AWS安全基礎知識包括使用有案可查的計劃，為安全威脅做好準備和演練，保護基礎設施的所有層，使用身份系統并強制執行權限級別劃分、監控云環境、盡可能使用自動化工具以及保護靜態和傳輸中的數據。

使用AWS不意味著組織不負責保護整個云基礎設施，而是與 AWS 分擔責任。

簡而言之，AWS 將其云基礎設施作為一個整體來保護，創建 AWS 并為客戶提供 AWS 云服務的硬件、軟件、網絡和設施。客戶有責任保護他們在 AWS 上創建的基礎設施：他們的數據、操作系統、網絡、應用程序和其他資源。對于每個云供應商來說，這可能不一樣。

做好準備：針對安全威脅制定計劃和策略

在開始使用任何安全服務之前，組織必須制定如何處理安全威脅的計劃和策略。做好準備是最重要的 AWS 安全基礎知識之一。AWS 建議組織制定一個根據其安全要求（如法規）進行事件管理的流程。

根據 AWS 的說法，組織應運行事件演練，以確保團隊做好準備。演練還可以識別組織的弱點、檢測威脅的低效率、改進安全事件調查的方法以及如何從安全事件中恢復。

保護所有基礎架構層

云基礎架構的所有層都需要得到保護。在責任共擔模型中，AWS 負責運行 AWS 的基礎層，客戶負責他們在 AWS 上運行的環境。對于組織來說，了解他們負責什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創建一個隔離的私有虛擬網絡環境。此外，添加 AWS WAF（Web 應用程序防火墻）等防火墻可以防止對關鍵應用程序和數據的未經授權的訪問。

AWS WAF 是 AWS 安全性的基礎，可保護 Web 應用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創建安全規則來阻止常見的攻擊流量模式，同時允許其他流量傳遞到應用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應用程序中擁有一致的防火墻規則。使用 AWS 防火墻管理器的組織可以從一個中心位置配置和管理所有防火墻規則和策略。通過這種方式，AWS 防火墻管理器能夠保護組織的整個云基礎設施。

做好準備：針對安全威脅制定計劃和策略

在開始使用任何安全服務之前，組織必須制定如何處理安全威脅的計劃和策略。做好準備是最重要的 AWS 安全基礎知識之一。AWS 建議組織制定一個根據其安全要求（如法規）進行事件管理流程。

根據 AWS 的說法，組織應運行事件模擬，以確保團隊做好準備。模擬還可以識別組織的弱點、檢測威脅的低效率、改進安全事件調查的方法以及如何從安全事件中恢復。

保護所有基礎架構層

云基礎架構的所有層都需要得到保護。在責任共擔模型中，AWS 負責運行 AWS 的基礎層，客戶負責他們在 AWS 上運行的環境。對于組織來說，了解他們負責什么以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有云 （VPC） 在 AWS 中創建一個隔離的私有虛擬網絡環境。此外，添加 AWS WAF（Web 應用程序防火墻）等防火墻可以防止對關鍵應用程序和數據的未經授權的訪問。

AWS WAF 是 AWS 安全性的基礎，可保護 Web 應用程序和 API 免受典型 Web 漏洞的攻擊。組織可以創建安全規則來阻止常見的攻擊流量模式，同時允許其他流量傳遞到應用程序。

AWS防火墻管理器使組織能夠在其所有 AWS 賬戶和應用程序中擁有一致的防火墻規則。使用 AWS 防火墻管理器的組織可以從一個中心位置配置和管理所有防火墻規則和策略。通過這種方式，AWS 防火墻管理器能夠保護組織的整個云基礎設施。

使用身份系統并強制實施權限級別劃分

身份訪問管理 （IAM） 等身份系統在保護云資源免遭不當使用方面大有幫助。此類系統是AWS 安全性和整體安全性的基礎。IAM 使組織能夠遵循最小特權原則，即用戶僅被授予對其作業所需數據的訪問權限。

借助 AWS IAM，組織可以使用該服務作為授予不同級別訪問權限的一種方式，并影響用戶對云資源的影響。帳戶管理員可以使用基于身份的策略向用戶授予權限。該策略對不同用戶和組的影響不同。

標識可以綁定到一個用戶或一組用戶。該標識通知安全策略是否允許用戶執行某些操作或訪問某些資源。允許用戶執行哪些操作和資源的程度是已授予他們多少特權的標志。

除 AWS IAM 外，控制用戶訪問的其他 AWS 服務包括 Amazon Cognito 和 AWS Single Sign-On （SSO）。

Cognito授予授權用戶訪問組織應用程序的權限。用戶可以是可以授權訪問應用程序后端的員工，也可以是只需要訪問前端的日常用戶。

AWS SSO 允許組織的員工使用一組憑證訪問多個 AWS 賬戶。應用程序、帳戶和關聯的權限都可以集中管理。

監控云環境

組織無法保護自己免受無法檢測到的威脅的侵害。這就是為什么監控云環境對安全性至關重要的原因。通過充分的監視，當發生安全事件時，組織會快速收到警報。

在安全事件發生后，最好有日志，提供導致安全事件所執行操作的歷史記錄以及由誰執行的操作。各種亞馬遜安全服務都具有這樣的監控和日志記錄功能。

Amazon Detective 會自動收集組織所有云資源的日志數據，并使用該信息來確定可能的安全問題的來源。

Amazon GuardDuty 還會持續監控云環境，并分析日志數據中是否存在威脅、異常活動和異常行為。

Amazon Macie 是一項基于機器學習的服務，可自動查找、分類和保護敏感數據。例如，個人身份信息 （PII） 或知識產權可由 Amazon Macie 找到并進行保護。

AWS安全中心是一個控制面板，用于編譯來自各種 AWS 安全服務的通知和警報。中心聚合、組織監視信息，并為查看它的管理員設置其優先級。

自動化安全功能

上一節中提到的許多服務都是自動化工具。這對管理員來說很重要，因為它將許多單調且耗時的任務從他們的盤子中移除，并使不需要的任務成為各種服務的責任。

通過讓軟件接管數據分析或監視活動等任務，管理員有更多時間用于直接影響其組織業務需求的項目。此外，自動化策略部署和實施等流程使云實例能夠更輕松地快速擴展。

保護靜態和傳輸中的數據

另一個 AWS 安全基礎是在數據未被訪問或移動時保護數據，以及在整個組織網絡中傳輸數據時保護數據。

靜態數據可以通過加密和使用如上所述的訪問控制來保護。傳輸中的數據可以通過加密、安全密鑰和證書管理、安全協議（如傳輸層安全性 （TLS）、VPN 以及可以檢測將數據移出特定邊界的嘗試的工具進行保護。同樣，有幾種 AWS 服務可以執行這些任務。

AWS有兩種安全服務可以提供加密：AWS CloudHSM 和 AWS Key Management Service （KMS）。

AWS CloudHSM 是基于云的硬件安全模塊 （HSM） 服務，組織可以使用它在云中創建自己的加密密鑰。這些模塊經過FIPS 140-2 3 級驗證，這意味著它們符合美國聯邦信息處理法規。

AWS KMS 是創建和控制加密密鑰的托管方式。借助此服務，組織可以跨多個 AWS 服務和在自己的應用程序中控制密鑰的使用。AWS KMS 也使用 HSM。這兩者都提供了防止數據在靜態時被攻擊者訪問所需的加密。

數據傳輸的安全協議是確保傳輸中數據安全的關鍵。安全套接字層/傳輸層安全性 （SSL/TLS） 證書可通過 AWS 證書管理器進行預置、管理和部署。通過這些安全協議，數據在通過網絡傳輸時會被加密。

AWS密鑰管理器可確保數據庫憑證或 API 密鑰等機密的安全。存儲和控制機密是通過控制臺、CLI 或 API 集中完成的。使用此服務，機密不會硬編碼到應用程序中。相反，對 AWS 密鑰管理器的 API 調用會檢索密鑰。

這樣做意味著檢查應用程序代碼的人找不到可以授予他們進一步訪問權限的機密。這可以保護處于任何狀態的應用程序內的數據。

總結：AWS安全基礎知識關鍵要點：

1. 每個組織都應該制定如何保護其云環境并有效執行的計劃。

2.  防火墻是保護云基礎架構不同層的好方法。

3.  身份訪問管理和最小特權原則是云安全的基本要素。

4.  通過監視和記錄云活動，可以更輕松地找出導致安全事件的人員或原因。

5.  自動化使 IT 管理員的生活更加輕松，因為他們不再需要專注于單調和苛刻的任務。

6. 加密是保護靜態和傳輸中數據的常見且有效的方法。

原文鏈接：https://www.sdxcentral.com/cloud/definitions/aws-security-fundamentals/