防止未经授权的访问和数据泄露 - AWS 规范性指导
配置权限对用户进行身份验证传输数据加密数据管理出站网络流量

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

防止未经授权的访问和数据泄露

根据 2022年数据泄露成本报告(Ponemon Institute报告),2022年数据泄露的平均成本为30万美元 USD4。对于半导体公司而言,保护知识产权 (IP) 至关重要。由于未经授权的访问而导致的知识产权丢失可能导致经济损失、声誉受损,甚至是监管后果。这些潜在的后果使得控制数据访问和数据流成为架构良好的设计的关键方面。

保护数据安全的关键注意事项包括:

  • 用于访问安全开发环境的用户身份验证

  • 用户授权访问安全开发环境中的数据

  • 将所有进出安全开发环境的传输记录在案

  • 设计环境间的安全数据流

  • 对传输中的数据和静态数据进行加密

  • 限制和记录出站网络流量

配置权限

AWS Identity and Access Management (IAM) 通过控制谁经过身份验证并有权使用 AWS 资源,从而帮助您安全地管理对资源的访问权限。默认情况下,除非明确允许 AWS ,否则中的任何操作都会被隐式拒绝。您可以 AWS 通过创建策略来管理中的访问权限。您可以使用策略精细地定义哪些用户可以访问哪些资源以及他们可以对这些资源执行哪些操作。 AWS 最佳做法是应用最低权限权限,这意味着您只向用户授予他们执行任务所需的权限。有关更多信息,请参阅 IAM 文档中的以下内容:

对用户进行身份验证

AWS 最佳做法是要求人类用户使用与身份提供商的联合身份验证才能使用临时证书 AWS 进行访问。集中用户工作人员访问权限的推荐服务是AWS IAM Identity Center。此服务可帮助您安全地创建或连接员工身份,并集中管理他们对 AWS 账户 和应用程序的访问权限。IAM Identity Center 可以使用 SAML 2.0、Open ID Connect (OIDC) 或 OAuth 2.0 与外部身份提供商 () 联合,以提供无缝集成和用户管理。IdPs有关更多信息,请参阅 AWS(AWS 营销)中的身份联合身份提供商和联合(IAM 文档)。

您还可以使用AWS Directory Service管理在目录(例如 Active Directory)中定义的用户和组,对用户进行身份验证和授权。在安全的开发环境中,您可以使用 Linux 文件权限来授权和限制虚拟私有云 (VPC) 内的数据访问。使用 VPC 终端节点提供访问权限, AWS 服务 无需通过公共互联网。使用终端节点策略限制哪些 AWS 委托人可以使用终端节点,并使用基于身份的策略来限制对终端节点的访问。 AWS 服务

传输数据

AWS 提供了多种将本地数据迁移到云端的方法。最初通常将数据存储在亚马逊简单存储服务 (Amazon S3) Service 中。Amazon S3 是一项基于云的对象存储服务,可帮助您存储、保护和检索任意数量的数据。在亚马逊弹性计算云 (Amazon EC2) 实例之间传输数据时,它可提供高达 25 Gbps 的带宽。它还提供跨区域数据复制和数据分层。存储在 Amazon S3 中的数据可以用作复制源。您可以使用它来创建新的文件系统或将数据传输到 EC2 实例。您可以将 Amazon S3 用作半导体工具和流程的 AWS 托管、符合便携式操作系统接口 (POSIX) 标准的文件系统的后端。

另一项 AWS 存储服务是 Amazon FSx,它提供的文件系统支持行业标准的连接协议,并提供高可用性和跨 AWS 区域复制功能。半导体行业的常见选择包括 NetApp ONTAP FSx 的亚马逊Lustre FSx 的亚马逊和 OpenZFS FSx 的亚马逊。Amazon 中可扩展、高性能的文件系统 FSx非常适合在安全的开发环境中本地存储数据。

AWS 建议您 AWS 先定义半导体工作负载的存储要求,然后确定适当的数据传输机制。 AWS 建议使用AWS DataSync将数据从本地传输到 AWS。 DataSync 是一项在线数据传输和发现服务,可帮助您在 AWS 存储服务之间移动文件或对象数据。根据您使用的是自我管理的存储系统还是存储提供商(例如) NetApp,您可以进行配置 DataSync 以加快通过 Internet 或通过互联网向安全开发环境移动和复制数据的速度。 AWS Direct Connect DataSync 可以传输您的文件系统数据和元数据,例如所有权、时间戳和访问权限。如果您要在 ONTAP 和 NetApp ONTAP 之间传输文件, AWS 建议 FSx 使用。NetApp SnapMirrorAmazon FSx 支持静态和传输中的加密。使用AWS CloudTrail和其他特定于服务的日志记录功能来记录所有 API 调用和相关数据传输。将日志集中在专用账户中,并对不可变的历史记录应用精细的访问策略。

AWS 提供其他服务来帮助控制数据流,包括具有应用程序感知能力的网络防火墙 AWS Network Firewall,例如 Amazon Route 53 Resolver DNS 防火墙和 Web AWS WAF代理。通过使用安全组网络访问控制列表和 Amazon Virtual Private Cloud (Amazon VPC) 中的 VPC 终端节点、网络防火墙、中转网关路由表服务控制策略 (SCPs) 来控制环境内的数据流 AWS Organizations。使用 VPC 流日志和 VPC 流日志版本 2-5 中的可用字段集中记录所有网络流量。

加密数据

使用 AWS Key Management Service (AWS KMS) 客户管理的密钥对所有静态数据进行加密,或者AWS CloudHSM。创建和维护精细的密钥资源策略。有关详细信息,请参阅Creating an enterprise encryption strategy for data at rest

使用行业标准的 256 位高级加密标准 (AES-256) 密码强制执行至少 TLS 1.2,对传输中的数据进行加密。

管理出站网络流量

如果安全的开发环境需要访问互联网,则应通过网络级强制点(例如通过开源代理 Network Firewall 或 Squid)记录和限制所有出站互联网流量。VPC 终端节点和 Internet 代理有助于防止用户未经授权泄露数据。这对于允许在安全的开发环境中且仅在 VPC 内访问数据至关重要。

最后,您可以使用 Amazon VPC 的一项功能网络访问分析器来执行网络分段验证并识别不符合您指定要求的潜在网络路径。

通过分层安全控制,您可以建立和实施强大的数据边界。有关更多信息,请参阅在上构建数据边界。 AWS