防止未經授權的存取和資料洩露 - AWS 方案指引
設定許可驗證使用者傳輸資料加密資料管理傳出網路流量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止未經授權的存取和資料洩露

根據 2022 年資料外洩成本報告 (Ponemon Institute 報告),2022 年資料外洩的平均成本為 USD430 萬美元。對於半導體公司而言,保護智慧財產權 (IP) 至關重要。因未經授權的存取而遺失 IP 可能會導致財務損失、聲譽受損,甚至是法規後果。這些潛在後果會控制對資料和資料流程的存取,而資料是架構良好的設計的關鍵層面。

保護資料安全的重要考量包括:

  • 存取安全開發環境的使用者身分驗證

  • 存取安全開發環境中資料的使用者授權

  • 記錄所有進出安全開發環境的傳輸

  • 架構環境之間的安全資料流程

  • 傳輸和靜態中的資料加密

  • 限制和記錄傳出網路流量

設定許可

AWS Identity and Access Management (IAM) 透過控制誰經過身分驗證並獲授權使用資源,協助您安全地管理對 AWS 資源的存取。根據預設,除非明確允許,否則 中的任何動作 AWS 都會隱含拒絕。您可以透過建立 政策 AWS 來管理 中的存取。您可以使用政策,以精細程度定義哪些使用者可以存取哪些資源,以及他們可以對這些資源執行哪些動作。 AWS 最佳實務是套用最低權限許可,這表示您只授予使用者執行任務所需的許可。如需詳細資訊,請參閱 IAM 文件中的下列內容:

驗證使用者

AWS 最佳實務是要求人類使用者使用聯合身分提供者 AWS ,以使用臨時憑證來存取 。集中使用者人力資源存取的建議服務是 AWS IAM Identity Center。此服務可協助您安全地建立或連線您的人力資源身分,並集中管理其跨 AWS 帳戶 和應用程式的存取。IAM Identity Center 可以使用 SAML 2.0、Open ID Connect (OIDC) 或 OAuth 2.0 與外部身分提供者 (IdPs) 聯合,以提供無縫整合和使用者管理。如需詳細資訊,請參閱 (AWS 行銷) 中的聯合身分 AWS和聯合身分提供者和聯合身分 (IAM 文件)。

您也可以使用 驗證和授權使用者AWS Directory Service,以管理在 Active Directory 等目錄中定義的使用者和群組。在安全開發環境中,您可以使用 Linux 檔案許可來授權和限制虛擬私有雲端 (VPC) 內的資料存取。使用 VPC 端點提供 的存取, AWS 服務 而不需周遊公有網際網路。使用端點政策來限制哪些 AWS 主體可以使用端點,並使用身分型政策來限制對 的存取 AWS 服務。

傳輸資料

AWS 提供多種方式將內部部署資料遷移至雲端。最初將資料存放在 Amazon Simple Storage Service (Amazon S3) 中很常見。Amazon S3 是一種雲端型物件儲存服務,可協助您存放、保護和擷取任何資料量。在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間傳輸資料時,可提供高達 25 Gbps 的頻寬。它也提供跨區域資料複寫和資料分層。存放在 Amazon S3 中的資料可作為複寫來源。您可以使用它來建立新的檔案系統,或將資料傳輸到 EC2 執行個體。您可以使用 Amazon S3 做為半導體工具和流程的 AWS 受管可攜式作業系統界面 (POSIX) 相容檔案系統的後端。

另一個 AWS 儲存服務是 Amazon FSx,它提供支援業界標準連線通訊協定的檔案系統,並提供跨 的高可用性和複寫 AWS 區域。半導體產業的常見選擇包括 Amazon FSx for NetApp ONTAPAmazon FSx for LustreAmazon FSx for OpenZFS。Amazon FSx 中可擴展的高效能檔案系統非常適合在本機安全開發環境中儲存資料。

AWS 建議您先在 上 AWS 定義半導體工作負載的儲存需求,然後識別適當的資料傳輸機制。 AWS 建議使用 AWS DataSync將資料從現場部署傳輸到 AWS。DataSync 是一種線上資料傳輸和探索服務,可協助您將檔案或物件資料移至 AWS 儲存服務之間。視您使用的是自我管理儲存系統或 NetApp 等儲存提供者而定,您可以設定 DataSync 來加速透過網際網路或透過 將資料移動和複寫至安全開發環境 AWS Direct Connect。DataSync 可以傳輸您的檔案系統資料和中繼資料,例如擁有權、時間戳記和存取許可。如果您要在 FSx for ONTAP 和 NetApp ONTAP 之間傳輸檔案, AWS 建議使用 NetApp SnapMirror。Amazon FSx 支援靜態和傳輸中的加密。使用 AWS CloudTrail和其他服務特定的記錄功能來記錄所有 API 呼叫和相關資料傳輸。在專用帳戶中集中處理日誌,並針對不可變的歷史記錄套用精細存取政策。

AWS 提供其他服務以協助控制資料流程,包括應用程式感知網路防火牆,例如 AWS Network FirewallAmazon Route 53 Resolver DNS 防火牆AWS WAF、 和 Web 代理。透過在 Amazon Virtual Private Cloud (Amazon VPC)https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html、網路防火牆、傳輸閘道路由表和服務控制政策 (SCPs) 中強制執行網路分割,以控制環境內的資料流程 AWS Organizations。使用 VPC Flow Logs 和 VPC Flow Logs 第 2-5 版的可用欄位,集中記錄所有網路流量。

加密資料

使用 AWS Key Management Service (AWS KMS) 客戶受管金鑰或 加密所有靜態資料AWS CloudHSM。建立和維護精細的金鑰資源政策。如需詳細資訊,請參閱為靜態資料建立企業加密策略

使用業界標準 256 位元進階加密標準 (AES-256) 密碼強制執行至少 TLS 1.2,以加密傳輸中的資料。

管理傳出網路流量

如果安全開發環境需要網際網路存取,則應透過網路層級強制執行點記錄和限制所有傳出網際網路流量,例如透過網路防火牆或 Squid,這是開放原始碼代理。VPC 端點和網際網路代理有助於防止使用者未經授權洩露資料。這對於允許存取安全開發環境中的資料,以及僅允許在 VPC 內存取資料至關重要。

最後,您可以使用 Network Access Analyzer,Amazon VPC 的功能來執行網路分割驗證,並識別不符合指定需求的潛在網路路徑。

透過分層安全控制,您可以建立和強制執行強大的資料周邊。如需詳細資訊,請參閱在 上建立資料周邊 AWS