AWS 云上安全指南

鐘合

在當下快速發展的互聯網潮流中，云計算釋放無限能力，助力企業數字化轉型，為企業業務創新帶來新的契機，但是企業上云之后，傳統安全邊界變得更加模糊，核心業務在云端，使得數據可視化和安全風險洞察力都大打折扣，這給企業業務轉型的可持續發展埋下了隱患。

如何才能安全無憂地暢享云計算帶來的紅利，為應用構建更安全可靠的防護屏障呢？本文就AWS云上安全話題進行探討，從安全模型到最佳實踐，從安全架構規劃到系統內部加固，對企業上云的安全部署提供系統化的全景建議，讓您更直觀地了解云上安全問題，從而防患未然，構筑云上安全堡壘。

云計算中的機遇與挑戰

云計算在重構IT產業的同時，也賦予了企業新的增長機遇。通過充分利用云計算的能力，企業可以釋放更多精力專注于自己的業務。云計算極大地降低了企業的數字化轉型成本，釋放更多效能進行業務創新，云計算為企業業務創新帶來無限可能。但是當人們在享受使用云計算帶來的便利的同時，云上安全問題也不容忽視，如CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲等。用戶的業務應用就像在黑暗森林中的行者，四周潛伏著看不見的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業帶來極大的經濟損失。

云上安全性

■云平臺安全

當企業接入云端，如何判斷云平臺的安全能力？合規性是一個重要考量因素，此外建議企業還可以了解云平臺是否有關于身份與訪問、網絡安全、數據保護、應用安全、可視性與智能相關的安全策略，全面客觀地評判云平臺安全實力。

■隔離防護

云平臺為多租戶模式，租戶方應該采取哪些措施或服務來達到安全的目的？該借助哪些服務來達到等級保護的要求？

■安全流程規范

盡管企業已經對云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發生安全風險，云平臺需要有一系列規范的安全響應流程來幫助企業抵御攻擊，降低安全風險。

云上安全分類

對于云計算安全帶來的挑戰，云上安全問題大體可分為以下四類：

■物理和基礎架構安全

包括云計算環境下數據中心內服務器、交換機等軟硬件設備自身安全、數據中心架構設計層面的安全。■應用安全

在云計算環境下的業務相關應用系統的安全管理，包括應用的設計、開發、發布、配置和使用等方面的安全性。

■訪問控制管理

云計算環境中對資源和數據的訪問權限管理，包括用戶管理、訪問權限管理、身份認證等方面。

■數據安全

數據安全指客戶在云計算環境中的業務數據自身的安全，包括收集與識別、分類與分級、訪問權限與加密等方面。

將云上安全問題清晰歸類后，企業就可以針對自身安全問題有的放矢地進行優化完善。

云上安全模型

AWS責任共擔模型強調安全性和合規性是AWS和客戶的共同責任，AWS提供基礎設施并保證其安全，用戶則負責維護自己運行其上的應用安全。在這里不少企業用戶會存在認知誤區，認為只要云平臺基礎設施安全就足夠了，但事實上企業需要對云端應用有更深入的安全掌控。

就企業角度而言，用戶需要確保應用的安全性，及利用云計算基礎設施的安全配置，進行云上安全加固，例如及時更新操作系統的安全補丁、云產品的安全策略配置。AWS的安全模型將安全下放到客戶側，更具有靈活性和可控性，有助于用戶在AWS和內部環境中掌控安全，獲得最大限度的保護。

在AWS的責任共擔模型中，人們可以更直觀地看到AWS和企業客戶的責任劃分，其中AWS負責全球基礎設施的安全及合規，客戶完全擁有和控制自己的數據，并可以根據自己的業務選擇合適的云產品，配置更高安全策略從而提升業務安全。通過這個模型，在AWS的強大云平臺上，企業擁有更靈活的安全產品搭配，對應用有更強的安全掌控能力，雙方共同構筑了云上安全堡壘。

基礎設施安全

在基礎設施安全方面，AWS負責保護全球所有具備提供服務能力的基礎設施安全。

在高可用方面，AWS在全球多區域內都部署基礎資源，在同一個區域內的不同可用區也部署了基礎資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區或單區域故障所帶來的危害性，為基礎設施的高可用性提供了良好的保障。

在訪問控制方面，AWS全球數據中心專業的安保人員利用視頻監控、入侵檢測系統和其他電子方式嚴格控制各數據中心入口的物理訪問，確保數據中心人員訪問的合規性。

在物理安全方面，AWS全球數據中心均配備自動化火災探測和撲救設備，以及全年無中斷冗余設計的電源系統，這些防護設備及高可用設計方案，能夠大大提升數據中心健壯性。

在事件響應方面，在遇到突發影響業務的事件時，AWS事件管理團隊會使用行業標準診斷程序來推進事件的解決。專業的管理團隊還會提供全天候響應服務，高效快速處理突發事件，確?；A設施安全無虞。

基本服務安全

安全性不僅嵌入到 AWS 基礎設施的每一層，還嵌入到基礎設施之上的每個服務中。AWS的每個服務都提供了廣泛的安全功能，可以幫助用戶保護敏感數據和應用程序。例如，Amazon RDS for Oracle 是一種托管式數據庫服務，在該服務中，AWS 管理容器的所有層，甚至包括Oracle 數據庫平臺。

針對云上服務，AWS提供數據備份服務和恢復工具，用戶負責配置和使用與業務連續性和災難恢復 （BC/DR） 策略有關的工具。用戶通過使用AWS提供的靜態數據加密服務，或者AWS提供的對用戶有效負載的 HTTPS 封裝服務，以保障傳入和傳出該服務的數據安全。對于基本服務AWS也提供了多種有效措施來確保服務的安全性。

托管服務

對于AWS托管服務，例如Amazon RDS具有豐富功能，可以提高關鍵生產數據庫的可靠性，包括數據庫安全組、權限、SSL 連接、自動備份、數據庫快照和多可用區部署。企業還可以選擇將數據庫實例部署在 Amazon VPC 中以享受額外的網絡隔離。

安全是相對的，沒有100%的安全，想要在云上暢行無阻，需要云廠商和用戶的共同努力。在基礎設施安全方面，云廠商憑借多年的深入研究和風險分析，結合自身在安全領域多年的經驗及技術積累，打造了專門針對云上安全的產品，形成全方位的云安全能力，為用戶提供一站式的云安全綜合解決方案。

用戶則需要從自身業務的安全架構設計，云資源的安全配置，系統內的安全加固，以及后期的運維管理等方面確保安全性。

云上安全，人人有責，無論采用的是哪種云部署，用戶都要確保自己的應用在這個云環境中安全無虞。下一代云安全，是多方協作的。云安全的智能化，需要云廠商和用戶的不斷努力，共筑云上安全業務堡壘，創造無限可能。