上海演讲AWS 云计算安全概览

第一项服务AmazonS3的推出时间：2006年3月14日•10年商用经验•70+种云服务•1500+种功能特性•2100+种第三方产品•数万家合作伙伴•190个国家,一百多万活跃客户遍布全球的AWS云服务基础设施12区域(Regions)33可用区(AZ)54边缘节点2016年会新增5个区域在加拿大、中国、印度、美国俄亥俄州和英国部署完毕2000多个政府机构5000多家教育机构18000多个非盈利组织190个国家/地区快速安全创新与客户驱动型性能改进20072008200920102011201220132014486182159280514安全、合规、管控以及审计相关的发布和更新40%AWS安全责任分担模型计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点AWS：底层基础设施客户：基础设施上的所有项目客户的安全责任AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点下列各项的配置和管理：•操作系统•应用程序•安全组•防火墙•网络配置•账户管理AWS提供给用户的安全手段VPC虚拟私有云/私有网络安全组防火墙网络访问列表数据加密IAM身份认证和访问管理MFA多因素认证安全日志AWSCloudTrailAWSTrustedAdvisor……安全组子网AWS基础设施的安全AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施区域／可用区边缘站点AWS云平台支持的安全标准和规范ISO9001ISO27001/27017/27018SOC1/SSAE16/ISAE3402SOC2SOC3HIPAAPCIDSSLevel1MPAACSAMTCSTier3CertificationFedRAMP(SM)DIACAP&FISMAITARDoDCSMLevels1-2and3-5FIPS140-2法律•《国家安全法》•《反恐法》•《网络安全法》法规•商用密码管理条例•信息安全等级保护条例•信息安全产品管理规定•网络安全审查办法标准•GB/YD/GM/…•CSAGCStandardGroup•DCA数据中心的物理安全•Amazon多年来一直在构建大型数据中心•重要属性：•周边控制•严格控制的物理访问•多重身份认证•基于需要的受控访问权限•所有访问均被记录并经过审查•责任分离：•具有实地访问权限的员工没有逻辑特权存储设备的退役•使用以下来源的技术：•DoD5220.22-M（NationalIndustrialSecurityProgramOperatingManual，《国家工业安全计划操作手册》）•NIST800-88（GuidelinesforMediaSanitization，《存储介质清理指南》）•最终：•数据擦除•消磁AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点•在亚马逊的高度可扩展的基础设施中创建逻辑隔离的环境•将您的私有IP地址范围指定成一个或多个公有或私有子网•使用无状态网络访问控制列表进出各个子网的入站和出站访问•使用安全组保护具有进出站流量状态筛选器的实例•使用行业标准加密的IPSECVPN连接将您的VPC与您的内部IT基础设施连接起来允许所有流量进入适用于子网VPCFlowLog账户、ENI、源／目的地址端口、协议、包数量、字节时间、操作AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点•主机平台运行操作系统虚拟实例操作系统（客户机操作系统由客户完全控制）客户具有root访问权限AWS没有访问权•最佳实践：禁用对客户机的仅使用密码访问至少使用基于证书的SSH版本访问•防火墙数据库安全•DB安全性组•SSL连接•自动备份•DB快照•多可用区部署•通过数据加密保护隐私和执行策略。•AmazonEBS：服务器端加密和AWS处理密钥管理。•AmazonS3：预加密的内容、服务器端加密和基于客户密钥的加密•加密数据，无论数据正在传输还是静态。•传输中的数据•使用SSL或TLS•静态数据•先给对象加密，然后再进行存储•先给记录加密，然后再将其写入数据库•采用加密的文件系统来保护敏感数据AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点•客户可以控制谁在AWS环境中什么时候，从哪里，可以做什么•支持多因子认证•支持与企业现有AD集成以实现身份联邦或者SSOAWSCloudTrail•记录您的账户所做的API调用的重要信息，并向您的AmazonS3存储桶提供日志文件。•API的名称（源IP地址）•调用者的身份•API调用时间•请求参数•AWS服务返回的响应元素•资源是相互关联的已应用于服务器或实例的许可权限AmazonEBS卷已连接到AmazonEC2实例网络接口实例包含在子网或VPC中•监控和管理CloudWatchLog的信息EC2,VPCFlowLog,CloudTrail•定义Filter,产生告警•输出到Kinesis，LambaTrustedAdvisor•检查您的AWS环境•提供建议•针对安全配置错误提供警报：保持打开某些端口忽视了为您的内部用户创建IAM账户允许公共访问S3存储桶未使用AWS根账户上的MFA了解更多：安全合作伙伴Advanced Threat AnalyticsApplication SecurityIdentity and Access MgmtEncryption & Key MgmtServer & Endpoint ProtectionNetwork SecurityVulnerability  & Pen Testingblogs.aws.amazon.com/securityIntroductiontoAWSSecuritySecurityatScale:GovernanceinAWSSecurityatScale:LogginginAWSAWSSecurityBestPracticesSecuringDataatRestwithEncryptionAWSSecurityWhitepaperAWSSecurityWhitePapers