AWS用于安全支持的資源

本章涵蓋以下主題:

安全支持工具：本章的這一節(jié)詳細(xì)介紹了AWS中安全支持的各種重要工具。

其他安全支持資源：本章的這一部分提供了更多的安全支持資源想法，這些想法可供您作為AWS客戶，甚至作為潛在客戶使用。

在AWS中，您的基礎(chǔ)架構(gòu)和架構(gòu)比以往任何時候都更安全。為了實現(xiàn)最高級別的安全級別和最低的風(fēng)險級別，您應(yīng)該準(zhǔn)備好利用可用于安全支持的大量資源。在這方面,本章至關(guān)重要。

安全支持工具

當(dāng)你有一個像安全這樣重要的話題時，你需要大量的工具來幫助你。使用AWS，這正是您所獲得的。

認(rèn)證和認(rèn)證

Aws安全認(rèn)證和認(rèn)證的數(shù)量是相當(dāng)驚人的。想想看，這個榜單還在不斷增加！這些認(rèn)證和認(rèn)證可幫助您確保滿足可能需要提供的安全級別。

此類別中的保證計劃包括：

·DoD SRG

·FedRAMP

·FIPS

·IRAP

·ISO 9001

·ISO 27001

·ISO 27017

·ISO 27018

·MLPS Level 3

·MTCS

·PCI DSS Level 1

·SEC Rule 17a-4(f)

·SOC 1

·SOC 2

·SOC 3

您可能需要滿足許多法律和法規(guī)。幸運的是，AWS允許滿足以下要求：

·EU Model Clauses

·FERPA

·HIPAA

·IRS-1075

·ITAR

·My Number Act(Japan)

·VPAT/Section 508

·EU Data Protection Directive

最后，AWS遵循許多建議的安全框架，其中包括：

·CJIS

·FedRAMP TIC

·FISC

·FISMA

·GxP(FDA 21 CFR Part 11)

·IT-Grundschutz

·MPAA

·NERC

·NIST

·UK Cyber Essentials

AWS項目

AWS項目是您的核心資源，可提供與合規(guī)性相關(guān)的信息，這對您來說很重要。它提供對AWS安全和合規(guī)性報告的按需訪問，并選擇在線協(xié)議。AWS項目中提供的報告包括服務(wù)組織控制(SOC)報告、支付卡行業(yè)(PCI)報告，以及來自跨地域和合規(guī)性垂直領(lǐng)域的認(rèn)證，以驗證實施和AWS安全控制的運行效率。AWS項目中提供的協(xié)議包括業(yè)務(wù)關(guān)聯(lián)附錄(BAA)和保密協(xié)議(NDA)。

AWS值得信賴的顧問

如果我們有自己的云專家在AWS為我們工作，這不是很好嗎？這是受信任的顧問工具背后的概念。此管理工具可確保您遵循安全最佳實踐，并幫助您彌補安全差距。

實驗室:使用受信任的顧問

本練習(xí)將引導(dǎo)您完成使用受信任顧問的步驟，了解您可能能夠進行的安全問題和改進，以增強您的AWS安全性。

注意

本實驗室假定您擁有AWS賬戶。

要使用受信任的顧問，請按照以下步驟操作：

步驟1。在AWS管理控制臺中，搜索受信任的顧問。選擇出現(xiàn)的“受信任的顧問”鏈接。

步驟2。在頁面左側(cè)的儀表板中，單擊“安全性”。

步驟3。請注意已執(zhí)行的安全檢查和結(jié)果。還請注意可能購買的其他安全檢查。圖8-1顯示了安全檢查。

AWS云支持協(xié)會和工程師

通常情況下，在安全問題和問題上，您的第一個聯(lián)系人將是AWS的支持人員。這些員工被稱為云支持助理，也被稱為云支持工程師。

請記住，您可以從AWS購買不同級別的支持。表8-3顯示了所包含的支持級別和支持選項。

其他安全支持資源

信不信由你，安全支持資源甚至比我們迄今在本章中提到的還要多。本節(jié)探討了更多的問題。

專業(yè)服務(wù)網(wǎng)絡(luò)

AWS專業(yè)服務(wù)組織是一個全球性的專家團隊，可幫助您在使用AWS云時實現(xiàn)所需的業(yè)務(wù)成果。Amazon與您的團隊和您選擇的AWS合作伙伴網(wǎng)絡(luò)(APN)成員合作，執(zhí)行您的企業(yè)云計算計劃。

AWS專業(yè)服務(wù)組織通過一系列產(chǎn)品提供幫助，幫助您實現(xiàn)與企業(yè)云采用相關(guān)的特定結(jié)果。AWS專業(yè)服務(wù)還通過其涵蓋各種解決方案、技術(shù)和行業(yè)的全球?qū)I(yè)實踐提供有針對性的指導(dǎo)。除了與AWS客戶合作外，AWS專業(yè)服務(wù)還通過可供任何人使用的技術(shù)對話網(wǎng)絡(luò)研討會、白皮書和博客文章分享他們的經(jīng)驗。

AWS合作伙伴網(wǎng)絡(luò)

AWS合作伙伴網(wǎng)絡(luò)(APN)是AWS的全球合作伙伴計劃。它專注于通過提供業(yè)務(wù)、技術(shù)、營銷和上市支持,幫助APN合作伙伴建立成功的基于aws的業(yè)務(wù)或解決方案。

APN合作伙伴可獲得業(yè)務(wù)、技術(shù)、銷售和營銷資源，幫助您發(fā)展業(yè)務(wù)并更好地支持客戶。您可以加入APN，并利用眾多APN計劃來區(qū)分您的業(yè)務(wù)并與AWS上的客戶建立聯(lián)系。

AWS合作伙伴網(wǎng)絡(luò)致力于確?？蛻舫浞掷肁WS提供的所有業(yè)務(wù)優(yōu)勢。憑借其在AWS領(lǐng)域的深厚專業(yè)知識，APN合作伙伴具有得天獨厚的優(yōu)勢，可以在云采用過程的任何階段為您的公司提供幫助，并幫助您實現(xiàn)業(yè)務(wù)目標(biāo)。

建議和公告

無論aws服務(wù)的設(shè)計多么仔細(xì)，可能都需要不時地通知客戶使用AWS服務(wù)發(fā)生的安全和隱私事件。因此，亞馬遜發(fā)布安全公告，可通過其網(wǎng)站公開獲取。您還可以訂閱安全公告RSS源，以及時了解安全公告。

下面是一個示例AWS安全公告：

標(biāo)題：L1終端故障投機執(zhí)行問題

日期：2018年8月16日下午2:45 PDT

CVE鑒定人:CVE-2018-3620，CVE-2018-3646

內(nèi)容：英特爾已發(fā)布了有關(guān)其處理器的新的側(cè)信道分析方法"L1終端故障"(l1tf)的安全通報(INTELA-SA-00161)。AWS設(shè)計并實施了其基礎(chǔ)架構(gòu)，保護其免受此類攻擊，并為L1TF部署了其他保護。所有EC2主機基礎(chǔ)結(jié)構(gòu)都已使用這些新的保護進行了更新，并且不需要在基礎(chǔ)結(jié)構(gòu)級別執(zhí)行客戶操作。更新的內(nèi)核為Amazon Linux ami 2017.09(ALAS-2018-1058)、Amazon Linux ami 2017.09(ALAS-2018-1058)和Amazon Linux 2(ALAS-2018-1058)的內(nèi)核可在各自的存儲庫中找到。作為一般的安全最佳做法，我們建議客戶在相關(guān)修補程序可用來解決新出現(xiàn)的側(cè)通道問題時對其操作系統(tǒng)或軟件進行修補。我們發(fā)布了新版本的Amazon Linux和Amazon Linux 2 Ami，它們自動包含了更新后的內(nèi)核。具有更新內(nèi)核的映像的ami id可以在Amazon Linux 2018.03 Ami Id、Amazon Linux 2 AMI Id和AWS系統(tǒng)管理器參數(shù)存儲中找到。同時，我們建議使用EC2實例更強大的安全和隔離屬性，而不是在工作負(fù)載使用不同的安全特權(quán)執(zhí)行時依賴于操作系統(tǒng)進程邊界或容器。

審核員學(xué)習(xí)路徑

AWS審核員學(xué)習(xí)路徑專為那些希望了解其內(nèi)部操作如何使用AWS平臺演示合規(guī)性的審核員、合規(guī)性和法律角色的人員而設(shè)計。借助此學(xué)習(xí)路徑，您可以構(gòu)建必要的技能，以了解如何在AWS云上審核解決方案。

合規(guī)性解決方案指南

AWS合規(guī)性解決方案指南旨在為您提供在AWS上履行合規(guī)性責(zé)任所需的常用資源和流程的存儲庫。

AWS保護全球數(shù)百萬活躍客戶--從大型企業(yè)和政府組織到初創(chuàng)企業(yè)和非營利組織。通過這些關(guān)系，Amazon開發(fā)了一流的資源，使來自任何行業(yè)的客戶都能快速了解如何在AWS云中實現(xiàn)合規(guī)性?？蛻衾^承了AWS員工豐富經(jīng)驗的所有好處，包括根據(jù)外部保證框架驗證的安全策略、體系結(jié)構(gòu)和操作過程的最佳實踐。

范圍內(nèi)的服務(wù)

AWS還根據(jù)預(yù)期的用例、反饋和需求，將服務(wù)納入其合規(guī)性工作范圍。如果服務(wù)當(dāng)前未在最近評估的范圍中列出，則并不意味著您不能使用該服務(wù)。確定數(shù)據(jù)的性質(zhì)是組織的共同責(zé)任的一部分。根據(jù)您在AWS上構(gòu)建的內(nèi)容的性質(zhì)，您應(yīng)該確定服務(wù)是否會處理或存儲客戶數(shù)據(jù)，以及它將如何影響或不會影響客戶數(shù)據(jù)環(huán)境的合規(guī)性。

Amazon鼓勵您與您的AWS賬戶團隊討論您的工作負(fù)載目標(biāo)和目的；他們將能夠評估您建議的用例和體系結(jié)構(gòu)，以及AWS安全和合規(guī)性流程如何覆蓋該體系結(jié)構(gòu)。

安全博客

Amazon還提供了一個以安全為中心的博客網(wǎng)站，該網(wǎng)站不斷更新有關(guān)安全相關(guān)發(fā)展的最新重要公告和培訓(xùn)機會。