于混杂模式下, 虚拟机监控程序并不会发送任何非其地址的流量给他们 即使同一个客户所拥有的两个虚拟实例位于同一物理主机上, 也不互相收听对方的流量 诸如 ARP 缓存投毒之类的攻击在 Amazon EC2 和 Amazon VPC 内是无法工作的 尽管 Amazon EC2 的确提供了丰富的保护手段来防止某个客户无意识地或恶意地企图窥视另一个客户的数据, 但作为标准惯例, 您应该对其敏感的流量进行加密 除监控之外, 系统会使用各种工具在 AWS 环境中的主机操作系统 Web 应用程序和数据库上定期执行漏洞扫描 此外,AWS 安全团队会订阅新闻源, 以便了解适用的供应商缺陷, 并前瞻性地监控供应商的网站及其他相关门户获取新的修补程序 AWS 客户还可以通过 AWS 漏洞报告 网站向 AWS 报告各种问题, 网址是 : AWS 访问 Amazon 公司网络上的 AWS 开发人员和管理员, 若是需要访问 AWS 云组件, 也必须明确地通过 AWS 票证系统申请访问权限 所有的请求都会由相应的负责人或者经理进行审查和批准 账户审查和审计 账户的审查每 90 天进行一次, 并要求进行明确的再批准, 否则自动取消对资源的访问权限 当 Amazon 人力资源系统终止员工的资料时, 系统还会自动取消访问权限 Windows 和 UNIX 账户将被禁用, 且 Amazon 的权限管理系统会将此用户从所有系统中移除 Amazon 的权限管理工具审计日志中, 会捕获各种访问权限更改要求 当员工职位发生变化时, 他对资源的继续访问权限必须经过明确的批准, 否则该访问权限将被自动取消 背景调查 AWS 已制定了正规的策略和程序, 以描述对 AWS 平台及基础结构主机进行逻辑访问的最低标准 AWS 在雇 佣员工前, 会根据招聘职位以及该职位的访问级别, 对候选人进行筛选, 而作为该筛选流程的一部分,AWS 会 依据法律进行犯罪背景调查 这些策略还确认了对逻辑访问及安全性管理的职责 第 14 页, 共 56 页

15 密码策略 访问权限和 Amazon 逻辑安全性的管理依赖用户 ID 密码和 Kerberos 对服务 资源及设备用户进行鉴别, 以及为用户授权适当的访问级别 AWS 安全性已建立了一个具有必要配置和过期间隔的密码策略 安全设计原则 AWS 的开发过程遵循着安全软件开发最佳惯例, 其中包括安全小组正规设计复查 威胁建模及风险评估的完成 静态代码分析工具作为标准构建过程的一部分而运行, 且所有部署的软件经过谨慎挑选的行业专家反复多次的渗透测试 我们的安全风险评估复查在设计阶段开始, 并贯穿到发布和当前运行的整个过程中 变更管理 根据类似系统的行业规范, 对现有 AWS 基础设施的常规 紧急及配置变更进行批准 记入日志 测试 验收并存档 在更新 AWS 基础设施时, 对客户及其使用服务的影响降至最低 当客户使用的服务可能受到不利影响时, AWS 将通过电子邮件或 AWS 服务运行状况仪表板 ( 与客户进行沟通 软件 AWS 运用系统化的方式来管理变更, 因此, 对于影响客户服务的变更, 将进行全面的审查 测试 验收及妥善 沟通 AWS 的变更管理过程设计, 避免非故意的服务中断并维持了对客户的服务信誉 以下是部署在生产环境 之中的变更 : 审查 : 对于技术方面变更的同行互查 测试 : 所进行的变更应该有预期效果而且不致于影响性能 批准 : 提供适当监督并了解对业务的影响 变更通常是分阶段地从受影响最小的区域开始部署 部署在单一系统上进行测试, 并密切监控, 以便评估影响 服务拥有人有很多可配置的度量, 可测量服务的上游依赖性 这些度量使用阈值和报警对这些度量进行密切监控 转返程序记录在变更管理 (CM) 票证中 如果可能, 变更是安排在常规变更时段期间 对必需偏离标准变更管理程序的生产系统的紧急变更, 需要与某个事件相关联并进行合理验收 AWS 会定期自我稽查对关键服务的变更, 以监控品质 维持高标准并促进变更管理过程的持续改进 分析任何例外情形, 以确定根本原因, 并采取合理的措施使变更合乎要求, 或在必要时, 转返变更 采取措施来解决与纠正过程或人的问题 第 15 页, 共 56 页

16 基础设施 Amazon 的企业应用程序团队开发并管理软件, 为第三方软件交付领域上 内部开发的软件及配置管理实现中的 UNIX/Linux 主机 IT 过程自动化 基础设施团队维持并运行一个 UNIX/Linux 配置框架, 以解决硬件的可扩展性 可用性 稽查及安全性管理 通过使用自动化过程来集中管理主机,Amazon 有能力达到它的高可用性 可重复性 可扩展性 强大的安全性及灾害恢复能力的目标 系统及网络工程师会经常监控这些自动化工具的状态, 审查报告, 对未能获得或更新其配置文件及软件的主机做出响应 当硬件资源调配时, 安装内部开发的配置管理软件 这些工具在所有 UNIX 主机上运行, 以验证它们已经被配置且软件是按照分配给主机的任务所确定的标准进行安装的 这些配置管理软件还有利于对已经安装在主机上的程序包进行常规更新 仅通过权限服务启用的认可人员方可登录中央配置管理服务器 AWS 账户安全功能 AWS 提供多种方法让您识别自己并安全地访问您的 AWS 账户 在您账户下的安全证书页面上可找到 AWS 所支持的完整证书列表 AWS 还提供其他安全选项, 让您能进一步保护您的 AWS 账户和控制访问权限, 包括 AWS Identity and Access Management (AWS IAM) 密钥管理和轮替 临时安全证书和 Multi-Factor Authentication (MFA) AWS Identity and Access Management (AWS IAM) AWS (IAM) 可让您在 AWS 账户下创建多个用户, 并且分别管理这些用户的权限 每个用户具有独特安全证书的身份 ( 在 AWS 账户中 ), 安全证书可用来访问 AWS 服务 AWS IAM 取消了对共享密码或密钥的需要, 可轻松地酌情启用或禁用某个用户的访问权限 AWS IAM 可让您实施最佳安全实践, 例如最低特权, 在您的 AWS 账户内向每个用户授予独特的证书, 并仅仅授予该用户访问工作所需的 AWS 服务及资源的权限 IAM 默认状态下启用安全保护 ; 新用户只有被明确授予了权限, 才能访问 AWS 资源 AWS IAM 可让您将 AWS 账户证书的使用减少到最低程度 一旦创建了 AWS IAM 用户账户, 就必须使用 AWS IAM 用户安全证书与 AWS 服务和资源进行所有的交互 有关 AWS IAM 的详细信息, 请参阅 AWS 网址 : 密钥管理和定期轮替 经常更换密码是非常重要的 基于相同的原因,AWS 建议您定期轮替访问密钥和证书 为了避免此一操作影响 到应用程序的可用性,AWS 支持多个并存访问密钥和证书 依此一功能, 您可以定期将密钥和证书轮替投入或 第 16 页, 共 56 页

17 撤消使用, 而且您的应用程序不会停机 这有助于减低丢失或泄露密钥或证书的风险 您能使用 AWS IAM API 及以 AWS IAM 在账户内创建的用户来轮换 AWS 账户的访问密匙 另外, 您现在可以使用已在实例上预配置并提供给应用程序使用 AWS 服务的访问密钥启动 Amazon EC2 实例 对于使用 AWS Auto Scaling 管理许多实例或者具有扩展弹性的实例群的客户而言, 这可以节约大量的时间 要在 Amazon EC2 实例上自动预配置证书, 您可以创建 IAM 角色 给它指定一系列权限并使用该角色启动 Amazon EC2 实例 自动预配置证书的另一个好处是实例上的密钥每天会自动轮替多次 有关使用 IAM 角色在 EC2 实例上自动预配置密钥的更多信息, 请参阅下列 AWS 网址上的 Using IAM 指南 : 临时安全证书 AWS IAM 可让您使用安全证书向任何用户授予临时的 AWS 资源访问权限, 但该证书只在有限的时间内有效 由于有效时间短 ( 默认的过期时间为 12 小时 ) 且在过期后无法重新使用, 这些证书可以提供增强的安全性 在 某些必须提供有限的 受控的访问权限情形下, 这种方法特别有用 : 联合 ( 非 AWS) 用户访问权限 联合用户 ( 或者应用程序 ) 指的是没有 AWS 账户的用户 借助于临时安全证书, 您可以为他们提供短暂的 AWS 资源访问权限 如果您拥有使用外部服务 ( 如 Microsoft Active Directory LDAP 或者 Kerberos) 验证的非 AWS 用户, 这就大有用处 这种临时的 AWS 证书可在企业身份验证和授权系统中的 AWS 用户和非 AWS 用户间提供联合身份验证 单一登录 您可为联合用户提供单一登录访问权限, 让他们通过公司的身份验证系统访问 AWS 管理控制台, 而无需登录 AWS 要提供单一登录访问权限, 您必须创建一个 URL 将临时安全证书传递给 AWS 管理控制台 该 URL 在创建后的有效期仅为 15 分钟 临时证书包括安全令牌 访问密钥 ID 和私有访问密钥 要授予用户访问某些资源的权限, 您需要分配临时安全证书给您授予临时访问权限的用户 在调用您的资源时, 用户会传递令牌和访问密钥 ID, 并使用私有访问密钥签署请求 该令牌不与其他访问密钥一起使用 用户传递令牌的方式取决于该用户调用的 API 和 AWS 产品的版本 有关临时安全证书的更多信息, 请访问 AWS 网站 : AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) 是为访问 AWS 服务提供的另一层安全保护 当启用此可选功 能后, 在授予 AWS 账户设置或 AWS 服务及资源的访问权限之前, 除标准用户名和密码证书之外, 您还需要提 供一次性的六位数代码 您从物理拥有的身份验证设备中获取此一次性代码 这称为多重身份验证, 因为在授予 第 17 页, 共 56 页

18 访问权限以前会进行多项身份验证检查, 包括 ( 您知道的 ) 密码和 ( 您拥有的 ) 身份验证设备中的精确代码 您可以为 AWS 账户以及您通过 AWS IAM 在 AWS 账户内创建的用户启用 MFA 设备 AWS MFA 支持同时使用硬件令牌和虚拟 MFA 设备 虚拟 MFA 设备使用的协议与物理 MFA 设备的相同, 但可以在任何移动硬件设备上任何, 包括智能手机 虚拟 MFA 设备会使用软件应用程序生成六位数的身份验证代码, 且这些代码完全符合 基于时间的一次性密码 (TOTP) 标准, 如 RFC 6238 所述 大多数虚拟 MFA 应用程序还允许您托管多个虚拟 MFA 设备, 这将使其比硬件 MFA 设备更加方便 不过, 您应注意到, 由于虚拟 MFA 可以在安全性较差的设备上运行, 例如智能手机, 因此, 虚拟 MFA 所具有的安全水平与硬件 MFA 设备有所差异 从参与的第三方提供程序或者 AppStore 提供的虚拟 MFA 应用程序中, 可以轻松地获得硬件令牌, 并可通过 AWS 网站进行使用设置 有关 AWS MFA 的详细信息, 请参阅 AWS 网址 : 针对 AWS 服务的安全性 安全性不仅嵌入到 AWS 基础设施的每个层中, 而且嵌入到基础设施上提供的每个服务中 AWS 服务的构架是可以高效而安全地在所有 AWS 网络和平台上运行 每个服务都提供了广泛的安全功能, 可让您保护敏感数据和应用程序 Amazon Elastic Compute Cloud (Amazon EC2) 的安全性 Elastic Compute Cloud (EC2) 是 Amazon 的 基础设施即服务 (IaaS), 它使用 AWS 数据中心中的服务器实例提供规模可调的计算能力 根据设计,Amazon EC2 可让您最为省事地获得和配置容量, 从而简化 Web 规模的计算 您创建和启动实例, 这些实例是平台硬件和软件的集合 多级安全性 Amazon EC2 内提供了多种级别的安全性, 包括主机系统平台的操作系统 (OS) 虚拟实例操作系统或虚拟机操作系统 防火墙和已签名的 API 调用 每一项均建立在其他项目的功能之上 目的在于防止未经授权的系统或用户截获 EC2 内包含的数据, 并尽可能提供安全的 Amazon EC2 实例, 同时不至于牺牲客户所需的灵活性 虚拟机监控程序 Amazon EC2 当前利用准虚拟化的优势 ( 在 Linux 虚拟机的情况下 ) 使用高度自定义的 Xen 虚拟机监控程序 因为准虚拟化虚拟机依赖虚拟机监控程序对通常需要特权访问的操作提供支持, 所以虚拟机操作系统没有对 CPU 的高层访问权 CPU 提供四种单独的特权模式 :0-3 被称为环 环 0 具有最高特权, 环 3 具有最低的特权 主机操作系统以环 0 执行 然而, 并非像大多数操作系统那样以环 0 执行, 虚拟机操作系统以较低特权的 第 18 页, 共 56 页

19 环 1 执行, 而应用程序则以环 3 执行 这种明显的物理资源虚拟化导致虚拟机和虚拟机监控程序之间的明确分 离, 致使这两者之间出现另外的安全分离 实例隔离 在同一物理机器上运行的不同实例通过 Xen 虚拟机监控程序相互隔离 Amazon 积极参与 Xen 社团, 这使其了解 Xen 的最近发展情况 此外,AWS 防火墙位于虚拟机监控程序层内, 在物理网络接口与实例的虚拟接口之间 所有的数据包必须经过此层, 因此与其他互连网上的主机相比, 实例的邻居对实例没有更多的访问权, 可以视为它们好像在不同的物理主机上 物理 RAM 用类似的机制进行分离 图 2:Amazon EC2 的多层安全性 客户实例对原始硬盘设备没有访问权, 但却被给予虚拟硬盘 AWS 专用硬盘虚拟化层自动重置客户所用的每个存储块, 所以一个客户的数据从不会无意地暴露给另一个客户 AWS 建议客户应该用合适的手段进一步保护他们的数据 一个常用解决方案就是在虚拟硬盘之上运行一个加密文件系统 主机操作系统 : 具有需要访问管理层面业务的管理者, 需要使用多重身份验证才可获得对特定目的建立的管理主机的访问权 这些管理主机是专门设计 建立 配置并强化的系统, 以保护云的管理层面 所有此类访问均需经过记录和审核 当某位员工不再具有某项需要访问管理层面的业务时, 他对这些主机及相关系统的访问权即被取消 虚拟机操作系统 : 虚拟实例完全由您控制 您对账户 服务及应用程序具有完全的根目录访问权限与管理控制 AWS 对您的实例或者虚拟机操作系统没有任何访问权限 AWS 推荐使用一系列基本的最佳安全做法, 包括禁 第 19 页, 共 56 页

20 用仅凭密码访问您的虚拟机系统, 以及并利用某类的多重身份验证来获取实例的访问权限 ( 或使用基于证书 SSH 版本 2 最低限度的访问权 ) 此外, 客户应使用一个特权升级机制, 按每位用户记录 例如, 如果虚拟机操作系统是 Linux, 那么在强化实例后, 您就应该使用基于证书的 SSHv2 访问虚拟实例 禁用远程根目录登录 使用命令行记录日志并使用 sudo 进行特权升级 您应生成自己的密钥对, 以保证它们具有唯一性, 并不要与其他客户或 AWS 共享密钥对 您还可以控制虚拟机操作系统的更新和修补, 包括安全更新程序 Amazon 提供的基于 Windows 和 Linux 的 AMI 会定期通过最新的修补进行更新, 因此如果您不需要在运行中的 Amazon AMI 实例上保存数据或者定制内容, 可以直接经过更新的 AMI 重新启动新的实例 另外, 还会通过 Amazon Linux yum 存储库为 Amazon Linux AMI 提供更新 防火墙 :Amazon EC2 提供了一个完整的防火墙方案 ; 此强制性入站防火墙的默认配置为拒绝全部模式, Amazon EC2 客户必须明确地打开需要纳入入站流量的端口 流量可能受限于协议 服务端口以及源 IP 地址 ( 个别 IP 或无类别域间路由 (CIDR) 块 ) 等 可以分组配置防火墙, 允许不同类别的实例具有不同的规则 例如, 考虑传统三层 Web 应用程序的情况 用于 Web 服务器的分组将具有对互联网开放的端口 80 (HTTP) 或是端口 443 (HTTPS) 用于应用程序服务器的分组具有仅供网路服务器组访问的端口 8000( 应用程序特定 ) 用于数据服务器的分组具有仅对应用程序服务器组开放的端口 3306 (MySQL) 这三个组均允许端口 22 (SSH) 上的管理访问, 但只能从客户的公司网路访问 这些机制可用来部署高度安全的应用程序 见下图 : 第 20 页, 共 56 页

21 图 3:Amazon EC2 安全组防火墙 防火墙不是通过虚拟机操作系统控制的 ; 相反的, 它需要您的 X.509 证书和密钥来授权更改, 从而又添加了一层安全保护 AWS 具有授予对实例及防火墙上不同管理功能的粒度访问权的能力, 这种能力可让您通过职责划分实现额外的安全性 防火墙提供的安全等级会因为开启端口的不同而异, 还与持续时间及用途有关 默认状态是拒绝所有的传入流量, 因此, 在构建和保障应用程序的安全时, 您应该仔细地制定开启计划 还需要在掌握充分信息的基础上对每个实例进行流量管理和安全设计 AWS 进一步鼓励您在基于主机的防火墙 ( 例如 IPtables 或 Windows 防火墙和 VPN) 上使用其他基于实例的筛选条件 这可以同时限制入站流量和出站流量 对于启动和终止实例 改变防火墙参数及执行其他功能的 API 调用, 它们均由您的 Amazon 私有访问密钥签名, 此密钥可以是 AWS 账户私有访问密钥, 也可以是通过 AWS IAM 创建的用户的私有访问密钥 如果没有您的私有访问密钥的访问权限, 则无法以您的身份进行 Amazon EC2 API 调用 此外, 可用 SSL 对 API 调用进行加密, 以维持保密性 Amazon 建议应始终使用受 SSL 保护的 API 终端节点 AWS IAM 还可让您进一步控制 AWS IAM 上创建的用户有权调用哪些 API Elastic Block Storage (Amazon EBS) 的安全性 Amazon Elastic Block Storage (EBS) 可让您创建容量在 1 GB 到 1 TB 之间的存储卷, 供 Amazon EC2 实例 安装为设备 存储卷的行为如同未格式化的原始块储存设备, 带有用户提供的设备名称和块存储设备接口 您 可以在 Amazon EBS 卷上创建文件系统, 或按照块存储设备 ( 如硬盘 ) 的任何其他使用方式使用这些卷 第 21 页, 共 56 页

22 Amazon EBS 卷的访问权限仅限于下列账户和用户 : 即创建卷的 AWS 账户以及该 AWS 账户下通过 AWS IAM 创建的用户 ( 如果该用户已获得 EBS 操作的访问权限 ), 因此会拒绝所有其他 AWS 账户和用户查看或访问该卷的权限 存储在 Amazon EBS 中的数据作为那些服务的常规操作的一部分存储在多个物理位置且不额外收费 然而, Amazon EBS 的复制存储在同一可用区域之中, 而不是在多个区域之间, 因此我们强烈建议您应该为长期数据耐久性之目的对 Amazon S3 执行快照 对于已用 EBS 构建了复杂事务性数据库的客户, 我们建议应该通过数据库管理系统对 Amazon S3 进行备份, 这样就能对分布式事务及日志进行点查 对于 Amazon EC2 上的运行实例所附带的硬盘上维护的数据,AWS 不进行备份 您可以公开 Amazon EBS 卷快照以供其他 AWS 账户将其用作创建自己的快照的基础 共享 Amazon EBS 卷快照并不为其他 AWS 账户提供改变或删除原始快照的权限, 因为这个权利是为创建该卷的 AWS 账户而明确保留的 EBS 快照是对整个 EBS 卷的块级别查看 请注意, 通过卷上的文件系统看不到的数据, 例如已经删除的文件, 可能仍存在于 EBS 快照中 如果您要创建共享快照, 则应小心地执行此操作 如果某个卷含有敏感数据或已从卷上删除了文件, 那么应创建一个新的 EBS 卷 应该将共享快照中要包含的数据复制至新卷及用此新卷创建的快照 Amazon EBS 卷作为原始未格式化的块设备提供给您, 在使它可供使用之前已经对它进行了擦除 复用之前立即擦除, 以便您可以确认完成擦除操作 如果您具有要求通过某个特定方法擦除所有数据的程序, 例如 DoD M( 国家行业安全程序操作手册 ) 或 NIST ( 媒介卫生处理指南 ) 中详述的程序, 就有在 Amazon EBS 上执行此操作的能力 您在删除卷之前应该进行专门的擦除程序, 以满足您已规定的要求 敏感数据加密通常是一个很好的安全惯例,AWS 鼓励您通过与声明的安全策略相一致的算法对您的敏感数据进行加密 Amazon Virtual Private Cloud (Amazon VPC) 的安全性 通过 Amazon EC2, 您启动的每一个实例都会随机分配一个 Amazon EC2 地址空间中的公共 IP 地址 Amazon 让您能够创建隔离的 (AWS) 云部分 即 VPC 并且启动 Amazon EC2 实例, 它拥有您所选范围 ( 例如 /16) 内的私有 (RFC 1918) 地址 您可以在 VPC 内定义子网, 根据 IP 地址范围将类似种类的实例组合在一起, 然后设置路由和安全性, 控制进出实例和子网的流量 AWS 提供了带有配置的各种 VPC 架构模板, 用于提供不同级别的公共访问 : 仅带公有子网的 VPC 您的实例运行在私有的 隔离的 AWS 云中, 但该云可直接访问 Internet 网络 ACL 和安全组可用于严格地控制实例的入站和出站网络流量 第 22 页, 共 56 页

23 带有公有子网和私有子网的 VPC 除包含公有子网之外, 此配置添加了私有子网, 但无法从 Internet 对私有子网中的实例进行寻址 私有子网中的实例可以使用网络地址转换 (Network Address Translation, NAT) 通过公有子网与 Internet 建立出站连接 带有公有和私有子网以及硬件 VPC 访问的 VPC 此配置在 Amazon VPC 和数据中心之间添加了 IPsec VPN 连接, 可有效地将数据中心扩展到云中, 同时为 Amazon VPC 中的公有子网实例提供面向 Internet 的直接访问 在此配置中, 客户在公司数据中心上添加了 VPN 应用 仅带有私有子网和硬件 VPC 访问的 VPC 您的实例运行在私有的 隔离的 AWS 云中, 但无法从 Internet 对 AWS 云的私有子网实例进行寻址 您可以通过 IPsec VPN 隧道将此私有子网连接到公司的数据中心 Amazon VPC 内部的安全功能包括安全组 网络 ACL 路由和外部网关 这些项目的每一项都是对提供一个安全的隔离网络的补充, 此网络可通过选择性启用直接网络访问或另一网络的私有连接而进行扩展 Amazon VPC 内部运行的 Amazon EC2 实例继承了与主机操作系统 虚拟机操作系统 管理程序 实例隔离和防止数据包嗅探有关的所有好处 不过请注意, 必须专门为 Amazon VPC 创建 VPC 安全组, 您创建的任何 Amazon EC2 安全组都不会在 Amazon VPC 内部运行 此外,Amazon VPC 安全组拥有 Amazon EC2 安全组不具备的其他功能, 如在实例启动后更改安全组的的功能以及可以使用标准协议编号 ( 而不仅仅是 TCP UDP 或者 ICMP) 指定任何协议的功能 每个 Amazon VPC 都是一个截然不同的云中独立网络, 每个 Amazon VPC 内部的网络流量与所有其他 Amazon VPC 都是隔离的 创建 Amazon VPC 时, 您应为每个 Amazon VPC 选择 IP 地址范围 您可以根据下面的控件创建并附加一个 Internet 网关 一个 VPN 网关或此两者以建立外部连接性 API: 下列调用均由您的 Amazon 私有访问密钥签名, 包括创建和删除 Amazon VPC 改变路由 安全组及网络 ACL 参数以及执行其他功能, 此密钥可以是 AWS 账户私有访问密钥, 也可以是用户用 AWS IAM 创建的私有访问密钥 如果没有您私有访问密钥的访问权限, 则无法以您的身份调用 Amazon VPC API 此外, 可用 SSL 对 API 调用进行加密, 以维持保密性 Amazon 建议应始终使用受 SSL 保护的 API 终端节点 AWS IAM 还可让客户进一步控制新建用户有权调用哪些 API 第 23 页, 共 56 页

24 图 4:Amazon VPC 网络架构 子网和路由表 : 您在每个 VPC 内创建一个或多个子网 ;VPC 中启动的每个实例都会连接到一个子网 系统会拦 截传统的第 2 层安全性攻击, 包括 MAC 欺骗和 ARP 欺骗 VPC 中的每个子网均与一个路由表相关联, 离开子网的所有网络流量都由此路由表处理, 以确定目的地 防火墙 ( 安全组 ): 和 Amazon EC2 一样,Amazon VPC 也支持全面的防火墙解决方案, 从而可以启用实例上进出流量的过滤 默认组启用来自同一组其他成员的入站通信及至任何目的地的出站通信 流量可能受到任何 IP 协议 服务端口以及源 / 目的地 IP 地址 ( 个别 IP 或无类别域间路由 (CIDR) 块 ) 的限制 防火墙不是通过虚拟机操作系统控制的, 相反, 只能通过调用 Amazon VPC API 进行修改 AWS 支持向实例和防火墙上的不同管理功能授予详细访问权限, 这种能力可让您通过职责划分实现额外的安全性 防火墙提供的安全等级会因为开启端口的不同而异, 还与持续时间及用途有关 还需要在掌握充分信息的基础上对每个实例进行流量管理和安全设计 AWS 进一步鼓励您对基于主机的防火墙 ( 例如 IPtables 或 Windows Firewall) 另外使用基于实例的筛选条件 第 24 页, 共 56 页

25 网络访问控制列表 : 为了在 Amazon VPC 内再添加一层安全保护, 您可配置网络 ACL 它们是无状态流量筛选条件, 适用于 Amazon VPC 内的子网上的进站或出站流量 这些 ACL 能够包含服务端口以及源 / 目的地 IP 地址根据 IP 协议而命令的规则, 允许或拒绝流量进入 和安全组一样, 网络 ACL 通过 Amazon VPC API 进行管理, 这就添加了另外一层保护并通过职责分离加强了的安全性 下图描述如何通过相互关联上述安全性组件, 启用灵活的网络拓朴结构, 同时提供对网络流量的全面控制 图 5: 灵活的网络拓扑 虚拟专用网关 : 虚拟专用网关可在 Amazon VPC 和另一个网络之间启用私有连接 每个虚拟专用网关内的网络流量与所有其他虚拟专用网关内的网络流量是隔离的 您可以从场内网关设备向虚拟专用网关建立 VPN 连接 通过预先共享的密钥和客户网站设备的 IP 地址一起来对每个连接进行保护 Internet 网关 :Internet 网关可添加到 Amazon VPC 上, 从而开启与 Amazon S3 其他 AWS 服务和 Internet 的直接连接 要求此访问权限的每个实例必须具有一个与访问权限相关的弹性 IP, 或者具有经过一个 第 25 页, 共 56 页

26 NAT 实例的路由流量 此外, 配置网路路由 ( 参见上文 ), 将流量引导到 Internet 网关 AWS 提供可扩展的引用 NAT AMI, 供您执行网络日志 深度数据包检查 应用程序层过滤或其他安全性控制 此访问权限仅能通过调用 Amazon VPC API 进行修改 AWS 支持向实例和 Internet 网关上的不同管理功能授予详细访问权限, 这种能力可让您通过职责划分实现额外的安全性 专用实例 : 在 VPC 内, 您可以启动在主机硬件级别进行了物理隔离的 Amazon EC2 实例 ( 即这些实例运行在单一租户硬件上 ) 您可以通过 专用 租赁创建 Amazon VPC, 以便 Amazon VPC 中启动的所有实例都可以使用此功能 换句话说, 您可以通过 默认 租赁创建 Amazon VPC, 但可以为其中启动的特定实例指定专用的租赁 弹性网络接口 : 每个 Amazon EC2 实例都有一个默认网络接口, 该接口在 Amazon VPC 网络上分配有一个私有 IP 地址 您可以在 Amazon VPC 的任何 Amazon EC2 实例上创建和附加其他网络接口, 也称为弹性网络接口 (ENI), 每个实例总共可创建和附加两个网络接口 给实例附加多个网络接口在以下情况下会非常有用, 包括创建管理网络 在 Amazon VPC 中使用网络和安全应用或在不同的子网上使用工作负载 / 角色创建双宿主实例 ENI 的属性 ( 包括私有 IP 地址 弹性 IP 地址和 MAC 地址 ) 都会随着 ENI 的附加 分离和重新附加从一个实例沿用到另一个实例 有关 Amazon VPC 的详细信息, 请参阅 AWS 网址 : Amazon Direct Connect 的安全性 客户可以使用高吞吐量的专用连接在内部网络和 AWS 地区之间预配置直接链接 配置了专用连接后, 您就可以创建直接面向 AWS 云 ( 例如 Amazon EC2 和 Amazon S3) 和 Amazon VPC 的逻辑连接, 从而绕过网络路径中的 Internet 服务提供商 要使用此服务, 您必须连接到 AWS Direct Connect 位置 每个 AWS Direct Connect 位置均可以连接到地理上最近的 AWS 地区 Direct Connect 解决方案提供商可让您轻松地在客户位置和 AWS Direct Connect 位置之间建立连接 Amazon Elastic Load Balancing 的安全性 Amazon Elastic Load Balancing 用于管理 Amazon EC2 实例群上的流量, 可将流量分配给一个地区内的所有可用区域上的实例 Elastic Load Balancing 拥有内部部署负载均衡器的所有优势, 同时提供多种安全优势 : 承担 Amazon EC2 实例的加密和解密工作, 并能在负载均衡器上进行集中管理为客户端提供单一接触点, 还可以作为防御网络攻击的第一道防线在 Amazon VPC 中使用时, 支持创建和管理与 Elastic Load Balancing 相关联的安全组, 以提供额外的联网和安全选项 第 26 页, 共 56 页

27 在使用安全 ( HTTPS/SSL) 连接的网络上, 支持端到端的流量加密 在使用 SSL 时, 可在负载均衡器上集 中管理用于终止客户端连接的 SSL 服务器证书, 而不用在每个实例上进行管理 如果您的前端连接选择的是 HTTPS/SSL, 则请根据具体的要求, 使用预定义的 SSL 密码集, 或者使用您选择的密码集启用或禁用密码和协议 安全套接层 (SSL) 协议使用协议和算法组合来保护您在 Internet 上的信息 SSL 密码是一种加密算法, 它使用加密密钥创建密码 ( 代码 ) 信息 SSL 密码算法和协议提供了多种形式 Amazon Elastic Load Balancing 在配置您的负载均衡器时使用预定义的密码集, 而当客户端和您的负载均衡器之间建立连接时,SSL 协商也会使用这个密码集 预定义密码集可与广泛的客户端兼容, 并使用强密码算法 不过, 一些客户可能要求加密网络上的所有数据, 并仅仅允许使用某些特定的密码 某些案例可能需要客户端上的特定协议 ( 例如 PCI SOX 等 ) 以确保满足各项标准 在这些情况下,Amazon Elastic Load Balancing 提供了允许选择不同 SSL 协议和密码配置的选项 您可以根据具体要求选择启用或禁用密码 Amazon Simple Storage Service (Amazon S3) 的安全性 Amazon Simple Storage Service (S3) 允许您随时从 Web 上的任何地方上传和检索数据 Amazon S3 将数据以数据元的形式存储在存储段中 数据元可以是任何类型的文件, 如文本文件 图片 视频等等 向 Amazon S3 添加文件时, 您可以选择将元数据包含在文件中以及设置权限以控制文件的访问权限 对于每个存储段, 您都可以控制存储段的访问权限 ( 哪些用户可以在存储段中创建 删除和列出数据元 ) 查看存储段及其数据元的访问日志以及选择 Amazon S3 存储存储段及其内容的地理区域 数据访问 默认情况下, 限制访问 Amazon S3 中存储的数据 ; 只有存储段和数据元拥有者可以访问他们创建的 Amazon S3 资源 ; 请注意, 存储段 / 数据元拥有者指的是 AWS 帐户拥有者, 不是创建存储段 / 数据元的用户 控制存储 段和数据元访问权限的方法有多种 : Identity and Access Management (IAM) 策略 AWS IAM 让拥有许多员工的组织能够在一个 AWS 账户下创建和管理多个用户 IAM 策略会附加到用户上, 以便集中控制 AWS 账户下的用户权限 通过 IAM 策略, 您可以只向自己的 AWS 账户中的用户授予访问 Amazon S3 资源的权限 访问控制列表 (ACL) 在 Amazon S3 内, 您可以使用 ACL 向用户群提供存储段或者数据元上的读取或者写入权限 通过 ACL, 您可以只向其他 AWS 账户 ( 非特定用户 ) 授予访问 Amazon S3 资源的权限 存储段策略 在 Amazon S3 中, 存储段策略可用于给一个存储段内的部分或所有数据元添加或拒绝权限 策略可以附加到用户 组或 Amazon S3 存储段上, 实现对权限的集中管理 通过存储段策略, 您可以向 AWS 账户或其他 AWS 账户内的用户授予 S3 资源的访问权限 第 27 页, 共 56 页

28 访问类型控制 AWS 账户级别控制? 用户级别控制? IAM 策略 否 是 ACL 是 否 存储段策略 是 是 您可以根据某些条件进一步限制特定资源的访问权限 例如, 您可以根据下列条件限制访问权限, 包括请求时间 ( 日期条件 ) 是否使用 SSL 发送请求 ( 布尔条件 ) 请求者的 IP 地址 (IP 地址条件 ) 或者请求者的客户端应用程序 ( 字符串条件 ) 要确定这些条件, 请使用策略密钥 有关 Amazon S3 内提供的特定措施的策略密钥的更多信息, 请参阅 Amazon Simple Storage Service Developer Guide Amazon S3 还为开发人员提供了使用查询字符串身份验证的选项, 该选项可让他们通过预定义时段内有效的 URL 共享 Amazon S3 数据元 在向通常要求身份验证的 HTTP 或浏览器提供资源访问权限时, 查询字符串身份验证非常有用 查询字符串中的签名将保护请求的安全 数据传输 为了获得最高的安全性, 您可以通过 SSL 加密的终端节点将数据安全地上传 / 下载到 Amazon S3 既可从 Internet 也可从 Amazon EC2 内部访问加密的终端节点, 因此数据能在 AWS 内安全地传输, 也能安全地往返于 AWS 外部的源 数据存储 Amazon S3 还提供多种保护静态数据的选项 对于更喜欢管理自己的加密密钥的客户, 可以使用 Amazon S3 加密客户端等客户端加密库先对数据加密, 再将其上传到 Amazon S3 或者, 如果您希望让 Amazon S3 为您管理加密密钥, 则可以使用 Amazon S3 服务器端加密 (SSE) 使用 Amazon S3 SSE, 您只需在写入数据元时另外添加一个请求标头, 即可对上传数据加密 检索数据时, 将自动进行解密 请注意, 数据元内的元数据不会进行加密 因此,AWS 不建议客户在 S3 元数据中保存敏感信息 Amazon S3 SSE 使用了最强大的数据块密码技术之一即 256 位高级加密标准 (AES-256) 使用 SSE 时, 每个受保护的数据元都使用唯一的加密密钥进行加密 然后, 会使用定期轮替的主密钥对数据元密钥本身进行加密 Amazon S3 SSE 会将加密数据和加密密钥存储在不同的主机中, 从而提供额外的安全性 Amazon S3 SSE 还可让您强制执行各种加密要求 例如, 您可以创建和应用一些只允许加密数据上传到存储段的存储段策略 第 28 页, 共 56 页

29 当从 Amazon S3 中删除数据元后, 公用名到数据元的镜像移除会马上开始, 且通常在几秒内在分布式系统之间 被处理 一旦移除了镜像, 对已删除数据元的远程访问就不存在了 然后基础存储区就可被系统重新要求使用 数据耐久性和可靠性 Amazon S3 可在一年内提供 % 的数据元耐久性和 99.99% 的数据元可用性 在 Amazon S3 地区, 数据元以冗余方式存储在多个设施间的数个设备中 为帮助提供耐久性,Amazon S3 PUT 和 COPY 操作会在多个设施间同步存储客户数据, 然后才会返回 SUCCESS 存储后,Amazon S3 将通过快速检测和修复任何丢失的冗余数据, 帮助保持数据元的耐久性 Amazon S3 还会使用校验和定期验证所存储数据的完整性 如果检测到损坏数据, 则会使用冗余数据进行修复 此外,Amazon S3 还会在存储或检索数据时对所有网络流量计算校验, 以检测数据包是否损坏 Amazon S3 通过版本控制提供了进一步的保护 对于您的 Amazon S3 存储段中存储的每个数据元, 可以使用版本控制功能来保存 检索和还原它们的各个版本 用版本控制能够轻松从用户意外操作和应用程序故障中恢复数据 默认情况下, 请求将会检索最新写入的版本 通过在请求中指定版本, 可以检索数据元的较旧版本 您可以使用 Amazon S3 版本控制的 MFA 删除 功能进一步保护版本 在 S3 存储段上启用了该功能后, 每个版本删除请求都必须包括 Multi-Factor Authentication 设备提供的六位数的代码和序列号 访问日志 Amazon S3 存储段可以经过配置, 对存储段及存储段中数据元的访问记入日志中 访问日志包含每次访问请求的详细信息, 包括请求类型 请求的资源 请求人的 IP 以及请求人的时间和日期 对存储段启用日志后, 日记记录就被定期累计到日志文件中并发送至指定的 Amazon S3 存储段 AWS Storage Gateway 的安全性 AWS Storage Gateway 服务将本地自有软件设备与基于云的存储连接起来, 在您的本地 IT 环境和 AWS 的存储基础设施之间提供无缝的 安全的集成 该服务可让您安全地将数据上传到可扩展的 可靠的和安全的 AWS S3 存储服务, 以便进行低成本的备份和迅速的灾难恢复 AWS Storage Gateway 会透明地将数据以 Amazon EBS 快照形式备份到 Amazon S3 Amazon S3 可将这些快照冗余存储到多个设施的多台设备上, 检测和修复任何缺失的冗余 Amazon EBS 快照提供各种时间点备份 ; 这些备份可供本地恢复使用, 或对新的 Amazon EBS 卷进行实例化 数据存储在您指定的单个地区内 数据异步地通过 SSL 从您的场内存储硬件传输到 AWS 该数据以加密的形式存储在 Amazon S3 中, 加密采用的是高级加密标准 (AES) 256, 这是一种使用 256 位加密密钥的安全对称密钥加密标准 AWS Storage Gateway 只上传发生变化的数据, 可将 Internet 的数据发送量减少至最低 第 29 页, 共 56 页

30 AWS Storage Gateway 以您在数据中心的主机上部署的虚拟机 (VM) 的方式运行, 数据中心的运行环境是 VMware ESXi Hypervisor v 4.1 或者 v 5(VMware 网站上提供免费版本 ) 您可在 VM 上创建 iscsi (Internet Small Computer System Interface) 存储卷, 以便在数据上传到 AWS 前让场内应用程序 ( 发起程序 ) 连接并将数据存储到 AWS 在安装和配置流程中, 您可以在每个网关上创建多达 12 个 iscsi 存储卷 安装完毕后, 每个网关将自动下载 安装和部署各种更新和修补 此活动会在您给每个网关设置的维护时段进行 iscsi 协议支持通过 CHAP (Challenge Handshake Authentication Protocol) 在目标和发起程序之间进行身份验证 CHAP 通过定期验证 iscsi 启动程序的身份是否具有访问存储卷目标的权限, 从而提供免受中间人和回放攻击的保护 若要设置 CHAP, 您必须同时在 AWS Storage Gateway 控制台中和用来连接该目标的 iscsi 启动程序中进行配置 部署 AWS Storage Gateway VM 后, 您必须使用 AWS Storage Gateway 控制台激活该网关 激活过程将您的网关与 AWS 账户关联 建立该连接后, 您可以从管理台管理网关的几乎所有方面 在激活过程中, 您将指定网关的 IP 地址 命名网关 标识希望存储快照备份的 AWS 地区和指定网关时区 AWS Import/Export 的安全性 AWS Import/Export 可非常简单 安全地将大量数据以物理的方式传输到 AWS S3 或者 EBS 存储 此服务一般是由数据超过 100 GB 和 / 或连接速度缓慢的客户使用, 连接速度缓慢会导致 Internet 传输率也变得非常缓慢 AWS Import/Export 可让您准备非常便携的 可发送到安全 AWS 设施中的存储设备 AWS 使用 Amazon 的高速内部网络将数据直接从存储设备传输出去, 因此可以绕过 Internet 还可以将数据从 AWS 中逆向导出到便携的存储设备中 像所有其他的 AWS 服务一样,AWS Import/Export 服务要求您对存储设备进行安全的标识和验证 在这种情况下, 您将向 AWS 提交作业请求, 其中包括相关的 Amazon S3 存储段或者 Amazon EBS 地区 AWS 访问密钥 ID 和回送地址 然后, 您将收到具有唯一性的任务标识符 用于验证设备的签名以及供发送存储设备使用的 AWS 地址 对于 Amazon S3, 请将签名文件放入设备的根目录中 对于 Amazon EBS, 请将签名条形码粘贴在设备外侧 签名文件仅用于身份验证, 不会上传到 S3 或者 EBS 要传输到 S3, 客户应指定加载数据的具体存储段, 并确保执行加载操作的账户拥有该存储段的写入权限 他们还应该指定 S3 加载的每个数据元上要应用的访问控制列表 要传输到 EBS, 您应指定目标地区, 供从 EBS 导入操作使用 如果存储设备容量低于或者等于 1TB 大小上限, 其内容将直接加载到 Amazon EBS 快照中 如果设备容量超过 1TB, 则在指定的 Amazon S3 日志存储段中存 第 30 页, 共 56 页

31 储一个设备映像 然后, 您可以使用 Logical Volume Manager 之类的软件创建 Amazon EBS 卷的 RAID, 并将该映像从 Amazon S3 复制到这一新卷中 您可以指定是否需要 AWS 在上传完成后擦除存储设备的内容 如果选择此选项, 将把存储设备上的所有可写入数据块改写为零 您需要在擦除后对设备重新分区和格式化 在国际间发运设备时, 需要在发送给 AWS 的清单文件中填写海关选项和某些必填子字段 AWS Import/ Export 使用这些值验证入站装运的货物, 并准备出站的海关文件 在这些选项中, 有两个选项是设备上的数据是否进行了加密, 加密软件类型是哪种 在发运加密数据进出美国时, 加密软件的类型必须是 美国出口管理条例 下的 5D992 类别 Auto Scaling 的安全性 Auto Scaling 可让您根据定义的条件自动扩展或缩小 Amazon EC2 容量, 因此使用的 Amazon EC2 实例数能无缝地在需求高峰期间进行扩展以维持性能, 在需求低谷期间则自动减少, 从而将成本降到最低程度 像所有 AWS 服务一样,Auto Scaling 要求验证向其控制 API 发出的请求, 因此只有经过验证的用户才能访问和管理 Auto Scaling 用 HMAC-SHA1 签名对请求进行签名,HMAC-SHA1 签名由请求和用户私人密钥计算得出 不过, 对于大型或者具有扩展弹性的群体而言, 获取 Auto Scaling 启动的新 EC2 实例的出口证书可能是一个挑战 为了简化此流程, 您可以使用 IAM 内的角色, 这样, 通过角色启动的任何新实例都会自动获得证书 当您通过 IAM 角色启动 EC2 实例时, 会以安全的方式向该实例预配置带有该角色指定权限的临时 AWS 安全证书, 并通过 Amazon EC2 Instance Metadata Service 提供给您的应用程序 Metadata Service 会在目前有效证书过期前提供新的临时安全证书, 从而确保该实例上始终都有有效的证书 另外, 临时安全证书每天会自动轮替多次, 从而提供增强的安全性 您可通过 AWS 账户下用 AWS IAM 创建的用户进一步控制 Auto Scaling 的访问权限, 并控制这些用户具有调用哪些 Auto Scaling API 的权限 有关启动实例时如何使用角色的更多信息, 请参阅 AWS 网站上的 Amazon EC2 User Guide : Amazon Simple Database (SimpleDB) 的安全性 Amazon SimpleDB 是一种非关系式的数据存储, 可减轻数据库管理工作, 让您只需通过 Web 服务请求存储和查询数据项 然后,Amazon SimpleDB 将自动创建和管理分布在多个地理位置的数据副本, 以此提高可用性和数据耐久性 Amazon SimpleDB 中的数据都存储在域中 除了您无法跨越多个域执行功能以外, 这类似于数据库表 Amazon SimpleDB API 提供域级别的控件, 此控件仅允许域的创建人进行经过身份验证的访问, 第 31 页, 共 56 页

32 Amazon SimpleDB 不提供基于自身资源的权限系统 不过, 该服务集成了 AWS IAM, 因此您可以为 AWS 账户中的其他用户提供 AWS 账户内的 Amazon SimpleDB 域的访问权限 每个域的访问权限是由独立的 ACL 控制的, 该表会将经过身份验证的用户映射到他们拥有的域 AWS IAM 创建的用户仅对操作和通过策略授予他们权限的域具有访问权限 另外,SimpleDB 服务的每个请求都必须包含有效的 HMAC-SHA 签名, 否则会拒绝该请求 在使用 AWS 的一个软件开发工具包访问 Amazon SimpleDB 时, 相关的软件开发工具包会为您处理验证过程 不过, 在使用 REST 请求访问 Amazon SimpleDB 时, 您必须提供 AWS 访问密钥 ID 有效的 HMAC-SHA 签名 (HMAC- SHA1 或者 HMAC-SHA256) 和时间戳, 以便对请求进行验证 AWS 会使用您的访问密钥 ID 检索私有访问密钥, 并通过与计算该请求中发送的签名相同的算法, 从请求数据和私有访问密钥中生成签名 如果 AWS 生成的签名与您在请求中发送的签名相匹配, 则该请求会被认为是真实的 如果匹配失败, 请求将作废, 然后 AWS 会返回一条错误响应 Amazon SimpleDB 可通过 SSL 加密的终端节点访问 而加密终端节点可从 Internet 和 Amazon EC2 内访问 AWS 不对存储在 Amazon SimpleDB 内的数据进行加密 ; 然而客户可在数据加载至 Amazon SimpleDB 之前加密数据 这些加密属性仅可作为 Get 操作的一部分进行检索 不可将它们作为查询过滤条件的一部分使用 在将数据发送至 Amazon SimpleDB 之前进行加密有助于防止任何人访问敏感数据, 包括 AWS 从 Amazon SimpleDB 删除某个域后, 会立刻开始移除该域镜像, 而且通常在几秒钟内已经运在于分布式系统之间 一旦移除了镜像, 就无法远程访问已删除的域 当域内的项目及属性数据被删除后, 域内的镜像移除马上开始, 而且也通常在几秒钟内完成 一旦移除了镜像, 对已删除数据的远程访问就不存在了 然后存储区仅可作写入操作, 且数据会被新存储的数据覆盖 在 Amazon SimpleDB 中存储的数据是冗余存储在多个物理位置, 作为正常操作的那些服务不额外收费 Amazon SimpleDB 在初始写入之时, 通过多次在多可用区域之间存储数据元来提供数据元耐久性, 然后在出现设备不可使用或检测到存储媒介腐烂的情况下积极地进行进一步的复制 Amazon DynamoDB 的安全性 Amazon DynamoDB 是一种完全托管的 NoSQL 数据库服务, 提供快速而可预测的性能, 能够实现无缝扩展 Amazon DynamoDB 可让您将运行和扩展分布式数据库的管理工作负担交给 AWS, 因而无需担心硬件预配 设置和配置 复制 软件更新或集群扩展等问题 您可以创建一个数据库表来存储和检索任意量级的数据, 并化解任何级别的流量请求 DynamoDB 可自动将表的数据和流量分布到足够多的服务器中, 以便处理您指定的容量请求和数据存储量, 同时还能保持性能一致 访 第 32 页, 共 56 页

33 问高效 所有数据项目均存储在固态硬盘 (SSD) 中, 并自动备份到某个地区的多个可用区域, 以便提供数据自身的高可用性和数据耐久性 Amazon DynamoDB 不提供基于自身资源的权限系统 不过, 该服务集成了 AWS IAM Security Token Service, 因此您可以为 AWS 账户中的其他用户提供 AWS 账户内的 Amazon DynamoDB 表的访问权限 每个表的访问权限是由独立的 ACL 控制的, 该表会将经过身份验证的用户映射到他们拥有的表 AWS IAM 创建的用户仅对操作和通过策略授予他们权限的表具有访问权限 Amazon DynamoDB 要求用户从 AWS Security Token Service 中获取证书, 以便实现快速而有效的验证过程 在 AWS Security Token Service 创建临时安全证书时, 您可以配置证书的持续有效时间 出于安全原因的考虑, AWS 账户根标识的安全令牌使用期限限于一个小时 ; 不过,IAM 用户的临时证书或者 IAM 用户检索的联合用户证书可以持续有效多达 36 个小时 另外,DynamoDB 服务的每个请求都必须包含有效的 HMAC-SHA256 签名, 否则会拒绝该请求 AWS 软件开发工具包会自动签署您的请求, 并根据需要管理 Amazon DynamoDB 的 AWS Security Token Service 证书 不过, 如果您需要写入自己的 HTTP POST 请求, 必须在 Amazon DynamoDB 的请求标题中提供签名 要计算签名, 您必须从 AWS Security Token Service 请求临时安全证书 使用临时安全证书签署您的 Amazon DynamoDB 请求 Amazon DynamoDB 可通过 SSL 加密的终端节点访问 而加密终端节点可从 Internet 和 Amazon EC2 内访问 Amazon Relational Database Service (Amazon RDS) 的安全性 Amazon RDS 可让您迅速创建关系数据库 (DB) 实例, 并灵活地扩张相关计算资源及存储容量, 以满足应用程序的要求 Amazon RDS 通过执行备份 处理故障转移及维护数据库软件代您管理数据库实例 目前, 已推出面向 MySQL Oracle 或者 Microsoft SQL Server 数据库引擎的 Amazon RDS Amazon 拥有多种增强关键生产数据库可靠性的功能, 包括数据库安全组 权限 SSL 连接 自动备份 DB 快照和多可用区部署 数据库实例还可以部署在 Amazon VPC 上, 提供额外的网络隔离 访问控制 在 Amazon RDS 内第一次创建数据库实例时, 您应创建一个主用户账户, 此账户将仅在 Amazon RDS 环境内使用, 用于控制数据库实例的访问权限 主用户账户是一种本机数据库用户账户, 可让您登录具有所有数据库特权的数据库实例 在创建数据库实例时, 您可以指定与每个数据库实例相关联的主用户名称和密码 创建数据库实例后, 您可以使用主用户证书连接到数据库 之后, 您可以创建其他用户账户, 以便限制谁能访问您的数据库实例 第 33 页, 共 56 页

34 您可以通过数据库安全组控制 Amazon RDS 数据库实例的访问权限, 这类似于 Amazon EC2 安全组, 但不可互换 数据库安全组与防火墙的功能类似, 控制对您的数据库实例的网络访问 数据库安全组默认设置为 拒绝所有 访问模式, 用户必须明确授权网络进入 有两种方法进行此操作 : 授权网络 IP 范围或授权现有的 Amazon EC2 安全组 数据库安全组仅允许对数据库服务器端口 ( 所有其他端口均被阻断 ) 进行访问, 且不用重启 Amazon RDS 数据库实例就可对其进行更新, 这使客户能无缝地控制他们的数据库访问 通过使用 AWS IAM, 您可以进一步 RDS 数据库实例的访问权限 AWS IAM 可让您控制每个 AWS IAM 用户具有调用何种 RDS 操作的权限 网络隔离 为了实现其他网络访问控制, 您可以在 Amazon (VPC) 中运行数据库实例 Amazon VPC 可让您指定要使用的 IP 地址范围, 从而隔离数据库实例, 并通过经过行业标准加密的 IPsec VPN 连接到现有的 IT 基础设施 Amazon VPC 功能当前仅适用于 MySQL 数据库引擎 在 VPC 中运行 Amazon RDS 可让您在私有子网内拥有数据库实例 您也可以设置一个虚拟专用网关, 将公司网络扩展到 VPC, 然后允许访问该 VPC 中的 RDS 数据库实例 有关详细信息, 请参阅 Amazon VPC 用户指南 对于多可用区域部署, 为某个地区的所有可用区域定义子网, 就可以允许 Amazon RDS 根据需要在其他可用区域创建新的备用实例 您可以创建 DB 子网组, 将指派给 VPC 中的 RDS 数据库实例的子网集合在一起 每个子网组应至少包含给定地区中每个可用区域的一个子网 在这种情况下, 当在 VPC 中创建数据库实例时, 您选择 DB 子网组 ; 然后 Amazon RDS 会使用这个 DB 子网组和您首选的可用区域选择子网和该子网内的 IP 地址 Amazon RDS 创建弹性网络接口, 并通过该 IP 地址将其关联到您的数据库实例 对于 Amazon VPC 内部署的数据库实例, 可通过 VPN 或您可在公有子网中启动的堡垒主机从 VPC 外部的 Amazon EC2 实例进行访问 要使用堡垒主机, 您需要设置公有子网, 其中带有可发挥 SSH 堡垒功能的 EC2 实例 此公有子网的 Internet 网关和路由规则必须允许通过 SSH 主机引导流量, 然后必须将请求转发到 RDS 数据库实例的私有 IP 地址 数据库安全组可用来帮助确保 Amazon VPC 内数据库实例的安全 此外, 可通过网络访问控制列表 (ACL) 允许或拒绝进出各个子网的网络流量 内部安全基础设施 ( 包括网络防火墙 入侵检测和防护系统 ) 可以监视通过 IPsec VPN 连接进入或退出 Amazon VPC 的所有网络流量 SSL 连接 您可以使用 SSL 对应用程序和数据库实例之间的连接进行加密 ; 不过, 此选项目前仅仅支持 MySQL 引擎 Amazon RDS 会为每个数据库实例生成一个 SSL 证书 建立加密连接后, 在传输时将对数据库实例和应用程序 之间传输的数据进行加密 您还可以要求数据库实例仅接受加密连接 第 34 页, 共 56 页

35 如果您需要数据在数据库中处于 静态 时也属于加密状态, 则应用程序必须管理数据的加密和解密 另请注意,Amazon RDS 中的 SSL 支持用来对应用程序和数据库实例之间的连接加密, 不应依赖于数据库实例本身的身份验证 虽然 SSL 有安全优势, 但应注意 SSL 加密操作需使用大量计算资源, 可能会加大数据库连接延迟 有关 SSL 如何用于 MySQL 的详细信息, 请直接参考此处的 MySQL 文档 自动备份和数据库快照 Amazon RDS 提供两种备份和还原数据库实例自动备份和数据库快照 ( 数据库快照 ) 的不同方法 Amazon RDS 的自动备份功能在默认情况下是打开的, 可进行数据库实例的时间点恢复 Amazon RDS 将备份您的数据库和事务日志, 并且按用户指定的保留期进行存储 这样, 您就能够将数据库实例恢复到保留期内任何一秒钟的状态, 最多可恢复到前五分钟的状态 自动备份保留期最长可配置为 35 天 在备份窗口期间, 备份数据时可能会暂停存储 I/O 这种 I/O 暂停通常持续几分钟时间 因为备份是从备用进行的, 所以通过多可用区域数据库部署可以避免 I/O 暂停 数据库快照是用户启动的数据库实例备份 Amazon RDS 将存储这些完整数据库备份, 直至您明确删除它们 您可以在需要时随时从数据库快照创建新数据库实例 复制 Amazon RDS 提供两个不同但互补的复制功能, 即多可用区域 (Multi-AZ) 部署和只读副本 多可用区部署和只读副本可同时使用, 以便实现增强的数据库可用性, 保护最新的数据库更新以避免非计划停机, 以及突破单个数据库实例的容量限制, 满足读取操作频繁的数据库工作负载要求 MySQL 数据库引擎当前支持多可用区部署和只读副本 有关更多详细信息, 请参见 Amazon RDS for MySQL 页面 自动执行软件修补 Amazon RDS 将确保您部署项目中使用的关系数据库软件已安装最新修补程序, 保持最新状态 必要时, 在您控制的维护时段应用各种修补 在请求或要求的情况下, 您可以将 Amazon RDS 维护窗口视为控制数据库实例修改 ( 例如, 扩展数据库实例等级 ) 及修补软件的机会 如果在给定的周内安排了 维护 事件, 将在您确定的 30 分钟维护窗口的某个时间点启动和完成维护 唯一需要使用 Amazon RDS 将数据库实例脱机的情况是扩展计算操作 ( 从始至终通常只需要几分钟时间 ) 或要求修补软件的情况 只有安全和耐久的补丁会自动安排要求的修补 这种修补很少发生 ( 通常几个月一次 ), 并且几乎不会要求过长的维护窗口 如果创建数据库实例时未指定首选周维护窗口, 将分配默认值 30 分钟 如 第 35 页, 共 56 页

36 果希望在代您执行维护时进行修改, 您可以通过 AWS 管理控制台或使用 ModifyDBInstance API 修改数据库实例来执行该操作 如果这样选择, 您的各个数据库实例可以执行不同的首选维护窗口 以多可用区部署方式运行数据库实例可进一步降低维护事件的影响, 因为 Amazon RDS 将通过以下步骤执行维护 :1) 对备用实例执行维护 2) 推动备用成为主要实例 3) 对旧的主要实例 ( 将执行新备用实例 ) 执行维护 当运行 Amazon RDS 数据库实例删除 API (DeleteDBInstance) 时, 会给该数据库实例打上删除标记 一旦实例不再标明处于 删除 状态, 则表示它已被删除 此时实例不再可供访问, 除非请求了一个最终快照, 否则无法将其恢复, 任何工具或 API 也不会将其列出 Amazon ElastiCache 的安全性 Amazon ElastiCache 是一种 Web 服务, 可让用户在云中轻松设置 管理和扩展分布式内存缓存环境 该服务允许您从快速的托管内存缓存系统中检索信息, 而无需完全依赖于速度较慢的基于磁盘的数据库, 从而提高了 Web 应用程序的性能 它可用于显著改进很多高读取量的应用程序工作负载 ( 例如社交网络 游戏 媒体共享和 Q&A 门户 ) 或计算密集型工作负载 ( 例如建议引擎 ) 的延迟和吞吐量 缓存可将关键数据存储在内存中, 以便进行低延迟访问, 从而提高应用程序性能 缓存信息可能包括 I/O 密集型数据库查询的结果或计算密集型计算的结果 Amazon ElastiCache 服务自动处理内存高速缓存环境中耗时的管理任务, 如修补管理 故障探测和恢复 它与其他 Amazon Web Services( 例如 Amazon EC2 Amazon CloudWatch 和 Amazon SNS) 协同工作, 以提供一个安全 高性能和托管的内存缓存 例如, 在 Amazon EC2 上运行的应用程序能够安全地评估同一区域中的某个 Amazon ElastiCache Cluster 集群, 并且具有非常低的延迟 通过使用 Amazon ElastiCache 服务, 您可以创建缓存集群, 它是一个或多个缓存节点的集合, 其中每个都会运行 Memcached 服务的实例 缓存节点是一种安全的 大小固定的 网络附加 RAM 区块 每个缓存节点都运行一个 Memcached 软件实例, 有其自己的 DNS 名称和端口 支持多种缓存节点类型, 每种可有不同相关内存量 缓存集群可以使用特定数量的缓存节点和一个控制每个缓存节点属性的缓存参数组进行设置 一个缓存集群中的所有缓存节点都应该是相同的类型, 具有相同的参数和安全组设置 Amazon ElastiCache 允许您使用缓存安全组控制对缓存集群的访问 缓存安全组与防火墙的功能类似, 控制对您的缓存集群的网络访问 默认情况下, 您的缓存集群的网络访问处于关闭状态 如果希望应用程序可以访问您的缓存集群, 必须显式启用来自特定 EC2 安全组中主机的访问 一旦配置了入口规则, 就会对该缓存安全组关联的所有缓存集群应用相同的规则 第 36 页, 共 56 页

37 为了允许对您的缓存集群进行网络访问, 请创建一个缓存安全组, 然后使用 Authorize Cache Security Group Ingress API 或 CLI 命令授权所需的 EC2 安全组 ( 此 EC2 安全组会反过来指定允许的 EC2 实例 ) 缓存集群目前尚未启用基于 IP 范围的访问控制 缓存集群的所有客户端必须处于 EC2 网络中, 并通过安全组获得授权 Amazon Simple Queue Service (Amazon SQS) 的安全性 Amazon SQS 是一种高度可靠 可扩展的信息查询服务, 它在应用程序的分布式组件之间启用基于异步信息的通信 组件可能是计算机或 Amazon EC2 实例, 或者是这两者的组合 您可用 Amason SQS 从任何组件在任何时候发送任意数据的信息至一个 Amazon SQS 队列 可立即或在较晚的时间 ( 四天以内 ) 从同一或不同组件检索此信息 信息是高度耐久的 ; 每条信息持续地存储在高度可用且高度可靠的队列中 可同时从 / 向 Amazon SQS 队列读取 / 写入多条信息, 且不会互相干扰 根据 AWS 账户或用 AWS IAM 创建的用户授予 Amazon SQS 访问权 一旦经过鉴定,AWS 账户就对所有用户操作具有完全的访问权限 不过 AWS IAM 用户仅可访问已通过策略授予访问权限的操作及队列 默认情形下, 每个队列的访问权限仅限创建该队列的 AWS 账户拥有 不过, 您可以使用 SQS 生成的策略或者您写入的策略允许队列的其他访问权限 Amazon SQS 可通过 SSL 加密的终端节点访问 而加密终端节点可从 Internet 和 Amazon EC2 内访问 存储在 Amazon SQS 内的数据不由 AWS 加密 ; 不过用户可在数据被加载至 Amazon SQS 之前对其进行加密, 前提是使用应用程序的队列具有在检索时解密信息的手段 在将数据发送至 Amazon SQS 之前进行加密有助于防止未经授权的人访问敏感性的客户数据, 包括 AWS Amazon Simple Notification Service (Amazon SNS) 安全性 Amazon Simple Notification Service (Amazon SNS) 是一种 Web 服务, 让用户能够简易设置 运行及从云中发送通知 它为开发人员提供高度可扩展 灵活并且经济高效的功能, 以便从应用程序发布消息并立即将它们交付到订阅者或其他应用程序中 Amazon SNS 提供简单的 Web 服务界面, 它可创建客户希望通知应用程序 ( 或用户 ) 的主题 让客户端订阅这些主题 发布消息并通过客户端所选的协议 ( 即 HTTP/HTTPS 电子邮件等) 交付这些消息 Amazon SNS 使用 推送 机制向客户端交付通知, 该机制无需定期检查或 轮询 新的信息和更新 利用 Amazon SNS 可构建高度可靠的 事件驱动的工作流和消息发送应用程序, 而无需复杂的中间件和应用程序管理 使用 Amazon SNS 的潜在情况包括监控应用程序 工作流系统 时间敏感型信息更新 移动应用程序等 Amazon SNS 提供访问控制机制, 以确保主题和消息免遭未授权访问 主题所有者可以为主题设定策略, 限制哪些人可以发布或订阅主题 此外, 主题所有者可以指定交付机制必须为 HTTPS, 对传输进行加密 第 37 页, 共 56 页

38 根据 AWS 账户或用 AWS IAM 创建的用户授予 Amazon SNSS 访问权 一旦经过鉴定,AWS 账户就对所有用户操作具有完全的访问权 不过 AWS IAM 用户仅可访问已通过策略授予访问权限的操作及主题 默认情形下, 每个主题的访问权限仅限创建该主题的 AWS 账户拥有 不过, 您可以使用 SNS 生成的策略或者您写入的策略允许 SNS 的其他访问权限 Amazon Simple Workflow Service (Amazon SWF) 的安全性 Amazon Simple Workflow Service (SWF) 可让您轻松构建在分布式组件上协同工作的应用程序 通过 Amazon SWF, 您可将应用程序中的各种处理步骤构建为 任务, 推动分布式应用程序中的运行, 并且 Amazon SWF 能可靠而扩展地协调这些任务 Amazon SWF 根据开发人员的应用程序逻辑管理各种任务执行的依赖关系 时间安排和并行机制 本服务存储任务, 将它们指派到应用程序组件中, 追踪其进度, 并保持最新的状态 Amazon SWF 提供了简单 API 调用, 它们可以通过任何语言编写的代码执行, 并可在 EC2 实例上运行, 或在全球各地可访问 Internet 的计算机上运行 Amazon SWF 是一个协调中心, 能与您的应用程序主机进行交互 您可利用 Amazon SWF 创建所需的工作流程, 以及相关的任务和您想应用及存储的任何条件逻辑 Amazon SWF 的访问权限是根据 AWS 账户或 AWS IAM 创建的用户授予的 执行工作流的所有参与者 ( 包括决策者 活动工作人员 工作流程管理员 ) 都必须是拥有 Amazon SWF 资源的 AWS 账户下的 IAM 用户 您不能向其他 AWS 账户所关联的用户授予 Amazon SWF 工作流程的访问权限 不过 AWS IAM 用户仅可访问已通过策略授予访问权限的工作流和资源 Amazon Simple Service (Amazon SES) 的安全性 Amazon Simple Service (Amazon SES) 是面向企业和开发人员的 高度可扩展和经济高效的批量事务处理电子邮件发送服务 有了 Amazon SES, 用户不必再面临构建内部电子邮件解决方案, 或许可 安装和运作第三方电子邮件服务所产生的复杂性, 也不必承担高昂的费用 Amazon SES 服务可与其他 AWS 服务集成, 让您轻松地从 Amazon EC2 等服务中托管的应用程序发送电子邮件 遗憾的是, 有些人一门心思向那些无辜的人滥发大批电子邮件或者垃圾邮件, 还冒充他人的身份掩盖自己 为了解决这些问题,Amazon SES 要求新的用户验证他们的电子邮件地址或者域, 以便确认他们拥有该电子邮件地址或者域, 并防止他人盗用 另外,AWS 会定期审查域的验证状态, 并在域不再有效的情况下取消验证 Amazon SES 采取主动的措施来防止发送可疑的内容, 因此 ISP 可以始终如一地收到高质量电子邮件, 因而能将该服务视为受信任的电子邮件来源 这可以最大程度提高我们所有发件人的送达率和可信赖度 下列是部分已采取的保护措施 : 第 38 页, 共 56 页

39 ISP 通常将电子邮件数量激增解读为垃圾邮件活动的征兆, 可能会通过拦截此类电子邮件作出响应 为了帮助您避免这种缺陷,Amazon SES 自动 逐步增加 您可以从该服务发送的电子邮件数量, 直到您达到目标数量 Amazon SES 使用内容筛选技术, 在邮件发送之前, 协助检测和拦截包含垃圾邮件或恶意软件的邮件 Amazon SES 拥有来自主要 ISP 的投诉反馈循环 投诉反馈循环指明收件人将哪些电子邮件标记为垃圾邮件 Amazon SES 可让您访问这些 ( 适用于电子邮件营销活动的 ) 送达指标, 帮您制定发送战略指南 Amazon SES 使用简单邮件传输协议 (SMTP) 发送电子邮件 SMTP 本身不提供任何身份验证 ; 垃圾邮件发送者有可能冒充他人发送电子邮件消息, 同时隐藏垃圾邮件真实的发送源 大多数 ISP 已采取措施评估电子邮件是否合法 其中之一是 ISP 会考虑电子邮件的身份验证, 发件人必须提供证据证明他们是该电子邮件发送账户的拥有者 有时,ISP 会拒绝转发未经验证的电子邮件 Amazon SES 支持 ISP 使用的三种身份验证机制, 以确定电子邮件是否合法, 包括 SPF 发件人 ID 和 DKIM AWS 建议 SES 客户采用这些标准以便确保最佳的提交能力 发件人策略框架 (SPF) 提供了一种跟踪电子邮件消息直到其发送系统的方式 为了符合 SPF 的要求, 电子邮件发件人应发布一个或多个 DNS 记录, 建立发送域的身份 这些 DNS 记录通常以 TXT( 文本 ) 的形式指定 ; 它们标识一系列获得电子邮件发送授权的主机身份 在创建和发布这些 DNS 记录后,ISP 会将其 IP 地址和 SPF 记录中指定的系列 IP 地址进行比较, 从而实现主机的验证 有关 SPF 的更多信息, 请转到 和 RFC 4408 发件人 ID 是一种类似 SPF 的身份验证系统 像 SPF 一样, 发件人 ID 验证机制也依靠发件人和 ISP 之间的合作, 确保对电子邮件消息进行追踪直到它的发送系统 为了符合发件人 ID 机制的要求, 电子邮件发件人应发布一个或多个 DNS 记录, 建立发送域的身份 有关发件人 ID 的更多信息请转到 和 RFC 4406 DomainKeys Identified Mail (DKIM) 是一种允许发件人使用数字签名签署电子邮件消息的标准,ISP 可以使用这些签名验证这些消息的合法性 收到该消息的 ISP 可以使用发件人的 DNS 记录中发布的公钥解码加密的签名, 从而确保消息的真实性 如果您希望通过符合 DKIM 要求的 ISP 提高邮件的提交能力, 可以使用 DKIM 签署您的电子邮件消息 有关 DKIM 的更多信息, 请参阅 要使用 Amazon SES SMTP 接口, 您首先必须创建 SMTP 用户名和密码, 它们应与 AWS 访问密钥 ID 和私有访问密钥不同 在获得 SMTP 证书后, 就可以开始通过 Amazon SES 使用任何电子邮件客户端应用程序发送电子邮件了, 条件是该应用程序可以通过 SMTP 进行通信, 并可以使用传输层安全性 (TLS) 连接 SMTP 终端节点 要配置电子邮件客户端, 您必须提供 Amazon SES SMTP 接口主机名 ( -smtp.us-east- 1.amazonaws.com) 和端口号, 以及您的 SMTP 用户名和密码 第 39 页, 共 56 页

40 Amazon SES SMTP 终端节点 ( -smtp.us-east-1.amazonaws.com) 要求所有的连接都使用 TLS 进行加密 Amazon SES 支持两种建立加密连接的机制, 即 STARTTLS 和 TLS Wrapper 如果您的软件不支持 STARTTLS 或者 TLS Wrapper, 可以使用开放源 stunnel 计划建立加密的连接 ( 称为 安全隧道 ), 然后使用该安全隧道连接 Amazon SES SMTP 终端节点 Amazon SES 的访问权限是根据 AWS 账户或 AWS IAM 创建的用户授予的 不过 AWS IAM 用户仅可访问已通过策略授予访问权限的管理功能 Amazon CloudWatch 的安全性 Amazon CloudWatch 是一种 Web 服务, 用于监控通过 Amazon EC2 实例启动的 AWS 云资源 它可以提供给客户显示资源利用情况 操作性能和整体需求模式 包括 CPU 利用率 磁盘读取和写入以及网络流量等度量值 像所有 AWS 服务一样,Amazon CloudWatch 要求验证每一个向其控制 API 发出的请求, 唯有经过验证的用户才能访问和管理 CloudWatch 请求必须具有 HMAC-SHA1 签名, 签名由请求和用户私人密钥计算得出 此外, 仅可通过 SSL 加密的终端节点访问 Amazon CloudWatch 控制 API 您可通过 AWS 账户下用 AWS IAM 创建的用户进一步控制 Amazon CloudWatch 的访问权限, 并控制这些用户有权调用哪些 CloudWatch 操作 Amazon CloudFront 的安全性 Amazon CloudFront 可让客户轻松地向最终用户分发低延迟和高数据传输速度的内容 它使用全球节点网络提供动态的 静态的和流式处理内容 对客户数据元的请求将自动路由到最近节点, 从而尽可能以最佳性能传输内容 Amazon CloudFront 服务已进行了优化, 可集成其他 AWS 服务, 如 Amazon S3 Amazon EC2 Amazon Elastic Load Balancing 和 Amazon Route 53 它也可与任何非 AWS 原始服务器无缝配合, 这些服务器存储您的最新版本原始文件 Amazon CloudFront 要求验证每一个向它的控制 API 发出的每个请求, 唯有经过验证的用户才能创建 修改或删除自己的 Amazon CloudFront 内容分发 请求必须具有 HMAC-SHA1 签名, 签名由请求和用户私人密钥计算得出 此外, 仅可通过 SSL 加密的终端节点访问 Amazon CloudFront 控制 API 对于保留在 Amazon CloudFront 边缘位置的数据, 不保证它的耐久性 此服务可能会经常性地从边缘位置移除不是频繁地被请求的数据元 耐久性由 Amazon S3 提供,Amazon S3 作为 Amazon CloudFront 的原服务器工作, 保留 Amazon CloudFront 发送的数据元的原始明确的副本 第 40 页, 共 56 页

41 如果您要控制谁有能力从 Amazon CloudFront 下载内容, 您可启用服务的私人内容功能 此功能有两个组件 : 第一个组件控制 Amazon CloudFront 节点如何访问 Amazon S3 中的数据元 第二个组件控制如何将内容从 Amazon CloudFront 节点发送给向 Internet 上的查看者 您还可以根据查看人员的地理位置使用 CloudFront 的私有内容功能和第三方的地理位置产品给 Web 应用程序添加地理限制逻辑, 从而为内容定制一个锁定访问权限的方法 为了控制对 Amazon S3 中原始备份的访问,Amazon CloudFront 让您能够创建一个或多个 原访问身份, 并将这些身份与您的发行物相关联 当某个原访问身份与某个 Amazon CloudFront 发行物相关联后, 发行物将使用这个身份来检索来自 Amazon S3 的数据元 您可使用 Amazon S3 的 ACL 功能, 此功能限制对原访问身份的访问, 因此数据元的原始备份不具有公共可读性 为了控制谁可以从 Amazon CloudFront 节点下载数据元, 此服务使用一个具有签名的 URL 验证系统 为了使用这个系统, 您首先要创建一个私人密钥与公共密钥对, 并通过 Amazon Web Services 服务网址将公共密钥上传至您的账户 其次, 您配置您的 Amazon CloudFront 发行物, 以指示您将哪个账户授权至签名请求 您可将最多五个您信任的 AWS 账户使用签名请求 第三, 在您接收请求时, 您将创建策略文件, 指示您要 Amazon CloudFront 为您的内容服务的条件 这些策略文件能指定请求的数据元的名称 请求的日期和时间以及做出请求的客户端的源 IP( 或 CIDR 范围 ) 然后计算您的策略文件的 RSA-SHA1 编码并用您的私人密钥对它签名 第四, 当您引用您的数据元时, 您将编码策略文件和签名合并为查询字符串参数 当 Amazon CloudFront 收到请求时, 它将用您的公共密钥解码签名 Amazon CloudFront 将仅服务于具有有效策略文件和匹配的签名的请求 注意, 私有内容是一个可选功能, 当您设置您的 CloudFront 分发时, 必须将其启用 否则所发送的内容可供任何人读取 Amazon Cloudfront 还提供通过加密连接 (HTTPS) 传输内容的功能, 以鉴别发送至您的用户的内容 在默认情形下,Amazon Cloudfront 将通过 HTTP 及 HTTPS 协议接受请求 如果您喜欢, 您也可配置 Amazon Cloudfront, 要求对所有请求使用 HTTPS, 并拒绝所有的 HTTP 请求 对于 HTTPS 请求,Amazon Cloudfront 还将使用 HTTPS 取回来自 Amazon S3 的数据元 ; 这样, 无论什么时候传输您的数据元, 它都会被加密 第 41 页, 共 56 页

42 图 6:Amazon CloudFront 的安全性 Amazon CloudFront 访问日志包含关于内容请求的全套信息, 包括请求的数据元 请求的日期和时间 服务请求的节点 客户端 IP 地址 引用人及用户代理人 要启用访问日志, 仅需在配置 Amazon CloudFront 分发内容时指定 Amazon S3 存储段的名称以存入日志 Amazon Elastic MapReduce (Amazon EMR) 的安全性 Amazon Elastic MapReduce (Amazon EMR) 是一种 Web 服务, 可让您轻松地 低成本地处理大量数据 它利用的是 Amazon EC2 和 Amazon S3 的 Web 规模基础设施上运行的托管 Hadoop 框架 首先, 将您的输入数据和数据处理应用程序上传到 Amazon S3 然后,Amazon Elastic MapReduce 会启动您指定数量的 Amazon EC2 实例 该服务先执行任务流, 同时将输入数据从 Amazon S3 推入启动的 Amazon EC2 实例 任务流完成后,Amazon Elastic MapReduce 会将输出数据传输到 Amazon S3, 客户在此可以进行数据检索或将其用作其他任务流的输入数据 Amazon Elastic MapReduce 要求对每个 API 做出的请求进行鉴别, 只有经过鉴别的用户才能创建 查找或终止他们的工作流程 请求需要有 HMAC-SHA1 签名, 签名经由请求和用户私人密钥计算得出 Amazon Elastic MapReduce 提供 SSL 端点用来访问它的网络服务 API 及控制台 在代表客户启动任务流程时,Amazon Elastic MapReduce 会建立两个 Amazon EC2 安全组, 一个供主节点使用, 一个供从属节点使用 主安全组的端口是开放的, 以便与服务进行通信 它的 SSH 端口也呈开放状态, 以允许您使用启动时指定的密钥 SSH 到实例 从实例在单独的安全组中启动, 仅允许与主实例进行交互 默认情况下, 两个安全组都设置为不允许从属于其他客户的 Amazon EC2 实例等外部源进行访问 由于这些是您账户内的安全组, 所以您可以使用标准 EC2 工具或控制面板重新配置它们 为了保护客户的输入及输出数据集, Amazon Elastic MapReduce 用 SSL 将数据传入或传出 Amazon S3 为了增加安全性, 您可以使用任何公用数据压缩工具在将输入数据上传到 Amazon S3 以前对其进行加密 如果您确实要在上传以前对数据进行加密, 那么需要在 Amazon Elastic MapReduce 从 Amazon S3 中提取数据的任务流程开始前添加一个解密步骤 第 42 页, 共 56 页

43 Amazon Route 53 的安全性 Amazon Route 53 是一种授权型 DNS 系统 授权型 DNS 系统提供了一种更新机制, 供您管理公用 DNS 名称 然后, 它响应 DNS 查询, 将域名转换为 IP 地址, 以便计算机进行互相通信 Route 53 可将用户请求的连接到 AWS 中运行的基础设施 ( 如 Amazon EC2 实例或者 Amazon S3 存储段 ) 或 AWS 以外的基础设施 Amazon Route 53 执行两种 DNS 功能 它可让您管理为您的域名列出的 IP 地址 ( 记录 ), 并回答各种请求 ( 查询 ), 以便将具体的域名转换成相应的 IP 地址 针对域的查询会自动路由到最近的 DNS 服务器, 以便尽可能将延迟降到最低, 但也可以使用 加权轮循 (Weighted Round-Robin,WRR; 亦称 DNS 负载均衡 ) 进行路由 它能让您为 DNS 记录分配权重, 以此指定将流量的哪些部分路由到各个终端节点 Amazon Route 53 是使用 AWS 的高可用性和高可靠性的基础设施构建的 AWS DNS 服务器的分散性有助于确保您不断地将最终用户路由到您的应用程序 Route 53 同时支持 IPv4 和 IPv6 路由 像所有 AWS 服务一样,Amazon Route 53 要求验证对其控制 API 作出的每个请求, 因此, 只有经过验证的用户可以访问和管理 Route 53 API 请求的签署使用的是从该请求和该用户的 AWS 私有访问密钥中计算出来 HMAC-SHA1 或 HMAC-SHA256 签名 此外, 仅可通过 SSL 加密的终端节点访问 Amazon Route 53 控制 API 您可以使用 AWS IAM 在 AWS 账户下创建用户, 从而控制 Amazon Route 53 DNS 管理功能的访问权限, 并控制这些用户有权执行哪些 Route 53 操作 Amazon CloudSearch 的安全性 Amazon CloudSearch 是一款完全托管的云中服务, 可让您轻松地为网站或应用程序设置 管理或扩展搜索解决方案 Amazon CloudSearch 支持您搜索大量数据, 如网页 文档文件 论坛帖子或产品信息 它让您快速给网站添加搜索功能, 而不必成为搜索专家或担心硬件调配 设置和维护问题 Amazon CloudSearch 会随着您的数据量和流量变化自动进行调整, 从而满足您的需求 Amazon CloudSearch 域中封装了许多您希望搜索的数据 您的搜索请求的搜索实例以及用于控制数据索引和搜索的配置 对于您希望让其具有可搜索性的每个数据集合, 可为其创建单独的搜索域 对于每个域, 您都可以配置相关的索引选项 ( 描述您希望在索引中包括的字段以及您希望如何使用这些字段 ) 文本选项( 定义特定域的非索引字 词干和同义词 ) 分级表达式( 用于定制搜索结果的分级方式 ) 和访问策略 ( 控制域的文档和搜索终端节点的访问权限 ) 搜索域的终端节点的访问权限是由 IP 地址限制的, 因此, 只有获得授权的主机可以提交文档和发送搜索请求 IP 地址授权仅用于控制文档和搜索终端节点的访问权限 所有的 Amazon CloudSearch 配置请求都必须使用标准 AWS 身份验证进行验证 第 43 页, 共 56 页

44 Amazon CloudSearch 提供单独的终端节点, 供访问配置 搜索和文档服务使用 : 配置服务的访问是通过常规终端节点进行的 :cloudsearch.us-east-1.amazonaws.com 文档服务终端节点用于向域提交文档, 供编制索引使用, 并可通过特定域的终端节点进行访问 : 搜索终端节点用于向域提交搜索请求, 并可通过特定域的终端节点进行访问 : 请注意, 如果您没有静态 IP 地址, 那么每当 IP 地址发生更改时, 您都必须重新授权您的计算机 如果您的 IP 地址是动态指定的, 您也可以与网络上的其他计算机共享该地址 这意味着当您授权 IP 地址时, 共享该地址的所有计算机都可以访问您的搜索域的文档服务终端节点 像所有 AWS 服务一样,Amazon CloudSearch 要求验证对其控制 API 作出的每个请求, 因此, 只有经过验证的用户可以访问和管理 CloudSearch 域 API 请求的签署使用的是从该请求和该用户的 AWS 私有访问密钥中计算出来 HMAC-SHA1 或 HMAC-SHA256 签名 此外, 仅可通过 SSL 加密的终端节点访问 Amazon CloudSearch 控制 API 您可以使用 AWS IAM 在 AWS 账户下创建用户, 从而控制 Amazon CloudSearch 管理功能的访问权限, 并控制这些用户有权执行哪些 CloudSearch 操作 AWS Elastic Beanstalk 的安全性 AWS Elastic Beanstalk 是一种部署和管理工具, 可自动处理您应用程序的容量预配置 负载均衡和 Auto Scaling 功能 您只需上传可部署的代码,AWS Elastic Beanstalk 会自动处理剩下的部分 在应用程序运行后, Elastic Beanstalk 会自动处理各种管理任务, 如监控 应用程序版本部署 日志文件快照和运行状况检查, 并替换到看起来运行状况不佳的资源 ( 如 EC2 实例 ), 以便维持应用程序的正常运行 AWS Elastic Beanstalk 使用多种 AWS 功能和服务 ( 如 Amazon EC2 Amazon RDS Elastic Load Balancing Auto Scaling Amazon S3 和 Amazon SNS) 创建环境, 可无缝运行客户的应用程序 它会使用安全配置的 AMI 自动启动一个或多个 EC2 实例, 将应用程序存储在 S3 中, 启动负载均衡和自动扩展, 以及监控应用程序环境的运行状况 尽管 Elastic Beanstalk 会自动处理应用程序的预配置和部署, 您要可以使用 Elastic Beanstalk 控制台手动替换 AWS 资源 d 默认设置, 对底层基础设施保留尽可能多的控制 另外, 您也可以配置各种各样的监控和安全功能, 包括 : 通过启用负载均衡器上的 HTTPS, 强制执行数据在应用程序之间的安全传输 第 44 页, 共 56 页

45 当应用程序运行状况发生变化或添加 / 删除应用程序服务器时, 会通过 Amazon Simple Notification Service (Amazon SNS) 接收电子邮件变化通知通过将 HTTPS 指定为通知协议的方式启用安全的电子邮件通知传输调整应用程序服务器设置和传递环境变量, 包括 AWS 私有访问密钥, 这是应用程序验证 AWS 资源必需的密钥可启用 Amazon EC2 实例安全登录访问, 以立即并直接排除故障启用日志文件轮替, 该功能每小时会将客户的 EC2 实例日志文件向该应用程序关联的 Amazon S3 存储段复制一次可访问内置的 Amazon CloudWatch 监测指标, 例如平均 CPU 使用率 请求计数和平均等待时间 所有的 AWS Elastic Beanstalk 终端节点使用 HTTPS 协议进行访问 您可以通过使用 IAM 策略控制 Elastic Beanstalk 服务的访问权限 要简化 AWS Elastic Beanstalk 访问权限的授予过程, 您可以从使用 AWS IAM 控制台中的策略模板之一开始 AWS Elastic Beanstalk 提供两种模板 : 只读访问权限模板和完整访问权限模板 只读模板授予 AWS Elastic Beanstalk 资源的读取访问权限 完整访问权限模板授予所有 AWS Elastic Beanstalk 操作的完整访问权限, 以及管理 Elastic Load Balancing 和 Auto Scaling 等依赖性资源的权限 客户还可以使用 AWS 策略生成器创建自定义的策略, 允许或者拒绝特定 AWS Elastic Beanstalk 资源的权限, 如应用程序 应用程序版本和环境 AWS CloudFormation 的安全性 AWS CloudFormation 是一种预配置工具, 可让您记录运行应用程序必需的 AWS 资源的基线配置, 以便您可以有序地 可预计地对它们进行预配置和更新 您可以在称为模板的简单文本文件中定义运行应用程序所需的 AWS 资源 该模板可以重复使用, 以创建相同的资源堆栈副本 ( 或者用作启动新堆栈的基础 ) 您可以使用参数捕获和控制特定地区的基础设施变化, 如 Amazon EC2 AMI EBS 快照名称 RDS 数据库大小等等 这些参数允许对值进行声明, 并在创建堆栈时传递给模板 参数还是一种有效的指定敏感信息 ( 如用户名和密码 ) 的方式, 这些信息将不会存储在模板中 AWS CloudFormation 可让您进行简单的更改 ( 如更新现有资源的属性 ) 或更复杂的更改 ( 如添加或删除堆栈中的资源 ) 堆栈的更改是通过修改模板和更新堆栈完成的 AWS CloudFormation 会了解当前模板和新模板之间的不同之处, 并对堆栈进行相应的修改 您可以使用 CloudFormer 工具创建自己的模板, 描述 AWS 资源和任何关联的从属属性或者运行时参数, 也可以使用 AWS CloudFormation 的范例模板 就像 AWS Elastic Beanstalk 一样,CloudFormation 会自动部署资源, 因此您无需弄清楚预配置 AWS 资源所需的顺序, 也无需掌握使用从属属性的细微技巧 第 45 页, 共 56 页

46 AWS CloudFormation 会记录每个堆栈的资源创建和删除情况, 因此, 会向您显示已为堆栈预配置的所有资源的列表以及预配置事件的历史记录 模板使用的是文本文件, 因此可以对它进行版本控制, 就像其他应用程序项目一样 通过 AWS CloudFormation, 您可以对基础设施的定义进行版本控制, 其方式与对应用程序源进行版本控制一样所有 AWS CloudFormation 终端节点均使用 HTTPS 协议进行访问 您可以使用 AWS IAM 在 AWS 账户下创建用户, 从而控制 AWS CloudFormation 模板创建和管理功能的访问权限, 并控制这些用户有权执行哪些 CloudFormation 操作 附录 : 术语表 访问密钥 ID: 这是 AWS 为了唯一的标识每个 AWS 用户而分发的字符串, 它是一种与私有访问密钥关联的字母数字令牌 访问控制列表 (ACL): 用于存取数据元或者网络资源的权限或者规则的列表 在 Amazon EC2 中, 安全组发挥着实例级别上的 ACL 作用, 用于控制哪些用户拥有访问特定实例的权限 在 Amazon S3 中, 您可以使用 ACL 向用户群提供存储段或者数据元上的读取或者写入权限 在 Amazon VPC 中,ACL 的作用就象网络防火墙, 在子网级别控制访问权限 AMI: 一个 Amazon 机器映像 (AMI) 是一个存储在 Amazon S3 中的加密机器映像 它包含启动客户软件的实例所需的所有信息 API: 应用程序编程接口 (API) 是计算机科学中的一个接口, 它定义应用程序可能请求来自图书馆和 / 或操作系统的服务的方式 身份验证 : 身份验证是确定某人或事是否确实是其所宣称的人或事的过程 不仅需要对用户进行验证, 而且必须验证每个希望调用 AWS API 引入的功能的程序 AWS 要求您通过使用加密的哈希算法进行数字签名的方式对每个请求进行验证 Auto-Scaling: 一种 AWS 服务, 允许客户根据他们定义的条件自动增加或减少 Amazon EC2 容量 可用区域 :Amazon EC2 的位置由地区和可用区域组成 可用区域是专用于隔离其他可用区域内故障的区分位置, 可向相同地区中的其他可用区域提供低延迟的低价网络连接 堡垒主机 : 为了抵挡攻击而专门配置的计算机, 通常置于非军事区 (DMZ) 的外部 / 公共端或者防火墙的外面 您可以将公有子网设置为 Amazon VPC 的一部分, 从而将 Amazon EC2 实例设置为 SSH 堡垒 第 46 页, 共 56 页