云安全是构建可靠数字化基础设施的核心要素,随着云计算的快速发展,越来越多的企业将其应用和数据迁移至云平台。尽管云计算为企业带来了许多灵活性和成本效益,但云安全问题也随之而来,选择适合的安全服务是确保云环境安全的重要措施。本文将重点介绍 AWS(Amazon Web Services)平台的安全能力覆盖,帮助企业理解如何构建安全的云环境。作为全球领先的云服务提供商,AWS通过多层次的安全服务,覆盖身份管理、数据保护、网络防护、威胁检测与合规治理等领域,结合AWS官方文档与安全服务框架,详细解析其安全能力覆盖体系。
AWS安全责任共担模型
在 AWS 中安全责任分为两个部分:云提供商的责任和客户的责任。AWS 负责“云本身的安全”:底层基础设施的安全,包括硬件、软件和网络。而客户则负责“云内部的安全”其在 AWS 上运行的应用程序和数据的安全管理。这种共享责任模型强调了客户在保护其资产方面的重要性,并指导客户采取必要的安全措施。
云平台安全能力
AWS 提供涵盖五个领域包括身份与访问管理服务、数据保护服务、网络与应用程序保护服务、检测和响应服务、治理与合规性服务的工具和服务保障云平台安全。
1.身份与访问管理服务
AWS通过精细化的身份管理服务,确保最小权限原则和资源访问的安全控制主要包括以下安全能力:
AWS IAM Identity Center可帮助连接身份来源或创建用户,可以集中管理员工对多个 AWS 账户和应用程序的访问。集中管理多账户及跨应用程序的SSO(单点登录),支持与外部身份源(如Microsoft AD、Okta)集成。
IAM 支持用户身份对 AWS 工作负载资源的访问进行安全、细粒度的控制。提供用户、角色和权限策略管理,支持对AWS资源的细粒度访问控制。
Amazon Cognito 为 Web 和移动应用程序提供身份管理工具,用于从内置用户目录、企业目录和消费者身份提供商对用户进行身份验证和授权。支持社交登录、SAML/OIDC协议集成。
AWS RAM 可帮助您在组织内跨 AWS 账户以及与 IAM 角色和用户安全地共享资源。安全共享跨账户资源(如VPC子网、License Manager配置),支持基于权限边界的资源共享。
2.数据保护与加密服务
AWS提供端到端的数据加密与敏感信息管理能力,覆盖存储、传输和使用场景主要包括以下安全能力:
Amazon Macie 使用机器学习和模式匹配来发现敏感数据,并实现对相关风险的自动防护,常用于检测对象存储S3中的敏感数据泄露情况。基于机器学习自动发现S3中的敏感数据(如PII、信用卡号),并生成风险报告。
AWS KMS 创建并控制您用于保护数据的加密密钥。托管加密密钥的生命周期,支持对称/非对称加密,集成于S3、EBS等200+服务。
AWS CloudHSM 提供高度可用秘钥存储的基于云的硬件安全模块 (HSM)。通过FIPS 140-2认证的硬件安全模块,满足合规性加密需求(如金融、医疗行业)。
AWS Certification Manager 可处理创建、存储和更新公共和私有 SSL/TLS X.509 证书和密钥的复杂性。
AWS Private CA 可创建私有证书颁发机构层次结构,包括根和从属证书颁发机构 (CA)。构建私有PKI体系,签发和管理X.509证书,适用于内部应用的身份验证。
AWS Secrets Manager 集中管理数据库凭证、API密钥、应用程序凭证、OAuth 令牌等机密信息,支持自动轮换与加密存储。
AWS Payment Cryptography 提供符合支付卡行业 (PCI) 标准的支付处理中使用的加密功能和密钥管理。
3.网络与应用程序防护服务
AWS网络层服务构建了纵深防御体系,抵御DDoS攻击、入侵及Web漏洞利用主要包括以下安全能力:
AWS Firewall Manager 统一管理多账户的防火墙策略,简化了跨多个账户和资源的管理和维护任务以进行保护。
AWS Network WAF 为 VPC 提供有状态的、托管的网络防火墙状态流量监控以及入侵检测和预防服务。
AWS Shield在网络、传输和应用程序层为 AWS 资源提供针对 DDoS 攻击的保护。
AWS WAF 提供了 Web 应用程序防火墙,因此您可以监控转发到受保护的 Web 应用程序资源的 HTTP(S) 请求。基于规则组过滤恶意HTTP请求,保护API Gateway、CloudFront等Web应用入口。
4.检测与响应服务
AWS通过持续监控与自动化分析,实现威胁的快速发现与根因追溯主要包括以下安全能力:
AWS Config 提供AWS 账户中资源配置的详细视图,实现配置规则的自动化控制。
AWS CloudTrail 记录用户、角色或 AWS 服务采取的操作日志,统一查看对应的安全事件日志记录。
AWS Security Hub 提供了 AWS 中的安全状态的全面视图,集成聚合所有安全服务和事件状态,提供统一仪表盘(集成GuardDuty、Inspector等)。
Amazon GuardDuty 持续监控您的 AWS 账户、工作负载、运行时活动和数据以发现恶意活动涵盖了(EKS集群、S3对象存储、lambda云函数、RDS数据库)。
Amazon Inspector 会扫描AWS 工作负载是否存在软件漏洞和意外的网络暴露,漏洞管理涵盖了(EC2的实例和EKS、ECS、ECR的容器镜像扫描等)并接入CICD进行持续集成交付。
Amazon Detective 分析、调查并快速识别安全发现或可疑活动的根本原因,通过图分析技术关联日志(如CloudTrail、VPC Flow Logs),定位安全事件根源。
Amazon Security Lake 会自动将来自 AWS 环境、SaaS 提供商、本地环境、云源和第三方源的安全数据集日志集中到数据湖中,支持SIEM工具(如Splunk)直接分析。
5.治理与合规服务
AWS帮助企业满足GDPR、HIPAA、PCI-DSS等法规要求,并提供自动化合规工具主要包括以下安全能力:
AWS Organizations 管理多账户策略(如SCP服务控制策略)合并到创建并集中管理的组织中,实现资源隔离与权限集中管控。
AWS Control Tower 可帮助搭建设置和管理基于最佳实践符合合规基线(如NIST 800-53)的 AWS 多账户环境。
AWS Artifact 按需提供获取AWS安全合规性文档(如SOC报告、ISO认证),支持直接下载。
AWS Audit Manager持续审核您的 AWS 使用情况,自动化生成合规证据报告以简化评估风险和合规性的审计流程。
安全防护建议总结
AWS云平台的安全能力覆盖从“预防-检测-响应-恢复”全生命周期,通过原生服务与自动化工具,帮助用户构建弹性、合规的云环境。企业可参考AWS安全决策指南([官方文档](https://docs.aws.amazon.com/zh_cn/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)),结合自身业务特点选择服务组合,形成云平台安全防御体系。
原文始发于微信公众号(安全驾驶舱):云平台安全能力介绍
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论