AWS云上安全指南,aws云安全解決方案-ESG跨境

AWS云上安全指南,aws云安全解決方案

AWS云上安全指南

在當(dāng)下快速發(fā)展的互聯(lián)網(wǎng)潮流中，云計(jì)算釋放無(wú)限能力，助力企業(yè)數(shù)字化轉(zhuǎn)型，為企業(yè)業(yè)務(wù)創(chuàng)新帶來(lái)新的契機(jī)，但是企業(yè)上云之后，傳統(tǒng)安全邊界變得更加模糊，核心業(yè)務(wù)在云端，使得數(shù)據(jù)可視化和安全風(fēng)險(xiǎn)洞察力都大打折扣，這給企業(yè)業(yè)務(wù)轉(zhuǎn)型的可持續(xù)發(fā)展埋下了隱患。如何才能安全無(wú)憂(yōu)地暢享云計(jì)算帶來(lái)的紅利，為應(yīng)用構(gòu)建更安全可靠的防護(hù)屏障呢？本文就AWS云上安全話(huà)題進(jìn)行探討，從安全模型到最佳實(shí)踐，從安全架構(gòu)規(guī)劃到系統(tǒng)內(nèi)部加固，對(duì)企業(yè)上云的安全部署提供系統(tǒng)化的全景建議，讓您更直觀地了解云上安全問(wèn)題，從而防患未然，構(gòu)筑云上安全堡壘。

一、云安全概述

1.1 云計(jì)算中的機(jī)遇與挑戰(zhàn)

當(dāng)云計(jì)算重構(gòu)IT產(chǎn)業(yè)的同時(shí)，也賦予了企業(yè)嶄新的增長(zhǎng)機(jī)遇。通過(guò)充分利用云計(jì)算的能力，企業(yè)可以釋放更多精力專(zhuān)注于自己的業(yè)務(wù)。云計(jì)算極大地降低了企業(yè)的數(shù)字化轉(zhuǎn)型成本，釋放更多效能進(jìn)行業(yè)務(wù)創(chuàng)新，云計(jì)算為企業(yè)業(yè)務(wù)創(chuàng)新帶來(lái)無(wú)限可能。但是當(dāng)人們?cè)谙硎苁褂迷朴?jì)算帶來(lái)的便利的同時(shí)，云上安全問(wèn)題也不容忽視，CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲(chóng)...，用戶(hù)的業(yè)務(wù)應(yīng)用就像在黑暗森林中的行者，四周潛伏著看不見(jiàn)的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業(yè)帶來(lái)極大的損失。

1.2 三問(wèn)云上安全性

云計(jì)算帶來(lái)了機(jī)遇與挑戰(zhàn)，那么對(duì)于挑戰(zhàn)，我們?cè)撊绾慰创?/p>

云平臺(tái)安全

當(dāng)企業(yè)接入云端，如何判斷云平臺(tái)的安全能力？合規(guī)性是一個(gè)重要考量因素，此外建議企業(yè)還可以了解云平臺(tái)是否有關(guān)于身份與訪(fǎng)問(wèn)、網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、應(yīng)用安全、可視性與智能相關(guān)的安全策略，全面客觀地評(píng)判云平臺(tái)安全實(shí)力。

隔離防護(hù)

云平臺(tái)為多租戶(hù)模式，租戶(hù)方應(yīng)該采取哪些措施或服務(wù)來(lái)達(dá)到安全的目的？該借助哪些服務(wù)來(lái)達(dá)到等級(jí)保護(hù)的要求？

安全流程規(guī)范

盡管企業(yè)已經(jīng)對(duì)云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發(fā)生安全風(fēng)險(xiǎn)，云平臺(tái)是否有一系列規(guī)范的安全響應(yīng)流程來(lái)幫助企業(yè)抵御攻擊，降低安全風(fēng)險(xiǎn)？

帶著上面的問(wèn)題，下文將從安全分類(lèi)、安全模型、云上安全最佳實(shí)踐等方面，對(duì)云上安全進(jìn)行詳細(xì)分析。

二 、云上安全分類(lèi)

對(duì)于云計(jì)算安全帶來(lái)的挑戰(zhàn)，云上安全問(wèn)題大體可分為以下四類(lèi)：

物理和基礎(chǔ)架構(gòu)安全：包括云計(jì)算環(huán)境下數(shù)據(jù)中心內(nèi)服務(wù)器、交換機(jī)等軟硬件設(shè)備自身安全、數(shù)據(jù)中心架構(gòu)設(shè)計(jì)層面的安全；

應(yīng)用安全：在云計(jì)算環(huán)境下的業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)的安全管理，包括應(yīng)用的設(shè)計(jì)、開(kāi)發(fā)、發(fā)布、配置和使用等方面的安全；

訪(fǎng)問(wèn)控制管理：云計(jì)算環(huán)境中對(duì)資源和數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限管理，包括用戶(hù)管理、訪(fǎng)問(wèn)權(quán)限管理、身份認(rèn)證等方面；

數(shù)據(jù)安全：指客戶(hù)在云計(jì)算環(huán)境中的業(yè)務(wù)數(shù)據(jù)自身的安全，包括收集與識(shí)別、分類(lèi)與分級(jí)、訪(fǎng)問(wèn)權(quán)限與加密等方面。

將云上安全問(wèn)題清晰歸類(lèi)后，企業(yè)就可以針對(duì)自身安全問(wèn)題有的放矢地進(jìn)行優(yōu)化完善。在此將詳細(xì)闡述AWS在云端的前沿技術(shù)與產(chǎn)品解決方案，看AWS如何為企業(yè)轉(zhuǎn)型賦能，幫助企業(yè)從容上云，為應(yīng)用構(gòu)建安全城堡。

三 、安全模型

AWS責(zé)任共擔(dān)模型強(qiáng)調(diào)安全性和合規(guī)性是AWS和客戶(hù)的共同責(zé)任，AWS提供基礎(chǔ)設(shè)施并保證其安全，用戶(hù)則負(fù)責(zé)維護(hù)自己運(yùn)行其上的應(yīng)用安全。在這里不少企業(yè)用戶(hù)會(huì)存在認(rèn)知誤區(qū)，認(rèn)為只要云平臺(tái)基礎(chǔ)設(shè)施安全就足夠了，但事實(shí)上企業(yè)需要對(duì)云端應(yīng)用有更深入的安全掌控。

從企業(yè)角度而言，用戶(hù)需要確保應(yīng)用的安全性，及利用云計(jì)算基礎(chǔ)設(shè)施的安全配置，進(jìn)行云上安全加固，例如及時(shí)更新操作系統(tǒng)的安全補(bǔ)丁、云產(chǎn)品的安全策略配置。AWS的安全模型將安全下放到客戶(hù)側(cè)，更具有靈活性和可控性，有助于用戶(hù)在AWS和內(nèi)部環(huán)境中掌控安全，獲得最大限度的保護(hù)。

在AWS的責(zé)任共擔(dān)模型中，人們可以更直觀地看到AWS和企業(yè)客戶(hù)的責(zé)任劃分，其中AWS負(fù)責(zé)全球基礎(chǔ)設(shè)施的安全及合規(guī)，客戶(hù)完全擁有和控制自己的數(shù)據(jù)，并可以根據(jù)自己的業(yè)務(wù)選擇合適的云產(chǎn)品，配置更高安全策略從而提升業(yè)務(wù)安全。通過(guò)這個(gè)模型，在AWS的強(qiáng)大云平臺(tái)上，企業(yè)擁有更靈活的安全產(chǎn)品搭配，對(duì)應(yīng)用有更強(qiáng)的安全掌控能力，，雙方共同構(gòu)筑了云上安全堡壘。

3.1 云安全責(zé)任

在了解了云上安全模型后，我將對(duì)AWS安全責(zé)任和客戶(hù)安全責(zé)任做更詳細(xì)的闡述，并通過(guò)案例講解，幫助大家更深入地了解責(zé)任共擔(dān)模型。

3.1.1 基礎(chǔ)設(shè)施安全

在基礎(chǔ)設(shè)施安全方面，AWS負(fù)責(zé)保護(hù)提供的所有服務(wù)的全球基礎(chǔ)設(shè)施的安全。

在高可用方面，AWS在全球多區(qū)域內(nèi)都部署基礎(chǔ)資源，在同一個(gè)區(qū)域內(nèi)的不同可用區(qū)也部署了基礎(chǔ)資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區(qū)或單區(qū)域故障所帶來(lái)的危害性，為基礎(chǔ)設(shè)施的高可用性提供了良好的保障。

在訪(fǎng)問(wèn)控制方面，AWS全球數(shù)據(jù)中心專(zhuān)業(yè)的安保人員利用視頻監(jiān)控、入侵檢測(cè)系統(tǒng)和其他電子方式嚴(yán)格控制各數(shù)據(jù)中心入口的物理訪(fǎng)問(wèn)，確保數(shù)據(jù)中心人員訪(fǎng)問(wèn)的合規(guī)性。

在物理安全方面，AWS全球數(shù)據(jù)中心均配備自動(dòng)化火災(zāi)探測(cè)和撲救設(shè)備，以及全年無(wú)中斷冗余設(shè)計(jì)的電源系統(tǒng)，這些防護(hù)設(shè)備及高可用設(shè)計(jì)方案，能夠大大提升數(shù)據(jù)中心健壯性。

在事件響應(yīng)方面，在遇到突發(fā)影響業(yè)務(wù)的事件時(shí)，AWS事件管理團(tuán)隊(duì)會(huì)使用行業(yè)標(biāo)準(zhǔn)診斷程序來(lái)推進(jìn)事件的解決。專(zhuān)業(yè)的管理團(tuán)隊(duì)還會(huì)提供全天候響應(yīng)服務(wù)，高效快速處理突發(fā)事件，確?；A(chǔ)設(shè)施安全無(wú)虞。

3.1.2 基本服務(wù)安全

安全性不僅嵌入到 AWS 基礎(chǔ)設(shè)施的每一層，還嵌入到基礎(chǔ)設(shè)施之上的每個(gè)服務(wù)中。AWS的每個(gè)服務(wù)都提供了廣泛的安全功能，可以幫助用戶(hù)保護(hù)敏感數(shù)據(jù)和應(yīng)用程序。例如，Amazon RDS for Oracle 是一種托管式數(shù)據(jù)庫(kù)服務(wù)，在該服務(wù)中，AWS 管理容器的所有層，甚至包括Oracle 數(shù)據(jù)庫(kù)平臺(tái)。針對(duì)云上服務(wù)，AWS提供數(shù)據(jù)備份服務(wù)和恢復(fù)工具，用戶(hù)負(fù)責(zé)配置和使用與業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) (BC/DR) 策略有關(guān)的工具。用戶(hù)通過(guò)使用AWS提供的靜態(tài)數(shù)據(jù)加密服務(wù)，或者AWS提供的對(duì)用戶(hù)有效負(fù)載的 HTTPS 封裝服務(wù)，以保障傳入和傳出該服務(wù)的數(shù)據(jù)安全。對(duì)于基本服務(wù)AWS也提供了多種有效措施來(lái)確保服務(wù)的安全性。

3.2 客戶(hù)安全責(zé)任

安全是相對(duì)的，且是多維度的，底層基礎(chǔ)設(shè)施交由AWS負(fù)責(zé)，那么在云上的資源配置和業(yè)務(wù)安全則需要由客戶(hù)自己來(lái)掌控。

3.2.1 基礎(chǔ)服務(wù)

基礎(chǔ)服務(wù)的安全問(wèn)題，涉及計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等層面，需要與具體的場(chǎng)景結(jié)合才能有針對(duì)性地保障其不同側(cè)重點(diǎn)的安全性。例如，當(dāng)業(yè)務(wù)遷移上云時(shí)，如何保障云上計(jì)算資源全生命周期的安全性，如何規(guī)劃云上網(wǎng)絡(luò)才能確保數(shù)據(jù)傳輸安全，依靠哪些措施保障數(shù)據(jù)存儲(chǔ)安全。針對(duì)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)三大基礎(chǔ)服務(wù)，AWS提供了不同的解決方案。

計(jì)算資源之EC2

服務(wù)器開(kāi)通

服務(wù)器在開(kāi)通階段，需要進(jìn)行一系列安全配置，以提升系統(tǒng)安全等級(jí)。企業(yè)可以自主選擇多種操作，例如選擇穩(wěn)定的操作系統(tǒng)版本、開(kāi)通服務(wù)器安全防護(hù)功能、開(kāi)通監(jiān)控日志服務(wù)、安全組最小化精確授權(quán)、配置快照備份策略、設(shè)置IAM訪(fǎng)問(wèn)權(quán)限、配置服務(wù)器告警策略等。

服務(wù)器配置

通過(guò)一些列系統(tǒng)內(nèi)優(yōu)化加固操作，提高系統(tǒng)安全性，例如在系統(tǒng)內(nèi)部使用系統(tǒng)默認(rèn)防火墻對(duì)業(yè)務(wù)進(jìn)行安全防護(hù)，調(diào)整文件打開(kāi)數(shù)和進(jìn)程數(shù)，優(yōu)化系統(tǒng)內(nèi)核參數(shù)，刪除系統(tǒng)內(nèi)無(wú)效用戶(hù)，禁用超級(jí)管理員登錄，使用普通用戶(hù)切換到超級(jí)管理員操作，對(duì)業(yè)務(wù)系統(tǒng)日志進(jìn)行切割分級(jí)等。

運(yùn)維

對(duì)于后期服務(wù)器運(yùn)維，需要企業(yè)客戶(hù)定期更新軟件系統(tǒng)，及時(shí)修復(fù)新暴露的軟件漏洞，定期巡檢服務(wù)器各項(xiàng)監(jiān)控指標(biāo)，企業(yè)還可以針對(duì)業(yè)務(wù)使用情況優(yōu)化系統(tǒng)配置，并對(duì)EC2服務(wù)器進(jìn)行安全測(cè)試，使用安全產(chǎn)品進(jìn)行EC2安全加固。

網(wǎng)絡(luò)安全之VPC

對(duì)于Amazon Virtual Private Cloud安全，用戶(hù)需要根據(jù)自身業(yè)務(wù)特點(diǎn)，結(jié)合業(yè)務(wù)網(wǎng)絡(luò)連通性和后期可擴(kuò)展性進(jìn)行綜合考慮。對(duì)Web應(yīng)用/APP應(yīng)用/DB應(yīng)用進(jìn)行分層設(shè)計(jì)，通過(guò)制定嚴(yán)格的網(wǎng)絡(luò)安全策略實(shí)現(xiàn)業(yè)務(wù)管控，保證安全；用戶(hù)還可以配置帶寬監(jiān)控，這樣一旦網(wǎng)絡(luò)發(fā)現(xiàn)異常流量就會(huì)告警，確保企業(yè)網(wǎng)絡(luò)安全可用。

存儲(chǔ)安全之Amazon S3

在對(duì)象存儲(chǔ)安全方面，Amazon S3基于請(qǐng)求時(shí)間（日期條件）限制訪(fǎng)問(wèn)，無(wú)論該請(qǐng)求是使用 SSL（布爾值條件）還是使用申請(qǐng)方的 IP 地址（IP 地址條件）發(fā)快遞的，都可基于申請(qǐng)方的客戶(hù)端應(yīng)用程序（字符串條件）限制訪(fǎng)問(wèn)。通過(guò) SSL 加密型終端節(jié)點(diǎn)，安全地將數(shù)據(jù)上傳/下載到 Amazon S3，保證數(shù)據(jù)傳輸?shù)紸mazon S3的安全性。

3.2.2 托管服務(wù)

對(duì)于AWS托管服務(wù)，例如Amazon RDS具有豐富功能，可以提高關(guān)鍵生產(chǎn)數(shù)據(jù)庫(kù)的可靠性，包括數(shù)據(jù)庫(kù)安全組、權(quán)限、SSL 連接、自動(dòng)備份、數(shù)據(jù)庫(kù)快照和多可用區(qū)部署。企業(yè)還可以選擇將數(shù)據(jù)庫(kù)實(shí)例部署在 Amazon VPC 中以享受額外的網(wǎng)絡(luò)隔離。

從訪(fǎng)問(wèn)控制層面來(lái)看，企業(yè)首次在 Amazon RDS 內(nèi)創(chuàng)建數(shù)據(jù)庫(kù)實(shí)例時(shí)，將會(huì)創(chuàng)建一個(gè)主用戶(hù)賬戶(hù)，它僅在 Amazon RDS 環(huán)境中用來(lái)控制對(duì)用戶(hù)數(shù)據(jù)庫(kù)實(shí)例的訪(fǎng)問(wèn)。同時(shí)創(chuàng)建數(shù)據(jù)庫(kù)子網(wǎng)組，這些組是用戶(hù)可能需要為 VPC 中的 RDS 數(shù)據(jù)庫(kù)實(shí)例指定的子網(wǎng)集合，每個(gè)數(shù)據(jù)庫(kù)子網(wǎng)組應(yīng)至少包含給定區(qū)域中每個(gè)可用區(qū)的一個(gè)子網(wǎng)，從網(wǎng)絡(luò)層面保證服務(wù)安全性；

終端訪(fǎng)問(wèn)加密方面，可以使用 SSL 對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)實(shí)例之間的連接進(jìn)行加密，避免數(shù)據(jù)被竊取和篡改；

對(duì)于自動(dòng)備份和數(shù)據(jù)庫(kù)快照，用戶(hù)可根據(jù)業(yè)務(wù)合理配置托管服務(wù)器的備份恢復(fù)策略，當(dāng)數(shù)據(jù)遭受破壞時(shí)能輕松地實(shí)現(xiàn)數(shù)據(jù)恢復(fù)；

對(duì)于告警，AWS提供RDS服務(wù)，可以幫助企業(yè)全面掌握云端應(yīng)用狀況，如實(shí)例是否已關(guān)閉、備份啟動(dòng)、發(fā)生故障轉(zhuǎn)移、安全組發(fā)生更改、存儲(chǔ)空間不足等，企業(yè)可以在第一時(shí)間發(fā)現(xiàn)潛在安全問(wèn)題，并執(zhí)行相應(yīng)修復(fù)操作，提升托管服務(wù)安全性。

四 、安全架構(gòu)最佳實(shí)踐

4.1 訪(fǎng)問(wèn)入口

4.1.1 邊界架構(gòu)安全

AWS WAF

AWS WAF是一種Web應(yīng)用程序防火墻，顧名思義防火墻能夠根據(jù)一些設(shè)定好的ACL規(guī)則或內(nèi)置安全策略，對(duì)網(wǎng)絡(luò)上的安全風(fēng)險(xiǎn)進(jìn)行攔截，包括SQL注入、跨站腳本、特點(diǎn)惡意IP訪(fǎng)問(wèn)等安全威脅。利用AWS WAF能夠?yàn)闃I(yè)務(wù)提供安全的訪(fǎng)問(wèn)入口。

AWS CloudFront

Amazon CloudFront 能加快將靜態(tài)和動(dòng)態(tài) Web 內(nèi)容（如 .html、.css、.js 和圖像文件）分發(fā)到用戶(hù)的速度，當(dāng)出現(xiàn)海量網(wǎng)絡(luò)攻擊情況時(shí)，可利用全球的節(jié)點(diǎn)輕松扛住海量攻擊。不僅如此，如下圖所示，Amazon CloudFront 還可將HTTP請(qǐng)求重定向到HTTPS，為應(yīng)用提供強(qiáng)有力的安全防護(hù)入口。

Amazon Route53

Amazon Route 53 作為DNS服務(wù)器，實(shí)施的故障轉(zhuǎn)移算法不僅用于將流量路由到正常運(yùn)行的終端節(jié)點(diǎn)，在遇到大型DDoS攻擊時(shí)還可以起到很好的分流作用，強(qiáng)大的基礎(chǔ)設(shè)施為用戶(hù)提供云上安全可靠的網(wǎng)絡(luò)防護(hù)。

安全接入點(diǎn)：

在全球網(wǎng)絡(luò)的眾多接入點(diǎn)，AWS已經(jīng)配置了專(zhuān)業(yè)的接口通信網(wǎng)絡(luò)設(shè)備，可以對(duì)網(wǎng)絡(luò)接入點(diǎn)進(jìn)行管理和安全檢測(cè)，從而保障了業(yè)務(wù)數(shù)據(jù)在接入點(diǎn)的網(wǎng)絡(luò)安全性。

傳輸保護(hù)：

普通用戶(hù)可使用安全套接字層 (SSL)通過(guò) HTTP 或 HTTPS 連接到 AWS 接入點(diǎn)，但對(duì)于安全需求更高的用戶(hù)，，AWS 提供Amazon Virtual Private Cloud (VPC)服務(wù)，它相當(dāng)于在AWS 云內(nèi)部為高安全需求用戶(hù)打造一張私有子網(wǎng)，通過(guò) IPsec Virtual Private Network 設(shè)備在 Amazon VPC 與用戶(hù)的數(shù)據(jù)中心之間建立加密隧道，從而保證業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全可靠。

容錯(cuò)設(shè)計(jì)：

AWS 保障了在多個(gè)地理區(qū)域內(nèi)以及在每個(gè)地理區(qū)域的多個(gè)可用區(qū)中實(shí)例和存儲(chǔ)數(shù)據(jù)的靈活性，通過(guò)將應(yīng)用程序分布在多個(gè)可用區(qū)從而保持彈性，高可用的容錯(cuò)設(shè)計(jì)最大程度避免了災(zāi)難的發(fā)生，為用戶(hù)應(yīng)用安全提供保障。

4.1.2 VPC規(guī)劃

對(duì)于Amazon Virtual Private Cloud安全，用戶(hù)需要根據(jù)自身業(yè)務(wù)特點(diǎn)，針對(duì)業(yè)務(wù)網(wǎng)絡(luò)連通性和后期可擴(kuò)展性等方面進(jìn)行前瞻性規(guī)劃考慮。

高可用設(shè)計(jì)

AWS可以幫助企業(yè)將業(yè)務(wù)部署在不同的VPC中，VPC之間實(shí)現(xiàn)網(wǎng)絡(luò)互通，企業(yè)可以利用路由安全組和網(wǎng)絡(luò)ACL來(lái)控制安全，不同VPC部署在不同地域，確保業(yè)務(wù)網(wǎng)絡(luò)冗余性。

分層設(shè)計(jì)

考慮到業(yè)務(wù)安全性，企業(yè)可以在每個(gè) Amazon VPC 內(nèi)創(chuàng)建一個(gè)或多個(gè)子網(wǎng)，在 Amazon VPC 中啟動(dòng)的每個(gè)實(shí)例均連接至一個(gè)子網(wǎng)。傳統(tǒng)的第 2 層安全性攻擊（包括 MAC 欺騙和 ARP 欺騙）被阻斷。

可擴(kuò)展性

業(yè)務(wù)網(wǎng)絡(luò)隨著業(yè)務(wù)應(yīng)用的持續(xù)發(fā)展，需要提前考慮未來(lái)可擴(kuò)展性，做好網(wǎng)段規(guī)劃。根據(jù)IDC網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)云上網(wǎng)段，避免在后續(xù)打隧道時(shí)發(fā)生網(wǎng)絡(luò)沖突，考慮到業(yè)務(wù)發(fā)展模式，建議企業(yè)盡可能采用大的網(wǎng)段劃分，為未來(lái)業(yè)務(wù)預(yù)留網(wǎng)段，確保網(wǎng)絡(luò)規(guī)劃具有良好的可擴(kuò)展性。

維護(hù)性

企業(yè)業(yè)務(wù)上線(xiàn)后對(duì)VPC需要進(jìn)行帶寬策略配置，監(jiān)控告警配置等操作。這樣可以在第一時(shí)間發(fā)現(xiàn)異常流量，并進(jìn)行處理。日常運(yùn)維中，企業(yè)還需要根據(jù)業(yè)務(wù)動(dòng)態(tài)調(diào)整VPC策略，定期巡檢以提升VPC安全。

4.1.3 子網(wǎng)規(guī)劃

VPC的安全一部分是由子網(wǎng)的安全措施來(lái)保證的，為了實(shí)施額外的網(wǎng)絡(luò)控制，可以通過(guò)指定子網(wǎng)的IP地址范圍來(lái)隔離不同的應(yīng)用實(shí)例，子網(wǎng)規(guī)劃也需要考慮子網(wǎng)中云資源的數(shù)量限制，子網(wǎng)的正確規(guī)劃能大大減少來(lái)自網(wǎng)絡(luò)內(nèi)的攻擊，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，防患于未然。

4.1.4 安全組

在應(yīng)用的訪(fǎng)問(wèn)中，AWS提供了一整套完整防火墻方案，此方案就是在各個(gè)云資源邊界都有安全組，且強(qiáng)制性入站配置默認(rèn)為是拒絕所有請(qǐng)求，客戶(hù)需要明確允許入站流量業(yè)務(wù)所需端口，最小化精細(xì)授權(quán)訪(fǎng)問(wèn)，從而提升網(wǎng)絡(luò)安全性。

4.2 系統(tǒng)架構(gòu)

在系統(tǒng)架構(gòu)安全方面，企業(yè)可通過(guò)靈活使用負(fù)載均衡、業(yè)務(wù)無(wú)狀態(tài)設(shè)計(jì)、分層架構(gòu)部署等手段構(gòu)建安全架構(gòu)。此外企業(yè)還可以將業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在分布式存儲(chǔ)中，，信息數(shù)據(jù)存儲(chǔ)在云產(chǎn)品MQ/DB中，這樣可以最大程度防患于未然，將攻擊輕松化解。

4.3 分級(jí)管理

4.3.1 訪(fǎng)問(wèn)分級(jí)

IAM

無(wú)論是對(duì)云資源的訪(fǎng)問(wèn)還是系統(tǒng)的訪(fǎng)問(wèn)，訪(fǎng)問(wèn)憑證的安全至關(guān)重要。借助AWS IAM，用戶(hù)可以集中對(duì)用戶(hù)、安全憑證（如密碼、訪(fǎng)問(wèn)密鑰）進(jìn)行統(tǒng)一管理，以及對(duì)AWS服務(wù)和資源的訪(fǎng)問(wèn)設(shè)置控制權(quán)限策略。靈活使用IAM授權(quán)可以對(duì)應(yīng)用或云資源訪(fǎng)問(wèn)實(shí)現(xiàn)分級(jí)控制，保障云資源和訪(fǎng)問(wèn)入口安全性。

MFA

為進(jìn)一步提高訪(fǎng)問(wèn)的高安全性和可靠性，企業(yè)可為賬戶(hù)中的所有用戶(hù)進(jìn)行MultiFactor Authentication (MFA)，啟用MFA后，用戶(hù)不僅要提供使用賬戶(hù)所需的密碼或訪(fǎng)問(wèn)密鑰，還必須提供來(lái)自經(jīng)過(guò)特殊配置的設(shè)備代碼，通過(guò)雙向認(rèn)證確保訪(fǎng)問(wèn)分級(jí)的安全性。

4.3.2 數(shù)據(jù)分級(jí)

數(shù)據(jù)KMS加密

對(duì)于數(shù)據(jù)加密問(wèn)題，可借助AWS Key Management Service (AWS KMS) 托管服務(wù)輕松實(shí)現(xiàn)。用戶(hù)可以創(chuàng)建和控制客戶(hù)主密鑰 (CMK)，這是用于加密數(shù)據(jù)的加密密鑰，通過(guò)使用 AWS KMS，能夠更好地控制對(duì)加密數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限。目前用戶(hù)可以直接在應(yīng)用程序中使用秘鑰管理和加密功能，也可以通過(guò)與 AWS KMS 集成的 AWS 服務(wù)使用密鑰管理和加密功能。利用KMS加密服務(wù)，能夠快捷簡(jiǎn)單保障數(shù)據(jù)的安全性。

備份恢復(fù)：

對(duì)于不同的云資源，AWS提供對(duì)應(yīng)的數(shù)據(jù)備份功能，例如EC2的快照備份如果實(shí)例出現(xiàn)故障，或者被黑客惡意訪(fǎng)問(wèn)造成數(shù)據(jù)被篡改，或被非法加密用于勒索，可以利用快照第一時(shí)間對(duì)數(shù)據(jù)進(jìn)行恢復(fù)；通過(guò)配置云產(chǎn)品的備份策略，可以在業(yè)務(wù)數(shù)據(jù)發(fā)生異常時(shí)最快速度進(jìn)行數(shù)據(jù)恢復(fù)。

傳輸加密：

對(duì)于訪(fǎng)問(wèn)請(qǐng)求傳輸進(jìn)行加密控制，AWS提供的服務(wù)對(duì)IPSec 和SSL/TLS均提供支持，以保證傳輸中數(shù)據(jù)的安全。對(duì)于客戶(hù)業(yè)務(wù)請(qǐng)求可以強(qiáng)制HTTPS訪(fǎng)問(wèn)，企業(yè)用戶(hù)可以使用 SSL 對(duì) API 調(diào)用進(jìn)行加密，以保持業(yè)務(wù)數(shù)據(jù)的機(jī)密性。

4.4 運(yùn)維管理

系統(tǒng)加固：

對(duì)于系統(tǒng)加固，在開(kāi)通EC2服務(wù)器后，除了AWS上備份監(jiān)控策略外，系統(tǒng)內(nèi)部的安全加固必不可少，用戶(hù)需定期進(jìn)行補(bǔ)丁更新，后期運(yùn)維進(jìn)行定期安全巡檢，通過(guò)監(jiān)控日志告警來(lái)第一時(shí)間排查系統(tǒng)安全問(wèn)題，通過(guò)系統(tǒng)加固能在系統(tǒng)內(nèi)杜絕安全隱患。

監(jiān)控管理

對(duì)于云上資源的使用情況，企業(yè)可以使用 AWS CloudWatch 進(jìn)行監(jiān)控，全方位了解資源利用率、運(yùn)營(yíng)性能和總體需求模式，并且用戶(hù)還可以設(shè)置 CloudWatch 警報(bào)，使其在超出特定閾值時(shí)通知用戶(hù)或采取其他自動(dòng)化操作（例如，在 Auto Scaling 啟用時(shí)添加或 移除 EC2 實(shí)例），并可以通過(guò)分析監(jiān)控信息排除隱藏的安全問(wèn)題。

日志管理

對(duì)于云上資源日志， AWS CloudTrail 提供面向賬戶(hù)內(nèi)的 AWS 資源所有請(qǐng)求的日志，這包括監(jiān)控賬號(hào)內(nèi)AWS資源日志、安全事件記錄、API調(diào)用信息，企業(yè)可通過(guò)日志進(jìn)行安全溯源。

配置管理

云上資源統(tǒng)一管理就需要使用配置管理，AWS Config幫助用戶(hù)監(jiān)督自己的應(yīng)用程序資源。企業(yè)用戶(hù)可以隨時(shí)了解資源使用情況以及資源的配置方式，在資源被創(chuàng)建、修改或刪除時(shí)，企業(yè)能夠第一時(shí)間得到通知，輕松實(shí)現(xiàn)對(duì)云資源的安全管控。

五 、反思

安全是相對(duì)的，沒(méi)有100%的安全，想要在云上暢行無(wú)阻，需要云廠(chǎng)商和用戶(hù)的共同努力。在基礎(chǔ)設(shè)施安全方面，云廠(chǎng)商憑借多年的深入研究和風(fēng)險(xiǎn)分析，結(jié)合自身在安全領(lǐng)域多年的經(jīng)驗(yàn)及技術(shù)積累，打造了專(zhuān)門(mén)針對(duì)云上安全的產(chǎn)品，形成全方位的云安全能力，為用戶(hù)提供一站式的云安全綜合解決方案。用戶(hù)則需要從自身業(yè)務(wù)的安全架構(gòu)設(shè)計(jì)，云資源的安全配置，系統(tǒng)內(nèi)的安全加固，以及后期的運(yùn)維管理等方面確保安全性。云上安全，人人有責(zé)，無(wú)論采用的是哪種云部署，用戶(hù)都要確保自己的應(yīng)用在這個(gè)云環(huán)境中安全無(wú)虞。下一代云安全，是多方協(xié)作的。云安全的智能化，需要云廠(chǎng)商和用戶(hù)的不斷努力，共筑云上安全業(yè)務(wù)堡壘，創(chuàng)造無(wú)限可能。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。