本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全基础知识
| |
| --- |
| 通过进行[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)来影响 AWS 安全参考架构 (AWS SRA) 的未来。 |
AWS SRA与三个 AWS 安全基础保持一致: AWS 云采用框架(AWS CAF)、Well-Architected和责任 AWS 共担模型。 AWS
AWS Professional Services 创建了 [AWS CAF](https://aws.amazon.com/professional-services/CAF/),旨在帮助公司设计并加快成功采用云的道路。该框架提供的指导和最佳实践可帮助您在整个企业和整个 IT 生命周期中构建全面的云计算方法。 AWS CAF将指导分为六个重点领域,称为*视角*。每个视角都涵盖与职能相关的利益相关者拥有或管理的不同职责。一般而言,业务、人员和治理视角侧重于业务能力;而平台、安全和运营视角侧重于技术能力。
[AWS CAF 的安全视角](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)可帮助您在整个企业中组织控制措施的选择和实施。遵循安全支柱中的当前 AWS 建议可以帮助您满足业务和监管要求。
[AWS Wel](https://aws.amazon.com/architecture/well-architected) l-Architected 帮助云架构师为其应用程序和工作负载构建安全、高性能、弹性和高效的基础架构。该框架基于六大支柱(卓越运营、安全性、可靠性、性能效率、成本优化和可持续性),为 AWS 客户和合作伙伴提供了一种一致的方法来评估架构和实施可随时间推移而扩展的设计。我们相信,拥有架构完善的工作负载能够大大提高实现业务成功的可能性。
Wel [l-Architected Framework 安全](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)支柱描述了如何利用云技术来帮助保护数据、系统和资产,从而改善您的安全状况。通过遵循当前 AWS 的建议,这将帮助您满足业务和监管要求。Well-Architected Framework 还有其他重点领域,可以为治理、无服务器、人工智能/机器学习和游戏等特定领域提供更多背景信息。这些镜头被称为 Well-Arch AWS itected 镜头。
安全和合规是[客户共同承担 AWS 的责任](https://aws.amazon.com/compliance/shared-responsibility-model/)。这种共享模型可以帮助您减轻运营负担,因为您可以 AWS 操作、管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件。例如,您负责并管理客户机操作系统(包括更新和安全补丁)、应用程序软件、服务器端数据加密、网络流量路由表以及 AWS提供的安全组防火墙的配置。对于 Amazon S3 和 Amazon AWS DynamoDB 等抽象服务,运行基础设施层、操作系统和平台,您可以访问终端节点来存储和检索数据。您负责管理数据(包括加密选项)、对资产进行分类以及使用 IAM 工具应用适当的权限。这种共享模式通常被描述 AWS 为负责云*的*安全(即保护运行云中提供的所有服务的基础架构 AWS Cloud),而您对云*中的*安全负责(由您选择的 AWS Cloud 服务决定)。
在这些基础文档提供的指导中,有两组概念与 AWS SRA的设计和理解特别相关:安全功能和安全设计原则。
## 安全能力
AWS CAF 的安全视角概述了九项功能,可帮助您实现数据和云工作负载的机密性、完整性和可用性。
+ *安全治理*,用于在组织 AWS 环境中制定和沟通安全角色、职责、政策、流程和程序。
+ *安全保障*,用于监控、评估、管理和提高您的安全和隐私计划的有效性。
+ *身份和访问管理*,用于大规模管理身份和权限。
+ *威胁检测*,用于了解和识别潜在的安全配置错误、威胁或意外行为。
+ *漏洞管理*可持续识别、分类、修复和缓解安全漏洞。
+ *基础设施保护*,可帮助验证工作负载中的系统和服务是否受到保护。
+ *数据保护*可保持对数据的可见性和控制力,以及对组织中访问和使用数据的方式。
+ *应用程序安全*,可帮助检测和解决软件开发过程中的安全漏洞。
+ *事件响应*,通过有效应对安全事件来减少潜在伤害。
## 安全设计原则
Well-Architected Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)包含一组七项设计原则,这些原则将特定的安全领域转化为实用指南,可以帮助您增强工作负载安全。在安全功能构成整体安全策略的地方,这些 Well-Architected Framework 原则描述了你可以开始做什么。它们非常谨慎地反映在本 AWS SRA中,包括以下内容:
+ *建立坚实的身份基础* ― 实施最小权限原则,在每次与 AWS 资源的互动中都要有适当的授权,强制执行职责分离。集中进行身份管理,并努力消除对长期静态凭证的依赖。
+ *启用可追溯性* − 实时监控、生成警报并审核环境的操作和更改。为系统集成日志和指标收集功能,以自动调查并采取行动。
+ *在所有层面应用安全性* − defense-in-depth 采用具有多种安全控制的方法。将多种类型的控制措施(例如预防和检测控制)应用于所有层,包括网络边缘、虚拟私有云 (VPC)、负载平衡、实例和计算服务、操作系统、应用程序配置和代码。
+ *自动化安全最佳实践*-基于软件的自动化安全机制可提高您更快、更经济地安全扩展的能力。创建安全的架构,并在版本控制的模板中实现以代码形式定义和管理的控件。
+ *保护传输中的数据和静态*数据 ― 将您的数据按敏感度级别进行分类,并酌情使用加密、标记化和访问控制等机制。
+ *让人们远离数据*-使用机制和工具来减少或消除直接访问或手动处理数据的需求。这样可以降低处理敏感数据时数据处理不当、被修改以及人为错误的风险。
+ *为安全事件*做好准备 ― 制定符合组织要求的事件管理和调查政策及流程,为事件做好准备。开展意外事件响应模拟演练,并使用具有自动化功能的工具来提高检测、调查和恢复的速度。
## 如何在 CAF 和 Well- AWS Architected F AWS ramework 中使用 SRA AWS
AWS CAF、Well-Ar AWS chitected Framewor AWS k 和 SRA 是互补的框架,它们共同支持您的云迁移和现代化工作。
+ [AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html) 利用 AWS 经验和最佳实践来帮助您将云采用的价值与所需的业务成果保持一致。使用 AWS CAF 来识别转型机会并确定其优先级,评估和改善云就绪性,并迭代发展您的转型路线图。
+ Wel [AWS l-Architected](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html) Framework 为各种应用程序和工作负载构建安全、高性能、弹性和高效的基础架构 AWS 提供了建议,以满足您的业务成果。
+ AWS SRA 可帮助您了解如何以符合 CAF 和 Well- AWS Architected Framework 建议的方式部署和管理安全服务。 AWS
例如, AWS CAF 安全视角建议您评估如何集中管理员工身份及其身份验证。 AWS根据这些信息,您可以决定为此目的使用新的或现有的企业身份提供商 (IdP) 解决方案,例如 Okta、Active Directory 或 Ping Identity。您按照 Well-Architect AWS ed Framework 中的指导进行操作,并决定将您的 IdP 与 AWS IAM Identity Center 集成,为您的员工提供单点登录体验,使其群组成员资格和权限同步。您可以查看 AWS SRA 建议,在 AWS 组织的管理账户中启用 IAM Identity Center,并通过安全运营团队使用的安全工具账户对其进行管理。此示例说明 AWS 了 AWS CAF 如何帮助您就所需的安全态势做出初步决策,Well-Architected Framework 提供了有关如何评估 AWS 服务 可用于实现该目标的指导,然后 SRA 就如何部署和管理您选择的安全服务提供了建议。 AWS