Security Day

责任共担 的安全模型

AWS 的安全责任：计算，存储，数据库和网络以及 全球基础设施

• 安全可视化和安全可控
• 服务之间高度集成，达到自动化布署 Macie 。。
• 建立隐私数据保护
• 丰富的使用场景

外部：

AWS Shield Standard 和 Shield Advanced 的优势：盾牌服务

WAF 7 层安全防护：动态阻止机器人和爬虫 自动化的解决方案，WebACL

GuardDuty: 安全守卫 机器学习 账号的行为 异常的行为会通知给管理员

Detective: 进一步分析异常的行为

内部：

Secret Manager: 密钥的记录与轮换 需要账号和密码先去找该服务

CloundWatch: 监控平台 收集日志 分析

AWS Config: 配置合规性检测

AWS KMS: 密钥加密服务

SecurityHub: 合规检测 检测环境是否达到要求

安全管理：

Certificate Manager: TLS 证书免费申请，自动续签

Cognito: 和第三方做联合登录认证

Amazon Fraud Detector: 欺诈检测，适应不同的场景

权限边界

IAM & 权限边界

开发中密切相关 devops 发展的方向

IAM 用户：可以设置别名，方便记忆与登录

IAM 角色：非人（应用）的访问，给 EC2 访问 S3 的权限

分配 AWS 托管策略、自定义的策略

建议：至少拥有两个 IAM 用户

ARN：AWS 所有资源的唯一标识

权限边界

安全授权管理，更安全的委派自己的权限

不同部门有不同的权限边界：权限边界下的账号只有该权限边界之内

通过编辑 json 来控制

Game Day

数据安全

传输 网络加密

存储加密 S3 和 EBS

使用中的数据 应用级别的加密

CloundTrail 可以用来审核 AWS KMS 的使用情况

VPC

安全组 有状态的防火墙 按照角色划分安全组 可以附加多个安全组

NACL 无状态的防火墙 安全级别非常高

子网是不能跨 AZ 的

SSO:

Directory Service:

Firewall Manager:

Amazon Inspector: 自动化安全评估服务 网络层和操作系统/中间件

云管理挑战

Systems Manager：好多工具。。

S3 ALB EC2 RDS VPC

简报：不规则的突增访问流量

S3 静态文件被删除

账号数据也异常了

恢复业务，最佳实践