AWS云上安全指南,aws云安全解決方案

AWS云上安全指南

在當(dāng)下快速發(fā)展的互聯(lián)網(wǎng)潮流中，云計算釋放無限能力，助力企業(yè)數(shù)字化轉(zhuǎn)型，為企業(yè)業(yè)務(wù)創(chuàng)新帶來新的契機(jī)，但是企業(yè)上云之后，傳統(tǒng)安全邊界變得更加模糊，核心業(yè)務(wù)在云端，使得數(shù)據(jù)可視化和安全風(fēng)險洞察力都大打折扣，這給企業(yè)業(yè)務(wù)轉(zhuǎn)型的可持續(xù)發(fā)展埋下了隱患。如何才能安全無憂地暢享云計算帶來的紅利，為應(yīng)用構(gòu)建更安全可靠的防護(hù)屏障呢？本文就AWS云上安全話題進(jìn)行探討，從安全模型到最佳實(shí)踐，從安全架構(gòu)規(guī)劃到系統(tǒng)內(nèi)部加固，對企業(yè)上云的安全部署提供系統(tǒng)化的全景建議，讓您更直觀地了解云上安全問題，從而防患未然，構(gòu)筑云上安全堡壘。

一、云安全概述

1.1 云計算中的機(jī)遇與挑戰(zhàn)

當(dāng)云計算重構(gòu)IT產(chǎn)業(yè)的同時，也賦予了企業(yè)嶄新的增長機(jī)遇。通過充分利用云計算的能力，企業(yè)可以釋放更多精力專注于自己的業(yè)務(wù)。云計算極大地降低了企業(yè)的數(shù)字化轉(zhuǎn)型成本，釋放更多效能進(jìn)行業(yè)務(wù)創(chuàng)新，云計算為企業(yè)業(yè)務(wù)創(chuàng)新帶來無限可能。但是當(dāng)人們在享受使用云計算帶來的便利的同時，云上安全問題也不容忽視，CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲...，用戶的業(yè)務(wù)應(yīng)用就像在黑暗森林中的行者，四周潛伏著看不見的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業(yè)帶來極大的損失。

1.2 三問云上安全性

云計算帶來了機(jī)遇與挑戰(zhàn)，那么對于挑戰(zhàn)，我們該如何看待？

云平臺安全

當(dāng)企業(yè)接入云端，如何判斷云平臺的安全能力？合規(guī)性是一個重要考量因素，此外建議企業(yè)還可以了解云平臺是否有關(guān)于身份與訪問、網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、應(yīng)用安全、可視性與智能相關(guān)的安全策略，全面客觀地評判云平臺安全實(shí)力。

隔離防護(hù)

云平臺為多租戶模式，租戶方應(yīng)該采取哪些措施或服務(wù)來達(dá)到安全的目的？該借助哪些服務(wù)來達(dá)到等級保護(hù)的要求？

安全流程規(guī)范

盡管企業(yè)已經(jīng)對云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發(fā)生安全風(fēng)險，云平臺是否有一系列規(guī)范的安全響應(yīng)流程來幫助企業(yè)抵御攻擊，降低安全風(fēng)險？

帶著上面的問題，下文將從安全分類、安全模型、云上安全最佳實(shí)踐等方面，對云上安全進(jìn)行詳細(xì)分析。

二 、云上安全分類

對于云計算安全帶來的挑戰(zhàn)，云上安全問題大體可分為以下四類：

物理和基礎(chǔ)架構(gòu)安全：包括云計算環(huán)境下數(shù)據(jù)中心內(nèi)服務(wù)器、交換機(jī)等軟硬件設(shè)備自身安全、數(shù)據(jù)中心架構(gòu)設(shè)計層面的安全；

應(yīng)用安全：在云計算環(huán)境下的業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)的安全管理，包括應(yīng)用的設(shè)計、開發(fā)、發(fā)布、配置和使用等方面的安全；

訪問控制管理：云計算環(huán)境中對資源和數(shù)據(jù)的訪問權(quán)限管理，包括用戶管理、訪問權(quán)限管理、身份認(rèn)證等方面；

數(shù)據(jù)安全：指客戶在云計算環(huán)境中的業(yè)務(wù)數(shù)據(jù)自身的安全，包括收集與識別、分類與分級、訪問權(quán)限與加密等方面。

將云上安全問題清晰歸類后，企業(yè)就可以針對自身安全問題有的放矢地進(jìn)行優(yōu)化完善。在此將詳細(xì)闡述AWS在云端的前沿技術(shù)與產(chǎn)品解決方案，看AWS如何為企業(yè)轉(zhuǎn)型賦能，幫助企業(yè)從容上云，為應(yīng)用構(gòu)建安全城堡。

三 、安全模型

AWS責(zé)任共擔(dān)模型強(qiáng)調(diào)安全性和合規(guī)性是AWS和客戶的共同責(zé)任，AWS提供基礎(chǔ)設(shè)施并保證其安全，用戶則負(fù)責(zé)維護(hù)自己運(yùn)行其上的應(yīng)用安全。在這里不少企業(yè)用戶會存在認(rèn)知誤區(qū)，認(rèn)為只要云平臺基礎(chǔ)設(shè)施安全就足夠了，但事實(shí)上企業(yè)需要對云端應(yīng)用有更深入的安全掌控。

從企業(yè)角度而言，用戶需要確保應(yīng)用的安全性，及利用云計算基礎(chǔ)設(shè)施的安全配置，進(jìn)行云上安全加固，例如及時更新操作系統(tǒng)的安全補(bǔ)丁、云產(chǎn)品的安全策略配置。AWS的安全模型將安全下放到客戶側(cè)，更具有靈活性和可控性，有助于用戶在AWS和內(nèi)部環(huán)境中掌控安全，獲得最大限度的保護(hù)。

在AWS的責(zé)任共擔(dān)模型中，人們可以更直觀地看到AWS和企業(yè)客戶的責(zé)任劃分，其中AWS負(fù)責(zé)全球基礎(chǔ)設(shè)施的安全及合規(guī)，客戶完全擁有和控制自己的數(shù)據(jù)，并可以根據(jù)自己的業(yè)務(wù)選擇合適的云產(chǎn)品，配置更高安全策略從而提升業(yè)務(wù)安全。通過這個模型，在AWS的強(qiáng)大云平臺上，企業(yè)擁有更靈活的安全產(chǎn)品搭配，對應(yīng)用有更強(qiáng)的安全掌控能力，，雙方共同構(gòu)筑了云上安全堡壘。

3.1 云安全責(zé)任

在了解了云上安全模型后，我將對AWS安全責(zé)任和客戶安全責(zé)任做更詳細(xì)的闡述，并通過案例講解，幫助大家更深入地了解責(zé)任共擔(dān)模型。

3.1.1 基礎(chǔ)設(shè)施安全

在基礎(chǔ)設(shè)施安全方面，AWS負(fù)責(zé)保護(hù)提供的所有服務(wù)的全球基礎(chǔ)設(shè)施的安全。

在高可用方面，AWS在全球多區(qū)域內(nèi)都部署基礎(chǔ)資源，在同一個區(qū)域內(nèi)的不同可用區(qū)也部署了基礎(chǔ)資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區(qū)或單區(qū)域故障所帶來的危害性，為基礎(chǔ)設(shè)施的高可用性提供了良好的保障。

在訪問控制方面，AWS全球數(shù)據(jù)中心專業(yè)的安保人員利用視頻監(jiān)控、入侵檢測系統(tǒng)和其他電子方式嚴(yán)格控制各數(shù)據(jù)中心入口的物理訪問，確保數(shù)據(jù)中心人員訪問的合規(guī)性。

在物理安全方面，AWS全球數(shù)據(jù)中心均配備自動化火災(zāi)探測和撲救設(shè)備，以及全年無中斷冗余設(shè)計的電源系統(tǒng)，這些防護(hù)設(shè)備及高可用設(shè)計方案，能夠大大提升數(shù)據(jù)中心健壯性。

在事件響應(yīng)方面，在遇到突發(fā)影響業(yè)務(wù)的事件時，AWS事件管理團(tuán)隊(duì)會使用行業(yè)標(biāo)準(zhǔn)診斷程序來推進(jìn)事件的解決。專業(yè)的管理團(tuán)隊(duì)還會提供全天候響應(yīng)服務(wù)，高效快速處理突發(fā)事件，確保基礎(chǔ)設(shè)施安全無虞。

3.1.2 基本服務(wù)安全

安全性不僅嵌入到 AWS 基礎(chǔ)設(shè)施的每一層，還嵌入到基礎(chǔ)設(shè)施之上的每個服務(wù)中。AWS的每個服務(wù)都提供了廣泛的安全功能，可以幫助用戶保護(hù)敏感數(shù)據(jù)和應(yīng)用程序。例如，Amazon RDS for Oracle 是一種托管式數(shù)據(jù)庫服務(wù)，在該服務(wù)中，AWS 管理容器的所有層，甚至包括Oracle 數(shù)據(jù)庫平臺。針對云上服務(wù)，AWS提供數(shù)據(jù)備份服務(wù)和恢復(fù)工具，用戶負(fù)責(zé)配置和使用與業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) (BC/DR) 策略有關(guān)的工具。用戶通過使用AWS提供的靜態(tài)數(shù)據(jù)加密服務(wù)，或者AWS提供的對用戶有效負(fù)載的 HTTPS 封裝服務(wù)，以保障傳入和傳出該服務(wù)的數(shù)據(jù)安全。對于基本服務(wù)AWS也提供了多種有效措施來確保服務(wù)的安全性。

3.2 客戶安全責(zé)任

安全是相對的，且是多維度的，底層基礎(chǔ)設(shè)施交由AWS負(fù)責(zé)，那么在云上的資源配置和業(yè)務(wù)安全則需要由客戶自己來掌控。

3.2.1 基礎(chǔ)服務(wù)

基礎(chǔ)服務(wù)的安全問題，涉及計算、存儲、網(wǎng)絡(luò)等層面，需要與具體的場景結(jié)合才能有針對性地保障其不同側(cè)重點(diǎn)的安全性。例如，當(dāng)業(yè)務(wù)遷移上云時，如何保障云上計算資源全生命周期的安全性，如何規(guī)劃云上網(wǎng)絡(luò)才能確保數(shù)據(jù)傳輸安全，依靠哪些措施保障數(shù)據(jù)存儲安全。針對計算、網(wǎng)絡(luò)、存儲三大基礎(chǔ)服務(wù)，AWS提供了不同的解決方案。

計算資源之EC2

服務(wù)器開通

服務(wù)器在開通階段，需要進(jìn)行一系列安全配置，以提升系統(tǒng)安全等級。企業(yè)可以自主選擇多種操作，例如選擇穩(wěn)定的操作系統(tǒng)版本、開通服務(wù)器安全防護(hù)功能、開通監(jiān)控日志服務(wù)、安全組最小化精確授權(quán)、配置快照備份策略、設(shè)置IAM訪問權(quán)限、配置服務(wù)器告警策略等。

服務(wù)器配置

通過一些列系統(tǒng)內(nèi)優(yōu)化加固操作，提高系統(tǒng)安全性，例如在系統(tǒng)內(nèi)部使用系統(tǒng)默認(rèn)防火墻對業(yè)務(wù)進(jìn)行安全防護(hù)，調(diào)整文件打開數(shù)和進(jìn)程數(shù)，優(yōu)化系統(tǒng)內(nèi)核參數(shù)，刪除系統(tǒng)內(nèi)無效用戶，禁用超級管理員登錄，使用普通用戶切換到超級管理員操作，對業(yè)務(wù)系統(tǒng)日志進(jìn)行切割分級等。

運(yùn)維

對于后期服務(wù)器運(yùn)維，需要企業(yè)客戶定期更新軟件系統(tǒng)，及時修復(fù)新暴露的軟件漏洞，定期巡檢服務(wù)器各項(xiàng)監(jiān)控指標(biāo)，企業(yè)還可以針對業(yè)務(wù)使用情況優(yōu)化系統(tǒng)配置，并對EC2服務(wù)器進(jìn)行安全測試，使用安全產(chǎn)品進(jìn)行EC2安全加固。

網(wǎng)絡(luò)安全之VPC

對于Amazon Virtual Private Cloud安全，用戶需要根據(jù)自身業(yè)務(wù)特點(diǎn)，結(jié)合業(yè)務(wù)網(wǎng)絡(luò)連通性和后期可擴(kuò)展性進(jìn)行綜合考慮。對Web應(yīng)用/APP應(yīng)用/DB應(yīng)用進(jìn)行分層設(shè)計，通過制定嚴(yán)格的網(wǎng)絡(luò)安全策略實(shí)現(xiàn)業(yè)務(wù)管控，保證安全；用戶還可以配置帶寬監(jiān)控，這樣一旦網(wǎng)絡(luò)發(fā)現(xiàn)異常流量就會告警，確保企業(yè)網(wǎng)絡(luò)安全可用。

存儲安全之Amazon S3

在對象存儲安全方面，Amazon S3基于請求時間（日期條件）限制訪問，無論該請求是使用 SSL（布爾值條件）還是使用申請方的 IP 地址（IP 地址條件）發(fā)快遞的，都可基于申請方的客戶端應(yīng)用程序（字符串條件）限制訪問。通過 SSL 加密型終端節(jié)點(diǎn)，安全地將數(shù)據(jù)上傳/下載到 Amazon S3，保證數(shù)據(jù)傳輸?shù)紸mazon S3的安全性。

3.2.2 托管服務(wù)

對于AWS托管服務(wù)，例如Amazon RDS具有豐富功能，可以提高關(guān)鍵生產(chǎn)數(shù)據(jù)庫的可靠性，包括數(shù)據(jù)庫安全組、權(quán)限、SSL 連接、自動備份、數(shù)據(jù)庫快照和多可用區(qū)部署。企業(yè)還可以選擇將數(shù)據(jù)庫實(shí)例部署在 Amazon VPC 中以享受額外的網(wǎng)絡(luò)隔離。

從訪問控制層面來看，企業(yè)首次在 Amazon RDS 內(nèi)創(chuàng)建數(shù)據(jù)庫實(shí)例時，將會創(chuàng)建一個主用戶賬戶，它僅在 Amazon RDS 環(huán)境中用來控制對用戶數(shù)據(jù)庫實(shí)例的訪問。同時創(chuàng)建數(shù)據(jù)庫子網(wǎng)組，這些組是用戶可能需要為 VPC 中的 RDS 數(shù)據(jù)庫實(shí)例指定的子網(wǎng)集合，每個數(shù)據(jù)庫子網(wǎng)組應(yīng)至少包含給定區(qū)域中每個可用區(qū)的一個子網(wǎng)，從網(wǎng)絡(luò)層面保證服務(wù)安全性；

終端訪問加密方面，可以使用 SSL 對應(yīng)用程序和數(shù)據(jù)庫實(shí)例之間的連接進(jìn)行加密，避免數(shù)據(jù)被竊取和篡改；

對于自動備份和數(shù)據(jù)庫快照，用戶可根據(jù)業(yè)務(wù)合理配置托管服務(wù)器的備份恢復(fù)策略，當(dāng)數(shù)據(jù)遭受破壞時能輕松地實(shí)現(xiàn)數(shù)據(jù)恢復(fù)；

對于告警，AWS提供RDS服務(wù)，可以幫助企業(yè)全面掌握云端應(yīng)用狀況，如實(shí)例是否已關(guān)閉、備份啟動、發(fā)生故障轉(zhuǎn)移、安全組發(fā)生更改、存儲空間不足等，企業(yè)可以在第一時間發(fā)現(xiàn)潛在安全問題，并執(zhí)行相應(yīng)修復(fù)操作，提升托管服務(wù)安全性。

四 、安全架構(gòu)最佳實(shí)踐

4.1 訪問入口

4.1.1 邊界架構(gòu)安全

AWS WAF

AWS WAF是一種Web應(yīng)用程序防火墻，顧名思義防火墻能夠根據(jù)一些設(shè)定好的ACL規(guī)則或內(nèi)置安全策略，對網(wǎng)絡(luò)上的安全風(fēng)險進(jìn)行攔截，包括SQL注入、跨站腳本、特點(diǎn)惡意IP訪問等安全威脅。利用AWS WAF能夠?yàn)闃I(yè)務(wù)提供安全的訪問入口。

AWS CloudFront

Amazon CloudFront 能加快將靜態(tài)和動態(tài) Web 內(nèi)容（如 .html、.css、.js 和圖像文件）分發(fā)到用戶的速度，當(dāng)出現(xiàn)海量網(wǎng)絡(luò)攻擊情況時，可利用全球的節(jié)點(diǎn)輕松扛住海量攻擊。不僅如此，如下圖所示，Amazon CloudFront 還可將HTTP請求重定向到HTTPS，為應(yīng)用提供強(qiáng)有力的安全防護(hù)入口。

Amazon Route53

Amazon Route 53 作為DNS服務(wù)器，實(shí)施的故障轉(zhuǎn)移算法不僅用于將流量路由到正常運(yùn)行的終端節(jié)點(diǎn)，在遇到大型DDoS攻擊時還可以起到很好的分流作用，強(qiáng)大的基礎(chǔ)設(shè)施為用戶提供云上安全可靠的網(wǎng)絡(luò)防護(hù)。

安全接入點(diǎn)：

在全球網(wǎng)絡(luò)的眾多接入點(diǎn)，AWS已經(jīng)配置了專業(yè)的接口通信網(wǎng)絡(luò)設(shè)備，可以對網(wǎng)絡(luò)接入點(diǎn)進(jìn)行管理和安全檢測，從而保障了業(yè)務(wù)數(shù)據(jù)在接入點(diǎn)的網(wǎng)絡(luò)安全性。

傳輸保護(hù)：

普通用戶可使用安全套接字層 (SSL)通過 HTTP 或 HTTPS 連接到 AWS 接入點(diǎn)，但對于安全需求更高的用戶，，AWS 提供Amazon Virtual Private Cloud (VPC)服務(wù)，它相當(dāng)于在AWS 云內(nèi)部為高安全需求用戶打造一張私有子網(wǎng)，通過 IPsec Virtual Private Network 設(shè)備在 Amazon VPC 與用戶的數(shù)據(jù)中心之間建立加密隧道，從而保證業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全可靠。

容錯設(shè)計：

AWS 保障了在多個地理區(qū)域內(nèi)以及在每個地理區(qū)域的多個可用區(qū)中實(shí)例和存儲數(shù)據(jù)的靈活性，通過將應(yīng)用程序分布在多個可用區(qū)從而保持彈性，高可用的容錯設(shè)計最大程度避免了災(zāi)難的發(fā)生，為用戶應(yīng)用安全提供保障。

4.1.2 VPC規(guī)劃

對于Amazon Virtual Private Cloud安全，用戶需要根據(jù)自身業(yè)務(wù)特點(diǎn)，針對業(yè)務(wù)網(wǎng)絡(luò)連通性和后期可擴(kuò)展性等方面進(jìn)行前瞻性規(guī)劃考慮。

高可用設(shè)計

AWS可以幫助企業(yè)將業(yè)務(wù)部署在不同的VPC中，VPC之間實(shí)現(xiàn)網(wǎng)絡(luò)互通，企業(yè)可以利用路由安全組和網(wǎng)絡(luò)ACL來控制安全，不同VPC部署在不同地域，確保業(yè)務(wù)網(wǎng)絡(luò)冗余性。

分層設(shè)計

考慮到業(yè)務(wù)安全性，企業(yè)可以在每個 Amazon VPC 內(nèi)創(chuàng)建一個或多個子網(wǎng)，在 Amazon VPC 中啟動的每個實(shí)例均連接至一個子網(wǎng)。傳統(tǒng)的第 2 層安全性攻擊（包括 MAC 欺騙和 ARP 欺騙）被阻斷。

可擴(kuò)展性

業(yè)務(wù)網(wǎng)絡(luò)隨著業(yè)務(wù)應(yīng)用的持續(xù)發(fā)展，需要提前考慮未來可擴(kuò)展性，做好網(wǎng)段規(guī)劃。根據(jù)IDC網(wǎng)絡(luò)拓?fù)湓O(shè)計云上網(wǎng)段，避免在后續(xù)打隧道時發(fā)生網(wǎng)絡(luò)沖突，考慮到業(yè)務(wù)發(fā)展模式，建議企業(yè)盡可能采用大的網(wǎng)段劃分，為未來業(yè)務(wù)預(yù)留網(wǎng)段，確保網(wǎng)絡(luò)規(guī)劃具有良好的可擴(kuò)展性。

維護(hù)性

企業(yè)業(yè)務(wù)上線后對VPC需要進(jìn)行帶寬策略配置，監(jiān)控告警配置等操作。這樣可以在第一時間發(fā)現(xiàn)異常流量，并進(jìn)行處理。日常運(yùn)維中，企業(yè)還需要根據(jù)業(yè)務(wù)動態(tài)調(diào)整VPC策略，定期巡檢以提升VPC安全。

4.1.3 子網(wǎng)規(guī)劃

VPC的安全一部分是由子網(wǎng)的安全措施來保證的，為了實(shí)施額外的網(wǎng)絡(luò)控制，可以通過指定子網(wǎng)的IP地址范圍來隔離不同的應(yīng)用實(shí)例，子網(wǎng)規(guī)劃也需要考慮子網(wǎng)中云資源的數(shù)量限制，子網(wǎng)的正確規(guī)劃能大大減少來自網(wǎng)絡(luò)內(nèi)的攻擊，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，防患于未然。

4.1.4 安全組

在應(yīng)用的訪問中，AWS提供了一整套完整防火墻方案，此方案就是在各個云資源邊界都有安全組，且強(qiáng)制性入站配置默認(rèn)為是拒絕所有請求，客戶需要明確允許入站流量業(yè)務(wù)所需端口，最小化精細(xì)授權(quán)訪問，從而提升網(wǎng)絡(luò)安全性。

4.2 系統(tǒng)架構(gòu)

在系統(tǒng)架構(gòu)安全方面，企業(yè)可通過靈活使用負(fù)載均衡、業(yè)務(wù)無狀態(tài)設(shè)計、分層架構(gòu)部署等手段構(gòu)建安全架構(gòu)。此外企業(yè)還可以將業(yè)務(wù)數(shù)據(jù)存儲在分布式存儲中，，信息數(shù)據(jù)存儲在云產(chǎn)品MQ/DB中，這樣可以最大程度防患于未然，將攻擊輕松化解。

4.3 分級管理

4.3.1 訪問分級

IAM

無論是對云資源的訪問還是系統(tǒng)的訪問，訪問憑證的安全至關(guān)重要。借助AWS IAM，用戶可以集中對用戶、安全憑證（如密碼、訪問密鑰）進(jìn)行統(tǒng)一管理，以及對AWS服務(wù)和資源的訪問設(shè)置控制權(quán)限策略。靈活使用IAM授權(quán)可以對應(yīng)用或云資源訪問實(shí)現(xiàn)分級控制，保障云資源和訪問入口安全性。

MFA

為進(jìn)一步提高訪問的高安全性和可靠性，企業(yè)可為賬戶中的所有用戶進(jìn)行MultiFactor Authentication (MFA)，啟用MFA后，用戶不僅要提供使用賬戶所需的密碼或訪問密鑰，還必須提供來自經(jīng)過特殊配置的設(shè)備代碼，通過雙向認(rèn)證確保訪問分級的安全性。

4.3.2 數(shù)據(jù)分級

數(shù)據(jù)KMS加密

對于數(shù)據(jù)加密問題，可借助AWS Key Management Service (AWS KMS) 托管服務(wù)輕松實(shí)現(xiàn)。用戶可以創(chuàng)建和控制客戶主密鑰 (CMK)，這是用于加密數(shù)據(jù)的加密密鑰，通過使用 AWS KMS，能夠更好地控制對加密數(shù)據(jù)的訪問權(quán)限。目前用戶可以直接在應(yīng)用程序中使用秘鑰管理和加密功能，也可以通過與 AWS KMS 集成的 AWS 服務(wù)使用密鑰管理和加密功能。利用KMS加密服務(wù)，能夠快捷簡單保障數(shù)據(jù)的安全性。

備份恢復(fù)：

對于不同的云資源，AWS提供對應(yīng)的數(shù)據(jù)備份功能，例如EC2的快照備份如果實(shí)例出現(xiàn)故障，或者被黑客惡意訪問造成數(shù)據(jù)被篡改，或被非法加密用于勒索，可以利用快照第一時間對數(shù)據(jù)進(jìn)行恢復(fù)；通過配置云產(chǎn)品的備份策略，可以在業(yè)務(wù)數(shù)據(jù)發(fā)生異常時最快速度進(jìn)行數(shù)據(jù)恢復(fù)。

傳輸加密：

對于訪問請求傳輸進(jìn)行加密控制，AWS提供的服務(wù)對IPSec 和SSL/TLS均提供支持，以保證傳輸中數(shù)據(jù)的安全。對于客戶業(yè)務(wù)請求可以強(qiáng)制HTTPS訪問，企業(yè)用戶可以使用 SSL 對 API 調(diào)用進(jìn)行加密，以保持業(yè)務(wù)數(shù)據(jù)的機(jī)密性。

4.4 運(yùn)維管理

系統(tǒng)加固：

對于系統(tǒng)加固，在開通EC2服務(wù)器后，除了AWS上備份監(jiān)控策略外，系統(tǒng)內(nèi)部的安全加固必不可少，用戶需定期進(jìn)行補(bǔ)丁更新，后期運(yùn)維進(jìn)行定期安全巡檢，通過監(jiān)控日志告警來第一時間排查系統(tǒng)安全問題，通過系統(tǒng)加固能在系統(tǒng)內(nèi)杜絕安全隱患。

監(jiān)控管理

對于云上資源的使用情況，企業(yè)可以使用 AWS CloudWatch 進(jìn)行監(jiān)控，全方位了解資源利用率、運(yùn)營性能和總體需求模式，并且用戶還可以設(shè)置 CloudWatch 警報，使其在超出特定閾值時通知用戶或采取其他自動化操作（例如，在 Auto Scaling 啟用時添加或 移除 EC2 實(shí)例），并可以通過分析監(jiān)控信息排除隱藏的安全問題。

日志管理

對于云上資源日志， AWS CloudTrail 提供面向賬戶內(nèi)的 AWS 資源所有請求的日志，這包括監(jiān)控賬號內(nèi)AWS資源日志、安全事件記錄、API調(diào)用信息，企業(yè)可通過日志進(jìn)行安全溯源。

配置管理

云上資源統(tǒng)一管理就需要使用配置管理，AWS Config幫助用戶監(jiān)督自己的應(yīng)用程序資源。企業(yè)用戶可以隨時了解資源使用情況以及資源的配置方式，在資源被創(chuàng)建、修改或刪除時，企業(yè)能夠第一時間得到通知，輕松實(shí)現(xiàn)對云資源的安全管控。

五 、反思

安全是相對的，沒有100%的安全，想要在云上暢行無阻，需要云廠商和用戶的共同努力。在基礎(chǔ)設(shè)施安全方面，云廠商憑借多年的深入研究和風(fēng)險分析，結(jié)合自身在安全領(lǐng)域多年的經(jīng)驗(yàn)及技術(shù)積累，打造了專門針對云上安全的產(chǎn)品，形成全方位的云安全能力，為用戶提供一站式的云安全綜合解決方案。用戶則需要從自身業(yè)務(wù)的安全架構(gòu)設(shè)計，云資源的安全配置，系統(tǒng)內(nèi)的安全加固，以及后期的運(yùn)維管理等方面確保安全性。云上安全，人人有責(zé)，無論采用的是哪種云部署，用戶都要確保自己的應(yīng)用在這個云環(huán)境中安全無虞。下一代云安全，是多方協(xié)作的。云安全的智能化，需要云廠商和用戶的不斷努力，共筑云上安全業(yè)務(wù)堡壘，創(chuàng)造無限可能。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。