AWS用于安全支持的資源

本章涵蓋以下主題:

安全支持工具：本章的這一節(jié)詳細(xì)介紹了AWS中安全支持的各種重要工具。

其他安全支持資源：本章的這一部分提供了更多的安全支持資源想法，這些想法可供您作為AWS客戶，甚至作為潛在客戶使用。

在AWS中，您的基礎(chǔ)架構(gòu)和架構(gòu)比以往任何時(shí)候都更安全。為了實(shí)現(xiàn)最高級(jí)別的安全級(jí)別和最低的風(fēng)險(xiǎn)級(jí)別，您應(yīng)該準(zhǔn)備好利用可用于安全支持的大量資源。在這方面,本章至關(guān)重要。

安全支持工具

當(dāng)你有一個(gè)像安全這樣重要的話題時(shí)，你需要大量的工具來(lái)幫助你。使用AWS，這正是您所獲得的。

認(rèn)證和認(rèn)證

Aws安全認(rèn)證和認(rèn)證的數(shù)量是相當(dāng)驚人的。想想看，這個(gè)榜單還在不斷增加！這些認(rèn)證和認(rèn)證可幫助您確保滿足可能需要提供的安全級(jí)別。

此類別中的保證計(jì)劃包括：

·DoD SRG

·FedRAMP

·FIPS

·IRAP

·ISO 9001

·ISO 27001

·ISO 27017

·ISO 27018

·MLPS Level 3

·MTCS

·PCI DSS Level 1

·SEC Rule 17a-4(f)

·SOC 1

·SOC 2

·SOC 3

您可能需要滿足許多法律和法規(guī)。幸運(yùn)的是，AWS允許滿足以下要求：

·EU Model Clauses

·FERPA

·HIPAA

·IRS-1075

·ITAR

·My Number Act(Japan)

·VPAT/Section 508

·EU Data Protection Directive

最后，AWS遵循許多建議的安全框架，其中包括：

·CJIS

·FedRAMP TIC

·FISC

·FISMA

·GxP(FDA 21 CFR Part 11)

·IT-Grundschutz

·MPAA

·NERC

·NIST

·UK Cyber Essentials

AWS項(xiàng)目

AWS項(xiàng)目是您的核心資源，可提供與合規(guī)性相關(guān)的信息，這對(duì)您來(lái)說(shuō)很重要。它提供對(duì)AWS安全和合規(guī)性報(bào)告的按需訪問(wèn)，并選擇在線協(xié)議。AWS項(xiàng)目中提供的報(bào)告包括服務(wù)組織控制(SOC)報(bào)告、支付卡行業(yè)(PCI)報(bào)告，以及來(lái)自跨地域和合規(guī)性垂直領(lǐng)域的認(rèn)證，以驗(yàn)證實(shí)施和AWS安全控制的運(yùn)行效率。AWS項(xiàng)目中提供的協(xié)議包括業(yè)務(wù)關(guān)聯(lián)附錄(BAA)和保密協(xié)議(NDA)。

AWS值得信賴的顧問(wèn)

如果我們有自己的云專家在AWS為我們工作，這不是很好嗎？這是受信任的顧問(wèn)工具背后的概念。此管理工具可確保您遵循安全最佳實(shí)踐，并幫助您彌補(bǔ)安全差距。

實(shí)驗(yàn)室:使用受信任的顧問(wèn)

本練習(xí)將引導(dǎo)您完成使用受信任顧問(wèn)的步驟，了解您可能能夠進(jìn)行的安全問(wèn)題和改進(jìn)，以增強(qiáng)您的AWS安全性。

注意

本實(shí)驗(yàn)室假定您擁有AWS賬戶。

要使用受信任的顧問(wèn)，請(qǐng)按照以下步驟操作：

步驟1。在AWS管理控制臺(tái)中，搜索受信任的顧問(wèn)。選擇出現(xiàn)的“受信任的顧問(wèn)”鏈接。

步驟2。在頁(yè)面左側(cè)的儀表板中，單擊“安全性”。

步驟3。請(qǐng)注意已執(zhí)行的安全檢查和結(jié)果。還請(qǐng)注意可能購(gòu)買的其他安全檢查。圖8-1顯示了安全檢查。

AWS云支持協(xié)會(huì)和工程師

通常情況下，在安全問(wèn)題和問(wèn)題上，您的第一個(gè)聯(lián)系人將是AWS的支持人員。這些員工被稱為云支持助理，也被稱為云支持工程師。

請(qǐng)記住，您可以從AWS購(gòu)買不同級(jí)別的支持。表8-3顯示了所包含的支持級(jí)別和支持選項(xiàng)。

其他安全支持資源

信不信由你，安全支持資源甚至比我們迄今在本章中提到的還要多。本節(jié)探討了更多的問(wèn)題。

專業(yè)服務(wù)網(wǎng)絡(luò)

AWS專業(yè)服務(wù)組織是一個(gè)全球性的專家團(tuán)隊(duì)，可幫助您在使用AWS云時(shí)實(shí)現(xiàn)所需的業(yè)務(wù)成果。Amazon與您的團(tuán)隊(duì)和您選擇的AWS合作伙伴網(wǎng)絡(luò)(APN)成員合作，執(zhí)行您的企業(yè)云計(jì)算計(jì)劃。

AWS專業(yè)服務(wù)組織通過(guò)一系列產(chǎn)品提供幫助，幫助您實(shí)現(xiàn)與企業(yè)云采用相關(guān)的特定結(jié)果。AWS專業(yè)服務(wù)還通過(guò)其涵蓋各種解決方案、技術(shù)和行業(yè)的全球?qū)I(yè)實(shí)踐提供有針對(duì)性的指導(dǎo)。除了與AWS客戶合作外，AWS專業(yè)服務(wù)還通過(guò)可供任何人使用的技術(shù)對(duì)話網(wǎng)絡(luò)研討會(huì)、白皮書(shū)和博客文章分享他們的經(jīng)驗(yàn)。

AWS合作伙伴網(wǎng)絡(luò)

AWS合作伙伴網(wǎng)絡(luò)(APN)是AWS的全球合作伙伴計(jì)劃。它專注于通過(guò)提供業(yè)務(wù)、技術(shù)、營(yíng)銷和上市支持,幫助APN合作伙伴建立成功的基于aws的業(yè)務(wù)或解決方案。

APN合作伙伴可獲得業(yè)務(wù)、技術(shù)、銷售和營(yíng)銷資源，幫助您發(fā)展業(yè)務(wù)并更好地支持客戶。您可以加入APN，并利用眾多APN計(jì)劃來(lái)區(qū)分您的業(yè)務(wù)并與AWS上的客戶建立聯(lián)系。

AWS合作伙伴網(wǎng)絡(luò)致力于確?？蛻舫浞掷肁WS提供的所有業(yè)務(wù)優(yōu)勢(shì)。憑借其在AWS領(lǐng)域的深厚專業(yè)知識(shí)，APN合作伙伴具有得天獨(dú)厚的優(yōu)勢(shì)，可以在云采用過(guò)程的任何階段為您的公司提供幫助，并幫助您實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。

建議和公告

無(wú)論aws服務(wù)的設(shè)計(jì)多么仔細(xì)，可能都需要不時(shí)地通知客戶使用AWS服務(wù)發(fā)生的安全和隱私事件。因此，亞馬遜發(fā)布安全公告，可通過(guò)其網(wǎng)站公開(kāi)獲取。您還可以訂閱安全公告RSS源，以及時(shí)了解安全公告。

下面是一個(gè)示例AWS安全公告：

標(biāo)題：L1終端故障投機(jī)執(zhí)行問(wèn)題

日期：2018年8月16日下午2:45 PDT

CVE鑒定人:CVE-2018-3620，CVE-2018-3646

內(nèi)容：英特爾已發(fā)布了有關(guān)其處理器的新的側(cè)信道分析方法"L1終端故障"(l1tf)的安全通報(bào)(INTELA-SA-00161)。AWS設(shè)計(jì)并實(shí)施了其基礎(chǔ)架構(gòu)，保護(hù)其免受此類攻擊，并為L(zhǎng)1TF部署了其他保護(hù)。所有EC2主機(jī)基礎(chǔ)結(jié)構(gòu)都已使用這些新的保護(hù)進(jìn)行了更新，并且不需要在基礎(chǔ)結(jié)構(gòu)級(jí)別執(zhí)行客戶操作。更新的內(nèi)核為Amazon Linux ami 2017.09(ALAS-2018-1058)、Amazon Linux ami 2017.09(ALAS-2018-1058)和Amazon Linux 2(ALAS-2018-1058)的內(nèi)核可在各自的存儲(chǔ)庫(kù)中找到。作為一般的安全最佳做法，我們建議客戶在相關(guān)修補(bǔ)程序可用來(lái)解決新出現(xiàn)的側(cè)通道問(wèn)題時(shí)對(duì)其操作系統(tǒng)或軟件進(jìn)行修補(bǔ)。我們發(fā)布了新版本的Amazon Linux和Amazon Linux 2 Ami，它們自動(dòng)包含了更新后的內(nèi)核。具有更新內(nèi)核的映像的ami id可以在Amazon Linux 2018.03 Ami Id、Amazon Linux 2 AMI Id和AWS系統(tǒng)管理器參數(shù)存儲(chǔ)中找到。同時(shí)，我們建議使用EC2實(shí)例更強(qiáng)大的安全和隔離屬性，而不是在工作負(fù)載使用不同的安全特權(quán)執(zhí)行時(shí)依賴于操作系統(tǒng)進(jìn)程邊界或容器。

審核員學(xué)習(xí)路徑

AWS審核員學(xué)習(xí)路徑專為那些希望了解其內(nèi)部操作如何使用AWS平臺(tái)演示合規(guī)性的審核員、合規(guī)性和法律角色的人員而設(shè)計(jì)。借助此學(xué)習(xí)路徑，您可以構(gòu)建必要的技能，以了解如何在AWS云上審核解決方案。

合規(guī)性解決方案指南

AWS合規(guī)性解決方案指南旨在為您提供在AWS上履行合規(guī)性責(zé)任所需的常用資源和流程的存儲(chǔ)庫(kù)。

AWS保護(hù)全球數(shù)百萬(wàn)活躍客戶--從大型企業(yè)和政府組織到初創(chuàng)企業(yè)和非營(yíng)利組織。通過(guò)這些關(guān)系，Amazon開(kāi)發(fā)了一流的資源，使來(lái)自任何行業(yè)的客戶都能快速了解如何在AWS云中實(shí)現(xiàn)合規(guī)性。客戶繼承了AWS員工豐富經(jīng)驗(yàn)的所有好處，包括根據(jù)外部保證框架驗(yàn)證的安全策略、體系結(jié)構(gòu)和操作過(guò)程的最佳實(shí)踐。

范圍內(nèi)的服務(wù)

AWS還根據(jù)預(yù)期的用例、反饋和需求，將服務(wù)納入其合規(guī)性工作范圍。如果服務(wù)當(dāng)前未在最近評(píng)估的范圍中列出，則并不意味著您不能使用該服務(wù)。確定數(shù)據(jù)的性質(zhì)是組織的共同責(zé)任的一部分。根據(jù)您在AWS上構(gòu)建的內(nèi)容的性質(zhì)，您應(yīng)該確定服務(wù)是否會(huì)處理或存儲(chǔ)客戶數(shù)據(jù)，以及它將如何影響或不會(huì)影響客戶數(shù)據(jù)環(huán)境的合規(guī)性。

Amazon鼓勵(lì)您與您的AWS賬戶團(tuán)隊(duì)討論您的工作負(fù)載目標(biāo)和目的；他們將能夠評(píng)估您建議的用例和體系結(jié)構(gòu)，以及AWS安全和合規(guī)性流程如何覆蓋該體系結(jié)構(gòu)。

安全博客

Amazon還提供了一個(gè)以安全為中心的博客網(wǎng)站，該網(wǎng)站不斷更新有關(guān)安全相關(guān)發(fā)展的最新重要公告和培訓(xùn)機(jī)會(huì)。