设计原则
在云中,有很多原则可帮助您提高工作负载的安全性:
-
实施强大的身份验证基础:实施最低权限原则,并通过对每一次与 AWS 资源之间的交互进行适当授权来强制执行职责分离。集中进行身份管理,并努力消除对长期静态凭证的依赖。
-
保持可追溯性:实时监控和审查对环境执行的操作和更改并发送警报。为系统集成日志和指标收集功能,以自动调查并采取行动。
-
在所有层面应用安全措施:利用多种安全控制措施实现深度防御。应用到所有层面(例如网络边缘、VPC、负载均衡、每个实例和计算服务、操作系统、应用程序和代码)。
-
自动化安全性最佳实践:借助基于软件的自动化安全机制,您能够以更为快速且更具成本效益的方式实现安全扩展。创建安全架构,包括实施可在版本控制模板中以代码形式定义和管理的控制措施。
-
保护传输中数据和静态数据:按敏感程度对数据进行分类,并根据情况采用加密、令牌化和访问控制等适当机制。
-
限制对数据的访问:利用相关机制和工具来减少或消除对于直接访问或手动处理数据的需求。这样可以降低处理敏感数据时数据处理不当、被修改以及人为错误的风险。
-
做好应对安全性事件的准备工作:制定符合组织要求的事件管理和调查政策和流程,做好应对意外事件的准备工作。开展意外事件响应模拟演练,并使用具有自动化功能的工具来提高检测、调查和恢复的速度。