AWS云上安全指南,aws云安全解決方案-ESG跨境

AWS云上安全指南,aws云安全解決方案

AWS云上安全指南

在當下快速發(fā)展的互聯(lián)網(wǎng)潮流中，云計算釋放無限能力，助力企業(yè)數(shù)字化轉型，為企業(yè)業(yè)務創(chuàng)新帶來新的契機，但是企業(yè)上云之后，傳統(tǒng)安全邊界變得更加模糊，核心業(yè)務在云端，使得數(shù)據(jù)可視化和安全風險洞察力都大打折扣，這給企業(yè)業(yè)務轉型的可持續(xù)發(fā)展埋下了隱患。如何才能安全無憂地暢享云計算帶來的紅利，為應用構建更安全可靠的防護屏障呢？本文就AWS云上安全話題進行探討，從安全模型到最佳實踐，從安全架構規(guī)劃到系統(tǒng)內(nèi)部加固，對企業(yè)上云的安全部署提供系統(tǒng)化的全景建議，讓您更直觀地了解云上安全問題，從而防患未然，構筑云上安全堡壘。

一、云安全概述

1.1 云計算中的機遇與挑戰(zhàn)

當云計算重構IT產(chǎn)業(yè)的同時，也賦予了企業(yè)嶄新的增長機遇。通過充分利用云計算的能力，企業(yè)可以釋放更多精力專注于自己的業(yè)務。云計算極大地降低了企業(yè)的數(shù)字化轉型成本，釋放更多效能進行業(yè)務創(chuàng)新，云計算為企業(yè)業(yè)務創(chuàng)新帶來無限可能。但是當人們在享受使用云計算帶來的便利的同時，云上安全問題也不容忽視，CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲...，用戶的業(yè)務應用就像在黑暗森林中的行者，四周潛伏著看不見的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業(yè)帶來極大的損失。

1.2 三問云上安全性

云計算帶來了機遇與挑戰(zhàn)，那么對于挑戰(zhàn)，我們該如何看待？

云平臺安全

當企業(yè)接入云端，如何判斷云平臺的安全能力？合規(guī)性是一個重要考量因素，此外建議企業(yè)還可以了解云平臺是否有關于身份與訪問、網(wǎng)絡安全、數(shù)據(jù)保護、應用安全、可視性與智能相關的安全策略，全面客觀地評判云平臺安全實力。

隔離防護

云平臺為多租戶模式，租戶方應該采取哪些措施或服務來達到安全的目的？該借助哪些服務來達到等級保護的要求？

安全流程規(guī)范

盡管企業(yè)已經(jīng)對云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發(fā)生安全風險，云平臺是否有一系列規(guī)范的安全響應流程來幫助企業(yè)抵御攻擊，降低安全風險？

帶著上面的問題，下文將從安全分類、安全模型、云上安全最佳實踐等方面，對云上安全進行詳細分析。

二 、云上安全分類

對于云計算安全帶來的挑戰(zhàn)，云上安全問題大體可分為以下四類：

物理和基礎架構安全：包括云計算環(huán)境下數(shù)據(jù)中心內(nèi)服務器、交換機等軟硬件設備自身安全、數(shù)據(jù)中心架構設計層面的安全；

應用安全：在云計算環(huán)境下的業(yè)務相關應用系統(tǒng)的安全管理，包括應用的設計、開發(fā)、發(fā)布、配置和使用等方面的安全；

訪問控制管理：云計算環(huán)境中對資源和數(shù)據(jù)的訪問權限管理，包括用戶管理、訪問權限管理、身份認證等方面；

數(shù)據(jù)安全：指客戶在云計算環(huán)境中的業(yè)務數(shù)據(jù)自身的安全，包括收集與識別、分類與分級、訪問權限與加密等方面。

將云上安全問題清晰歸類后，企業(yè)就可以針對自身安全問題有的放矢地進行優(yōu)化完善。在此將詳細闡述AWS在云端的前沿技術與產(chǎn)品解決方案，看AWS如何為企業(yè)轉型賦能，幫助企業(yè)從容上云，為應用構建安全城堡。

三 、安全模型

AWS責任共擔模型強調安全性和合規(guī)性是AWS和客戶的共同責任，AWS提供基礎設施并保證其安全，用戶則負責維護自己運行其上的應用安全。在這里不少企業(yè)用戶會存在認知誤區(qū)，認為只要云平臺基礎設施安全就足夠了，但事實上企業(yè)需要對云端應用有更深入的安全掌控。

從企業(yè)角度而言，用戶需要確保應用的安全性，及利用云計算基礎設施的安全配置，進行云上安全加固，例如及時更新操作系統(tǒng)的安全補丁、云產(chǎn)品的安全策略配置。AWS的安全模型將安全下放到客戶側，更具有靈活性和可控性，有助于用戶在AWS和內(nèi)部環(huán)境中掌控安全，獲得最大限度的保護。

在AWS的責任共擔模型中，人們可以更直觀地看到AWS和企業(yè)客戶的責任劃分，其中AWS負責全球基礎設施的安全及合規(guī)，客戶完全擁有和控制自己的數(shù)據(jù)，并可以根據(jù)自己的業(yè)務選擇合適的云產(chǎn)品，配置更高安全策略從而提升業(yè)務安全。通過這個模型，在AWS的強大云平臺上，企業(yè)擁有更靈活的安全產(chǎn)品搭配，對應用有更強的安全掌控能力，，雙方共同構筑了云上安全堡壘。

3.1 云安全責任

在了解了云上安全模型后，我將對AWS安全責任和客戶安全責任做更詳細的闡述，并通過案例講解，幫助大家更深入地了解責任共擔模型。

3.1.1 基礎設施安全

在基礎設施安全方面，AWS負責保護提供的所有服務的全球基礎設施的安全。

在高可用方面，AWS在全球多區(qū)域內(nèi)都部署基礎資源，在同一個區(qū)域內(nèi)的不同可用區(qū)也部署了基礎資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區(qū)或單區(qū)域故障所帶來的危害性，為基礎設施的高可用性提供了良好的保障。

在訪問控制方面，AWS全球數(shù)據(jù)中心專業(yè)的安保人員利用視頻監(jiān)控、入侵檢測系統(tǒng)和其他電子方式嚴格控制各數(shù)據(jù)中心入口的物理訪問，確保數(shù)據(jù)中心人員訪問的合規(guī)性。

在物理安全方面，AWS全球數(shù)據(jù)中心均配備自動化火災探測和撲救設備，以及全年無中斷冗余設計的電源系統(tǒng)，這些防護設備及高可用設計方案，能夠大大提升數(shù)據(jù)中心健壯性。

在事件響應方面，在遇到突發(fā)影響業(yè)務的事件時，AWS事件管理團隊會使用行業(yè)標準診斷程序來推進事件的解決。專業(yè)的管理團隊還會提供全天候響應服務，高效快速處理突發(fā)事件，確?；A設施安全無虞。

3.1.2 基本服務安全

安全性不僅嵌入到 AWS 基礎設施的每一層，還嵌入到基礎設施之上的每個服務中。AWS的每個服務都提供了廣泛的安全功能，可以幫助用戶保護敏感數(shù)據(jù)和應用程序。例如，Amazon RDS for Oracle 是一種托管式數(shù)據(jù)庫服務，在該服務中，AWS 管理容器的所有層，甚至包括Oracle 數(shù)據(jù)庫平臺。針對云上服務，AWS提供數(shù)據(jù)備份服務和恢復工具，用戶負責配置和使用與業(yè)務連續(xù)性和災難恢復 (BC/DR) 策略有關的工具。用戶通過使用AWS提供的靜態(tài)數(shù)據(jù)加密服務，或者AWS提供的對用戶有效負載的 HTTPS 封裝服務，以保障傳入和傳出該服務的數(shù)據(jù)安全。對于基本服務AWS也提供了多種有效措施來確保服務的安全性。

3.2 客戶安全責任

安全是相對的，且是多維度的，底層基礎設施交由AWS負責，那么在云上的資源配置和業(yè)務安全則需要由客戶自己來掌控。

3.2.1 基礎服務

基礎服務的安全問題，涉及計算、存儲、網(wǎng)絡等層面，需要與具體的場景結合才能有針對性地保障其不同側重點的安全性。例如，當業(yè)務遷移上云時，如何保障云上計算資源全生命周期的安全性，如何規(guī)劃云上網(wǎng)絡才能確保數(shù)據(jù)傳輸安全，依靠哪些措施保障數(shù)據(jù)存儲安全。針對計算、網(wǎng)絡、存儲三大基礎服務，AWS提供了不同的解決方案。

計算資源之EC2

服務器開通

服務器在開通階段，需要進行一系列安全配置，以提升系統(tǒng)安全等級。企業(yè)可以自主選擇多種操作，例如選擇穩(wěn)定的操作系統(tǒng)版本、開通服務器安全防護功能、開通監(jiān)控日志服務、安全組最小化精確授權、配置快照備份策略、設置IAM訪問權限、配置服務器告警策略等。

服務器配置

通過一些列系統(tǒng)內(nèi)優(yōu)化加固操作，提高系統(tǒng)安全性，例如在系統(tǒng)內(nèi)部使用系統(tǒng)默認防火墻對業(yè)務進行安全防護，調整文件打開數(shù)和進程數(shù)，優(yōu)化系統(tǒng)內(nèi)核參數(shù)，刪除系統(tǒng)內(nèi)無效用戶，禁用超級管理員登錄，使用普通用戶切換到超級管理員操作，對業(yè)務系統(tǒng)日志進行切割分級等。

運維

對于后期服務器運維，需要企業(yè)客戶定期更新軟件系統(tǒng)，及時修復新暴露的軟件漏洞，定期巡檢服務器各項監(jiān)控指標，企業(yè)還可以針對業(yè)務使用情況優(yōu)化系統(tǒng)配置，并對EC2服務器進行安全測試，使用安全產(chǎn)品進行EC2安全加固。

網(wǎng)絡安全之VPC

對于Amazon Virtual Private Cloud安全，用戶需要根據(jù)自身業(yè)務特點，結合業(yè)務網(wǎng)絡連通性和后期可擴展性進行綜合考慮。對Web應用/APP應用/DB應用進行分層設計，通過制定嚴格的網(wǎng)絡安全策略實現(xiàn)業(yè)務管控，保證安全；用戶還可以配置帶寬監(jiān)控，這樣一旦網(wǎng)絡發(fā)現(xiàn)異常流量就會告警，確保企業(yè)網(wǎng)絡安全可用。

存儲安全之Amazon S3

在對象存儲安全方面，Amazon S3基于請求時間（日期條件）限制訪問，無論該請求是使用 SSL（布爾值條件）還是使用申請方的 IP 地址（IP 地址條件）發(fā)快遞的，都可基于申請方的客戶端應用程序（字符串條件）限制訪問。通過 SSL 加密型終端節(jié)點，安全地將數(shù)據(jù)上傳/下載到 Amazon S3，保證數(shù)據(jù)傳輸?shù)紸mazon S3的安全性。

3.2.2 托管服務

對于AWS托管服務，例如Amazon RDS具有豐富功能，可以提高關鍵生產(chǎn)數(shù)據(jù)庫的可靠性，包括數(shù)據(jù)庫安全組、權限、SSL 連接、自動備份、數(shù)據(jù)庫快照和多可用區(qū)部署。企業(yè)還可以選擇將數(shù)據(jù)庫實例部署在 Amazon VPC 中以享受額外的網(wǎng)絡隔離。

從訪問控制層面來看，企業(yè)首次在 Amazon RDS 內(nèi)創(chuàng)建數(shù)據(jù)庫實例時，將會創(chuàng)建一個主用戶賬戶，它僅在 Amazon RDS 環(huán)境中用來控制對用戶數(shù)據(jù)庫實例的訪問。同時創(chuàng)建數(shù)據(jù)庫子網(wǎng)組，這些組是用戶可能需要為 VPC 中的 RDS 數(shù)據(jù)庫實例指定的子網(wǎng)集合，每個數(shù)據(jù)庫子網(wǎng)組應至少包含給定區(qū)域中每個可用區(qū)的一個子網(wǎng)，從網(wǎng)絡層面保證服務安全性；

終端訪問加密方面，可以使用 SSL 對應用程序和數(shù)據(jù)庫實例之間的連接進行加密，避免數(shù)據(jù)被竊取和篡改；

對于自動備份和數(shù)據(jù)庫快照，用戶可根據(jù)業(yè)務合理配置托管服務器的備份恢復策略，當數(shù)據(jù)遭受破壞時能輕松地實現(xiàn)數(shù)據(jù)恢復；

對于告警，AWS提供RDS服務，可以幫助企業(yè)全面掌握云端應用狀況，如實例是否已關閉、備份啟動、發(fā)生故障轉移、安全組發(fā)生更改、存儲空間不足等，企業(yè)可以在第一時間發(fā)現(xiàn)潛在安全問題，并執(zhí)行相應修復操作，提升托管服務安全性。

四 、安全架構最佳實踐

4.1 訪問入口

4.1.1 邊界架構安全

AWS WAF

AWS WAF是一種Web應用程序防火墻，顧名思義防火墻能夠根據(jù)一些設定好的ACL規(guī)則或內(nèi)置安全策略，對網(wǎng)絡上的安全風險進行攔截，包括SQL注入、跨站腳本、特點惡意IP訪問等安全威脅。利用AWS WAF能夠為業(yè)務提供安全的訪問入口。

AWS CloudFront

Amazon CloudFront 能加快將靜態(tài)和動態(tài) Web 內(nèi)容（如 .html、.css、.js 和圖像文件）分發(fā)到用戶的速度，當出現(xiàn)海量網(wǎng)絡攻擊情況時，可利用全球的節(jié)點輕松扛住海量攻擊。不僅如此，如下圖所示，Amazon CloudFront 還可將HTTP請求重定向到HTTPS，為應用提供強有力的安全防護入口。

Amazon Route53

Amazon Route 53 作為DNS服務器，實施的故障轉移算法不僅用于將流量路由到正常運行的終端節(jié)點，在遇到大型DDoS攻擊時還可以起到很好的分流作用，強大的基礎設施為用戶提供云上安全可靠的網(wǎng)絡防護。

安全接入點：

在全球網(wǎng)絡的眾多接入點，AWS已經(jīng)配置了專業(yè)的接口通信網(wǎng)絡設備，可以對網(wǎng)絡接入點進行管理和安全檢測，從而保障了業(yè)務數(shù)據(jù)在接入點的網(wǎng)絡安全性。

傳輸保護：

普通用戶可使用安全套接字層 (SSL)通過 HTTP 或 HTTPS 連接到 AWS 接入點，但對于安全需求更高的用戶，，AWS 提供Amazon Virtual Private Cloud (VPC)服務，它相當于在AWS 云內(nèi)部為高安全需求用戶打造一張私有子網(wǎng)，通過 IPsec Virtual Private Network 設備在 Amazon VPC 與用戶的數(shù)據(jù)中心之間建立加密隧道，從而保證業(yè)務數(shù)據(jù)在網(wǎng)絡傳輸中的安全可靠。

容錯設計：

AWS 保障了在多個地理區(qū)域內(nèi)以及在每個地理區(qū)域的多個可用區(qū)中實例和存儲數(shù)據(jù)的靈活性，通過將應用程序分布在多個可用區(qū)從而保持彈性，高可用的容錯設計最大程度避免了災難的發(fā)生，為用戶應用安全提供保障。

4.1.2 VPC規(guī)劃

對于Amazon Virtual Private Cloud安全，用戶需要根據(jù)自身業(yè)務特點，針對業(yè)務網(wǎng)絡連通性和后期可擴展性等方面進行前瞻性規(guī)劃考慮。

高可用設計

AWS可以幫助企業(yè)將業(yè)務部署在不同的VPC中，VPC之間實現(xiàn)網(wǎng)絡互通，企業(yè)可以利用路由安全組和網(wǎng)絡ACL來控制安全，不同VPC部署在不同地域，確保業(yè)務網(wǎng)絡冗余性。

分層設計

考慮到業(yè)務安全性，企業(yè)可以在每個 Amazon VPC 內(nèi)創(chuàng)建一個或多個子網(wǎng)，在 Amazon VPC 中啟動的每個實例均連接至一個子網(wǎng)。傳統(tǒng)的第 2 層安全性攻擊（包括 MAC 欺騙和 ARP 欺騙）被阻斷。

可擴展性

業(yè)務網(wǎng)絡隨著業(yè)務應用的持續(xù)發(fā)展，需要提前考慮未來可擴展性，做好網(wǎng)段規(guī)劃。根據(jù)IDC網(wǎng)絡拓撲設計云上網(wǎng)段，避免在后續(xù)打隧道時發(fā)生網(wǎng)絡沖突，考慮到業(yè)務發(fā)展模式，建議企業(yè)盡可能采用大的網(wǎng)段劃分，為未來業(yè)務預留網(wǎng)段，確保網(wǎng)絡規(guī)劃具有良好的可擴展性。

維護性

企業(yè)業(yè)務上線后對VPC需要進行帶寬策略配置，監(jiān)控告警配置等操作。這樣可以在第一時間發(fā)現(xiàn)異常流量，并進行處理。日常運維中，企業(yè)還需要根據(jù)業(yè)務動態(tài)調整VPC策略，定期巡檢以提升VPC安全。

4.1.3 子網(wǎng)規(guī)劃

VPC的安全一部分是由子網(wǎng)的安全措施來保證的，為了實施額外的網(wǎng)絡控制，可以通過指定子網(wǎng)的IP地址范圍來隔離不同的應用實例，子網(wǎng)規(guī)劃也需要考慮子網(wǎng)中云資源的數(shù)量限制，子網(wǎng)的正確規(guī)劃能大大減少來自網(wǎng)絡內(nèi)的攻擊，及時發(fā)現(xiàn)網(wǎng)絡安全問題，防患于未然。

4.1.4 安全組

在應用的訪問中，AWS提供了一整套完整防火墻方案，此方案就是在各個云資源邊界都有安全組，且強制性入站配置默認為是拒絕所有請求，客戶需要明確允許入站流量業(yè)務所需端口，最小化精細授權訪問，從而提升網(wǎng)絡安全性。

4.2 系統(tǒng)架構

在系統(tǒng)架構安全方面，企業(yè)可通過靈活使用負載均衡、業(yè)務無狀態(tài)設計、分層架構部署等手段構建安全架構。此外企業(yè)還可以將業(yè)務數(shù)據(jù)存儲在分布式存儲中，，信息數(shù)據(jù)存儲在云產(chǎn)品MQ/DB中，這樣可以最大程度防患于未然，將攻擊輕松化解。

4.3 分級管理

4.3.1 訪問分級

IAM

無論是對云資源的訪問還是系統(tǒng)的訪問，訪問憑證的安全至關重要。借助AWS IAM，用戶可以集中對用戶、安全憑證（如密碼、訪問密鑰）進行統(tǒng)一管理，以及對AWS服務和資源的訪問設置控制權限策略。靈活使用IAM授權可以對應用或云資源訪問實現(xiàn)分級控制，保障云資源和訪問入口安全性。

MFA

為進一步提高訪問的高安全性和可靠性，企業(yè)可為賬戶中的所有用戶進行MultiFactor Authentication (MFA)，啟用MFA后，用戶不僅要提供使用賬戶所需的密碼或訪問密鑰，還必須提供來自經(jīng)過特殊配置的設備代碼，通過雙向認證確保訪問分級的安全性。

4.3.2 數(shù)據(jù)分級

數(shù)據(jù)KMS加密

對于數(shù)據(jù)加密問題，可借助AWS Key Management Service (AWS KMS) 托管服務輕松實現(xiàn)。用戶可以創(chuàng)建和控制客戶主密鑰 (CMK)，這是用于加密數(shù)據(jù)的加密密鑰，通過使用 AWS KMS，能夠更好地控制對加密數(shù)據(jù)的訪問權限。目前用戶可以直接在應用程序中使用秘鑰管理和加密功能，也可以通過與 AWS KMS 集成的 AWS 服務使用密鑰管理和加密功能。利用KMS加密服務，能夠快捷簡單保障數(shù)據(jù)的安全性。

備份恢復：

對于不同的云資源，AWS提供對應的數(shù)據(jù)備份功能，例如EC2的快照備份如果實例出現(xiàn)故障，或者被黑客惡意訪問造成數(shù)據(jù)被篡改，或被非法加密用于勒索，可以利用快照第一時間對數(shù)據(jù)進行恢復；通過配置云產(chǎn)品的備份策略，可以在業(yè)務數(shù)據(jù)發(fā)生異常時最快速度進行數(shù)據(jù)恢復。

傳輸加密：

對于訪問請求傳輸進行加密控制，AWS提供的服務對IPSec 和SSL/TLS均提供支持，以保證傳輸中數(shù)據(jù)的安全。對于客戶業(yè)務請求可以強制HTTPS訪問，企業(yè)用戶可以使用 SSL 對 API 調用進行加密，以保持業(yè)務數(shù)據(jù)的機密性。

4.4 運維管理

系統(tǒng)加固：

對于系統(tǒng)加固，在開通EC2服務器后，除了AWS上備份監(jiān)控策略外，系統(tǒng)內(nèi)部的安全加固必不可少，用戶需定期進行補丁更新，后期運維進行定期安全巡檢，通過監(jiān)控日志告警來第一時間排查系統(tǒng)安全問題，通過系統(tǒng)加固能在系統(tǒng)內(nèi)杜絕安全隱患。

監(jiān)控管理

對于云上資源的使用情況，企業(yè)可以使用 AWS CloudWatch 進行監(jiān)控，全方位了解資源利用率、運營性能和總體需求模式，并且用戶還可以設置 CloudWatch 警報，使其在超出特定閾值時通知用戶或采取其他自動化操作（例如，在 Auto Scaling 啟用時添加或 移除 EC2 實例），并可以通過分析監(jiān)控信息排除隱藏的安全問題。

日志管理

對于云上資源日志， AWS CloudTrail 提供面向賬戶內(nèi)的 AWS 資源所有請求的日志，這包括監(jiān)控賬號內(nèi)AWS資源日志、安全事件記錄、API調用信息，企業(yè)可通過日志進行安全溯源。

配置管理

云上資源統(tǒng)一管理就需要使用配置管理，AWS Config幫助用戶監(jiān)督自己的應用程序資源。企業(yè)用戶可以隨時了解資源使用情況以及資源的配置方式，在資源被創(chuàng)建、修改或刪除時，企業(yè)能夠第一時間得到通知，輕松實現(xiàn)對云資源的安全管控。

五 、反思

安全是相對的，沒有100%的安全，想要在云上暢行無阻，需要云廠商和用戶的共同努力。在基礎設施安全方面，云廠商憑借多年的深入研究和風險分析，結合自身在安全領域多年的經(jīng)驗及技術積累，打造了專門針對云上安全的產(chǎn)品，形成全方位的云安全能力，為用戶提供一站式的云安全綜合解決方案。用戶則需要從自身業(yè)務的安全架構設計，云資源的安全配置，系統(tǒng)內(nèi)的安全加固，以及后期的運維管理等方面確保安全性。云上安全，人人有責，無論采用的是哪種云部署，用戶都要確保自己的應用在這個云環(huán)境中安全無虞。下一代云安全，是多方協(xié)作的。云安全的智能化，需要云廠商和用戶的不斷努力，共筑云上安全業(yè)務堡壘，創(chuàng)造無限可能。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內(nèi)容、版權或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。