目录 简介... 5 安全责任共担模型... 5 AWS 安全责任... 6 客户安全责任... 6 AWS 全球基础设施安全... 7 AWS 合规性计划... 7 物理和环境安全... 8 火灾探测及扑救... 8 电力... 8 气候与温度... 8 管理... 8 存储设备的退役... 8

Transcription

1 Amazon Web Services: 安全过程概述 ( 有关此白皮书的最新版本, 请查阅 第 1 页, 共 74 页

2 目录 简介... 5 安全责任共担模型... 5 AWS 安全责任... 6 客户安全责任... 6 AWS 全球基础设施安全... 7 AWS 合规性计划... 7 物理和环境安全... 8 火灾探测及扑救... 8 电力... 8 气候与温度... 8 管理... 8 存储设备的退役... 8 业务连续性管理... 9 可用性... 9 事件响应... 9 公司范围内的行政审查... 9 通信... 9 网络安全性 保护网络架构 安全接入点 传输保护 Amazon Corporate 分离 容错能力设计 网络监控和保护 AWS 访问 账户审查和审批 背景调查 凭证策略 安全设计原则 变更管理 软件 基础设施 第 2 页, 共 74 页

3 AWS 账户安全功能 AWS 凭证 密码 AWS Multi-Factor Authentication (AWS MFA) 访问密钥 密钥对 X.509 证书 个人用户账户 安全 HTTPS 接入点 安全日志 AWS Trusted Advisor 安全检查 特定于 AWS 服务的安全性 计算服务 Amazon Elastic Compute Cloud (Amazon EC2) 安全性 Auto Scaling 的安全性 联网服务 Amazon Elastic Load Balancing 安全性 Amazon Virtual Private Cloud (Amazon VPC) 安全性 Amazon Route 53 安全性 Amazon CloudFront 安全性 AWS Direct Connect 安全性 存储服务 Amazon Simple Storage Service (Amazon S3) 安全性 AWS Glacier 安全性 AWS Storage Gateway 安全性 AWS Import/Export 安全性 数据库服务 Amazon DynamoDB 安全性 Amazon Relational Database Service (Amazon RDS) 安全性 Amazon Redshift 安全性 Amazon ElastiCache 安全性 应用程序服务 Amazon CloudSearch 安全性 Amazon Simple Queue Service (Amazon SQS) 安全性 第 3 页, 共 74 页

4 Amazon Simple Notification Service (Amazon SNS) 安全性 Amazon Simple Workflow Service (Amazon SWF) 安全性 Amazon Simple Service (Amazon SES) 安全性 Amazon Elastic Transcoder 服务安全性 Amazon AppStream 安全性 分析服务 Amazon Elastic MapReduce (Amazon EMR) 安全性 Amazon Kinesis 安全性 AWS Data Pipeline 安全性 部署和管理服务 AWS Identity and Access Management (AWS IAM) Amazon CloudWatch 安全性 AWS CloudHSM 安全性 AWS CloudTrail 安全性 移动服务 Amazon Cognito Amazon Mobile Analytics 应用程序 Amazon WorkSpaces Amazon WorkDocs 附录 术语表 上一版本 (2014 年 11 月 ) 之后的变更 : 第 4 页, 共 74 页

5 简介 Amazon Web Services (AWS) 推出了一个具有高可用性和可靠性的可扩展云计算平台, 为客户提供运行各种应用程序的工具 帮助保护客户系统和数据的机密性 完整性和可用性对 AWS 而言至关重要, 同时也维持了客户的信任和自信 本文档旨在解答 AWS 如何帮助我保护数据 等问题 具体而言, 描述了针对 AWS 管理下的网络和服务器基础设施以及特定于服务的安全性实现的 AWS 物理及运行安全过程 安全责任共担模型 在我们详细探讨 AWS 如何保护其资源之前, 我们应讨论云中的安全性与您的本地数据中心的安全性之间存在哪些细微差异 在您将计算机系统和数据移至云后, 将由您和您的云服务提供商共担安全责任 在此情况下, AWS 负责保护支持云的底层基础设施, 而您负责您放置到云上或连接到云的任何内容 此责任共担安全模式可通过多种方式减轻您的运营负担, 在某些情况下, 甚至可改善您的默认安全状况, 而无需您执行其他操作 图 1:AWS 安全责任共担模型 您必须进行的安全配置工作量不定, 这取决于您选择的服务以及数据的敏感程度 但是有一些安全功能 例如个人用户账户和凭证 数据传输 SSL/TLS 和用户活动日志记录, 还是需要您进行配置, 无论您使用何种 AWS 服务 有关这些安全功能的更多信息, 请参阅下面的 AWS 账户安全功能 部分 第 5 页, 共 74 页

6 AWS 安全责任 Amazon Web Services 负责保护运行 AWS 云中提供的所有服务的全球基础设施 此基础设施由硬件 软件 网络和运行 AWS 服务的设施组成 保护此基础设施是 AWS 的头等任务, 虽然您无法访问我们的数据中心或办事处来直接查看此保护, 但我们会提供由第三方审计员在验证我们对大量计算机安全标准和法规的遵从性后出具的多个报告 ( 有关更多信息, 请访问 aws.amazon.com/compliance) 请注意, 除了保护此全球基础设施之外,AWS 还负责其视为托管服务的产品的安全配置 这些类型的服务的示例包括 Amazon DynamoDB Amazon RDS Amazon Redshift Amazon Elastic MapReduce Amazon WorkSpaces 和多种其他服务 这些服务提供了基于云的资源的可扩展性和灵活性以及托管的其他好处 对于这些服务, AWS 将处理来宾操作系统 (OS) 和数据库修补 防火墙配置以及灾难恢复等基本安全任务 对于其中的大多数托管服务, 您只需配置资源的逻辑访问控制并保护您的账户凭证 有几个托管服务可能需要执行其他任务, 例如, 设置数据库用户账户, 但整体安全配置工作由服务执行 客户安全责任 利用 AWS 云, 您可在几分钟 ( 而不是几周 ) 内预置虚拟服务器 存储 数据库和桌面 您还可使用基于云的分析和工作流工具来按需处理您的数据, 然后将数据存储在自己的数据中心或云中 您使用的 AWS 服务将确定在您的安全责任中您必须执行多少配置工作 分为易于理解的基础设施即服务 (IaaS) 类别的 AWS 产品 ( 例如,Amazon EC2 Amazon VPC 和 Amazon S3) 完全由您控制, 并且需要您执行所有必需的安全配置和管理任务 例如, 对于 EC2 实例, 您负责管理来宾操作系统 ( 包括更新和安全补丁 ) 实例上安装的任何应用程序软件或实用程序以及每个实例上的 AWS 提供的防火墙 ( 称为 安全组 ) 的配置 无论您的服务器位于何处, 这些基本上是您要执行的相同安全任务 AWS 托管服务 ( 如 Amazon RDS 或 Amazon Redshift) 提供了您执行特定任务所需的所有资源 但不提供它们可附带的配置工作 利用托管服务, 您不必担心启动和维护实例 修补来宾操作系统或数据库或者复制数据库 AWS 将为您处理一切工作 不过, 与所有服务一样, 您应保护您的 AWS 账户凭证并使用 Amazon Identity and Access Management (IAM) 设置个人用户账户, 以便您的所有用户都具有其自己的凭证并且您可实现职责划分 我们还建议对每个账户使用多重验证 (MFA), 这需要使用 SSL/TLS 来与您的 AWS 资源通信, 并使用 AWS CloudTrail 设置 API/ 用户活动日志记录 有关您可采取的其他措施的更多信息, 请参阅 AWS 安全最佳实践 白皮书和 AWS 安全资源网页上的推荐阅读内容 第 6 页, 共 74 页

7 AWS 全球基础设施安全 AWS 运营用于预置各种基本计算资源 ( 如处理和存储 ) 的全球云基础设施 AWS 全球基础设施包括设施 网络 硬件和支持这些资源的预置和使用的运营软件 ( 例如, 主机操作系统 虚拟化软件等 ) AWS 全球基础设施是根据安全最佳实践以及各种安全合规性标准进行设计和管理的 作为 AWS 客户, 您可以确定的是, 您将在全球最安全的计算基础设施上构建 Web 架构 AWS 合规性计划 Amazon Web Services 合规性帮助客户理解 AWS 用以维持云中的安全和数据保护的可靠控制 由于系统构建于 AWS 云基础设施上, 因此将共担合规性责任 通过将侧重于监管的 支持审核的服务功能与适用的合规性或审核标准结合使用,AWS 合规性促成者能够基于传统计划进行构建 ; 帮助客户建立 AWS 安全控制环境并在该环境中运营 AWS 向客户提供的 IT 基础设施是根据安全最佳实践和各种 IT 安全标准设计和管理的, 包括 : SOC 1/SSAE 16/ISAE 3402( 前身为 SAS 70) SOC 2 SOC 3 FISMA DIACAP 和 FedRAMP DOD CSM 1-5 级 PCI DSS 第 1 级 ISO 9001/ISO ITAR FIPS MTCS 第 3 级 此外,AWS 平台提供的灵活性和控制允许客户部署符合多种行业特定标准的解决方案, 包括 : 刑事司法信息服务 (CJIS) 云安全联盟 (CSA) 家庭教育权利和隐私法 (FERPA) 健康保险可携与责任法 (HIPAA) 美国电影协会 (MPAA) AWS 通过白皮书 报告 认证 鉴定和其他第三方认证, 向客户提供了有关 IT 控制环境的各种信息 网站 上的 风险与合规性 白皮书中提供了更多信息 第 7 页, 共 74 页

8 物理和环境安全 AWS 的数据中心是最先进的, 利用创新的架构和工程方法 Amazon 在设计 构建和运营大规模数据中心方面积累了多年的经验 这些经验已运用到 AWS 平台和基础设施中 AWS 数据中心安置在普通设施之中 专业的安保人员会利用视频监控 入侵检测系统和其他电子方式严格控制对界限和大楼入口的物理访问 授权员工必须经过至少两次双重身份验证才能进入数据中心层 所有访客和承包商都要求出示身份证明并签名登记方可进入, 并由授权人员全程陪同 AWS 仅向具有此类权限的合法业务需求的员工和承包商提供数据中心访问权限和信息 当某位员工不再具有针对这些特权的业务需求时, 其访问权限将被立即撤销, 即使此员工仍是 Amazon 或 Amazon Web Services 的员工 AWS 员工对数据中心进行的所有物理访问都会被记录, 并受到例行审核 火灾探测及扑救已安装了自动火灾探测及扑救设备, 以减少风险 火灾探测系统利用所有数据中心环境中的烟雾探测传感器 机械和电气基础设施空间 冷藏室及发电设备室 这些区域受到湿式 双重联锁预动式或气体式喷洒系统的保护 电力数据中心的电源系统被设计为充分冗余且可维护, 能够每天二十四小时 每周七天运行而不受任何影响 不间断电源系统 (UPS) 单元在出现电气故障时为设施内的关键及基本负载提供备用电源 数据中心使用发电机为整个设施提供备用电源 气候与温度需要进行温度控制, 使服务器和其他硬件维持在一个恒定的工作温度, 以防止过热并降低服务中断的可能性 数据中心配有空调, 将气候条件维持在最佳水平 人员和系统监测温度和湿度并将它们控制在合适的水平 管理 AWS 监控电气 机械及生命保障系统及设备, 以便立即确认任何问题 进行预防性维护, 以维持设备的持续运行性 存储设备的退役当某个存储设备已达到其使用寿命的最后时期时,AWS 程序中包括的退役流程可防止客户数据暴露给未授权的个人 作为退役流程的一部分,AWS 会使用 DoD M( National Industrial Security Program Operating Manual, 国家工业安全计划操作手册 ) 或 NIST ( Guidelines for Media Sanitization, 存储介质清理指南 ) 中详细描述的技术来销毁数据 将根据行业标准实践对所有退役的磁性存储设备进行消磁和物理销毁 第 8 页, 共 74 页

9 业务连续性管理 Amazon 的基础设施具有很高的可用性水平, 并向客户提供部署弹性 IT 体系结构的功能 AWS 设计的系统能够容忍系统或硬件故障, 并且对客户造成的影响极小 AWS 的数据中心业务连续性管理由 Amazon 基础设施团队指导 可用性数据中心在全球各个地区组成集群 所有数据中心都是在线的, 用来为客户提供服务 ; 任何数据中心都不是 孤立的 当发生故障时, 自动化流程会将客户数据流量移出受影响的区域 核心应用程序以 N+1 的配置进行部署, 在出现数据中心故障时, 将有足够的容量使流量能够均衡加载至其余站点 AWS 为您提供在多个地理区域内以及在每个地理区域的多个可用区中放置实例和存储数据的灵活性 每个可用区均设计为独立的故障区域 这意味着可用区被物理分隔在一个典型的大城市区域内, 并位于较低风险的冲击平原中 ( 特定的洪水区分类随地区不同而不同 ) 除了离散分布的不间断电源 (UPS) 和现场备用发电设施, 它们通过来自独立公用事业公司的不同电网供以电力, 进一步减少了单点故障 可用区以冗余方式连接至多个第 1 层中转供应商 您应设计您的 AWS 使用方式, 以利用多个区域和可用区 将应用程序分布在多个可用区提供了保持弹性的能力, 足以应对包括自然灾害或系统故障在内的大多数故障模式 事件响应 Amazon 事件管理团队在出现影响业务的事件时会使用行业标准诊断程序来推进事件的解决 职员管理人提供全天候服务来检测事故并管理影响和解决方案 公司范围内的行政审查 Amazon 的内部稽查组最近审查了 AWS 服务弹性计划, 高级行政管理团队及董事会稽查委员会的成员也定期审查了此计划 通信 AWS 在全球范围内使用各种内部通信方法, 帮助员工了解他们各自的任务和责任, 并及时传达重大事件 这些方法包括对新员工进行的引导及培训计划 ; 有关业绩更新及其他事项的常规管理会议 ; 视频会议 电子邮件 通过 Amazon 企业内部网发布信息等电子手段 AWS 还使用各种对外传播方法支持它的客户群和社区 通过相应机制, 客户支持团队能够获悉影响客户体验的运行问题 服务运行状况仪表板 可供客户支持团队使用并维护, 以便让客户对任何可能具有广泛影响的问题保持警觉 AWS 安全中心 可用于为您提供有关 AWS 的安全和合规性详细信息 您也可订阅 AWS Support 服务, 它包括与客户支持团队进行直接沟通以及对影响客户的问题进行主动式警报 第 9 页, 共 74 页

10 网络安全性 AWS 网络旨在允许您选择适合您工作负载的安全性和弹性级别 为了使您能够使用云资源构建地理分散的容错 Web 架构,AWS 实施了精心监控和管理的一流网络基础设施 保护网络架构网络设备, 包括防火墙和其他边界设备, 用于监控和控制网络外边界和网络内主要内边界的通信 这些边界设备采用规则集 访问控制列表 (ACL) 和配置来强制信息流向特定的信息系统服务 ACL 或流量策略基于每个托管接口建立, 可用于管理和强制流量 ACL 策略由 Amazon 信息安全部门审核 这些策略是使用 AWS 的 ACL 管理工具自动推送的, 可帮助确保这些托管接口强制实施最新的 ACL 安全接入点 AWS 战略性地安排了数量有限的云接入点, 以允许更全面地监控入站和出站通信以及网络流量 这些客户接入点称为 API 终端节点, 它们允许安全 HTTP 访问 (HTTPS), 这可让您与 AWS 中的存储或计算实例建立安全通信会话 为支持具有 FIPS 加密要求的客户,AWS GovCloud (US) 中的 SSL 终端负载均衡器符合 FIPS 此外,AWS 已实施旨在管理与 Internet 服务提供商 (ISP) 的接口通信的网络设备 AWS 使用与 AWS 网络的每个面向 Internet 的边缘上的多个通信服务的冗余连接 这些连接均具有专用网络设备 传输保护您可使用安全套接字层 (SSL)( 一种旨在防止窃取 篡改和消息伪造的加密协议 ) 通过 HTTP 或 HTTPS 连接到 AWS 接入点 对于需要更高网络安全性的客户而言,AWS 提供了 Amazon Virtual Private Cloud (VPC), 后者可在 AWS 云内部提供私有子网, 并能使用 IPsec Virtual Private Network (VPN) 设备在 Amazon VPC 与您的数据中心之间提供加密隧道 有关 VPC 配置选项的更多信息, 请参阅下面的 Amazon Virtual Private Cloud (Amazon VPC) 安全性部分 Amazon Corporate 分离逻辑上,AWS Production 网络与 Amazon Corporate 网络通过一组复杂的网络安全 / 分离设备来分离 企业网络上的为了维护 AWS 云组件而需要这些组件的访问权的 AWS 开发人员和管理员必须通过 AWS 票务系统显式请求访问权限 所有请求都由相应的服务所有者进行查看和审批 已批准的 AWS 人员随后可通过防御主机连接到 AWS 网络, 该主机将限制对网络设备和其他云组件的访问, 并记录所有活动以供安全审查 需要防御主机上的所有用户账户的 SSH 公钥身份验证才能访问防御主机 有关 AWS 开发人员和管理员逻辑访问的更多信息, 请参阅下面的 AWS 访问 第 10 页, 共 74 页

11 容错能力设计 Amazon 的基础设施具有很高的可用性水平, 并向您提供部署弹性 IT 架构的功能 AWS 设计的系统能够容忍系统或硬件故障, 并且对客户造成的影响极小 数据中心在全球多个地区组成集群 所有数据中心都是在线的, 用来为客户提供服务 ; 任何数据中心都不是 孤立的 当发生故障时, 自动化流程会将客户数据流量移出受影响的区域 核心应用程序以 N+1 的配置进行部署, 在出现数据中心故障时, 将有足够的容量使流量能够均衡加载至其余站点 AWS 为您提供在多个地理区域内以及在每个地理区域的多个可用区中放置实例和存储数据的灵活性 每个可用区均设计为独立的故障区域 这意味着可用区被物理分隔在一个典型的大城市区域内, 并位于较低风险的冲击平原中 ( 特定的洪水区分类随地区不同而不同 ) 除了利用离散分布的不间断电源 (UPS) 和现场备用发电机, 它们还通过来自独立公用事业公司的不同电网供电, 进一步减少了单点故障 可用区以冗余方式连接至多个第 1 层中转供应商 您应设计您的 AWS 使用方式, 以利用多个区域和可用区 将应用程序分布在多个可用区提供了保持弹性的能力, 足以应对包括自然灾害或系统故障在内的大多数故障方案 但是, 您应了解依赖于位置的隐私与合规性要求, 例如欧洲数据隐私指令 除非客户主动为之, 数据不在区域之间复制, 因此允许具有这些类型数据放置和隐私要求的客户建立合规的环境 应指出区域之间的所有通信都跨公共 Internet 基础设施传输 ; 因此, 应使用合适的加密方法来保护敏感数据 截至写作本文时, 共有十一个区域 : 美国东部 ( 弗吉尼亚北部 ) 美国西部 ( 俄勒冈 ) 美国西部 ( 加利福尼亚北部 ) AWS GovCloud( 美国 ) 欧洲 ( 爱尔兰 ) 欧洲 ( 法兰克福 ) 亚太区域 ( 新加坡 ) 亚太区域 ( 东京 ) 亚太区域 ( 悉尼 ) 南美洲 ( 圣保罗 ) 和中国 ( 北京 ) AWS GovCloud( 美国 ) 是隔离的 AWS 地区, 旨在通过帮助美国政府机构和客户满足特定的法规和合规性要求来允许他们将工作负载移至云中 AWS GovCloud( 美国 ) 框架允许美国政府机构及其承包商遵守美国国际武器贸易条例 (ITAR) 以及联邦风险与授权管理项目 (FedRAMP) 的要求 AWS GovCloud( 美国 ) 已收到来自美国卫生部 (HHS) 的运营代理权 (ATO), 可将 FedRAMP 认可的第三方评估组织 (3PAO) 用于多种 AWS 服务 AWS GovCloud( 美国 ) 区域提供的容错能力设计与其他区域相同, 具有两个可用区 此外,AWS GovCloud ( 美国 ) 区域默认情况下是必需的 AWS Virtual Private Cloud (VPC) 服务, 用于创建隔离的 AWS 云部分并启动具有私有 (RFC 1918) 地址的 EC2 实例 可在 AWS 网站上找到有关 GovCloud 的更多信息 : 第 11 页, 共 74 页

12 图 2: 区域和可用区 请注意, 可用区的数量会存在差异 网络监控和保护 AWS 利用广泛的自动化监控系统提供高级别的服务性能和可用性 AWS 监控工具设计用于在入站通信点和出站通信点上检测异常的或者未经授权的活动和状况 这些工具会监控服务器以及网络的使用情况 端口扫描活动 应用程序使用情况和未经授权的入侵尝试 这些工具能够设置异常活动的自定义性能指标阈值 AWS 内的系统拥有齐全的检测功能, 以监控关键的运行度量 配置了警报, 以便在超出关键运行度量的早期报警阈值时自动告知运营和管理人员 使用一个随时待命方案, 因此始终有人对运行问题做出响应 此方案包括一个寻呼系统, 因此警报能够迅速可靠地传递至运行人员 维护文档, 以辅助并通知运行人员处理事件或问题 如果需要合作解决问题, 则使用一个支持通讯和日志功能的会议系统 在处理需要合作的运行问题时, 受过培训的呼叫主管促进了通讯和进展 不管有无外部影响, 在出现任何重大运行问题后进行事后总结并起草错误原因 (COE) 文件, 这样就抓住了根本原因, 并在日后采取预防措施 通过每周运行会议追踪预防性措施的实施 第 12 页, 共 74 页

13 AWS 安全监控工具可识别出几种类型的拒绝服务 (DoS) 攻击, 包括分布式 泛滥型软件 / 逻辑攻击 当识别出 DoS 攻击时, 会启动 AWS 事件响应流程 除了 DoS 防御工具之外, 每个区域的冗余电信提供商以及额外的容量可抵御可能受到的 DoS 攻击 AWS 网络提供强大的保护功能, 以应对传统网络安全性问题, 而且您还能实施进一步的保护 以下是一些例子 : 分布式拒绝服务 (DDoS) 攻击 AWS API 终端节点承载在 Internet 范围内的大型世界级基础设施上, 使这些基础设施受益的工程专业人士正是已将 Amazon 建成世界最大网上零售商的工程专业人士 使用专有 DDoS 缓解技术 此外,AWS 的网络是跨多个供应商的多宿主网络, 可实现 Internet 访问的多样性 中间人 (MITM) 攻击 所有的 AWS API 均可通过 SSL 保护的终端节点访问, 它们可提供服务器身份验证 Amazon EC2 AMI 在首次启动时自动生成新的 SSH 主机证书, 并将证书记录至实例控制台 然后, 您可以使用安全 API 来调用控制台, 并在首次登录该实例之前访问主机证书 我们鼓励您使用 SSL 与 AWS 进行所有交互 IP 电子欺骗 Amazon EC2 实例无法发送欺诈的网络流量 AWS 控制的基于主机的防火墙基础设施不允许实例用非自有源 IP 或 MAC 地址发送流量 端口扫描 Amazon EC2 客户未经授权的端口扫描将违反 AWS 的可接受使用策略 严肃处理对 AWS 可接受使用策略的违反并调查每例违反报告 客户可通过我们网站上的联系人报告涉嫌滥用的情况, 网址为 : 当 AWS 检测到未经授权的端口扫描时, 扫描将被阻止并被阻断 对 Amazon EC2 实例的端口扫描通常是无效的, 因为在默认情况下,Amazon EC2 实例上的所有入站端口是关闭的且只能由您打开 您对安全组的严格管理能进一步缓解端口扫描的威胁 如果您对安全组进行配置, 让来自任何源的流量进入某个特定端口, 那么此特定端口将容易遭受端口扫描 在这些情况下, 您必须使用合适的安全措施来保护他们的收听服务, 对于防止未经授权的端口扫描发现他们的应用程序, 收听业务可能是必不可少的 例如, 某个 Web 服务器必须使端口 80 (HTTP) 对外开放, 此服务器的管理员负责 HTTP 服务器软件的安全, 如 Apache 您可根据需要请求执行漏洞扫描的权限, 以满足特定的合规性要求 这些扫描必须限于您自己的实例, 并且不得违反 AWS 的可接受使用策略 通过网站 提交请求, 可征求对这些类型的扫描的高级批准 其他租户的数据包探查 以混杂模式运行的某个虚拟实例无法接收或 探查 旨在供其他虚拟实例使用的流量 虽然您可将接口置于混杂模式下, 但虚拟机监控程序不会将任何不以这些接口为发送目标的流量发送给这些接口 即使两个虚拟实例由位于同一物理主机上的相同客户拥有, 它们也不能相互侦听流量 诸如 ARP 缓存中毒之类的攻击在 Amazon EC2 和 Amazon VPC 内无效 尽管 Amazon EC2 的确提供了丰富的保护手段来防止某个客户无意识地或恶意地企图窥视另一个客户的数据, 但作为标准惯例, 您应该对敏感的流量进行加密 第 13 页, 共 74 页

14 除监控之外, 会使用各种工具对 AWS 环境中的主机操作系统 Web 应用程序和数据库定期执行漏洞扫描 此外,AWS 安全团队订阅了有关适用的供应商缺陷的新闻源, 并主动监控供应商网站和其他相关站点以获得新的补丁 AWS 客户还可以通过 AWS 漏洞报告网站向 AWS 报告问题, 网址为 : AWS 访问 AWS Production 网络与 Amazon Corporate 网络分离, 需要一组独立的逻辑访问凭证 Amazon Corporate 网络依赖用户 ID 密码和 Kerberos, 而 AWS Production 网络需要通过防御主机进行的 SSH 公钥身份验证 Amazon Corporate 网络上需要访问 AWS 云组件的 AWS 开发人员和管理员必须通过 AWS 访问管理系统显式请求访问权限 所有请求都由相应的所有者或经理进行查看和审批 账户审查和审批每隔 90 天对账户进行审查 ; 要求经过明确的再次批准, 否则自动撤销对资源的访问权 当 Amazon 人力资源系统终止员工的记录时, 系统也会自动撤销访问权限 Windows 和 UNIX 账户将被禁用, 并且 Amazon 的权限管理系统将从所有系统中移除该用户 Amazon 权限管理工具审核日志将捕获访问期间的更改请求 当员工的工作职能发生变化时, 必须明确批准资源的继续访问权限, 否则将被自动撤销 背景调查 AWS 制定了正式策略和程序, 描述对 AWS 平台和基础设施主机进行逻辑访问的最低标准 AWS 在雇佣员工前, 会根据员工职位和访问权限级别, 对候选人进行筛选, 而在该筛选流程中,AWS 会依据相应法律进行犯罪背景调查 这些政策还确认了对逻辑访问及安全性进行管理的职责 凭证策略 AWS 安全团队已建立了一个具有必要配置和过期间隔的凭证策略 密码必须符合复杂性要求并强制每 90 天更改一次 安全设计原则 AWS 的开发过程遵循安全软件开发最佳实践, 其中包括 AWS 安全团队进行的正式设计复查 威胁建模及风险评估的完成 静态代码分析工具作为标准构建过程的一部分而运行, 且所有部署的软件都由谨慎挑选的行业专家反复进行渗透测试 我们的安全风险评估复查在设计阶段开始, 并贯穿于从发布到正在进行的操作的整个过程 第 14 页, 共 74 页

15 变更管理 依据类似系统的行业规范, 对现有 AWS 基础设施的例行 紧急及配置更改进行授权 日志记录 测试 审批并存档 在最大程度减少对客户及对客户使用服务的影响的前提下, 对 AWS 基础设施进行更新 当服务的使用可能受到不利影响时,AWS 将通过电子邮件或 AWS 服务运行状况仪表板 ( 与客户进行沟通 软件 AWS 运用系统的方法来管理变更, 因此, 对于影响客户服务的变更, 将进行全面的审查 测试 批准及妥善沟通 AWS 的变更管理过程旨在避免非故意的服务中断并维护面向客户的服务的完整性 部署在生产环境中的更改为 : 审查 : 需要对更改的技术方面进行同行互查 测试 : 对所应用的更改进行测试, 以帮助确保它们符合预期要求, 不会影响性能 审批 : 所有更改都必须获得授权, 以便适当地监督并了解业务影响 通常从受影响最小的区域开始, 分阶段地部署变更 在单个系统上对部署进行测试, 并进行密切监控, 以便评估影响 服务所有者有很多可配置的度量, 可测量服务的上游依赖性情况 用合适的阈值和报警对这些度量进行密切监控 回滚程序记录在变更管理 (CM) 票证中 如果可能, 在常规变更时段期间安排变更 对需要偏离标准变更管理程序的生产系统的紧急变更要与某个事件相关联并进行合理验收 AWS 会定期审查关键服务的变更, 以监控质量 维持高标准并促进变更管理过程的持续完善 分析任何例外情形以确定根本原因, 并采取合理的措施使变更合乎要求, 或在必要时转返变更 采取措施, 解决并纠正过程或人的问题 基础设施 Amazon 的公司应用程序团队开发并管理软件, 为第三方软件交付领域中的 UNIX/Linux 主机 内部开发的软件及配置管理实现 IT 过程自动化 基础设施团队维护并运行一个 UNIX/Linux 配置框架, 以解决硬件的可扩展性 可用性 审批及安全性管理 通过使用自动化过程来集中管理主机,Amazon 有能力达到它的高可用性 可重复性 可扩展性 安全性及灾难恢复能力的目标 系统及网络工程师不断监控这些自动化工具的状态, 审查报告, 对未能获得或更新其配置及软件的主机做出响应 在预置新硬件时, 将安装内部开发的配置管理软件 这些工具在所有 UNIX 主机上运行, 以验证主机的配置和软件的安装是否符合分配给主机的角色所确定的标准 此配置管理软件还有利于对已经安装在主机上的程序包进行定期更新 仅通过权限服务启用的认可人员可登录中央配置管理服务器 第 15 页, 共 74 页

16 AWS 账户安全功能 AWS 提供了各种工具和功能, 可供您用来阻止 AWS 账户和资源在未经授权的情况下被使用 这包括用于访问控制的凭证 用于加密数据传输的 HTTPS 终端节点 单独 IAM 用户账户的创建 用于安全监控的用户活动日志记录和 Trusted Advisor 安全检查 无论您选择哪种 AWS 服务, 都可利用所有安全工具 AWS 凭证 为帮助确保仅授权用户和过程访问您的 AWS 账户和资源,AWS 使用多种凭证进行身份验证 这些凭证包括密码 加密密钥 数字签名和证书 我们还提供了需要多重验证 (MFA) 才能登录 AWS 账户或 IAM 用户账户的选项 下表重点介绍了各种 AWS 凭证及其使用 凭证类型使用描述 密码 AWS 管理控制台的 AWS 根账户或 IAM 用户账户登录信息 用于登录 AWS 账户或 IAM 账户的字符串 AWS 密码的长度必须最少为 6 个字符且最多 128 个字符 Multi-Factor Authentication (MFA) AWS 管理控制台的 AWS 根账户或 IAM 用户账户登录信息 除了密码之外, 登录 AWS 账户或 IAM 用户账户需要 6 位数一次性代码 访问密钥 对 AWS API 的数字签名请求 ( 使用 AWS 软件开发工具包 CLI 或 REST/ 查询 API) 包括访问密钥 ID 和秘密访问密钥 使用访问密钥对您向 AWS 发出的编程请求进行数字签名 密钥对 EC2 实例的 SSH 登录 CloudFront 签名的 URL X.509 证书 对 AWS API 发出的数字签名的 SOAP 请求 HTTPS 的 SSL 服务器证书 需要密钥对才能连接到从公用 AMI 启动的 EC2 实例 Amazon EC2 使用的密钥为 1024 位 SSH-2 RSA 密钥 启动实例时系统将自动为您生成密钥对, 也可上传您自己的密钥对 X.509 证书只用于对基于 SOAP 的请求进行签名 ( 当前仅用于 Amazon S3) 您可让 AWS 创建您可下载的 X.509 证书和私钥, 也可以使用 安全凭证 页上传您自己的证书 您随时可从 安全凭证 页下载账户的凭证报告 此报告列出了您账户的所有用户及其凭证的状态 用户是否使用密码, 其密码是否过期且必须定期更改, 他们上次更改密码的时间 他们上次轮换访问密钥的时间以及他们是否启用了 MFA 出于安全考虑, 如果您丢失或忘记了凭证, 则无法恢复或重新下载它们 但是, 您可以创建新的凭证, 然后禁用或删除原有的一组凭证 第 16 页, 共 74 页

17 实际上,AWS 建议您定期更改 ( 轮换 ) 访问密钥和证书 为了避免这一操作对应用程序的可用性造成任何潜在影响,AWS 支持多个并存访问密钥和证书 凭借这一功能, 您可以定期将密钥和证书轮替投入或撤消使用, 而且您的应用程序不会停机 这有助于减轻丢失或泄露访问密钥或证书的风险 利用 AWS IAM API, 您能够轮换 AWS 账户以及 IAM 用户账户的访问密钥 密码需要密码才能访问 AWS 账户 个人 IAM 用户账户 AWS 开发论坛和 AWS Support 中心 您在首次创建账户时指定密码, 然后可通过转至 安全凭证 页随时更改密码 AWS 密码的长度最多为 128 个字符且可包含特殊字符, 建议您创建不容易被猜出的强密码 您可为 IAM 用户账户设置密码策略以确保使用强密码并定期更改密码 密码策略是一组规则, 定义 IAM 用户可以设置的密码类型 有关密码策略的更多信息, 请转至 使用 IAM 中的管理密码 AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) 增加了访问 AWS 服务的安全性 当您启用此项可选功能时, 在授予对 AWS 账户设置或 AWS 服务和资源的访问权之前, 除了您的标准用户名和密码凭证之外, 您还需要提供一个六位数的一次性代码 您从物理拥有的身份验证设备中获取此一次性代码 这称为多重验证, 因为系统在授予访问权之前需要检查多个身份验证要素 : 密码 ( 您知道的 ) 和身份验证设备中的精确代码 ( 您拥有的 ) 您可以为您的 AWS 账户以及您使用 AWS IAM 在 AWS 账户下创建的用户启用 MFA 设备 此外, 当您要允许在一个 AWS 账户下创建的用户使用 IAM 角色访问另一个 AWS 账户下的资源时, 为跨 AWS 账户的访问添加 MFA 保护 在将角色作为额外的安全层代入之前, 您可要求用户使用 MFA AWS MFA 支持同时使用硬件令牌和虚拟 MFA 设备 虽然虚拟 MFA 设备使用的协议与物理 MFA 设备使用的协议相同, 但前者可在任何移动硬件设备 ( 包括智能手机 ) 上运行 虚拟 MFA 设备使用可生成六位数身份验证代码的软件应用程序, 这些代码符合基于时间的一次性密码 (TOTP) 标准, 如 RFC 6238 中所述 大多数虚拟 MFA 应用程序还允许您托管多个虚拟 MFA 设备, 这将使其比硬件 MFA 设备更加方便 不过, 您应注意到, 由于虚拟 MFA 可以在安全性较差的设备上运行, 例如智能手机, 因此, 虚拟 MFA 所具有的安全水平与硬件 MFA 设备有所差异 此外, 您也可对 AWS 服务 API 实施 MFA 身份验证, 从而为重大操作或特权操作 ( 例如, 终止 Amazon EC2 实例或读取 Amazon S3 中存储的敏感数据 ) 提供一层额外的保护 可通过向 IAM 访问策略添加 MFA 身份验证要求来达到这一目的 您可将这些访问策略附加至 IAM 用户 IAM 群组或支持访问控制列表 (ACL) 的资源 ( 如 Amazon S3 存储桶 SQS 队列和 SNS 主题 ) 从参与的第三方提供商处获取硬件令牌或从 AppStore 获取虚拟 MFA 应用程序并通过 AWS 网站设置此应用程序以供使用是非常轻松的 有关 AWS MFA 的更多信息, 请参阅 AWS 网站 : 第 17 页, 共 74 页

18 访问密钥 AWS 要求对所有 API 请求进行签名, 即它们必须包括可供 AWS 用来验证请求者身份的数字签名 您可使用加密哈希函数计算数字签名 在此情况下, 哈希函数的输入内容包括您的请求文本和秘密访问密钥 如果您使用任一 AWS 软件开发工具包生成请求, 则系统将为您执行数字签名计算 ; 否则, 您可遵循我们的文档中的指令操作, 让您的应用程序计算数字签名并将其包含在 REST 或 Query 请求中 签名过程不仅通过防止请求在传输中被篡改来帮助保护消息的完整性, 而且帮助抵御潜在的重播攻击 请求必须在请求中 15 分钟的时间戳内到达 AWS 否则,AWS 将拒绝该请求 数字签名计算过程的最新版本为签名版本 4, 该版本使用 HMAC-SHA256 协议计算签名 版本 4 要求您使用派生自您的秘密访问密钥的密钥而不是使用秘密访问密钥本身来对消息进行签名, 从而提供高于早期版本的额外保护措施 此外, 您可派生基于凭证范围的签名密钥, 这有助于对签名密钥进行加密隔离 由于访问密钥一旦落入不法分子手中便可能被滥用, 因此我们鼓励您将其保存在安全位置且不要将其嵌入代码中 对于具有大量弹性缩放 EC2 实例的客户, 使用 IAM 角色管理访问密钥的分配是更安全 更方便的做法 IAM 角色提供临时凭证, 这些凭证不仅会自动加载到目标实例中, 而且一天中会自动轮换多次 密钥对从公用 AMI 创建的 Amazon EC2 实例使用公有 / 私有密钥对而不是密码以通过安全外壳 (SSH) 进行登录 公钥将嵌入您的实例中, 您可以使用私钥安全登录而无需使用密码 在您创建您自己的 AMI 后, 您可以选择其他机制安全登录到您的新实例 启动实例时系统将自动为您生成密钥对, 也可上传您自己的密钥对 将私钥保存在系统上安全的位置, 并记录保存位置 对于 Amazon CloudFront, 您可以使用密钥对为私有内容创建签名 URL( 例如, 当您要分配某人已付费的限制内容时 ) 使用 安全凭证 页面创建 Amazon CloudFront 密钥对 CloudFront 密钥对只能通过根账户创建, 不能由 IAM 用户创建 X.509 证书 X.509 证书用于对基于 SOAP 的请求进行签名 X.509 证书包含一个公钥和额外的元数据 ( 如 AWS 会在您上传证书时验证到期日期 ) 并与一个私钥关联 在创建请求时, 您使用私钥创建一个数字签名, 然后将此签名与证书一起包含在请求中 AWS 通过使用证书中的公钥对签名进行解密来验证您是否为发件人 AWS 还验证您发送的证书是否与您上传到 AWS 的证书匹配 第 18 页, 共 74 页

19 对于 AWS 账户, 您可让 AWS 创建您可下载的 X.509 证书和私钥, 您也可以使用 安全凭证 页上传您自己的证书 对于 IAM 用户, 您必须使用第三方软件创建 X.509 证书 ( 签名证书 ) 与根账户凭证相比,AWS 无法为 IAM 用户创建 X.509 证书 在创建证书后, 使用 IAM 将其附加到 IAM 用户 除了 SOAP 请求之外,X.509 证书还用作 SSL/TLS 服务器证书以便客户使用 HTTPS 加密其传输 要将这些证书用于 HTTPS, 您可使用开源工具 ( 如 OpenSSL) 创建唯一私钥 您需要此私钥才能创建证书签名请求 (CSR), 可将此请求提交到证书颁发机构 (CA) 来获取服务器证书 随后, 您使用 AWS CLI 将证书 私钥和证书链上传到 IAM 您还需要 X.509 证书才能为 EC2 实例创建自定义 Linux AMI 仅当创建实例支持的 AMI( 而非 EBS 支持的 AMI) 时才需要此证书 您可让 AWS 创建您可下载的 X.509 证书和私钥, 也可以使用 安全凭证 页上传您自己的证书 个人用户账户 AWS 提供了一个名为 AWS Identity and Access Management (IAM) 的集中机制以在 AWS 账户中创建和管理个人用户 用户可以是以编程方式或通过 AWS 管理控制台或 AWS 命令行界面 (CLI) 与 AWS 资源交互的个人 系统或应用程序 在 AWS 账户内, 每个用户均有唯一的用户名和一组不得与其他用户共享的唯一安全凭证 AWS IAM 消除了共享密码或密钥的需求, 并使您能够最大程度地减少对 AWS 账户凭证的使用 借助 IAM, 您可定义策略来控制您的用户可访问的 AWS 服务以及可使用该服务执行的操作 您可仅向用户授予其执行工作所需的最低权限 有关更多信息, 请参阅下面的 AWS Identity and Access Management (AWS IAM) 部分 安全 HTTPS 接入点 为了提高访问 AWS 资源时的通信安全性, 您应使用 HTTPS 而不是 HTTP 进行数据传输 HTTPS 使用 SSL/TLS 协议, 该协议使用公钥加密以防止窃取 篡改和伪造 所有 AWS 服务都提供安全的客户接入点 ( 又称 API 终端节点 ), 以允许您建立安全的 HTTPS 通信会话 此外, 多种服务现在都提供更高级的密码套件, 这些套件使用 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 协议 ECDHE 允许 SSL/TLS 客户端提供完美前向保密, 后者使用的会话密钥是临时的且不存储在任何位置 这有助于防止未经授权的第三方对捕获的数据进行解码, 即使加密长期密钥本身已泄露也是如此 安全日志 日志对出现问题后了解事件至关重要, 如同凭证和加密终端节点对防止安全问题很重要一样 要与安全工具一样高效, 日志不仅必须包含事件和发生时间的列表, 而且必须标识源 为帮助您进行事后调查和近实时入侵检测,AWS CloudTrail 提供了面向账户内的 AWS 资源的所有请求的日志 对于每个事件, 您可看到访问的服务 执行的操作以及发出请求的人员 CloudTrail 捕获有关对您使用的所有 AWS 资源的每个 API 调用的信息, 包括登录事件 在您启用 CloudTrail 后, 每 5 分钟交付一次事件日志 您可配置 CloudTrail, 以便将多个区域中的日志文件聚合到一个 Amazon S3 存储桶中 从存储桶中, 您可将日志文件上传到喜欢的日志管理和分析解决方案中, 以执行安全分析和检测用户行为模式 默认情况下, 日志文件将安全地存储在 Amazon S3 中, 但您也可将其存档到 Amazon Glacier 中以帮助满足审核和合规性要求 第 19 页, 共 74 页

20 在您启用 CloudTrail 后, 每 5 分钟交付一次事件日志 您可配置 CloudTrail, 以便将多个区域中的日志文件聚合到一个 Amazon S3 存储桶中 从存储桶中, 您可将日志文件上传到喜欢的日志管理和分析解决方案中, 以执行安全分析和检测用户行为模式 默认情况下, 日志文件将安全地存储在 Amazon S3 中, 但您也可将其存档到 Amazon Glacier 中以帮助满足审核和合规性要求 除了 CloudTrail 的用户活动日志之外, 您还可使用 Amazon CloudWatch Logs 功能近实时地从 EC2 实例和其他源中收集和监控系统 应用程序和自定义日志文件 例如, 您可监控 Web 服务器日志文件中的无效用户消息以检测对您的来宾操作系统的未经授权的登录尝试 AWS Trusted Advisor 安全检查 AWS Trusted Advisor 客户支持服务不仅监控云性能和弹性, 还监控云安全性 Trusted Advisor 可检查您的 AWS 环境, 并在有可能节省开支 提高系统性能或弥补安全漏洞时为您提供建议 它提供有关多项最常见安全配置错误的预警, 包括使特定端口保持开放状态从而导致您易受攻击和未经授权的访问 忘记为内部用户创建 IAM 账户从而允许公众访问 Amazon S3 存储桶 未启用用户活动日志记录 (AWS CloudTrail) 或未在根 AWS 账户上使用 MFA 您还有一个选项, 即让组织的安全联系人自动接收包含 Trusted Advisor 安全检查的更新状态的每周电子邮件 AWS Trusted Advisor 服务向所有用户免费提供四项检查, 包括三项重要的安全检查 : 特定端口不受限 IAM 使用和根账户上的 MFA 当您注册企业级或大型企业级 AWS Support 时, 将获得对所有 Trusted Advisor 检查的完全访问权 特定于 AWS 服务的安全性 安全性不仅嵌入到 AWS 基础设施的每一层, 而且嵌入到基础设施上提供的每个服务中 AWS 服务设计为可高效而安全地在所有 AWS 网络和平台上运行 每个服务都提供了广泛的安全功能, 可让您保护敏感数据和应用程序 计算服务 Amazon Web Services 提供了大量基于云的计算服务, 这些服务包括各种计算实例, 这些实例可自动向上扩展和向下扩展以满足应用程序或企业的需求 Amazon Elastic Compute Cloud (Amazon EC2) 安全性 Amazon Elastic Compute Cloud (EC2) 是 Amazon 的基础设施即服务 (IaaS) 中的一个关键组件, 它利用 AWS 数据中心中的服务器实例提供大小可调的计算容量 Amazon EC2 旨在通过让轻松获取和配置容量来简化 Web 规模的计算 您创建并启动作为平台硬件和软件集合的实例 多级安全性 Amazon EC2 内的安全性分多个级别提供 : 主机平台的操作系统 (OS) 虚拟实例操作系统或来宾操作系统 防火墙和签名 API 调用 其中每一项均建立在其他项的能力之上 目标是防止未经授权的系统或用户拦截 Amazon EC2 中包含的数据, 以及在不牺牲客户所需配置的灵活性的情况下尽可能安全的 Amazon EC2 实例 第 20 页, 共 74 页

21 虚拟机监控程序 Amazon EC2 当前利用半虚拟化 ( 在 Linux 来宾的情况下 ) 使用高度自定义版本的 Xen 虚拟机监控程序 由于半虚拟化的来宾依赖于虚拟机监控程序为通常需要特权访问的操作提供支持, 来宾操作系统没有对 CPU 的已升级访问权限 CPU 提供四种单独的特权模式 :0-3, 被称为环 环 0 具有最高特权, 环 3 具有最低特权 主机操作系统以环 0 运行 然而, 并非像大多数操作系统那样以环 0 运行, 来宾操作系统以较低特权的环 1 运行, 而应用程序则以最低特权的环 3 运行 这种明显的物理资源虚拟化导致来宾和虚拟机监控程序之间的明确分离, 致使这两者之间出现另外的安全分离 实例隔离在同一物理机器上运行的不同实例通过 Xen 虚拟机监控程序相互隔离 Amazon 是 Xen 社团的积极参与者, 这使其了解 Xen 的最近发展情况 此外,AWS 防火墙位于虚拟机监控程序层内, 位于物理网络接口与实例的虚拟接口之间 所有数据包都必须经过此层, 因此与 Internet 上的任何其他主机相比, 实例的邻居对该实例没有更多访问权限, 就好像它们位于不同的物理主机上 物理 RAM 采用类似的机制进行分离 客户实例对原始磁盘设备没有访问权限, 但拥有虚拟化磁盘 AWS 专有磁盘虚拟化层自动复位客户所用的每个存储块, 因此一个客户的数据从不会无意地暴露给另一个客户 此外, 当分配给来宾的内存未分配给某个来宾时, 虚拟机监控程序会将其擦除 ( 设为零 ) 内存擦除完成之前, 该内存不会返回到可用于新分配的可用内存池 AWS 建议客户使用合适的手段进一步保护他们的数据 一个常用的解决方案就是在虚拟硬盘设备之上运行一个加密文件系统 第 21 页, 共 74 页

22 图 3:Amazon EC2 多级安全性 主机操作系统 : 具有需要访问管理层面的业务的管理者需要使用多重验证方可获得对因特定目的而建立的管理主机的访问权 这些管理主机是专门设计 构建 配置并强化的系统, 用于保护云的管理层面 所有此类访问均需经过记录和审计 当某位员工不再具有某项需要访问管理层面的业务时, 可能会取消其对这些主机和相关系统的特权和访问权限 来宾操作系统 : 虚拟实例完全由您 ( 即客户 ) 控制 您拥有针对账户 服务和应用程序的完全根访问权限或管理控制权 AWS 不具有对您的实例或来宾操作系统的任何访问权 AWS 推荐了一组基本的安全性最佳实践, 包括禁止仅使用密码访问您的来宾, 并利用某种形式的多重验证来获得对您的实例的访问权 ( 或最低限度使用基于证书的 SSH 版本 2 访问权 ) 此外, 对于每个用户的登录, 您应使用一个特权升级机制 例如, 如果来宾操作系统是 Linux, 那么在强化您的实例后, 您应该使用基于证书的 SSHv2 来访问此虚拟实例, 禁用远程根目录登录, 使用命令行日志记录并对特权升级使用 sudo 您应生成您自己的密钥对, 以保证他们的独特性, 并且不要与其他客户或 AWS 共享密钥对 AWS 还支持使用安全外壳 (SSH) 网络协议, 以使您能够安全登录到您的 UNIX/Linux EC2 实例 针对用于 AWS 的 SSH 的身份验证通过公有 / 私有密钥对来降低您的实例受到未经授权的访问的风险 您也可以利用为您的实例生成的 RDP 证书, 通过远程桌面协议 (RDP) 远程连接到您的 Windows 实例 您还可以控制对来宾操作系统的更新和修补, 包括安全更新 Amazon 提供的基于 Windows 的 AMI 和基于 Linux 的 AMI 将定期通过最新补丁进行更新, 因此, 如果您不需要保留正在运行的 Amazon AMI 实例的数据或自定义项, 则只需使用最新的更新后的 AMI 重启新实例即可 此外, 将通过 Amazon Linux yum 存储库提供对 Amazon Linux AMI 的更新 第 22 页, 共 74 页

23 防火墙 :Amazon EC2 提供了一个完整的防火墙方案 ; 此强制性入站防火墙的默认配置为拒绝全部模式, Amazon EC2 客户必须明确地打开允许入站流量所需的端口 流量可能受到协议 服务端口以及源 IP 地址 ( 单个 IP 或无类别域间路由 (CIDR) 块 ) 的限制 可以分组配置防火墙, 允许不同类别的实例具有不同的规则 例如, 考虑传统三层 Web 应用程序的情况 Web 服务器组具有对 Internet 开放的端口 80 (HTTP) 和 / 或端口 443 (HTTPS) 应用程序服务器组具有仅可由 Web 服务器组访问的端口 8000( 特定于应用程序 ) 数据库服务器组具有仅对应用程序服务器组开放的端口 3306 (MySQL) 这三个组均允许端口 22 (SSH) 上的管理访问, 但只能从客户的公司网络访问 可使用此表达机制来部署高度安全的应用程序 见下图 : 图 4:Amazon EC2 安全组防火墙 防火墙不是通过来宾操作系统控制的 ; 相反, 它需要您的 X.509 证书和密钥来授权更改, 这样就又添加了一层安全保护 AWS 具有授予对实例及防火墙上不同管理功能的粒度访问权的能力, 因此使您能够通过职责分离来实施额外的安全性 防火墙提供的安全级别是您开放的端口的函数, 并与持续时间和目的有关 默认状态是拒绝所有传入流量, 在构建并保护应用程序时, 您应仔细计划要开放的端口 仍然需要基于每个实例进行良好的流量管理和安全设计 AWS 进一步鼓励您对基于主机的防火墙 ( 例如 IPtables 或 Windows 防火墙和 VPN) 另外使用每个实例过滤器 这能限制入站流量和出站流量 API 访问 : 启动并终止实例 改变防火墙参数及执行其他功能的 API 调用均通过您的 Amazon 秘密访问密钥进行签名, 此密钥可以是 AWS 账户秘密访问密钥, 也可以是通过 AWS IAM 创建的用户的秘密访问密钥 如果无法访问您的秘密访问密钥, 则无法代表您实施 Amazon EC2 API 调用 此外, 可使用 SSL 对 API 调用进行加密, 以保持机密性 Amazon 建议始终使用受 SSL 保护的 API 终端节点 权限 :AWS IAM 还使您能够进一步控制用户具备调用哪些 API 的权限 第 23 页, 共 74 页

24 Elastic Block Storage (Amazon EBS) 安全性您可利用 Amazon Elastic Block Storage (EBS) 来创建容量为 1 GB 至 16 TB 的卷, 然后通过 Amazon EC2 实例将这些存储卷作为设备进行安装 存储卷如同原始 非格式化的块储存设备运作, 支持用户提供的设备名称和块储存设备接口 您可创建一个基于 Amazon EBS 卷的文件系统, 也可按您使用块储存设备 ( 如硬盘 ) 的任何其他方式来应用这些卷 Amazon EBS 卷访问被限制为创建卷的 AWS 账户以及 AWS 账户下的用 AWS IAM 创建的用户 ( 如果用户已被授予 EBS 操作的访问权 ), 因此拒绝向所有其他 AWS 账户和用户提供查看或访问卷的权限 存储在 Amazon EBS 卷中的数据会以冗余方式存储在多个物理位置, 这是这些服务正常操作的一部分, 无需任何额外费用 然而,Amazon EBS 复制存储在同一可用区中, 而不是在多个区域之间 ; 因此, 我们强烈建议您应为 Amazon S3 拍摄定期快照以实现长期数据持久性 对于已用 EBS 构建复杂事务性数据库的客户, 建议应通过数据库管理系统对 Amazon S3 进行备份, 这样就能对分布式事务及日志执行检查点操作 对于 Amazon EC2 上运行的实例所附带的虚拟磁盘上维护的数据,AWS 不进行备份 您可以公开 Amazon EBS 卷快照以供其他 AWS 账户将其用作创建自己的快照的基础 共享 Amazon EBS 卷快照并不为其他 AWS 账户提供更改或删除原始快照的权限, 因为该权限是为创建该卷的 AWS 账户而明确保留的 EBS 快照是整个 EBS 卷的数据块级别视图 请注意, 通过卷上的文件系统看不到的数据, 例如已经删除的文件, 可能仍存在于 EBS 快照中 如果您要创建共享快照, 则应小心地创建 如果某个卷含有敏感数据或已从卷上删除了文件, 那么应创建一个新的 EBS 卷 应该将共享快照中要包含的数据复制到新卷以及用此新卷创建的快照 Amazon EBS 卷作为原始未格式化的块储存设备提供给您, 在使它可供使用之前已经对它进行了擦除 重用之前立即擦除, 以便您可以确认完成擦除操作 如果您具有要求通过某个特定方法擦除所有数据的程序, 例如 DoD M( 国家行业安全程序操作手册 ) 或 NIST ( 媒介卫生处理指南 ) 中详述的程序, 就有在 Amazon EBS 上执行此操作的能力 您在删除卷之前应该进行专门的擦除程序, 以满足您已规定的要求 敏感数据加密通常是一种不错的安全做法, 并且 AWS 允许用户使用 AES-256 对 EBS 卷及其快照进行加密 加密还发生在托管 EC2 实例的服务器上, 当数据在 EC2 实例和 EBS 存储之间移动时提供数据加密 为了高效并以较低延迟执行此操作,EBS 加密功能只在更强大的 EC2 实例类型 ( 如 M3 C3 R3 G2) 上可用 Auto Scaling 的安全性 Auto Scaling 使您能够根据您定义的条件自动向上扩展或向下扩展您的 Amazon EC2 容量, 因此您使用的 Amazon EC2 实例数在需求高峰期间能无缝地向上扩展以维持性能, 在需求低谷期间可自动向下扩展以使成本降到最低 第 24 页, 共 74 页

25 像所有 AWS 服务一样,Auto Scaling 要求应该验证向其控制 API 发出的每个请求, 以便仅经过身份验证的用户能够访问和管理 Auto Scaling 使用 HMAC-SHA1 签名对请求进行签名,HMAC-SHA1 签名由请求和用户私有密钥计算得出 但对于大型或弹性扩展的机群来说, 将凭证获取到使用 Auto- Scaling 启动的新 EC2 实例可能是一项挑战 要简化此过程, 您可以使用 IAM 中的角色, 以便自动向使用角色启动的任何新实例提供凭证 当您使用 IAM 角色启动 EC2 实例时, 具有该角色指定的权限的临时 AWS 安全凭证将被安全地预置到该实例, 并将通过 Amazon EC2 实例元数据服务提供给您的应用程序 在当前的有效凭证过期之前, 元数据服务将使新的临时安全凭证可用, 以便有效凭证始终对实例可用 此外, 临时安全凭证每日会自动轮换多次以提高安全性 您可通过在您的 AWS 账户下使用 AWS IAM 创建用户来进一步控制对 Auto Scaling 的访问, 并控制这些用户具有调用哪些 Auto Scaling API 的权限 在 AWS 网站上的 Amazon EC2 用户指南 中可找到有关在启动实例时使用角色的更多信息 : 联网服务 Amazon Web Services 提供各种联网服务, 以便您能够创建您定义的逻辑上隔离的网络, 建立与 AWS 云的私有网络连接, 使用高度可用和可扩展的 DNS 服务, 并借助内容分发 Web 服务在较低的延迟下以很快的数据传输速度向您的最终用户提供内容 Amazon Elastic Load Balancing 安全性 Amazon Elastic Load Balancing 用于管理 Amazon EC2 实例的队列上的流量, 并将流量分配到一个区域中的所有可用区之间的实例 Elastic Load Balancing 拥有本地负载均衡器的所有优势, 同时还提供几项安全优势 : 承担 Amazon EC2 实例的加密和解密工作, 并能在负载均衡器上进行集中管理 为客户端提供单一接触点, 还可以作为防御网络攻击的第一道防线 用于 Amazon VPC 时, 支持创建和管理与 Elastic Load Balancing 相关联的安全组, 以提供更多联网和安全选项 支持在使用安全 HTTP (HTTPS) 连接的网络上通过 TLS( 之前为 SSL) 进行端到端的流量加密 在使用 TLS 时, 用于终止客户端连接的 TLS 服务器证书可以在负载均衡器上进行集中管理, 而不用再根据每个应用程序实例管理证书 HTTPS/TLS 使用长期私有密钥来生成用于在服务器和浏览器之间创建密码 ( 加密 ) 消息的短期会话密钥 Amazon Elastic Load Balancing 使用预定义的密码集配置您的负载均衡器, 这个密码集在客户端和您的负载均衡器之间建立连接时用于 TLS 协商 预定义密码集可与广泛的客户端兼容, 并使用强加密算法 不过, 某些客户可能需要仅允许来自客户端的特定密码和协议 ( 例如 PCI SOX 等 ) 以确保符合标准 在这些情况下,Amazon Elastic Load Balancing 提供可供您选择不同 TLS 协议和密码配置的选项 您可以根据您的具体要求选择启用或禁用密码 第 25 页, 共 74 页

26 为了帮助确保在建立安全连接时使用更新且更强的密码套件, 您可以将负载均衡器配置为在客户端 服务器协商期间具有密码套件选择的决定权 如果选择 服务器顺序首选项 选项, 则负载均衡器将基于服务器的密码套件优先级 ( 而不是客户端的密码套件优先级 ) 来选择密码套件 这使您能够更多地控制客户端用来连接到您的负载均衡器的安全等级 为了提高通信的隐私性,Amazon Elastic Load Balancer 允许使用完美前向保密, 它使用的会话密钥是临时的且不存储在任何位置 这将防止对捕获的数据解码, 即使加密长期密钥本身已经泄露也是如此 Amazon Elastic Load Balancing 可让您标识连接到服务器的客户端的原始 IP 地址, 无论您使用的是 HTTPS 还是 TCP 负载均衡 通常, 通过负载均衡器代理请求时, 客户端连接信息 ( 例如 IP 地址和端口 ) 将丢失 这是因为负载均衡器代表客户端将请求发送到服务器, 从而使您的负载均衡器看起来像是请求客户端 如果您需要有关您的应用程序的访客的更多信息, 以便收集连接统计数据 分析流量日志或管理 IP 地址白名单, 那么获取原始客户端 IP 地址会很有用 Amazon Elastic Load Balancing 访问日志包含有关您的负载均衡器处理的每个 HTTP 和 TCP 请求的信息 这包括请求客户端的 IP 地址和端口 处理请求的实例的后端 IP 地址 请求和响应的大小, 以及客户端中的实际请求行 ( 例如,GET 80/HTTP/1.1) 将记录发送给负载均衡器的所有请求, 包括从未到达后端实例的请求 Amazon Virtual Private Cloud (Amazon VPC) 安全性通常, 您启动的每一个 Amazon EC2 实例都会随机分配一个 Amazon EC2 地址空间中的公共 IP 地址 Amazon VPC 使您能够创建隔离的 AWS 云部分并启动 Amazon EC2 实例, 这些实例拥有您所选范围 ( 例如 /16) 内的私有 (RFC 1918) 地址 您可以在您的 VPC 内部定义子网, 并基于 IP 地址范围将类似的实例分组, 然后设置路由和安全性以控制流出和流入实例和子网的流量 AWS 提供各种 VPC 架构模板, 这些模板带有不同配置, 可提供不同级别的公共访问 : 仅带有单个公有子网的 VPC 您的实例在 AWS 云的专用隔离部分中运行, 该部分可直接访问 Internet 可使用网络 ACL 和安全组提供对您实例的入站和出站网络流量的严格控制 带有公有子网和私有子网的 VPC 除了包含公有子网之外, 此配置还添加了一个私有子网, 该子网的实例无法从 Internet 寻址 私有子网中的实例可以使用网络地址转换 (NAT) 通过公有子网与 Internet 建立出站连接 带有公有子网和私有子网以及硬件 VPN 访问的 VPC 此配置将在您的 Amazon VPC 和数据中心之间添加一个 IPsec VPN 连接, 可有效地将您的数据中心扩展到云中, 同时为您的 Amazon VPC 中的公有子网实例提供面向 Internet 的直接访问 在此配置中, 客户将在其企业数据中心添加 VPN 设备 仅带有私有子网和硬件 VPN 访问的 VPC 您的实例在 AWS 云的专用隔离部分中运行, 该部分带有一个私有子网, 该子网的实例无法从 Internet 寻址 您可以通过 IPsec VPN 隧道将此私有子网连接到您的企业数据中心 第 26 页, 共 74 页

27 您也可以使用私有 IP 地址连接两个 VPC, 这样一来, 这两个 VPC 中的实例可以相互通信 ( 如同它们处于同一网络中 ) 您可以在您自己的 VPC 之间创建 VPC 对等连接, 也可以在您自己的 VPC 与同一区域内其他 AWS 账户中的 VPC 之间进行创建 Amazon VPC 内的安全功能包括安全组 网络 ACL 路由表和外部网关 这些项目的每一项都是对提供一个安全的隔离网络的补充, 此网络可通过选择性启用直接 Internet 访问或对另一网络的私有连接而进行延伸 在 Amazon VPC 内部运行的 Amazon EC2 实例将继承下面描述的与来宾操作系统和防止数据包探查相关的所有好处 但请注意, 您必须专门为 Amazon VPC 创建 VPC 安全组 ; 您已创建的任何 Amazon EC2 安全组将无法在 Amazon VPC 中工作 此外,Amazon VPC 安全组具有 Amazon EC2 安全组所没有的其他功能, 例如, 能够在实例启动后更改安全组, 能够指定任何带标准协议编号的协议 ( 而不仅仅是 TCP UDP 或 ICMP) 在云中, 每个 Amazon VPC 均为一个单独的隔离网络 ; 每个 Amazon VPC 中的网络流量均与所有其他 Amazon VPC 隔离 在创建的时候, 您为每个 Amazon VPC 选择一个 IP 地址范围 您可以根据下面的控件创建并附加 Internet 网关和 / 或虚拟专用网关以建立外部连接性 API 访问 : 创建和删除 Amazon VPC 改变路由 安全组及网络 ACL 参数以及执行其他功能的调用均通过您的 Amazon 秘密访问密钥来签名, 此密钥可以是 AWS 账户秘密访问密钥, 也可以是使用 AWS IAM 创建的用户的秘密访问密钥 如果无法访问您的秘密访问密钥, 则无法代表您进行 Amazon VPC API 调用 此外, 可使用 SSL 对 API 调用进行加密, 以保持机密性 Amazon 建议始终使用受 SSL 保护的 API 终端节点 AWS IAM 还使客户能够进一步控制新建用户具备调用哪些 API 的权限 子网和路由表 : 您在每个 Amazon VPC 内创建一个或多个子网 ; 在 Amazon VPC 中启动的每个实例均连接至一个子网 传统的第 2 层安全性攻击 ( 包括 MAC 欺骗和 ARP 欺骗 ) 被阻断 Amazon VPC 中的每个子网均与一个路由表相关联, 所有离开子网的网络流量由此路由表处理, 以确定目的地 防火墙 ( 安全组 ): 和 Amazon EC2 一样,Amazon VPC 支持一个全面的防火墙解决方案, 并启用对实例输入流量和输出流量的过滤 默认组启用来自同一组其他成员的入站通讯及至任何目的地的出站通讯 流量可能受到任何 IP 协议 服务端口以及源 / 目的地 IP 地址 ( 个别 IP 或无类别域间路由 (CIDR) 块 ) 的限制 防火墙不通过来宾操作系统控制 ; 它仅可通过调用 Amazon VPC API 来修改 AWS 具有授予对实例及防火墙上不同管理功能的粒度访问权的能力, 因此使您能够通过职责分离来实施额外的安全性 防火墙提供的安全级别是您开放的端口的函数, 并与持续时间和目的有关 仍然需要基于每个实例进行良好的流量管理和安全设计 AWS 进一步鼓励您对基于主机的防火墙 ( 例如 IPtables 或 Windows 防火墙 ) 另外使用每个实例过滤器 第 27 页, 共 74 页

28 图 5:Amazon VPC 网络架构 网络访问控制列表 : 为了在 Amazon VPC 中再添加一层安全保护, 您可以配置网络 ACL 它们是适用于 Amazon VPC 内子网的所有进站或出站流量的无状态流量过滤器 这些 ACL 能够包含根据 IP 协议 服务端口及源 / 目的地 IP 地址来允许或拒绝流量的有序规则 和安全组一样, 网络 ACL 通过 Amazon VPC API 进行管理, 这就添加了另外一层保护并通过职责分离提高了安全性 下图描述上文的安全控制如何相互关联, 以启用灵活的网络拓朴结构, 同时提供对网络流量的全面控制 第 28 页, 共 74 页

29 图 6: 灵活的网络拓朴结构 虚拟专用网关 : 虚拟专用网关支持 Amazon VPC 和其他网络之间的私有连接 每个虚拟专用网关内的网络流量与所有其他虚拟专用网关内的网络流量相隔离 您可以从本地网关设备建立与虚拟专用网关的 VPN 连接 将预先共享的密钥和客户网关设备的 IP 地址结合使用来保护每个连接 Internet 网关 : 可将 Internet 网关附加到 Amazon VPC, 以启用与 Amazon S3 其他 AWS 服务和 Internet 的连接 要求此访问权的每个实例必须具有一个与访问权相关的弹性 IP, 或者具有经过一个 NAT 实例的路由流量 此外, 配置网络路由 ( 参见上文 ) 以引导流量流向 Internet 网关 AWS 提供可由您延伸的引用 NAT AMI, 以执行网络日志 深度数据包检查 应用程序层过滤或其他安全控制 此访问权仅能通过调用 Amazon VPC API 进行修改 AWS 具有授予对实例及 Internet 网关上不同管理功能的粒度访问权的能力, 因此使您能够通过职责分离来实施额外的安全性 第 29 页, 共 74 页

30 专用实例 : 在 VPC 中, 您可以启动在主机硬件级别上进行物理隔离的 Amazon EC2 实例 ( 即, 它们将在单个租户硬件上运行 ) 可使用 专用 租赁创建一个 Amazon VPC, 这样一来, 所有启动到该 Amazon VPC 中的实例将使用此功能 或者, 可使用 默认 租赁创建一个 Amazon VPC, 但您可为启动到其中的特殊实例指定专用租赁 弹性网络接口 : 每个 Amazon EC2 实例都有一个默认网络接口, 该接口在 Amazon VPC 网络上分配有一个私有 IP 地址 您可以为 Amazon VPC 内的任何 Amazon EC2 实例创建和连接其他网络接口 ( 称作 弹性网络接口 (ENI)), 每个实例共有两个网络接口 在您需要创建管理网络 使用 Amazon VPC 中的网络和安全设备或通过不同子网上的工作负载 / 角色创建双主机实例时, 将多个网络接口连接到实例会很有用 ENI 的属性 ( 包括私有 IP 地址 弹性 IP 地址和 MAC 地址 ) 在 ENI 连接到一个实例或从一个实例分离并重新连接到另一个实例时将跟随 ENI 可在 AWS 网站上找到有关 Amazon VPC 的更多信息 : 使用 EC2-VPC 进行的其他网络访问控制如果您在 AWS 启动新的 EC2-VPC 功能 ( 也称作默认 VPC) 之前不具有实例的区域内启动实例, 则会在随时可用的默认 VPC 中自动预置所有实例 可以选择创建其他 VPC, 也可以在启动 EC2-VPC 前已具有实例的区域内为实例创建 VPC 如果您稍后使用常规 VPC 创建 VPC, 则可指定 CIDR 块 创建子网 为这些子网输入路由和安全设置并配置 Internet 网关或 NAT 实例 ( 如果需要某个子网能够访问 Internet) 在将 EC2 实例启动到 EC2-VPC 中时, 将自动为您执行大部分工作 在使用 EC2-VPC 将实例启动到默认 VPC 中时, 我们将执行以下操作来为您完成设置 : 在每个可用区内创建默认子网 创建 Internet 网关并将其连接到您的默认 VPC 为您的默认 VPC 创建主路由表, 并设置规则将所有前往 Internet 的通信发送到 Internet 网关 创建默认安全组并将其与您的默认 VPC 关联 创建默认网络访问控制列表 (ACL), 并将其与您的默认 VPC 关联 将您的 AWS 账户的默认 DHCP 选项与您的默认 VPC 相关联 除了拥有自己的私有 IP 范围的默认 VPC 之外, 在默认 VPC 中启动的 EC2 实例也会收到一个公有 IP 下表总结了启动到 EC2-Classic 中的实例 启动到默认 VPC 中的实例和启动到非默认 VPC 中的实例之间的区别 第 30 页, 共 74 页

31 特点 EC2-Classic EC2-VPC( 默认 VPC) 常规 VPC 公有 IP 地址 您的实例会收到一个公有 IP 地址 默认情况下, 默认子网中启动的实例会收到公有 IP 地址 ( 除非您在启动期间指定其他 IP 地址 ) 默认情况下, 您的实例不会收到公有 IP 地址 ( 除非您在启动期间指定其他 IP 地址 ) 私有 IP 地址 您的实例会在每次启动时收到 EC2-Classic 范围内的私有 IP 地址 您的实例会收到一个来自您的默认 VPC 地址范围的静态私有 IP 地址 您的实例会收到一个来自您的 VPC 地址范围的静态私有 IP 地址 多个私有 IP 地址 为您的实例选择单个 IP 地址 不支持多个 IP 地址 您可以为实例分配多个私有 IP 地址 您可以为实例分配多个私有 IP 地址 弹性 IP 地址 当您停止实例时,EIP 会取消与该实例的关联 当您停止实例时,EIP 会保持与该实例的关联 当您停止实例时,EIP 会保持与该实例的关联 DNS 主机名 DNS 主机名默认处于启用状态 DNS 主机名默认处于启用状态 DNS 主机名默认处于禁用状态 安全组 安全组可以引用属于其他 AWS 账户的安全组 安全组只能引用您的 VPC 的安全组 安全组只能引用您的 VPC 的安全组 安全组关联 必须终止实例才能更改其安全组 您可以更改正在运行的实例的安全组 您可以更改正在运行的实例的安全组 安全组规则 您只能为入站流量添加规则 您可以为入站和出站流量添加规则 您可以为入站和出站流量添加规则 租赁 您的实例在共享硬件上运行 ; 您不能在单租户硬件上运行实例 您可以在共享硬件或单租户硬件上运行您的实例 您可以在共享硬件或单租户硬件上运行您的实例 请注意,EC2-Classic 中实例的安全组与 EC2-VPC 中实例的安全组略有不同 例如, 您可以为 EC2-Classic 添加入站流量规则, 并且可为 EC2-VPC 添加入站及出站流量规则 在 EC2-Classic 中, 实例一经启动, 您将无法更改分配给该实例的安全组, 而在 EC2-VPC 中, 即使实例已启动, 您仍可更改已为其分配的安全组 此外, 您无法将创建用于 EC2-Classic 的安全组用于 VPC 中的实例 您必须专门为 VPC 中的实例创建安全组 您为 VPC 安全组创建的规则无法参考在 EC2-Classic 安全组中使用的规则, 反之亦然 第 31 页, 共 74 页

32 Amazon Route 53 安全性 Amazon Route 53 是一种高度可用和可扩展的域名系统 (DNS) 服务, 它可响应 DNS 查询 将域名转换为 IP 地址, 以便计算机之间可以互相通信 Route 53 可用于将用户请求连接到 AWS 中运行的基础设施 ( 例如, Amazon EC2 实例或 Amazon S3 存储桶 ) 或 AWS 外部的基础设施 Amazon Route 53 可让您管理为您的域名列出的 IP 地址 ( 记录 ), 它还响应将特定域名转换为其相应 IP 地址的请求 ( 查询 ) 对您的域的查询将自动路由到附近使用任播的 DNS 服务器, 以提供尽可能低的延迟 Route 53 使您能够通过多种路由类型 ( 包括基于延迟的路由 (LBR) Geo DNS 和加权轮询 (WRR)) 来管理全球流量, 所有路由类型都可与 DNS 故障转移组合以帮助创建各种低延迟的容错架构 Amazon Route 53 实施的故障转移算法不仅用于将流量路由到良好运行的终端节点, 还用于帮助避免使灾难情况因错误配置的运行状况检查和应用程序 终端节点超载和分区故障而变得更严重 Route 53 还提供域名注册功能, 您可以购买和管理域名 ( 例如 example.com), 而 Route 53 将自动为您的域配置默认 DNS 设置 您可以从各种通用和特定于国家 / 地区的顶级域 (TLD) 购买 管理和传输 ( 向内和向外 ) 域 在注册过程中, 您可以选择对您的域启用隐私保护 该选项将隐藏公有 Whois 数据库中的大多数个人信息, 以帮助阻止拼凑和垃圾邮件 Amazon Route 53 是使用 AWS 的高度可用且可靠的基础设施来构建的 AWS DNS 服务器的分散性有助于确保您能够不断地将最终用户路由到您的应用程序 Route 53 还提供运行状况检查和 DNS 故障转移功能, 从而帮助确保网站的可用性 您可以将 Route 53 轻松配置为定期检查网站的运行状况 ( 甚至保护仅通过 SSL 访问的网站 ), 并在主要站点未响应时切换到备份站点 和所有 AWS 服务一样,Amazon Route 53 要求对向其控制 API 发出的每个请求进行身份验证, 以便仅经过身份验证的用户能够访问和管理 Route 53 API 请求是使用从请求和用户的 AWS 秘密访问密钥计算出的 HMAC- SHA1 或 HMAC-SHA256 签名进行签名的 此外, 仅可通过 SSL 加密的终端节点访问 Amazon Route 53 控制 API 它支持 IPv4 和 IPv6 路由 您可以通过在您的 AWS 账户下使用 AWS IAM 创建用户并控制这些用户有权执行哪些 Route 53 操作来控制对 Amazon Route 53 DNS 管理功能的访问 Amazon CloudFront 安全性 Amazon CloudFront 使客户能够轻松地向最终用户分发内容, 且具有迅速 低延迟和高数据传输速度等特点 它使用全球边缘站点网络提供动态 静态和流内容 对客户的对象的请求将自动路由到最近边缘站点, 从而尽可能以最佳性能传输内容 Amazon CloudFront 已经过优化, 可与其他 AWS 服务 ( 如 Amazon S3 Amazon EC2 Amazon Elastic Load Balancing 和 Amazon Route 53) 结合使用 它还可与任何存储您的文件的原始最终版本的非 AWS 来源服务器无缝地结合使用 Amazon CloudFront 要求验证发送到其控制 API 的每个请求, 以便仅经过授权的用户才能创建 修改或删除它们自己的 Amazon CloudFront 分配 使用 HMAC-SHA1 签名对请求进行签名,HMAC-SHA1 签名由请求和用户私有密钥计算得出 此外, 仅可通过启用了 SSL 的终端节点访问 Amazon CloudFront 控制 API 第 32 页, 共 74 页

33 对于保留在 Amazon CloudFront 边缘站点的数据, 不保证它的持久性 此服务可能会不时地从边缘站点移除对象 ( 如果这些对象不是频繁地被请求 ) 持久性由 Amazon S3 提供,Amazon S3 作为 Amazon CloudFront 的来源服务器工作, 保留 Amazon CloudFront 发送的对象的原始最终副本 如果您需要控制能够从 Amazon CloudFront 下载内容的人员, 则可启用服务的私有内容功能 此功能有两个组件 : 第一个组件控制如何将内容从 Amazon CloudFront 边缘站点发送至 Internet 上的查看者 第二个组件控制 Amazon CloudFront 边缘站点如何访问 Amazon S3 中的对象 CloudFront 还支持地理限制, 地理限制可基于您的查看者的地理位置限制对内容的访问 为了控制对 Amazon S3 中对象的原始副本的访问,Amazon CloudFront 允许您创建一个或多个 来源访问标识, 并将这些标识与您的分配相关联 当来源访问标识与 Amazon CloudFront 分配相关联后, 该分配将使用此标识来检索 Amazon S3 中的对象 随后, 您可使用 Amazon S3 的 ACL 功能来限制对来源访问标识的访问, 因此对象的原始副本不具有公开可读性 为了控制能够从 Amazon CloudFront 边缘站点下载对象的人员, 此服务使用一个经过签名的 URL 验证系统 为了使用这个系统, 您首先要创建一个公有 私有密钥对, 并通过 AWS 管理控制台将公有密钥上传至您的账户 第二, 您配置您的 Amazon CloudFront 分配以指示您将授权哪个账户来对请求进行签名 您可指定最多五个可信的 AWS 账户来对请求进行签名 第三, 在您接收请求时, 您将创建策略文件, 指示您要 Amazon CloudFront 为您的内容服务的条件 这些策略文件可指定请求的对象的名称 请求的日期和时间以及发出请求的客户端的源 IP( 或 CIDR 范围 ) 然后您计算您的策略文件的 SHA1 哈希并用您的私有密钥对它签名 最后, 当您引用您的对象时, 您将编码的策略文件和签名合并为查询字符串参数 当 Amazon CloudFront 收到请求时, 它将用您的公有密钥对签名进行解码 Amazon CloudFront 将仅服务于具有有效策略文件和匹配的签名的请求 请注意, 私有内容是一项可选功能, 您在设置 CloudFront 分配时必须启用它 在此功能未启用时发送的内容将公开可读 Amazon CloudFront 提供了通过加密连接 (HTTPS) 传输内容的选项 默认情况下,CloudFront 将通过 HTTP 和 HTTPS 协议接受请求 不过, 您也可将 CloudFront 配置为要求对所有请求使用 HTTPS, 或让 CloudFront 将 HTTP 请求重定向到 HTTPS 您甚至可以将 CloudFront 分配配置允许某些对象使用 HTTP, 而其他对象需要使用 HTTPS 图 7:Amazon CloudFront 加密传输 第 33 页, 共 74 页

34 您可以配置一个或多个 CloudFront 源, 以要求 CloudFront 使用查看器用于请求对象的协议来从源获取对象 例如, 当您使用此 CloudFront 设置且查看器使用 HTTPS 从 CloudFront 请求对象时,CloudFront 也会使用 HTTPS 将请求转发给您的源 Amazon CloudFront 在与查看器和源的连接上使用 SSLv3 或 TLSv1 协议和一组精选的密码套件, 其中包括 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 协议 ECDHE 允许 SSL/TLS 客户端提供完美前向保密, 后者使用的会话密钥是临时的且不存储在任何位置 这有助于防止未经授权的第三方对捕获的数据进行解码, 即使加密长期密钥本身已泄露也是如此 请注意, 如果您使用自己的服务器作为源, 并且您想在查看器与 CloudFront 之间以及在 CloudFront 与您的源之间都使用 HTTPS, 则您必须在 HTTP 服务器上安装经第三方证书颁发机构签署的有效 SSL 证书, 例如 VeriSign 或 DigiCert 默认情况下, 您可以使用您的 URL 中的 CloudFront 分配域名 ( 例如 通过 HTTPS 将内容传输到查看器 如果您需要使用您自己的域名和您自己的 SSL 证书通过 HTTPS 传输内容, 则可使用 SNI 自定义 SSL 或专用 IP 自定义 SSL 有了服务器名称标识 (SNI) 自定义 SSL,CloudFront 依赖 TLS 协议的 SNI 扩展, 后者受大多数新式 Web 浏览器的支持 但是, 某些用户可能无法访问您的内容, 因为一些旧版浏览器不支持 SNI ( 有关支持的浏览器的列表, 请访问 ) 借助专用 IP 自定义 SSL,CloudFront 可将 IP 地址指定给每个 CloudFront 边缘站点上的 SSL 证书, 以便 CloudFront 能够将传入请求与适当的 SSL 证书关联 Amazon CloudFront 访问日志包含关于内容请求的全套信息, 包括请求的对象 请求的日期和时间 服务请求的边缘站点 客户端 IP 地址 引用站点及用户代理 要启用访问日志, 仅需在您配置您的 Amazon CloudFront 分配时指定要存储日志的 Amazon S3 存储桶的名称 AWS Direct Connect 安全性借助 AWS Direct Connect, 您可以使用高吞吐量的专用连接预置您的内部网络与 AWS 区域之间的直接链接 这样做可能将帮助降低网络成本 提高吞吐量或提供更一致的网络体验 有了此专用连接以后, 您就可以创建直接连接到 AWS 云 ( 如 Amazon EC2 和 Amazon S3) 和 Amazon VPC 的虚拟接口 借助 Direct Connect, 您可以绕过您的网络路径中的 Internet 服务提供商 您可以购买存放 AWS Direct Connect 位置的设施中的机架空间并在附近部署您的设备 部署后, 您就可以通过交叉互连方式将此设备与 AWS Direct Connect 连接 每个 AWS Direct Connect 位置均可连接到地理上最近的 AWS 区域并访问其他美国区域 例如, 您可以预置与美国任何 AWS Direct Connect 位置之间的单个连接, 并用它访问所有美国区域和 AWS GovCloud( 美国 ) 中的公有 AWS 服务 通过使用业内规定的 802.1q VLAN 标准, 可将专用连接分割成多个虚拟接口 这样您就可使用同一个连接访问共享资源 ( 如存储在使用公有 IP 地址空间的 Amazon S3 中的对象 ) 和专有资源 ( 如使用私有 IP 空间的在 Amazon VPC 中运行的 Amazon EC2 实例 ), 同时又能在共享和专用环境之间保持网络隔离 Amazon Direct Connect 要求使用边界网关协议 (BGP), 以及自治系统编号 (ASN) 要创建虚拟接口, 您可以使用 MD5 加密密钥进行消息授权 MD5 使用您的私有密钥来创建加密哈希 您可以让 AWS 自动生成 BGP MD5 密钥, 也可以提供您自己的密钥 第 34 页, 共 74 页

35 存储服务 Amazon Web Services 提供具有高持久性和可用性的低成本数据存储 AWS 提供用于备份 存档和灾难恢复的存储选项以及数据块和对象存储 Amazon Simple Storage Service (Amazon S3) 安全性 Amazon Simple Storage Service (S3) 允许您随时从 Web 上的任何位置上传和检索数据 Amazon S3 将数据以对象的形式存储在存储桶中 对象可以是任何类型的文件 : 文本文件 照片 视频等 在向 Amazon S3 添加文件时, 您可以选择将元数据包含在文件中并设置权限以控制对文件的访问权 对于每个存储桶, 您都可以控制存储桶的访问权限 ( 哪些用户可以在存储桶中创建 删除和列出对象 ) 查看存储桶及其对象的访问日志以及选择 Amazon S3 存储存储桶及其内容的地理区域 数据访问默认情况下, 对存储在 Amazon S3 中的数据的访问是受限制的 ; 仅存储桶和对象拥有者有权访问他们创建的 Amazon S3 资源 ( 请注意, 存储桶 / 对象拥有者是 AWS 账户拥有者, 而不是创建存储桶 / 对象的用户 ) 可通过多种方式控制对存储桶和对象的访问 : Identity and Access Management (IAM) 策略 AWS IAM 让拥有许多员工的组织能够在一个 AWS 账户下创建和管理多个用户 IAM 策略被附加到用户, 以便集中控制 AWS 账户下用户访问存储桶或对象的权限 使用 IAM 策略, 您可以只授予您自己的 AWS 账户中的用户对 Amazon S3 资源的访问权限 访问控制列表 (ACL) 在 Amazon S3 中, 您可以使用 ACL 向用户组授予对存储桶或对象的读取或写入访问权 使用 ACL, 您可以只授予其他 AWS 账户 ( 非特定用户 ) 对 Amazon S3 资源的访问权限 存储桶策略 Amazon S3 中的存储桶策略可用来添加或拒绝对单个存储桶内的部分或所有对象的权限 策略可以附加到用户 组或 Amazon S3 存储桶上, 实现对权限的集中管理 使用存储桶策略, 您可以授予您自己的 AWS 账户或其他 AWS 账户中的用户对 Amazon S3 资源的访问权 访问类型控制 AWS 账户级别控制? 用户级别控制? IAM 策略 否 是 ACL 是 否 存储桶策略 是 是 您可以根据一些条件进一步限制对特定资源的访问 例如, 您可以基于请求时间 ( 日期条件 ) 限制访问, 无论该请求是使用 SSL( 布尔值条件 ) 还是使用申请方的 IP 地址 (IP 地址条件 ) 发送的, 也可以基于申请方的客户端应用程序 ( 字符串条件 ) 限制访问 要标识这些条件, 您可以使用策略密钥 有关 Amazon S3 中可用的特定于操作的策略密钥的更多信息, 请参阅 Amazon Simple Storage Service 开发人员指南 Amazon S3 还向开发人员提供了使用查询字符串身份验证的选项, 允许他们通过在预定义的时间段内有效的 URL 来共享 Amazon S3 对象 查询字符串身份验证对于提供对通常需要身份验证的资源的 HTTP 或浏览器访问权限来说很有用 查询字符串中的签名将保护请求 第 35 页, 共 74 页

36 数据传输为了实现最高安全性, 您可以通过 SSL 加密型终端节点, 安全地将数据上传 / 下载到 Amazon S3 既可从 Internet 也可从 Amazon EC2 内部访问加密的终端节点, 因此数据能在 AWS 内安全地传输, 也能安全地往返于 AWS 外部的源 数据存储 Amazon S3 提供多种保护静态数据的选项 对于希望管理自己的加密的客户, 他们可以使用客户端加密库 ( 如 Amazon S3 加密客户端 ) 先对数据加密, 然后再将其上传到 Amazon S3 或者, 如果您希望让 Amazon S3 为您管理加密过程, 则可以使用 Amazon S3 服务器端加密 (SSE) 根据您的要求, 可使用 AWS 生成的密钥或您提供的密钥对数据进行加密 使用 Amazon S3 SSE, 您只需在写入对象时另外添加一个请求标头, 即可在上传时对数据加密 检索数据时, 将自动进行解密 请注意, 您可以包含在对象中的元数据未加密 因此,AWS 建议客户不要在 Amazon S3 元数据中放置敏感信息 Amazon S3 SSE 使用了一种最强大的数据块加密技术 256 位高级加密标准 (AES-256) 使用 Amazon S3 SSE 时, 每个受保护对象都使用唯一加密密钥进行加密 此对象密钥本身随后使用定期轮换的主密钥进行加密 Amazon S3 SSE 通过将加密数据和加密密钥存储在不同的主机中来提高安全性 Amazon S3 SSE 还使您可以强制实施加密要求 例如, 您可以创建和应用存储桶策略, 以便要求只有经过加密的数据才能上传到存储桶 对于长期存储, 您可以将 Amazon S3 存储桶的内容自动存档至名为 Glacier 的 AWS 存档服务 您可以在 Amazon S3 中创建生命周期规则 ( 描述要存档至 Glacier 的对象及时间 ) 来按照指定的时间间隔将数据传输至 Glacier 作为数据管理策略的一部分, 您也可以指定 Amazon S3 在对象存档至 Amazon S3 多久后将其删除 从 Amazon S3 中删除对象后, 将立即删除从公用名到对象的映射, 此删除操作通常在几秒内跨分布式系统完成 移除映射后, 不再能远程访问已删除对象 然后将收回底层存储区以供系统使用 数据持久性和可靠性 Amazon S3 在一年之内提供 % 的对象持久性和 99.99% 的对象可用性 在 Amazon S3 区域中, 对象以冗余方式存储在多个设施间的多个设备中 为帮助提供持久性,Amazon S3 PUT 和 COPY 操作在多个设施间同步存储客户数据, 然后返回 SUCCESS 存储后,Amazon S3 通过快速检测和修复任何丢失的冗余数据来帮助保持对象的持久性 Amazon S3 还使用校验和定期验证所存储数据的完整性 如果检测到数据损坏, 则使用冗余数据进行修复 此外,Amazon S3 还在存储或检索数据时对所有网络流量计算校验和以检测数据包是否损坏 Amazon S3 通过版本控制提供了进一步的保护 对于 Amazon S3 存储桶中存储的每个对象, 您可以使用版本控制功能来保存 检索和还原它们的各个版本 使用版本控制, 您可以从意外用户操作和应用程序故障中轻松恢复 默认情况下, 请求将会检索最新写入的版本 通过在请求中指定版本, 可以检索对象的较旧版本 您可以使用 Amazon S3 版本控制的 MFA 删除 功能进一步保护版本 一旦为某个 Amazon S3 存储桶启用此功能, 每个版本删除请求就必须包括来自多重验证设备的六位数代码及序号 第 36 页, 共 74 页

37 访问日志可对 Amazon S3 存储桶进行配置以记录对存储桶及存储桶中对象的访问 访问日志包含有关每个访问请求的详细信息, 包括请求类型 请求的资源 请求者的 IP 以及请求的时间和日期 在为存储桶启用日志记录后, 日志记录就定期累计到日志文件中并发送至指定的 Amazon S3 存储桶 跨源资源共享 (CORS) 使用 Amazon S3 托管静态网页或存储其他网页所用对象的 AWS 客户可通过配置 Amazon S3 存储桶以显式启用跨源请求来安全地加载内容 新式浏览器使用同源策略来阻止 JavaScript 或 HTML5 允许加载来自其他站点或域的内容的请求, 从而帮助确保不从可靠性较低的源加载恶意内容 ( 如在跨站点脚本攻击期间 ) 在启用跨源资源共享 (CORS) 策略的情况下, 外部网页 样式表和 HTML5 应用程序可安全地引用存储在 Amazon S3 存储桶中的 Web 字体和图像等资产 AWS Glacier 安全性与 Amazon S3 类似,Amazon Glacier 服务提供了低成本 安全和持久的存储 但 Amazon S3 适合快速检索, Glacier 用作针对不常访问的数据的存档服务 ( 多个小时检索一次较为适当 ) Amazon Glacier 将文件以存档形式存储在文件库中 存档可以是任意数据 ( 例如, 照片 视频或文档 ), 并且可包含一个或多个文件 您可在单个文件库中存储无限数量的存档, 并且可在每个区域创建最多 1,000 个文件库 每个存档可包含最多 40 TB 的数据 数据上传要将数据传输至 Amazon Glacier 文件库, 您可在单个上传操作或分段操作中上传存档 在单个上传操作中, 可上传最大为 4 GB 的存档 但是, 在上传大小超过 100 MB 的存档时, 客户使用分段上传 API 可取得更好的效果 使用分段上传 API, 您可以上传最多约 40,000 GB 的大型存档 分段上传 API 调用旨在改善较大存档的上传体验 ; 它能以任意顺序并行上传存档的各个部分 如果分段上传失败, 您只需重新上传失败部分, 无需重新上传整个存档 向 Glacier 上传数据时, 必须计算和提供树形哈希 Glacier 会针对数据检查该哈希, 以帮助确保数据在传输途中未遭到修改 树形哈希的生成方法 : 计算数据每兆字节大小区段的哈希, 然后以树形式组合这些哈希, 以表示不断增长的相邻数据区段 除了使用分段上传功能, 有极大数据要上传至 Amazon Glacier 的客户也可考虑使用 AWS Import/Export 服务来传输数据 AWS Import/Export 使用便携式存储设备进行传输, 可加快大量数据移入 AWS 的速度 使用绕过 Internet 的 Amazon 高速内部网络,AWS 可以将数据直接传出存储设备 您还可将 Amazon S3 设置为以特定时间间隔向 Glacier 传输数据 您可在 Amazon S3 中创建生命周期规则, 描述要存档至 Glacier 的对象及存档时间 此外, 您还可指定 Amazon S3 在对象存档至 Amazon S3 多久后将其删除 要实现更高的安全性, 您可通过 SSL 加密的终端节点安全地向 / 从 Amazon Glacier 上传 / 下载数据 既可从 Internet 也可从 Amazon EC2 内部访问加密的终端节点, 因此数据能在 AWS 内安全地传输, 也能安全地往返于 AWS 外部的源 第 37 页, 共 74 页

38 数据检索从 Amazon Glacier 检索存档需要启动检索作业, 此操作通常需花费 3 到 5 小时 随后, 您可通过 HTTP GET 请求访问这些数据 这些数据在 24 小时内可供您使用 您可以检索整个存档或存档中的几个文件 如果您只想检索一个存档的子集, 则可使用一个检索请求来指定包含您感兴趣的文件的存档的范围, 也可以发起多个检索请求, 每个检索请求具有一个或多个文件的范围 您还可以通过筛选档案创建日期范围或设置最大项目限制, 来限制检索的文件库清单项目数 不论您选择哪种方法, 在您检索存档部分时, 均可使用所提供的检验和来帮助确保文件的完整性, 前提是所检索的范围与整个存档的树形哈希保持一致 数据存储 Amazon Glacier 会利用 AES-256 自动加密数据并以不可变格式持久存储 Amazon Glacier 专门针对档案存储而设计, 其目标年均持久性为 % 它将各个存档存储在多处设施及多个设备中 与传统系统需要费时耗力的数据验证和手工修复方式不同,Glacier 可以定期执行数据完整性校验, 并且内置了自动自我修复能力 数据访问仅您的账户可以访问 Amazon Glacier 中的数据 要控制对 Amazon Glacier 中的数据的访问, 您可使用 AWS IAM 指定您账户中的哪些用户有权对给定文件库执行操作 AWS Storage Gateway 安全性 AWS Storage Gateway 服务可将您的本地软件设施与基于云的存储设施连接起来, 从而提供 IT 环境和 AWS 的存储基础设施间的无缝 安全的集成 该服务使您能够将数据安全地上传到 AWS 的可扩展的 可靠的 安全的 Amazon S3 存储服务, 以进行具有成本效益的备份和快速灾难恢复 AWS Storage Gateway 以 Amazon EBS 快照的形式将场外数据透明地备份到 Amazon S3 Amazon S3 以冗余方式将这些快照存储到多个设施的多个设备上, 检测并修复任何丢失的冗余 Amazon EBS 快照可提供时间点备份, 该备份能本地还原或用于实例化新的 Amazon EBS 卷 数据存储在您指定的单个区域中 AWS Storage Gateway 提供了三个选项 : 网关存储卷 ( 其中云是备份存储 ) 在此选项中, 您的卷数据在本地存储, 然后推送至 Amazon S3, 其中以冗余 加密形式存储, 并以 Elastic Block Storage (EBS) 快照形式提供 使用该模式时, 本地存储为主存储 ( 提供对整个数据集的低延迟访问 ), 云存储为备份存储 网关缓存卷 ( 其中云是主存储 ) 在此选项中, 卷数据以加密形式存储在 Amazon S3 中, 并通过 iscsi 接口在您企业的网络中呈现 最近访问的数据缓存到本地, 以提供低延迟的本地访问 使用该模式时, 云存储为主存储, 但您可对本地缓存卷中的活动工作集进行低延迟访问 虚拟网关磁带库 (VTL) 在此选项中, 您可以配置一个网关 VTL( 每个网关最多具有 10 个虚拟磁带驱动器 ) 一个媒体转换器和最多 1500 个虚拟磁带盒 每个虚拟磁带驱动器均可响应 SCSI 命令集, 因此现有的本地备份应用程序 ( 磁盘到磁带或磁盘到磁盘到磁带 ) 无需修改即可工作 第 38 页, 共 74 页

39 无论选择哪个选项, 数据都将通过 SSL 从本地存储硬件异步传输至 AWS 使用高级加密标准 (AES) 256 ( 一种使用 256 位加密密钥的对称密钥加密标准 ) 以加密方式将数据存储在 Amazon S3 中 AWS Storage Gateway 只上传已发生变化的数据, 并最大程度地减少通过 Internet 发送的数据量 AWS Storage Gateway 作为您在运行 VMware ESXi Hypervisor v 4.1 或 v 5 或 Microsoft Hyper-V( 在安装过程中下载 VMware 软件 ) 的数据中心内的主机上部署的虚拟机 (VM) 运行 您也可以使用网关 AMI 在 EC2 中运行 在安装和配置过程中, 您可以为每个网关创建最多 12 个存储卷 20 个缓存卷或 1500 个虚拟磁带盒 安装后, 每个网关将自动下载 安装和部署更新和补丁 此活动在可基于网关设置的维护时段内进行 iscsi 协议支持通过 CHAP( 质询握手身份验证协议 ) 在目标与启动程序之间进行身份验证 CHAP 通过定期验证 iscsi 启动程序的标识是否具有访问存储卷目标的权限, 防止中间人攻击和重放攻击 如需建立 CHAP, 您必须在 AWS Storage Gateway 控制台中和用来连接到该目标的 iscsi 启动程序中进行配置 部署 AWS Storage Gateway VM 后, 您必须使用 AWS Storage Gateway 控制台激活该网关 激活过程将您的网关与 AWS 账户关联 建立该连接后, 您可以从控制台管理网关的几乎所有方面 在激活过程中, 您指定网关的 IP 地址, 命名网关, 识别希望将快照备份存储到的 AWS 区域, 并指定网关时区 AWS Import/Export 安全性 AWS Import/Export 是一种将大量数据物理传输到 Amazon S3 EBS 或 Glacier 存储的简单安全的方法 通常, 拥有 100 GB 以上数据且 / 或较慢的连接速度 ( 可能会导致 Internet 上的传输速度非常慢 ) 的客户会使用此服务 使用 AWS Import/Export, 您可以准备一个发送到安全 AWS 设施的便携式存储设备 使用 Amazon 的高速内部网络,AWS 可以将数据直接传出存储设备, 从而绕过 Internet 相反, 也可将数据从 AWS 导出到便携式存储设备 和所有其他 AWS 服务一样,AWS Import/Export 服务要求您对存储设备进行安全地标识和身份验证 在此示例中, 您会将一个作业请求提交到 AWS, 其中包含您的 Amazon S3 存储桶 Amazon EBS 区域 AWS Access Key ID 以及回寄地址 然后您将收到作业的唯一标识符 用于验证您的设备的数字签名, 以及将存储设备寄送到的 AWS 地址 对于 Amazon S3, 您将签名文件放入设备的根目录中 对于 Amazon EBS, 您将签名条形码粘贴到设备外侧 该签名文件仅用于身份验证, 不会上传到 Amazon S3 或 EBS 对于传输到 Amazon S3, 您指定数据应加载到的特定存储桶, 并确保执行加载的账户具有该存储桶的写入权限 您还应指定要应用于已加载到 Amazon S3 的每个对象的访问控制列表 对于传输到 EBS, 您指定 EBS 导入操作的目标区域 如果存储设备容量不超过 1 TB 大小上限, 其内容将被直接加载到 Amazon EBS 快照中 如果存储设备容量超过 1 TB, 则会在指定的 S3 日志存储桶中存储设备映像 随后, 您可以使用 Logical Volume Manager 之类的软件创建 Amazon EBS 卷 RAID, 并将该映像从 S3 复制到这一新卷中 第 39 页, 共 74 页

40 要提供额外保护, 您可以在将设备运输到 AWS 之前对设备上的数据进行加密 对于 Amazon S3 数据, 您可以使用带硬件加密的 PIN 码设备或 TrueCrypt 软件来加密您的数据, 然后再将其发送到 AWS 对于 EBS 和 Glacier 数据, 您可以使用您选择的任何加密方法, 包括 PIN 码设备 在导入之前,AWS 将使用您在导入清单上提供的 PIN 码和 / 或 TrueCrypt 密码对您的 Amazon S3 数据进行解密 AWS 使用您的 PIN 访问 PIN 码设备, 但不会解密要导入到 Amazon EBS 或 Amazon Glacier 的软件加密的数据 下表汇总了每种类型的导入 / 导出作业的加密选项 导入到 Amazon S3 源目标结果 设备文件系统上的文件 在装运设备之前, 使用 PIN 码设备和 / 或 TrueCrypt 加密数据 现有 Amazon S3 存储桶中的对象 AWS 在执行导入操作之前对数据进行解密 每个文件对应一个对象 在装运之前, 每次完成导入作业后,AWS 将对您的设备进行擦除操作 从 Amazon S3 导出 源目标结果 一个或多个 Amazon S3 存储桶中的对象 提供 AWS 将用来加密数据的 PIN 码和 / 或密码 您的存储设备上的文件 AWS 将格式化您的设备 AWS 会将数据复制到设备上的已加密文件容器 每个对象对应一个文件 AWS 在装运之前将加密您的数据 使用 PIN 码设备和 / 或 TrueCrypt 解密文件 导入到 Amazon Glacier 源目标结果 整个设备 在装运之前, 使用您选择的加密方法加密数据 导入到 Amazon EBS( 设备容量 < 1 TB) 现有 Amazon Glacier 文件库中的一个存档 AWS 不会解密您的设备 源目标结果 整个设备 在装运之前, 使用您选择的加密方法加密数据 一个 Amazon EBS 快照 AWS 不会解密您的设备 存储为单个存档的设备映像 在装运之前, 每次完成导入作业后,AWS 将对您的设备进行擦除操作 设备映像将存储为一个快照 如果设备已加密, 则映像也已加密 在装运之前, 每次完成导入作业后,AWS 将对您的设备进行擦除操作 第 40 页, 共 74 页

41 导入到 Amazon EBS( 设备容量 > 1 TB) 源目标结果 整个设备 在装运之前, 使用您选择的加密方法加密数据 现有 Amazon S3 存储桶中的多个对象 AWS 不会解密您的设备 分成一系列 1 TB 快照的设备映像, 这些快照在清单文件中指定的 Amazon S3 存储桶中以对象形式存储 如果设备已加密, 则映像也已加密 在装运之前, 每次完成导入作业后,AWS 将对您的设备进行擦除操作 完成导入后,AWS Import/Export 将擦除您的存储设备的内容, 以便在返程运输期间保护数据 AWS 会对存储设备上的所有可写数据块进行零覆盖 擦除后, 您需要对设备重新分区和格式化 如果 AWS 无法擦除设备上的数据, 则会安排对其进行销毁, 我们的支持团队将通过设备附带的清单文件中指定的电子邮件地址与您联系 在国际范围内运输设备时, 发送到 AWS 的清单文件中的海关选项和某些所需的子字段是必填的 AWS Import/Export 使用这些值验证入站装运并准备出站海关文件 这些选项中有两个选项为设备上的数据是否已加密和加密软件的分类 根据美国出口管理条例, 在将加密的数据运入或运出美国时, 加密软件必须归类为 5D992 数据库服务 Amazon Web Services 为开发人员和企业提供了大量数据库解决方案 从托管的关系和 NoSQL 数据库服务到内存中的缓存即服务和 PB 级数据仓库服务 Amazon DynamoDB 安全性 Amazon DynamoDB 是一种托管的 NoSQL 数据库服务, 提供快速而可预测的性能, 能够实现无缝扩展 利用 Amazon DynamoDB, 您可以将操作和扩展分布式数据库的管理工作负担转移给 AWS, 因此您无需担心硬件预置 设置和配置 复制 软件修补或集群扩展等问题 您可以创建一个数据库表来存储和检索任意量级的数据, 并支持任何级别的请求流量 DynamoDB 自动将表的数据和流量分布到足够多的服务器, 以便处理您指定的请求容量和存储的数据量, 同时保持一致 快速的性能 所有数据项均存储在固态硬盘 (SSD) 中, 并自动复制到相关地区的多个可用区中, 以提供内置的高可用性和数据持久性 您可以使用 AWS Data Pipeline 中刚刚为复制 DynamoDB 表而创建的特殊模板来设置自动备份 您可以选择完整或增量备份到位于相同区域或不同区域中的表 您可以在代码错误损坏原始表的情况下使用灾难恢复 (DR) 的副本, 或跨区域联合 DynamoDB 数据以支持多区域应用程序 第 41 页, 共 74 页

42 要控制可使用 DynamoDB 资源和 API 的人员, 您可以在 AWS IAM 中设置权限 除了使用 IAM 控制资源级访问权之外, 您还可以控制数据库级访问权 - 您可以根据应用程序的需求创建允许或拒绝访问项目 ( 行 ) 和属性 ( 列 ) 的数据库级权限 这些数据库级权限称为精细访问控制, 您使用一个 IAM 策略创建这些权限, 该策略指定用户或应用程序在哪些情况下可以访问 DynamoDB 表 IAM 策略可以对表中单个项目的访问和项目中属性的访问实施单独控制, 也可以同时控制 属性 项目 您可以视情况使用 Web 联合身份验证来控制使用 Login with Amazon Facebook 或 Google 进行身份验证的应用程序用户的访问 使用 Web 联合身份验证不必逐一创建 IAM 用户 ; 相反, 用户可以登录到身份提供商并从 AWS Security Token Service (AWS STS) 获取临时安全凭证 AWS STS 将向应用程序返回临时 AWS 凭证并允许其访问特定 DynamoDB 表 除了要求数据库和用户权限之外, 对 DynamoDB 服务的每个请求必须包含有效的 HMAC-SHA256 签名, 否则请求将被拒绝 AWS 软件开发工具包会自动对请求进行签名 ; 但是, 如果您要编写自己的 HTTP POST 请求, 则必须在 Amazon DynamoDB 的请求的标头中提供签名 要计算签名, 您必须从 AWS Security Token Service 请求临时安全凭证 使用临时安全凭证为 Amazon DynamoDB 的请求签名 可通过 SSL 加密的终端节点访问 Amazon DynamoDB 可以从 Internet 和 Amazon EC2 内部访问加密的终端节点 Amazon Relational Database Service (Amazon RDS) 安全性 Amazon RDS 让您能迅速创建一个关系数据库 (DB) 实例, 并灵活地扩张相关计算资源及存储容量, 以满足应用程序的要求 Amazon RDS 通过执行备份 处理故障转移及维护数据库软件代您管理数据库实例 目前, Amazon RDS 可用于 MySQL Oracle Microsoft SQL Server 和 PostgreSQL 数据库引擎 Amazon RDS 具有多项可提高重要生产数据库的可靠性的功能, 包括数据库安全组 权限 SSL 连接 自动备份 数据库快照和多可用区部署 数据库实例还可以部署在 Amazon VPC 中以提供额外的网络隔离 第 42 页, 共 74 页

43 访问控制首次在 Amazon RDS 内创建数据库实例时, 将会创建一个主用户账户, 它仅在 Amazon RDS 环境中用来控制对您的数据库实例的访问 主用户账户是原生数据库用户账户, 允许您登录到数据库实例并享有所有数据库权限 在创建数据库实例时, 您可以指定要与每个数据库实例相关联的主用户账户和密码 创建数据库实例后, 您可以使用主用户凭证连接到数据库 之后, 可以创建其他用户账户, 以便限制谁能访问您的数据库实例 您可以通过数据库安全组控制 Amazon RDS 数据库实例访问, 数据库安全组与 Amazon EC2 安全组类似, 但不可互换 数据库安全组与防火墙的功能类似, 控制对您的数据库实例的网络访问 数据库安全组默认设置为 全部拒绝 访问模式, 客户必须对网络进入专门进行授权 有两种方法进行此操作 : 授权一个网络 IP 范围, 或授权一个现有的 Amazon EC2 安全组 数据库安全组仅允许对数据库服务器端口进行访问 ( 所有其他端口均被阻断 ), 且不用重启 Amazon RDS 数据库实例就可对其进行更新, 这使客户能无缝地控制他们的数据库访问 使用 AWS IAM, 您可以进一步控制对您的 RDS 数据库实例的访问 AWS IAM 还使您可以控制每个 AWS IAM 用户有权调用哪些 RDS 操作 网络隔离为了实施额外的网络访问控制, 您可以在 Amazon VPC 中运行您的数据库实例 使用 Amazon VPC, 您可通过指定要使用的 IP 地址范围来隔离您的数据库实例, 并通过经过行业标准加密的 IPsec VPN 连接到现有 IT 基础设施 在 VPC 中运行 Amazon RDS 可让您在私有子网中拥有数据库实例 您也可以设置一个虚拟专用网关, 将公司网络扩展到 VPC, 然后允许访问该 VPC 中的 RDS 数据库实例 有关详细信息, 请参阅 Amazon VPC 用户指南 对于多可用区部署, 为某个地区的所有可用区定义子网将允许 Amazon RDS 根据需要在其他可用区中创建新的备用实例 您可以创建数据库子网组, 这些组是您可能需要为 VPC 中的 RDS 数据库实例指定的子网集合 每个数据库子网组应至少包含给定区域中每个可用区的一个子网 在这种情况下, 在 VPC 中创建数据库实例时, 选择一个数据库子网组 ; 然后,Amazon RDS 使用该数据库子网组和您首选的可用区来选择子网及该子网内的 IP 地址 Amazon RDS 创建弹性网络接口, 并通过该 IP 地址将其关联到您的数据库实例 对于 Amazon VPC 内部署的数据库实例, 可通过 VPN 或您在公有子网中可以启动的堡垒主机从 VPC 外部的 Amazon EC2 实例进行访问 要使用堡垒主机, 您需要设置一个包含用作 SSH 堡垒的 EC2 实例的公有子网 该公有子网的 Internet 网关和路由规则必须允许通过 SSH 主机引导流量, 然后必须将请求转发到 Amazon RDS 数据库实例的私有 IP 地址 数据库安全组可用来帮助确保 Amazon VPC 内数据库实例的安全 此外, 通过网络 ACL 可以允许或拒绝进入和退出各个子网的网络流量 内部安全基础设施 ( 包括网络防火墙和入侵检测系统 ) 可以监视通过 IPsec VPN 连接进入或退出 Amazon VPC 的所有网络流量 第 43 页, 共 74 页

44 加密您可以使用 SSL 对您的应用程序和数据库实例之间的连接加密 对于 MySQL 和 SQL Server, 在预置实例时, RDS 会创建一个 SSL 证书并将该证书安装在数据库实例上 对于 MySQL, 要加密连接, 可使用 --ssl_ca 参数启动 mysql 客户端来引用公有密钥 对于 SQL Server, 请下载公钥并将证书导入您的 Windows 操作系统中 Oracle RDS 借助 Oracle 本机网络加密来加密数据库实例 只需将本机网络加密选项添加到一个选项组中并将该选项组与数据库实例关联即可 建立加密连接后, 在传输时将对数据库实例和应用程序之间传输的数据进行加密 也可以要求您的数据库实例只接受加密的连接 Amazon RDS 支持对 SQL Server(SQL Server 企业版 ) 和 Oracle(Oracle Enterprise Edition 中提供的 Oracle 高级安全选项的一部分 ) 进行透明数据加密 (TDE) TDE 功能在将数据写入到存储之前自动对数据进行加密, 并在从存储读取数据时自动对数据进行解密 如果您需要 MySQL 数据在数据库中处于 静态 时也处于加密状态, 则应用程序必须管理数据的加密和解密 请注意,Amazon RDS 中的 SSL 支持用来对应用程序和数据库实例之间的连接加密, 不应依赖于数据库实例本身的身份验证 虽然 SSL 有安全优势, 但应注意 SSL 加密操作需使用大量计算资源, 可能会加大数据库连接延迟 有关 SSL 如何用于 MySQL 的详细信息, 请直接参考此处的 MySQL 文档 要了解如何对 SQL Server 使用 SSL, 请参阅 RDS 用户指南 自动备份和数据库快照 Amazon RDS 提供两种不同的方法来备份和还原数据库实例 : 自动备份和数据库快照 Amazon RDS 的自动备份功能在默认情况下打开, 实现数据库实例的时间点恢复 Amazon RDS 将备份您的数据库和事务日志, 并且按用户指定的保留期进行存储 这样, 您就能够将数据库实例恢复到保留期内任何一秒钟的状态, 最多可恢复到前五分钟的状态 自动备份保留期可配置为最长 35 天 在备份窗口期间, 备份数据时可能会暂停存储 I/O 这种 I/O 暂停通常持续几分钟时间 因为备份是从备用副本获取的, 所以通过多可用区数据库部署可以避免 I/O 暂停 数据库快照是用户启动的数据库实例备份 Amazon RDS 将存储这些完整数据库备份, 直至您明确删除它们 您可以复制任意大小的数据库快照并在 AWS 的任意公共区域间移动这些快照, 或同时将同一快照复制到多个区域 然后, 您可以在需要时随时从数据库快照创建新数据库实例 数据库实例复制 Amazon 云计算资源存储在位于全球不同区域中的高度可用的数据中心设施中, 每个区域包含多个独立位置 ( 称为可用区 ) 每个可用区都被设计成不受其他可用区故障的影响, 并提供与同一区域的其他可用区的低价 低延迟的网络连接 第 44 页, 共 74 页