AWS 云安全最佳实践 李思源 AWS 解决方案架构师
日程 AWS 安全服务概览 网络安全 数据安全 访问控制 监控与审计 AWS 安全技术资源
AWS 安全服务概览
AWS 安全服务概览 网络 & 安全 合规 & 治理 Amazon GuardDuty Amazon VPC AWS Direct Connect VPN connection Security Groups AWS AWS Trusted AWS Service Catalog Advisor CloudFormation AWS CloudTrail AWS Systems Manager Flow logs AWS Shield AWS WAF Route table AWS Firewall Manager Amazon CloudWatch AWS Config AWS Artifact Amazon Inspector AWS OpsWorks 身份 加密 Amazon Cognito AWS Single Sign-on IAM AWS Directory Service Temporary Security credential AWS Organizations Active Directory integration SAML Federation AWS KMS AWS Secrets Manager AWS CloudHSM Client-side encryption AWS Certificate Manager
AWS 安全责任共担模型 客户内容 平台, 应用, 身份和权限管理 操作系统, 网络和防火墙配置 客户 : 基础设施上的 所有项目 客户端数据加密服务端数据加密网络流量防护 AWS 基础服务 计算存储数据库网络 AWS 全球基础架构 可用区 区域 边缘节点 AWS: 底层基础设施
AWS 云平台支持的安全标准和规范 SOC 1 / ISAE 3402 SOC 2 SOC 3 HIPAA CJIS DoD SRG Levels 2 & 4 MLPS Level 3 MTCS Tier 3 IRAP ISO 27001 ISO 9001 ISO 27018 GxP ITAR FERPA Section 508 / VPAT NIST FISMA, RMF, and DIACAP FedRAMP ISO 27017 PCI DSS Level 1 FIPS 140-2 G-Cloud IT-Grundschutz MPAA Cloud Security Alliance Cyber Essentials Plus
AWS 在中国的合规性 法律 法规 标准 国家安全法 反恐法 网络安全法 商用密码管理条例 信息安全等级保护条例 信息安全产品管理规定 GB/YD/GM/ CSA GC Standard Group DCA 网络安全审查办法
网络安全
Amazon 虚拟私有网络 (VPC) VPC 10.1.0.0/16 EC2 实例 1 10.1.1.6 EC2 实例 2 10.1.1.7 EC2 实例 3 10.1.10.20 安全组 In 安全组 Out 安全组 In 安全组 Out 安全组 In 安全组 Out 子网 10.1.1.0/24 子网 10.1.10.0/24 Network ACL In Network ACL Out Network ACL In Network ACL Out 路由表 虚拟路由器 路由表 Internet 网关 虚拟私有网关
网络访问控制列表 Network Access Control List 适用于子网 允许所有流量进入
安全组 Security Group
VPC 动手实验
AWS WAF Web 应用程序防火墙 阻止或允许 WEB 请求 监控安全事件 与 Amazon CloudFront 集成, 也可部署在 ALB 或 API Gateway 上 提供 API, 支持自动化创建 部署和维护 WAF 规则 基于规则过滤 WEB 流量 :IP 地址,HTTP 头,HTTP 正文,URL,SQL 注入等
数据安全
数据库数据安全 :Amazon Relational Database Service (RDS) 使用数据库实例安全组, 精确控制访问权限 启用 SSL 连接 启用自动备份 定期对数据库实例做快照 启动多可用区部署
文件存储数据安全 :Amazon EC2 与 Amazon EBS 主机平台访问安全 AWS 没有访问客户实例的权限, 客户拥有完全权限 建议禁用对客户机的仅使用口令访问 建议使用基于证书的 SSH 访问 严格管理安全组, 只允许指定 IP 远程登录进行管理 块存储数据安全 在传输过程中, 使用 SSL 或 TLS 对数据进行加密 在数据存储时, 使用默认或 AWS 托管的密钥进行静态数据加密 定期对 EBS 卷做快照
对象存储数据安全 :Amazon S3 S3 存储持久性 :99.999999999% 存储桶和数据对象级访问控制 控制读取 写入 全部 所有者拥有全部控制权限 数据加密 支持 SSL 做传输加密 支持服务器端加密, 可使用默认 SSE 密钥或 AWS 托管的密钥 也可以在客户端加密后再进行上传 版本控制 MFA 删除 预签名 URL 等功能
访问控制
AWS Identity and Access Management (IAM) 客户可以控制谁在 AWS 环境中什么时候, 在哪里, 可以做什么 支持多因子认证 MFA 支持与企业现有 AD 集成以实现联合身份认证或者 SSO
Amazon IAM 动手实验
监控与审计
Amazon CloudWatch 收集 AWS 资源 应用程序和服务的指标与日志 可视化监控指标, 支持创建警报, 通知到邮箱 CloudWatch Logs: 监控 存储和访问日志信息 o Amazon EC2 o VPC FlowLog o AWS CloudTrail 定义 Filter, 产生告警 可以导出到 Amazon S3, 或者输出到 Amazon Kinesis,AWS Lambda
AWS CloudTrail 记录您的账户所做的 API 调用, 并向您的 Amazon S3 存储桶提供日志文件 每一条记录包括 : o API 的名称 ( 源 IP 地址 ) o 调用者的身份 o API 调用时间 o 请求参数 o AWS 服务返回的响应元素
CloudWatch Logs & CloudTrail 动手实验
AWS Config 云资源配置 & Config Rules 持续纪录配置变动 提供基于时间的资源变化视图 存档和比较
AWS Trusted Advisor 检查您的 AWS 环境提供建议针对安全配置错误提供警报 : 保持打开某些端口 忽视了为您的内部用户创建 IAM 账户 允许公共访问 S3 存储桶 未使用 AWS 根账户上的 MFA
APN 合作伙伴 安全 Advanced Threat Analytics Application Security Identity and Access Mgmt Server & Endpoint Protection Network Security Encryption & Key Mgmt Vulnerability & Pen Testing
AWS 安全技术资源
AWS 安全技术博客 blogs.aws.amazon.com/security
AWS 安全相关资料 AWS Security 白皮书 https://aws.amazon.com/cn/whitepapers/
感谢参加 AWS 在线研讨会 我们希望您喜欢今天的内容! 也请帮助我们完成反馈问卷 欲获取关于 AWS 的更多信息和技术内容, 可以通过以下方式找到我们 : 微信公众号 :AWSChina 新浪微博 :https://www.weibo.com/amazonaws/ 领英 :https://www.linkedin.com/company/aws-china/ 知乎 :https://www.zhihu.com/org/aws-54/activities/ 视频中心 :http://aws.amazon.bokecc.com/ 更多线上技术活动 :https://aws.amazon.com/cn/about-aws/events/webinar/