云安全知识：AWS 云上安全指南

服务器在开通阶段，需要进行一系列安全配置，以提升系统安全等级。企业可以自主选择多种操作，例如选择稳定的操作系统版本、开通服务器安全防护功能、开通监控日志服务、安全组最小化精确授权、配置快照备份策略、设置IAM访问权限、配置服务器告警策略等。

        服务器配置

通过一些列系统内优化加固操作，提高系统安全性，例如在系统内部使用系统默认防火墙对业务进行安全防护，调整文件打开数和进程数，优化系统内核参数，删除系统内无效用户，禁用超级管理员登录，使用普通用户切换到超级管理员操作，对业务系统日志进行切割分级等。

         运维

对于后期服务器运维，需要企业客户定期更新软件系统，及时修复新暴露的软件漏洞，定期巡检服务器各项监控指标，企业还可以针对业务使用情况优化系统配置，并对EC2服务器进行安全测试，使用安全产品进行EC2安全加固。

网络安全之VPC

对于Amazon Virtual Private Cloud安全，用户需要根据自身业务特点，结合业务网络连通性和后期可扩展性进行综合考虑。对Web应用/APP应用/DB应用进行分层设计，通过制定严格的网络安全策略实现业务管控，保证安全；用户还可以配置带宽监控，这样一旦网络发现异常流量就会告警，确保企业网络安全可用。

存储安全之Amazon S3

在对象存储安全方面，Amazon S3基于请求时间（日期条件）限制访问，无论该请求是使用 SSL（布尔值条件）还是使用申请方的 IP 地址（IP 地址条件）发送的，都可基于申请方的客户端应用程序（字符串条件）限制访问。通过 SSL 加密型终端节点，安全地将数据上传/下载到 Amazon S3，保证数据传输到Amazon S3的安全性。

3.2.2 托管服务

对于AWS托管服务，例如Amazon RDS具有丰富功能，可以提高关键生产数据库的可靠性，包括数据库安全组、权限、SSL 连接、自动备份、数据库快照和多可用区部署。企业还可以选择将数据库实例部署在 Amazon VPC 中以享受额外的网络隔离。

从访问控制层面来看，企业首次在 Amazon RDS 内创建数据库实例时，将会创建一个主用户账户，它仅在 Amazon RDS 环境中用来控制对用户数据库实例的访问。同时创建数据库子网组，这些组是用户可能需要为 VPC 中的 RDS 数据库实例指定的子网集合，每个数据库子网组应至少包含给定区域中每个可用区的一个子网，从网络层面保证服务安全性； 终端访问加密方面，可以使用 SSL 对应用程序和数据库实例之间的连接进行加密，避免数据被窃取和篡改； 对于自动备份和数据库快照，用户可根据业务合理配置托管服务器的备份恢复策略，当数据遭受破坏时能轻松地实现数据恢复； 对于告警，AWS提供RDS服务，可以帮助企业全面掌握云端应用状况，如实例是否已关闭、备份启动、发生故障转移、安全组发生更改、存储空间不足等，企业可以在第一时间发现潜在安全问题，并执行相应修复操作，提升托管服务安全性。

四 、安全架构最佳实践

4.1 访问入口

4.1.1 边界架构安全 AWS WAF

AWS WAF是一种Web应用程序防火墙，顾名思义防火墙能够根据一些设定好的ACL规则或内置安全策略，对网络上的安全风险进行拦截，包括SQL注入、跨站脚本、特点恶意IP访问等安全威胁。利用AWS WAF能够为业务提供安全的访问入口。

AWS CloudFront

Amazon CloudFront 能加快将静态和动态 Web 内容（如 .html、.css、.js 和图像文件）分发到用户的速度，当出现海量网络攻击情况时，可利用全球的节点轻松扛住海量攻击。不仅如此，如下图所示，Amazon CloudFront 还可将HTTP请求重定向到HTTPS，为应用提供强有力的安全防护入口。

Amazon Route53

Amazon Route 53 作为DNS服务器，实施的故障转移算法不仅用于将流量路由到正常运行的终端节点，在遇到大型DDoS攻击时还可以起到很好的分流作用，强大的基础设施为用户提供云上安全可靠的网络防护。

安全接入点：

在全球网络的众多接入点，AWS已经配置了专业的接口通信网络设备，可以对网络接入点进行管理和安全检测，从而保障了业务数据在接入点的网络安全性。

传输保护：

普通用户可使用安全套接字层 (SSL)通过 HTTP 或 HTTPS 连接到 AWS 接入点，但对于安全需求更高的用户，，AWS 提供Amazon Virtual Private Cloud (VPC)服务，它相当于在AWS 云内部为高安全需求用户打造一张私有子网，通过 IPsec Virtual Private Network 设备在 Amazon VPC 与用户的数据中心之间建立加密隧道，从而保证业务数据在网络传输中的安全可靠。

容错设计：

AWS 保障了在多个地理区域内以及在每个地理区域的多个可用区中实例和存储数据的灵活性，通过将应用程序分布在多个可用区从而保持弹性，高可用的容错设计最大程度避免了灾难的发生，为用户应用安全提供保障。

4.1.2 VPC规划

对于Amazon Virtual Private Cloud安全，用户需要根据自身业务特点，针对业务网络连通性和后期可扩展性等方面进行前瞻性规划考虑。

高可用设计

AWS可以帮助企业将业务部署在不同的VPC中，VPC之间实现网络互通，企业可以利用路由安全组和网络ACL来控制安全，不同VPC部署在不同地域，确保业务网络冗余性。

分层设计

考虑到业务安全性，企业可以在每个 Amazon VPC 内创建一个或多个子网，在 Amazon VPC 中启动的每个实例均连接至一个子网。传统的第 2 层安全性攻击（包括 MAC 欺骗和 ARP 欺骗）被阻断。

可扩展性

业务网络随着业务应用的持续发展，需要提前考虑未来可扩展性，做好网段规划。根据IDC网络拓扑设计云上网段，避免在后续打隧道时发生网络冲突，考虑到业务发展模式，建议企业尽可能采用大的网段划分，为未来业务预留网段，确保网络规划具有良好的可扩展性。

维护性

企业业务上线后对VPC需要进行带宽策略配置，监控告警配置等操作。这样可以在第一时间发现异常流量，并进行处理。日常运维中，企业还需要根据业务动态调整VPC策略，定期巡检以提升VPC安全。

4.1.3 子网规划

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!