AWS 的云计算安全概览

部署与管理

存储
计算
数据库
AWS Networking Services AWS 全球基础设施 可用区 /区域 边缘站点
AWS Identity and Access Management (IAM)
• 客户可以控制 谁 在AWS环境 中 什么时候，从哪里，可以 做什么 • 支持多因子认证 • 支持与企业现有AD集成以实 现身份联邦或者SSO
vSEC on AWS － 规格
vSEC on AWS – 性能
谢谢 ！
AWS CloudTrail
• 记录您的账户所做的 API 调用的重要信息，并向您的 Amazon S3 存储桶提供日志文件。 • API 的名称（源 IP 地址） • 调用者的身份 • API 调用时间 • 请求参数 • AWS 服务返回的响应元素
AWS CloudWatch
• 监控和管理CloudWatch Log的信息
•
存储桶和数据对象级访问控制：
• •
读取、写入、全部 所有者拥有全部控制权限 支持SSL 服务器端加密 客户端加密
•
数据加密：
• • •
• • • •
耐久性 99.999999999% 版本控制（MFA 删除） 详细的访问日志 签名URL
数据加密
• 加密数据，无论数据正在传输还是静态。 • 传输中的数据
AWS在中国的安全合规 性
法律
•《国家安全法》 •《反恐法》 •《网络安全法》
法规
• 商用密码管理条例 • 信息安全等级保护条 例 • 信息安全产品管理规 定 • 网络安全审查办法
标准
• GB/YD/GM/… • CSA GC Standard Group • DCA
数据中心的物理安全
• Amazon 多年来一直在构建大型数据中心 • 重要属性：

VPC
• 在亚马逊的高度可扩展的基础设施中创建
逻辑隔离的环境
• 将您的私有 IP 地址范围指定成一个或多个
公有或私有子网
• 使用无状态网络访问控制列表进出各个子
网的入站和出站访问
• 使用安全组保护具有进出站流量状态筛选
器的实例
• 使用行业标准加密的 IPSEC VPN 连接将
您的 VPC 与您的内部 IT 基础设施连接起 来
AWS 提供给 用户 的安全手段
VPC虚拟 私有云/私有网络 安全组 防火墙 网络访问 列表 数据加密 IAM身份认证 和访问 管理 MFA多因素认证 安全日志AWS Cloud Trail AWS Trusted Advisor
……
子网 安全组
AWS 基础设施的安全
• • • •
周边控制 严格控制的物理访问 多重身份认证 基于需要的受控访问权限
• 所有访问均被记录并经过审查 • 责任分离：
• 具有实地访问权限的员工没有逻辑特权
存储设备 的退役
• 使用以下来源的技术： • DoD 5220.22-M（National Industrial Security Program Operating Manual ，《国家工业安全 计划操作手册》） • NIST 800-88（Guidelines for Media Sanitization，《存储介质清理指南》） • 最终： • 数据擦除 • 消磁
CheckPoint on AWS
• CheckPoint 和 Amazon Web Services (AWS) 合作来帮助您 快速部署应用工作负荷 • 可利用您自己的许可证通过自带许可 (BYOL) 或按小时收费 的许可证在 AWS 云中部署 CheckPoint平台 • vSEC on AWS: 将Check Point software blade architecture 扩展到AWS上，提供了Check Point支持的全方位软件安全 防护方案。
部署与管理
计算
数据库
存储

AWS Networking Services AWS 全球基础设施 可用区 /区域 边缘站点
EC2 的安全
• 主机平台运行操作系统
虚拟实例操作系统（客户机操作系统由客户完全控制） 客户具有 root 访问权限 AWS 没有访问权
• 最佳实践：
禁用对客户机的仅使用密码访问 至少使用基于证书的 SSH 版本访问
Amazon S3 和 Amazon Redshift
• 已与 CloudTrail 集成 – 记录密钥的使用 • 轻松实施和审计密钥创建、轮换和使用政策
AWS的安全管理
客户数据 平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
客户数据 平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
部署与管理
计算
数据库
存储
AWS Networking Services
AWS 全球基础设施
区域 ／可用区
边缘站点

AWS云平台支持的安全标 准和规 范
客户数据
下列各项的配置和管理：
平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
部署与管理
• • • • • •
操作系统 应用程序 安全组 防火墙 网络配置 账户管理
计算
数据库
存储
AWS Networking Services AWS 全球基础设施 可用区/区域 边缘站点
客户： 基础设施上 的所有项目
部署与管理
计算
数据库
存储
AWS Networking Services AWS 全球基础设施 可用区/区域 边缘站点
AWS： 底层基础设施
http://aws.amazon.com/compliance/shared-responsibility-model/
客户的安全责任
• 使用 SSL 或 TLS
• 静态数据
• 先给对象加密，然后再进行存储 • 先给记录加密，然后再将其写入数据库 • 采用加密的文件系统来保护敏感数据
AWS Key Management Service (KMS)
• 集中管理您的加密密钥 • 已与其他 AWS 服务集成，包括 Amazon EBS、
©2015 Check Point Software Technologies Ltd.
AWS 云上的安全实 践
陈 琳涛，AWS 解决方案架构师 2016年8月25日星期四
AWS云计 算平台
第一项服务 Amazon S3 的推出时间： 2006年3月14日
• 10 年商用经验 • 70+ 种云服务 • 1500+ 种功能特性 • 2100+ 种第三方产品 • 数万家合作伙伴 • 190 个国家, 一百多万活跃客户
安全是云计 算的重中之重
快速安全创 新与客户驱动 型性能改进
安全、合规、管控以及审计相关的发布和更新
40%
AWS安全责 任分担模型
客户数据 平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
安全组
NACL
适用于子网
允许所有流量进入
VPC FlowLog
账户、ENI、源／目的地址端口、协议、包数量、字节时间、操作
ቤተ መጻሕፍቲ ባይዱ
AWS 安全服务
客户数据 平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
• 防火墙
数据库 安全
• • • • •
DB 安全性组 SSL 连接 自动备份 DB 快照 多可用区部署
数据安全
• 通过数据加密保护隐私和执行策略。 • Amazon EBS： • Amazon S3：
服务器端加密和 AWS 处理密钥管理。 预加密的内容、服务器端加密和基于客户 密钥的加密
Amazon S3 安全性
AWS安全技术资 源
AWS安全技术 博客
blogs.aws.amazon.com/security
AWS 安全技术 白皮书
AWS Security White Papers
Introduction to AWS Security Security at Scale: Governance in AWS Security at Scale: Logging in AWS AWS Security Best Practices Securing Data at Rest with Encryption AWS Security Whitepaper
遍布全球的AWS云服务基础设施
13 区域 (Regions) 35 可用区 (AZ) 59 边缘节点 2016年会新增5个区域在加拿大、中国、印度、美国俄亥俄州和英国部署完毕
AWS 的活跃 用户 超过 一百万
190 个国家/地区 2000 多个政府机构 5000 多家教育机构 18000 多个非盈利组织
EC2,VPC FlowLog,CloudTrail
• 定义Filter, 产生告警 • 输出到Kinesis，Lamba
AWS Config
• 资源是相互关联的
已应用于服务器或实例的许可权限 Amazon EBS 卷已连接到 Amazon EC2 实例 网络接口 实例包含在子网或 VPC 中
ISO 9001 ISO 27001/ 27017 / 27018 SOC 1/SSAE 16/ISAE 3402 SOC 2 SOC 3 HIPAA PCI DSS Level 1 MPAA CSA MTCS Tier 3 Certification FedRAMP(SM) DIACAP & FISMA ITAR DoD CSM Levels 1-2 and 3-5 FIPS 140-2
最可信的云平台，适用于全球化的合规性要求
SOC 1 / ISAE 3402 SOC 2 SOC 3 HIPAA CJIS DoD SRG Levels 2 & 4 MLPS Level 3 MTCS Tier 3 IRAP ISO 27001 ISO 9001 ISO 27018 GxP ITAR FERPA Section 508 / VPAT NIST FISMA, RMF, and DIACAP FedRAMP ISO 27017 PCI DSS Level 1 FIPS 140-2 G-Cloud IT-Grundschutz MPAA Cloud Security Alliance Cyber Essentials Plus
AWS的网络 安全
客户数据 平台、应用程序、身份和权限管理
操作系统、网络和防火墙配置
客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示）
部署与管理
计算
数据库
存储
AWS Networking Services AWS 全球基础设施 可用区 /区域 边缘站点
Trusted Advisor
• 检查您的 AWS 环境 • 提供建议 • 针对安全配置错误提供警报：
保持打开某些端口 忽视了为您的内部用户创建 IAM 账户 允许公共访问 S3 存储桶 未使用 AWS 根账户上的 MFA
了解更多： https://aws.amazon.com/premiumsupport/trustedadvisor/
安全合作伙伴
Advanced Threat Analytics
Application Security
Identity and Access Mgmt
Server & Endpoint Protection
Network Security
Encryption & Key Mgmt
Vulnerability & Pen Testing