云安全知识:AWS 云上安全指南
|
在当下快速发展的互联网潮流中,云计算释放无限能力,助力企业数字化转型,为企业业务创新带来新的契机,但是企业上云之后,传统安全边界变得更加模糊,核心业务在云端,使得数据可视化和安全风险洞察力都大打折扣,这给企业业务转型的可持续发展埋下了隐患。如何才能安全无忧地畅享云计算带来的红利,为应用构建更安全可靠的防护屏障呢?本文就AWS云上安全话题进行探讨,从安全模型到最佳实践,从安全架构规划到系统内部加固,对企业上云的安全部署提供系统化的全景建议,让您更直观地了解云上安全问题,从而防患未然,构筑云上安全堡垒。 一、云安全概述 1.1 云计算中的机遇与挑战 当云计算重构IT产业的同时,也赋予了企业崭新的增长机遇。通过充分利用云计算的能力,企业可以释放更多精力专注于自己的业务。云计算极大地降低了企业的数字化转型成本,释放更多效能进行业务创新,云计算为企业业务创新带来无限可能。但是当人们在享受使用云计算带来的便利的同时,云上安全问题也不容忽视,CC攻击、DDoS攻击、木马、病毒、蠕虫...,用户的业务应用就像在黑暗森林中的行者,四周潜伏着看不见的野兽恶魔,稍有不慎便被恶意攻击趁虚而入,给企业带来极大的损失。 1.2 三问云上安全性 云计算带来了机遇与挑战,那么对于挑战,我们该如何看待? 云平台安全 当企业接入云端,如何判断云平台的安全能力?合规性是一个重要考量因素,此外建议企业还可以了解云平台是否有关于身份与访问、网络安全、数据保护、应用安全、可视性与智能相关的安全策略,全面客观地评判云平台安全实力。 隔离防护 云平台为多租户模式,租户方应该采取哪些措施或服务来达到安全的目的?该借助哪些服务来达到等级保护的要求? 安全流程规范 尽管企业已经对云端安全做了详尽周密的部署,但是仍不免遭遇安全攻击。一旦发生安全风险,云平台是否有一系列规范的安全响应流程来帮助企业抵御攻击,降低安全风险? 带着上面的问题,下文将从安全分类、安全模型、云上安全最佳实践等方面,对云上安全进行详细分析。 二 、云上安全分类 对于云计算安全带来的挑战,云上安全问题大体可分为以下四类: 物理和基础架构安全:包括云计算环境下数据中心内服务器、交换机等软硬件设备自身安全、数据中心架构设计层面的安全; 应用安全:在云计算环境下的业务相关应用系统的安全管理,包括应用的设计、开发、发布、配置和使用等方面的安全; 访问控制管理:云计算环境中对资源和数据的访问权限管理,包括用户管理、访问权限管理、身份认证等方面; 数据安全:指客户在云计算环境中的业务数据自身的安全,包括收集与识别、分类与分级、访问权限与加密等方面。 将云上安全问题清晰归类后,企业就可以针对自身安全问题有的放矢地进行优化完善。在此将详细阐述AWS在云端的前沿技术与产品解决方案,看AWS如何为企业转型赋能,帮助企业从容上云,为应用构建安全城堡。 三 、安全模型 AWS责任共担模型强调安全性和合规性是AWS和客户的共同责任,AWS提供基础设施并保证其安全,用户则负责维护自己运行其上的应用安全。在这里不少企业用户会存在认知误区,认为只要云平台基础设施安全就足够了,但事实上企业需要对云端应用有更深入的安全掌控。 从企业角度而言,用户需要确保应用的安全性,及利用云计算基础设施的安全配置,进行云上安全加固,例如及时更新操作系统的安全补丁、云产品的安全策略配置。AWS的安全模型将安全下放到客户侧,更具有灵活性和可控性,有助于用户在AWS和内部环境中掌控安全,获得最大限度的保护。 在AWS的责任共担模型中,人们可以更直观地看到AWS和企业客户的责任划分,其中AWS负责全球基础设施的安全及合规,客户完全拥有和控制自己的数据,并可以根据自己的业务选择合适的云产品,配置更高安全策略从而提升业务安全。通过这个模型,在AWS的强大云平台上,企业拥有更灵活的安全产品搭配,对应用有更强的安全掌控能力,,双方共同构筑了云上安全堡垒。
3.1 云安全责任 在了解了云上安全模型后,我将对AWS安全责任和客户安全责任做更详细的阐述,并通过案例讲解,帮助大家更深入地了解责任共担模型。 3.1.1 基础设施安全 在基础设施安全方面,AWS负责保护提供的所有服务的全球基础设施的安全。 在高可用方面,AWS在全球多区域内都部署基础资源,在同一个区域内的不同可用区也部署了基础资源。这样分布式的资源部署,配合故障切换,能够最大程度降低单可用区或单区域故障所带来的危害性,为基础设施的高可用性提供了良好的保障。 在访问控制方面,AWS全球数据中心专业的安保人员利用视频监控、入侵检测系统和其他电子方式严格控制各数据中心入口的物理访问,确保数据中心人员访问的合规性。 在物理安全方面,AWS全球数据中心均配备自动化火灾探测和扑救设备,以及全年无中断冗余设计的电源系统,这些防护设备及高可用设计方案,能够大大提升数据中心健壮性。 在事件响应方面,在遇到突发影响业务的事件时,AWS事件管理团队会使用行业标准诊断程序来推进事件的解决。专业的管理团队还会提供全天候响应服务,高效快速处理突发事件,确保基础设施安全无虞。 3.1.2 基本服务安全 安全性不仅嵌入到 AWS 基础设施的每一层,还嵌入到基础设施之上的每个服务中。AWS的每个服务都提供了广泛的安全功能,可以帮助用户保护敏感数据和应用程序。例如,Amazon RDS for Oracle 是一种托管式数据库服务,在该服务中,AWS 管理容器的所有层,甚至包括Oracle 数据库平台。针对云上服务,AWS提供数据备份服务和恢复工具,用户负责配置和使用与业务连续性和灾难恢复 (BC/DR) 策略有关的工具。用户通过使用AWS提供的静态数据加密服务,或者AWS提供的对用户有效负载的 HTTPS 封装服务,以保障传入和传出该服务的数据安全。对于基本服务AWS也提供了多种有效措施来确保服务的安全性。 3.2 客户安全责任 安全是相对的,且是多维度的,底层基础设施交由AWS负责,那么在云上的资源配置和业务安全则需要由客户自己来掌控。 3.2.1 基础服务 基础服务的安全问题,涉及计算、存储、网络等层面,需要与具体的场景结合才能有针对性地保障其不同侧重点的安全性。例如,当业务迁移上云时,如何保障云上计算资源全生命周期的安全性,如何规划云上网络才能确保数据传输安全,依靠哪些措施保障数据存储安全。针对计算、网络、存储三大基础服务,AWS提供了不同的解决方案。 计算资源之EC2 服务器开通 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
