AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
李思源 AWS解决方案架构师
AWS 云安全最佳实践
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
日程
• AWS 安全服务概览
• 网络安全
• 数据安全
• 访问控制
• 监控与审计
• AWS 安全技术资源
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS 安全服务概览
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS 安全服务概览
加密
网络 & 安全 合规 & 治理
身份
Amazon
VPCAWS Direct
Connect
VPN connection Security Groups
AWS WAFAWS Shield
AWS
KMS
AWS
CloudHSM
Flow logs
AWS
Certificate
Manager
Client-side
encryption
IAM
AWS Artifact
AWS
Organizations
Temporary
Security
credential
AWS Directory
Service
Active Directory
integration
SAML
Federation
Amazon
Inspector
AWS Trusted
Advisor
AWS
Service Catalog
Amazon
CloudWatch
AWS
CloudFormation
AWS
CloudTrail
AWS ConfigRoute table
AWS Systems
Manager
AWS
OpsWorks
AWS
Secrets
Manager
Amazon
GuardDuty
AWS
Single
Sign-on
Amazon
Cognito
AWS Firewall
Manager
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS 安全责任共担模型
AWS:
底层基础设施
客户:
基础设施上的
所有项目
AWS 基础服务
计算 存储 数据库 网络
AWS
全球基础架构
区域
可用区
边缘节点
客户端数据加密 服务端数据加密 网络流量防护
平台,应用,身份和权限管理
操作系统,网络和防火墙配置
客户内容
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
ISO 9001
SOC 3
SOC 2
ISO 27001
ISO 27017
PCI DSS Level 1ISO 27018
SOC 1 / ISAE 3402
GxPHIPAA
ITAR
FERPA
FISMA, RMF, and DIACAP
FedRAMP
Section 508 / VPAT
DoD SRG Levels 2 & 4
FIPS 140-2
CJIS
Cloud Security Alliance
MPAA
NIST
MLPS Level 3
G-Cloud
IT-Grundschutz
MTCS Tier 3
IRAP Cyber Essentials Plus
AWS 云平台支持的安全标准和规范
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
法律
•《国家安全法》
•《反恐法》
•《网络安全法》
法规
• 商用密码管理条例
• 信息安全等级保护条例
• 信息安全产品管理规定
• 网络安全审查办法
标准
• GB/YD/GM/…
• CSA GC Standard
Group
• DCA
AWS 在中国的合规性
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
网络安全
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
Amazon 虚拟私有网络 (VPC)
EC2
实例 1
10.1.1.6
安全组In
安全组Out
安全组In
安全组Out
安全组In
安全组Out
Network ACL
In
Network ACL
Out
Network ACL
In
Network ACL
Out
路由表 路由表
子网 10.1.1.0/24 子网 10.1.10.0/24
Internet
网关虚拟私有网关
VPC 10.1.0.0/16
EC2
实例 2
10.1.1.7
EC2
实例 3
10.1.10.20
虚拟路由器
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
允许所有流量进入
适用于子网
网络访问控制列表 Network Access Control List
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
安全组 Security Group
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
VPC 动手实验
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS WAF —— Web 应用程序防火墙
• 阻止或允许 WEB 请求
• 监控安全事件
• 与 Amazon CloudFront 集成,也可部署在 ALB 或 API Gateway 上
• 提供 API,支持自动化创建、部署和维护WAF规则
• 基于规则过滤WEB流量:IP地址,HTTP 头,HTTP 正文,URL,SQL 注入等
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
数据安全
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
• 使用数据库实例安全组,精确控制访问权限
• 启用 SSL 连接
• 启用自动备份
• 定期对数据库实例做快照
• 启动多可用区部署
数据库数据安全:Amazon Relational Database Service (RDS)
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
文件存储数据安全:Amazon EC2 与 Amazon EBS
主机平台访问安全
• AWS 没有访问客户实例的权限,客户拥有完全权限
• 建议禁用对客户机的仅使用口令访问
• 建议使用基于证书的 SSH 访问
• 严格管理安全组,只允许指定IP远程登录进行管理
块存储数据安全
• 在传输过程中,使用 SSL 或 TLS 对数据进行加密
• 在数据存储时,使用默认或 AWS 托管的密钥进行静态数据加密
• 定期对 EBS 卷做快照
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
对象存储数据安全:Amazon S3
S3 存储持久性:99.999999999%
存储桶和数据对象级访问控制
• 控制读取、写入、全部
• 所有者拥有全部控制权限
数据加密
• 支持 SSL 做传输加密
• 支持服务器端加密,可使用默认 SSE 密钥或 AWS 托管的密钥
• 也可以在客户端加密后再进行上传
版本控制、MFA 删除、预签名 URL 等功能
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
访问控制
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS Identity and Access Management (IAM)
• 客户可以控制谁在 AWS 环境中什么时候,在
哪里,可以做什么
• 支持多因子认证 MFA
• 支持与企业现有 AD 集成以实现联合身份认证或
者 SSO
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
Amazon IAM 动手实验
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
监控与审计
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
Amazon CloudWatch
• 收集 AWS 资源、应用程序和服务的指标与日志
• 可视化监控指标,支持创建警报,通知到邮箱
• CloudWatch Logs:监控、存储和访问日志信息
o Amazon EC2
o VPC FlowLog
o AWS CloudTrail
• 定义 Filter, 产生告警
• 可以导出到 Amazon S3,或者输出到 Amazon Kinesis,AWS Lambda
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS CloudTrail
• 记录您的账户所做的 API 调用,并向您的 Amazon S3 存储桶提供日志文件。
• 每一条记录包括:
o API 的名称(源 IP 地址)
o 调用者的身份
o API 调用时间
o 请求参数
o AWS 服务返回的响应元素
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
CloudWatch Logs & CloudTrail
动手实验
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS Config 云资源配置 & Config Rules
• 持续纪录配置变动
• 提供基于时间的资源变化视图
• 存档和比较
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS Trusted Advisor
检查您的 AWS 环境
提供建议
针对安全配置错误提供警报:
• 保持打开某些端口
• 忽视了为您的内部用户创建 IAM 账户
• 允许公共访问 S3 存储桶
• 未使用 AWS 根账户上的 MFA
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
APN 合作伙伴—安全
Advanced
Threat
Analytics
Application
Security
Identity and
Access MgmtEncryption &
Key Mgmt
Server &
Endpoint
Protection
Network
SecurityVulnerability
& Pen Testing
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars| Webinars
AWS 安全技术资源
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS 安全技术博客
blogs.aws.amazon.com/security
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| Webinars
AWS 安全相关资料
AWS Security 白皮书
https://aws.amazon.com/cn/whitepapers/
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
| WebinarsAWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
我们希望您喜欢今天的内容!也请帮助我们完成反馈问卷。
欲获取关于 AWS 的更多信息和技术内容,可以通过以下方式找到我们:
微信公众号:AWSChina
新浪微博:https://www.weibo.com/amazonaws/
领英:https://www.linkedin.com/company/aws-china/
知乎:https://www.zhihu.com/org/aws-54/activities/
视频中心:http://aws.amazon.bokecc.com/
感谢参加 AWS 在线研讨会
更多线上技术活动:https://aws.amazon.com/cn/about-aws/events/webinar/