本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全基础
通过进行简短的调查 |
AWS 安全参考架构与三个 AWS 安全基础保持一致:AWS 云采用框架 (AWS CAF)、AWS Well-Architected 和 AWS 责任分担模型。
AWS Professional Services 创建了 AWS CAF
-
AWS CAF 的安全视角可帮助您在整个企业中组织控制措施的选择和实施。遵循安全支柱中的当前 AWS 建议可以帮助您满足业务和监管要求。
AWS Wel
-
W ell-Architected 安全支柱描述了如何利用云技术来帮助保护数据、系统和资产,从而改善您的安全状况。这将帮助您遵循当前的 AWS 建议,满足您的业务和监管要求。Well-Architected Framework 还有其他重点领域,可以为治理、无服务器、人工智能/机器学习和游戏等特定领域提供更多背景信息。这些镜头被称为 AWS Well-Architected 镜头。
安全和合规是 A WS 和客户的共同责任
在这些基础文档提供的指导中,有两组概念与 AWS SRA 的设计和理解特别相关:安全功能和安全设计原则。
安全能力
AWS CAF 的安全视角概述了九项功能,可帮助您实现数据和云工作负载的机密性、完整性和可用性。
-
安全治理,用于在组织的 AWS 环境中制定和沟通安全角色、职责、政策、流程和程序。
-
安全保障,用于监控、评估、管理和提高您的安全和隐私计划的有效性。
-
身份和访问管理,用于大规模管理身份和权限。
-
威胁检测,用于了解和识别潜在的安全配置错误、威胁或意外行为。
-
漏洞管理可持续识别、分类、修复和缓解安全漏洞。
-
基础设施保护,可帮助验证工作负载中的系统和服务是否受到保护。
-
数据保护可保持对数据的可见性和控制力,以及对组织中访问和使用数据的方式。
-
应用程序安全,可帮助检测和解决软件开发过程中的安全漏洞。
-
事件响应,通过有效应对安全事件来减少潜在伤害。
安全设计原则
Well-Architected Framework 的安全支柱包含一组七项设计原则,这些原则将特定的安全领域转化为实用指南,可以帮助您增强工作负载安全。在安全功能构成整体安全策略的地方,这些 Well-Architected 原则描述了你可以开始做什么。它们非常谨慎地反映在此 AWS SRA 中,包括以下内容:
-
建立坚实的身份基础 — 实施最小权限原则,在每次与您的 AWS 资源交互时都要进行适当的授权,强制执行职责分离。集中身份管理,目标是消除对长期静态凭证的依赖。
-
实现可追溯性 — 实时监控、生成警报并审核环境的操作和更改。将日志和指标收集与系统集成,以自动进行调查并采取行动。
-
在所有层面应用安全性-应用具有多种安全控制 defense-in-depth 的方法。将多种类型的控制措施(例如预防和检测控制)应用于所有层,包括网络边缘、虚拟私有云 (VPC)、负载平衡、实例和计算服务、操作系统、应用程序配置和代码。
-
自动化安全最佳实践 — 基于软件的自动化安全机制可提高您更快、更经济地安全扩展的能力。创建安全的架构,并在版本控制的模板中实现以代码形式定义和管理的控件。
-
保护传输中的数据和静态数据-将您的数据按敏感度级别进行分类,并酌情使用加密、标记化和访问控制等机制。
-
让人们远离数据-使用机制和工具来减少或消除直接访问或手动处理数据的需求。这降低了处理敏感数据时出现错误处理或修改以及人为错误的风险。
-
为安全事件做好准备 — 通过制定符合组织要求的事件管理和调查政策及流程,为事件做好准备。运行事件响应模拟,并使用自动化工具来提高检测、调查和恢复的速度。