安全基础知识 - AWS 规范性指导
安全能力安全设计原则如何使用 with AWS CAF 和 Well-AWS SRA Architect AWS ed 框架

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全基础知识

通过进行简短的调查,影响 AWS 安全参考架构 (AWS SRA) 的未来。

AWS安全参考架构符合三个AWS安全基础:AWS云采用框架 (AWSCAF)、Well-Ar AWS chitected Framework 和AWS责任共担模型。

AWS专业服务AWSCAF旨在帮助公司设计并加快成功采用云的道路。该框架提供的指导和最佳实践可帮助您在整个企业和整个 IT 生命周期中构建全面的云计算方法。该AWSCAF指南将指导分为六个重点领域,称为视角。每个视角都涵盖职能相关利益相关者拥有或管理的不同责任。一般而言,业务、人员和治理视角侧重于业务能力;而平台、安全和运营视角则侧重于技术能力。

  • 的安全视角AWSCAF可以帮助您在整个企业中组织控制措施的选择和实施。遵循安全支柱中的当前AWS建议可以帮助您满足业务和监管要求。 

AWSWell-Architected Framework 可帮助云架构师为其应用程序和工作负载构建安全、高性能、弹性和高效的基础架构。该框架基于六大支柱(卓越运营、安全性、可靠性、性能效率、成本优化和可持续性),为AWS客户和合作伙伴提供了一种一致的方法来评估架构和实施可随时间推移而扩展的设计。我们相信,拥有架构完善的工作负载能够大大提高实现业务成功的可能性。

  • Wel l-Architected Framework 安全支柱描述了如何利用云技术来帮助保护数据、系统和资产,从而改善您的安全状况。通过遵循当前AWS的建议,这将帮助您满足业务和监管要求。Well-Architected Framework 还有其他重点领域,可以为治理、无服务器、人工智能/机器学习和游戏等特定领域提供更多背景信息。这些镜头被称为 Well-Arch AWSitected 镜头。 

安全和合规是客户共同承担AWS的责任。这种共享模型可以帮助您减轻运营负担,因为您可以AWS操作、管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件。例如,您负责并管理客户机操作系统(包括更新和安全补丁)、应用程序软件、服务器端数据加密、网络流量路由表以及所AWS提供的安全组防火墙的配置。对于诸如亚马逊简单存储服务 (Amazon S3) Simple Service 和 Amazon DynamoDB 之类的抽象服务AWS,需要操作基础设施层、操作系统和平台,您可以访问终端节点来存储和检索数据。您负责管理您的数据(包括加密选项),对资产进行分类,并使用 Ident AWS ity and Access Management (IAM) 工具来应用相应的权限。这种共享模式通常被描述AWS为负责云安全(即保护运行云中提供的所有服务的基础架构),而您对AWS云中的安全负责(由您选择的AWS云服务决定)。 

在这些基础文档提供的指导中,有两组概念与安全功能和安全设计原则的AWSSRA设计和理解特别相关。

安全能力

的安全视角AWSCAF概述了九项功能,可帮助您实现数据和云工作负载的机密性、完整性和可用性。

  • 安全治理,用于在组织AWS环境中制定和沟通安全角色、职责、政策、流程和程序。

  • 安全保障,用于监控、评估、管理和提高您的安全和隐私计划的有效性。

  • 身份和访问管理,用于大规模管理身份和权限。

  • 威胁检测,用于了解和识别潜在的安全配置错误、威胁或意外行为。

  • 漏洞管理可持续识别、分类、修复和缓解安全漏洞。

  • 基础架构保护,可帮助验证工作负载中的系统和服务是否受到保护。

  • 数据保护可保持对数据的可见性和控制力,以及对组织中访问和使用数据的方式。

  • 应用程序安全,可帮助检测和解决软件开发过程中的安全漏洞。

  • 事件响应,通过有效应对安全事件来减少潜在伤害。

安全设计原则

Well-Architected Framework 的安全支柱包含一组七项设计原则,这些原则将特定的安全领域转化为实用指南,可以帮助您增强工作负载安全。在安全功能构成整体安全策略的地方,这些 Well-Architected Framework 原则描述了你可以开始做什么。它们非常刻意地反映在此 AWSSRA,包括以下内容:

  • 建立坚实的身份基础 — 实施最小权限原则,在每次与AWS资源的互动中都要有适当的授权,强制执行职责分离。集中进行身份管理,并努力消除对长期静态凭证的依赖。

  • 实现可追溯性 — 实时监控、生成警报并审核环境的操作和更改。为系统集成日志和指标收集功能,以自动调查并采取行动。

  • 在所有层面应用安全性-应用具有多种安全控制 defense-in-depth的方法。将多种类型的控件(例如预防和检测控制)应用于所有层,包括网络边缘、虚拟私有云 (VPC)、负载平衡、实例和计算服务、操作系统、应用程序配置和代码。

  • 自动化安全最佳实践 — 基于软件的自动化安全机制可提高您更快、更经济地安全扩展的能力。创建安全的架构,并在版本控制的模板中实现以代码形式定义和管理的控件。

  • 保护传输中的数据和静态数据-将您的数据按敏感度级别进行分类,并酌情使用加密、标记化和访问控制等机制。

  • 让人们远离数据-使用机制和工具来减少或消除直接访问或手动处理数据的需求。这样可以降低处理敏感数据时数据处理不当、被修改以及人为错误的风险。

  • 为安全事件做好准备 — 通过制定符合组织要求的事件管理和调查政策及流程,为事件做好准备。开展意外事件响应模拟演练,并使用具有自动化功能的工具来提高检测、调查和恢复的速度。

如何使用 with AWS CAF 和 Well-AWS SRA Architect AWS ed 框架

AWSCAF,Wel AWS l-Architected Framew AWS SRA ork,它们是互补的框架,可以协同工作来支持你的云迁移和现代化工作。

  • AWSCAF利用AWS经验和最佳实践来帮助您将云采用的价值与所需的业务成果保持一致。用于识别转型机会并确定AWSCAF其优先级,评估和改善云就绪性,并以迭代方式发展您的转型路线图。

  • Wel AWSl-Architected Framework 为各种应用程序和工作负载构建安全、高性能、弹性和高效的基础架构AWS提供了建议,以满足您的业务成果。

  • AWSSRA这可以帮助您了解如何以符合 Well-Ar AWS chitected Framework 和 Well-Architected Framewor AWS CAF k 建议的方式部署和管理安全服务。

例如,从AWSCAF安全角度来看,建议您评估如何集中管理您的员工身份及其身份验证AWS。根据这些信息,您可以决定为此目的使用新的或现有的企业身份提供商 (IdP) 解决方案,例如 Okta、Active Directory 或 Ping Identity。您按照 Well-Architecte AWS d Framework 中的指导进行操作,决定将您的 IdP 与AWSIAM身份中心集成,为您的员工提供单点登录体验,可以同步他们的群组成员资格和权限。您可以查看AWSSRA建议,在AWS组织的管理帐户中启用 Ident IAM ity Center,并通过安全运营团队使用的安全工具帐户对其进行管理。此示例说明了如何AWSCAF帮助您就所需的安全态势做出初步决策,Well-Architected Framework 提供了有关如何评估AWS可用于实现该目标的服务的指导,然后AWSSRA就如何部署和管理所选安全服务提供了建议。AWS