AWS安全基礎(chǔ)知識包括使用有案可查的計劃，為安全威脅做好準(zhǔn)備和演練，保護(hù)基礎(chǔ)設(shè)施的所有層，使用身份系統(tǒng)并強(qiáng)制執(zhí)行權(quán)限級別劃分、監(jiān)控云環(huán)境、盡可能使用自動化工具以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)。

使用AWS不意味著組織不負(fù)責(zé)保護(hù)整個云基礎(chǔ)設(shè)施，而是與 AWS 分擔(dān)責(zé)任。

簡而言之，AWS 將其云基礎(chǔ)設(shè)施作為一個整體來保護(hù)，創(chuàng)建 AWS 并為客戶提供 AWS 云服務(wù)的硬件、軟件、網(wǎng)絡(luò)和設(shè)施?？蛻粲胸?zé)任保護(hù)他們在 AWS 上創(chuàng)建的基礎(chǔ)設(shè)施：他們的數(shù)據(jù)、操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序和其他資源。對于每個云供應(yīng)商來說，這可能不一樣。

做好準(zhǔn)備：針對安全威脅制定計劃和策略

在開始使用任何安全服務(wù)之前，組織必須制定如何處理安全威脅的計劃和策略。做好準(zhǔn)備是最重要的 AWS 安全基礎(chǔ)知識之一。AWS 建議組織制定一個根據(jù)其安全要求（如法規(guī)）進(jìn)行事件管理的流程。

根據(jù) AWS 的說法，組織應(yīng)運(yùn)行事件演練，以確保團(tuán)隊做好準(zhǔn)備。演練還可以識別組織的弱點、檢測威脅的低效率、改進(jìn)安全事件調(diào)查的方法以及如何從安全事件中恢復(fù)。

保護(hù)所有基礎(chǔ)架構(gòu)層

云基礎(chǔ)架構(gòu)的所有層都需要得到保護(hù)。在責(zé)任共擔(dān)模型中，AWS 負(fù)責(zé)運(yùn)行 AWS 的基礎(chǔ)層，客戶負(fù)責(zé)他們在 AWS 上運(yùn)行的環(huán)境。對于組織來說，了解他們負(fù)責(zé)什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創(chuàng)建一個隔離的私有虛擬網(wǎng)絡(luò)環(huán)境。此外，添加 AWS WAF（Web 應(yīng)用程序防火墻）等防火墻可以防止對關(guān)鍵應(yīng)用程序和數(shù)據(jù)的未經(jīng)授權(quán)的訪問。

AWS WAF 是 AWS 安全性的基礎(chǔ)，可保護(hù) Web 應(yīng)用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創(chuàng)建安全規(guī)則來阻止常見的攻擊流量模式，同時允許其他流量傳遞到應(yīng)用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應(yīng)用程序中擁有一致的防火墻規(guī)則。使用 AWS 防火墻管理器的組織可以從一個中心位置配置和管理所有防火墻規(guī)則和策略。通過這種方式，AWS 防火墻管理器能夠保護(hù)組織的整個云基礎(chǔ)設(shè)施。

做好準(zhǔn)備：針對安全威脅制定計劃和策略

在開始使用任何安全服務(wù)之前，組織必須制定如何處理安全威脅的計劃和策略。做好準(zhǔn)備是最重要的 AWS 安全基礎(chǔ)知識之一。AWS 建議組織制定一個根據(jù)其安全要求（如法規(guī)）進(jìn)行事件管理流程。

根據(jù) AWS 的說法，組織應(yīng)運(yùn)行事件模擬，以確保團(tuán)隊做好準(zhǔn)備。模擬還可以識別組織的弱點、檢測威脅的低效率、改進(jìn)安全事件調(diào)查的方法以及如何從安全事件中恢復(fù)。

保護(hù)所有基礎(chǔ)架構(gòu)層

云基礎(chǔ)架構(gòu)的所有層都需要得到保護(hù)。在責(zé)任共擔(dān)模型中，AWS 負(fù)責(zé)運(yùn)行 AWS 的基礎(chǔ)層，客戶負(fù)責(zé)他們在 AWS 上運(yùn)行的環(huán)境。對于組織來說，了解他們負(fù)責(zé)什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創(chuàng)建一個隔離的私有虛擬網(wǎng)絡(luò)環(huán)境。此外，添加 AWS WAF（Web 應(yīng)用程序防火墻）等防火墻可以防止對關(guān)鍵應(yīng)用程序和數(shù)據(jù)的未經(jīng)授權(quán)的訪問。

AWS WAF 是 AWS 安全性的基礎(chǔ)，可保護(hù) Web 應(yīng)用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創(chuàng)建安全規(guī)則來阻止常見的攻擊流量模式，同時允許其他流量傳遞到應(yīng)用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應(yīng)用程序中擁有一致的防火墻規(guī)則。使用 AWS 防火墻管理器的組織可以從一個中心位置配置和管理所有防火墻規(guī)則和策略。通過這種方式，AWS 防火墻管理器能夠保護(hù)組織的整個云基礎(chǔ)設(shè)施。

使用身份系統(tǒng)并強(qiáng)制實施權(quán)限級別劃分

身份訪問管理 （IAM） 等身份系統(tǒng)在保護(hù)云資源免遭不當(dāng)使用方面大有幫助。此類系統(tǒng)是AWS 安全性和整體安全性的基礎(chǔ)。IAM 使組織能夠遵循最小特權(quán)原則，即用戶僅被授予對其作業(yè)所需數(shù)據(jù)的訪問權(quán)限。

借助 AWS IAM，組織可以使用該服務(wù)作為授予不同級別訪問權(quán)限的一種方式，并影響用戶對云資源的影響。帳戶管理員可以使用基于身份的策略向用戶授予權(quán)限。該策略對不同用戶和組的影響不同。

標(biāo)識可以綁定到一個用戶或一組用戶。該標(biāo)識通知安全策略是否允許用戶執(zhí)行某些操作或訪問某些資源。允許用戶執(zhí)行哪些操作和資源的程度是已授予他們多少特權(quán)的標(biāo)志。

除 AWS IAM 外，控制用戶訪問的其他 AWS 服務(wù)包括 Amazon Cognito 和 AWS Single Sign-On （SSO）。

Cognito授予授權(quán)用戶訪問組織應(yīng)用程序的權(quán)限。用戶可以是可以授權(quán)訪問應(yīng)用程序后端的員工，也可以是只需要訪問前端的日常用戶。

AWS SSO 允許組織的員工使用一組憑證訪問多個 AWS 賬戶。應(yīng)用程序、帳戶和關(guān)聯(lián)的權(quán)限都可以集中管理。

監(jiān)控云環(huán)境

組織無法保護(hù)自己免受無法檢測到的威脅的侵害。這就是為什么監(jiān)控云環(huán)境對安全性至關(guān)重要的原因。通過充分的監(jiān)視，當(dāng)發(fā)生安全事件時，組織會快速收到警報。

在安全事件發(fā)生后，最好有日志，提供導(dǎo)致安全事件所執(zhí)行操作的歷史記錄以及由誰執(zhí)行的操作。各種亞馬遜安全服務(wù)都具有這樣的監(jiān)控和日志記錄功能。

Amazon Detective 會自動收集組織所有云資源的日志數(shù)據(jù)，并使用該信息來確定可能的安全問題的來源。

Amazon GuardDuty 還會持續(xù)監(jiān)控云環(huán)境，并分析日志數(shù)據(jù)中是否存在威脅、異?；顒雍彤惓Ｐ袨?。

Amazon Macie 是一項基于機(jī)器學(xué)習(xí)的服務(wù)，可自動查找、分類和保護(hù)敏感數(shù)據(jù)。例如，個人身份信息 （PII） 或知識產(chǎn)權(quán)可由 Amazon Macie 找到并進(jìn)行保護(hù)。

AWS安全中心是一個控制面板，用于編譯來自各種 AWS 安全服務(wù)的通知和警報。中心聚合、組織監(jiān)視信息，并為查看它的管理員設(shè)置其優(yōu)先級。

自動化安全功能

上一節(jié)中提到的許多服務(wù)都是自動化工具。這對管理員來說很重要，因為它將許多單調(diào)且耗時的任務(wù)從他們的盤子中移除，并使不需要的任務(wù)成為各種服務(wù)的責(zé)任。

通過讓軟件接管數(shù)據(jù)分析或監(jiān)視活動等任務(wù)，管理員有更多時間用于直接影響其組織業(yè)務(wù)需求的項目。此外，自動化策略部署和實施等流程使云實例能夠更輕松地快速擴(kuò)展。

保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)

另一個 AWS 安全基礎(chǔ)是在數(shù)據(jù)未被訪問或移動時保護(hù)數(shù)據(jù)，以及在整個組織網(wǎng)絡(luò)中傳輸數(shù)據(jù)時保護(hù)數(shù)據(jù)。

靜態(tài)數(shù)據(jù)可以通過加密和使用如上所述的訪問控制來保護(hù)。傳輸中的數(shù)據(jù)可以通過加密、安全密鑰和證書管理、安全協(xié)議（如傳輸層安全性 （TLS）、VPN 以及可以檢測將數(shù)據(jù)移出特定邊界的嘗試的工具進(jìn)行保護(hù)。同樣，有幾種 AWS 服務(wù)可以執(zhí)行這些任務(wù)。

AWS有兩種安全服務(wù)可以提供加密：AWS CloudHSM 和 AWS Key Management Service （KMS）。

AWS CloudHSM 是基于云的硬件安全模塊 （HSM） 服務(wù)，組織可以使用它在云中創(chuàng)建自己的加密密鑰。這些模塊經(jīng)過FIPS 140-2 3 級驗證，這意味著它們符合美國聯(lián)邦信息處理法規(guī)。

AWS KMS 是創(chuàng)建和控制加密密鑰的托管方式。借助此服務(wù)，組織可以跨多個 AWS 服務(wù)和在自己的應(yīng)用程序中控制密鑰的使用。AWS KMS 也使用 HSM。這兩者都提供了防止數(shù)據(jù)在靜態(tài)時被攻擊者訪問所需的加密。

數(shù)據(jù)傳輸?shù)陌踩珔f(xié)議是確保傳輸中數(shù)據(jù)安全的關(guān)鍵。安全套接字層/傳輸層安全性 （SSL/TLS） 證書可通過 AWS 證書管理器進(jìn)行預(yù)置、管理和部署。通過這些安全協(xié)議，數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時會被加密。

AWS密鑰管理器可確保數(shù)據(jù)庫憑證或 API 密鑰等機(jī)密的安全。存儲和控制機(jī)密是通過控制臺、CLI 或 API 集中完成的。使用此服務(wù)，機(jī)密不會硬編碼到應(yīng)用程序中。相反，對 AWS 密鑰管理器的 API 調(diào)用會檢索密鑰。

這樣做意味著檢查應(yīng)用程序代碼的人找不到可以授予他們進(jìn)一步訪問權(quán)限的機(jī)密。這可以保護(hù)處于任何狀態(tài)的應(yīng)用程序內(nèi)的數(shù)據(jù)。

總結(jié)：AWS安全基礎(chǔ)知識關(guān)鍵要點：

1. 每個組織都應(yīng)該制定如何保護(hù)其云環(huán)境并有效執(zhí)行的計劃。

2.  防火墻是保護(hù)云基礎(chǔ)架構(gòu)不同層的好方法。

3.  身份訪問管理和最小特權(quán)原則是云安全的基本要素。

4.  通過監(jiān)視和記錄云活動，可以更輕松地找出導(dǎo)致安全事件的人員或原因。

5.  自動化使 IT 管理員的生活更加輕松，因為他們不再需要專注于單調(diào)和苛刻的任務(wù)。

6. 加密是保護(hù)靜態(tài)和傳輸中數(shù)據(jù)的常見且有效的方法。

原文鏈接：https://www.sdxcentral.com/cloud/definitions/aws-security-fundamentals/