云时代从AWS看云安全

个人简介

Jacky LiUdemy讲师国内某企业云运维经理澳洲某上市公司系统工程师近十年运维经验

01 云时代的安全挑战

云时代的安全挑战

• 传统信息安全技术不能满足云计算信息安全需求

• 恶意软件、保密和访问认证等问题威胁移动云计算信息安全

• 用户数据泄露或丢失使云计算信息安全面临的巨大的安全风险

• 云计算面临用户身份认证的安全风险

02 AWS的安全框架

AWS的安全框架

类别 使用案例 AWS服务

Identity & Access Management

管理用户访问和加密密钥 AWS Identity & Access Management (IAM)

云单点登录 (SSO) 服务 AWS Single Sign-On

托管的 Microsoft Active Directory

AWS Directory Service

应用程序身份管理 Amazon Cognito

轮换、管理和检索密钥 AWS Secrets Manager

用于分享 AWS 资源的简单而安全的服务

AWS Resource Access Manager

AWS的安全框架

类别 使用案例 AWS服务

检测式控制 一体化安全性与合规性中心 AWS Security Hub

托管的威胁检测服务 Amazon GuardDuty

分析应用程序安全性 Amazon Inspector

发现、分类和保护您的数据 Amazon Macie

调查潜在的安全问题 Amazon Detective

AWS的安全框架

类别 使用案例 AWS服务

基础设施保护 DDoS 保护 AWS Shield

过滤恶意 Web 流量 AWS Web 应用程序防火墙(WAF)

集中管理防火墙规则 AWS Firewall Manager

数据保护 关键存储和管理 AWS Key Management Service (KMS)

有助于实现监管合规性的基于硬件的密钥存储

AWS CloudHSM

预置、管理和部署公有和私有SSL/TLS 证书

AWS Certificate Manager

AWS的安全框架责任共担模式

03 账户安全服务

账户安全服务

AWS Identity and Access Management (IAM)安全地管理对 AWS 服务和资源的访问

使用 AWS IAM，您可以安全控制对 AWS 资源的个人访问权限或组访问权限。您可以创建并管理用户身份（“IAM 用户”），并授予这些 IAM 用户访问您资源的权限。您也可以为 AWS 以外的用户（ 联合用户）授权。

账户安全服务

账户安全服务

Amazon Cognito简单安全的用户注册、登录和访问控制

借助 Amazon Cognito，您可以快速轻松地为 Web 和移动应用程序添加用户注册/登录和访问控制功能。Amazon Cognito 可将用户规模扩展到数百万，并支持通过 SAML 2.0 使用社交身份提供商 (如 Facebook、Google 和 Amazon) 以及企业身份提供商进行登录。

账户安全服务

账户安全服务

AWS Secrets Manager在整个生命周期中，轻松轮换、管理和检索数据库凭证、API 密钥和其他私密信息

AWS Secrets Manager 可帮助您保护访问应用程序、服务和 IT 资源所需的密钥。该服务使您能够轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。

账户安全服务

04 实例安全服务

实例安全服务

实例安全服务 - IaaS

AWS 托管实例 EC2安全并且可以调整大小的云计算容量

Amazon Elastic Compute Cloud (Amazon EC2) 是一种 Web 服务，可以在云中提供安全并且可调整大小的计算容量。该服务旨在让开发人员能够更轻松地进行 Web 规模的云计算。Amazon EC2 的 Web 服务接口非常简单，您可以最小的阻力轻松获取和配置容量。使用该服务，您可以完全控制您的计算资源，并可以在成熟的 Amazon 计算环境中运行。

实例安全服务 – PaaS

AWS Elastic Beanstalk简单易行，无限扩展

AWS Elastic Beanstalk 是一项易于使用的服务，用于在熟悉的服务器（例如 Apache 、Nginx、Passenger 和 IIS ）上部署和扩展使用Java、.NET、PHP、Node.js、Python、Ruby、GO 和 Docker 开发的Web 应用程序和服务。您只需上传代码，Elastic Beanstalk 即可自动处理从容量预置、负载均衡、自动扩展到应用程序运行状况监控的部署。同时，您能够完全控制为应用程序提供支持的 AWS 资源，并可以随时访问底层资源。Elastic Beanstalk 不额外收费，您只需为存储和运行应用程序所需的AWS 资源支付费用。

实例安全服务 - SaaS

AWS Lambda无需考虑服务器即可运行代码只需按使用的计算时间付费。

通过 AWS Lambda，无需预置或管理服务器即可运行代码。您只需按使用的计算时间付费 – 代码未运行时不产生费用。借助 Lambda，您几乎可以为任何类型的应用程序或后端服务运行代码，而且完全无需管理。只需上传您的代码，Lambda 会处理运行和扩展高可用性代码所需的一切工作。您可以将您的代码设置为自动从其他 AWS 产品触发，或者直接从任何 Web 或移动应用程序调用。

实例安全服务

AWS Systems Manager灵活易用的管理服务

AWS Systems Manager 是一项管理服务，可以帮助您自动收集软件清单、应用操作系统补丁、创建系统映像以及配置 Windows 和 Linux 操作系统。这些功能可以帮助您定义和跟踪系统配置、防止出现偏差，并保持 EC2 和本地配置的软件合规性。通过提供在设计上具备云的规模和敏捷性，又能扩展到您的本地数据中心的管理方法，Systems Manager 使您可以更轻松地将现有基础设施与 AWS 无缝连接。

05 网络安全服务

网络安全服务

AWS网络安全三剑客：

NSG 网络安全组虚拟防火墙，控制一个或多个实例的数据流动

ACL 访问控制列表子网级防火墙，控制数据进出

Route Table 路由表通过路由规则来控制子网中的数据流向

网络安全服务

网络安全服务

AWS WAF – Web 应用程序防火墙保护您的 Web 应用程序免遭常见 Web 漏洞的攻击

AWS WAF 是一种 Web 应用程序防火墙，可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击，这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。AWS WAF 允许您创建防范常见攻击模式（例如 SQL 注入或跨站点脚本）的安全规则，以及滤除您定义的特定流量模式的规则，从而让您可以控制流量到达您的应用程序的方式。您可以通过适用于 AWS WAF 的托管规则快速入门，这是由 AWS 或 AWS Marketplace 卖家托管的一套预配置规则。适用于 WAF 的托管规则可以解决 OWASP 十大安全风险等问题。这些规则会随新问题的出现定期更新。AWS WAF 包含功能全面的 API，借此您可以让安全规则的创建、部署和维护实现自动化。

网络安全服务

网络安全服务

AWS Shield托管式 DDoS 防护

AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务，可以保护在 AWS 上运行的应用程序。AWS Shield 提供持续检测和自动内联缓解功能，能够尽可能缩短应用程序的停机时间和延迟，因此您不需要联系AWS Support 来获得 DDoS 防护。

网络安全服务

06 数据安全服务

数据安全服务

AWS Key Management Service (KMS)轻松创建和控制用于对数据进行加密或数字签名的密钥

AWS Key Management Service (KMS) 可让您轻松创建和管理加密密钥，并控制其在各种 AWS 服务和应用程序中的使用。AWS KMS 是一种安全且有弹性的服务，它使用已经过 FIPS 140-2 验证或正在验证的硬件安全模块来保护您的密钥。AWS KMS 还能与 AWS CloudTrail 集成，从而为您提供所有密钥的使用记录，帮助您满足监管和合规性要求。

数据安全服务

数据安全服务

AWS Certificate Manager轻松预置、管理和部署公有和私有 SSL/TLS 证书，以便用于 AWS 服务和您的内部互联资源

AWS Certificate Manager 是一项服务，可帮助您轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性 (SSL/TLS) 证书，以便用于AWS 服务和您的内部互联资源。SSL/TLS 证书用于保护网络通信的安全，并确认网站在 Internet 上的身份以及资源在私有网络上的身份。使用AWS Certificate Manager，您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。

数据安全服务

07 安全监控与管理

安全监控与管理

Amazon CloudWatchAWS 和本地的 AWS 资源和应用程序的可观测性

Amazon CloudWatch 是一种面向开发运营工程师、开发人员、站点可靠性工程师 (SRE) 和 IT 经理的监控和可观测性服务。CloudWatch 为您提供相关数据和切实见解，以监控应用程序、响应系统范围的性能变化、优化资源利用率，并在统一视图中查看运营状况。CloudWatch 以日志、指标和事件的形式收集监控和运营数据，让您能够在统一查看在 AWS 和本地服务器上运行的资源、应用程序和服务。您可以使用 CloudWatch 检测环境中的异常行为、设置警报、并排显示日志和指标、执行自动化操作、排查问题，以及发现可确保应用程序正常运行的见解。

安全监控与管理

安全监控与管理

AWS CloudTrail跟踪用户活动和 API 使用情况

AWS CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核的服务。借助 CloudTrail，您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。CloudTrail 提供AWS 账户活动的事件历史记录，这些活动包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。此事件历史记录可以简化安全性分析、资源更改跟踪和问题排查工作。 此外，您可以使用 CloudTrail 来检测 AWS 账户中的异常活动。这些功能可帮助您简化分析和问题排查。

安全监控与管理

安全监控与管理

AWS VPC Flow Logs 网络流量日志截取双向网络数据的日志工具

VPC Flow Logs可以用来监控和截取网络传输中双向的数据，包括进入或者流出的数据，并生成对应的日志，以便管理员在遇到网络相关问题的时候进行检查和拍错。

安全监控与管理

最佳实践中的安全服务

AWS 安全参考资料

• AWS 安全性最佳实践白皮书

• AWS 云安全性https://aws.amazon.com/cn/security/

• AWS 官方文档各服务最佳实践

• AWS re:Invent, Summit等官方活动