AWS 的云计算安全概览

©2015 Check Point Software Technologies Ltd.  AWS云上的安全实践陈琳涛，AWS解决方案架构师2016年8月25日星期四AWS云计算平台第一项服务 Amazon S3 的推出时间： 2006年3月14日 • 10 年商用经验• 70+ 种云服务• 1500+ 种功能特性• 2100+ 种第三方产品• 数万家合作伙伴• 190 个国家, 一百多万活跃客户遍布全球的AWS云服务基础设施13 区域 (Regions)  35 可用区 (AZ)  59 边缘节点 2016年会新增5个区域在加拿大、中国、印度、美国俄亥俄州和英国部署完毕AWS的活跃用户超过一百万2000 多个政府机构5000 多家教育机构18000 多个非盈利组织190 个国家/地区安全是云计算的重中之重快速安全创新与客户驱动型性能改进安全、合规、管控以及审计相关的发布和更新40%AWS安全责任分担模型计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点AWS：底层基础设施客户：基础设施上的所有项目客户的安全责任AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点下列各项的配置和管理：•操作系统•应用程序•安全组•防火墙•网络配置•账户管理AWS提供给用户的安全手段VPC虚拟私有云/私有网络安全组防火墙网络访问列表数据加密IAM身份认证和访问管理MFA多因素认证安全日志AWSCloudTrailAWSTrustedAdvisor……安全组子网AWS基础设施的安全AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施区域／可用区边缘站点AWS云平台支持的安全标准和规范ISO9001ISO27001/27017/27018SOC1/SSAE16/ISAE3402SOC2SOC3HIPAAPCIDSSLevel1MPAACSAMTCSTier3CertificationFedRAMP(SM)DIACAP&FISMAITARDoDCSMLevels1-2and3-5FIPS140-2最可信的云平台，适用于全球化的合规性要求ISO 9001SOC 3SOC 2ISO 27001ISO 27017PCI DSS Level 1ISO 27018SOC 1 / ISAE 3402GxPHIPAAITARFERPAFISMA, RMF, and DIACAPFedRAMPSection 508 / VPATDoD SRG Levels 2 & 4FIPS 140-2CJISCloud Security AllianceMPAANISTMLPS Level 3G-CloudIT-GrundschutzMTCS Tier 3IRAP   Cyber Essentials PlusAWS在中国的安全合规性法律•《国家安全法》•《反恐法》•《网络安全法》法规•商用密码管理条例•信息安全等级保护条例•信息安全产品管理规定•网络安全审查办法标准•GB/YD/GM/…•CSA GC Standard Group•DCA数据中心的物理安全•Amazon 多年来一直在构建大型数据中心•重要属性：•周边控制•严格控制的物理访问•多重身份认证•基于需要的受控访问权限 •所有访问均被记录并经过审查•责任分离：•具有实地访问权限的员工没有逻辑特权存储设备的退役•使用以下来源的技术：•DoD 5220.22-M（National Industrial Security Program Operating Manual，《国家工业安全计划操作手册》）•NIST 800-88（Guidelines for Media Sanitization，《存储介质清理指南》）•最终：•数据擦除•消磁AWS的网络安全AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点VPC•在亚马逊的高度可扩展的基础设施中创建逻辑隔离的环境•将您的私有 IP 地址范围指定成一个或多个公有或私有子网•使用无状态网络访问控制列表进出各个子网的入站和出站访问 •使用安全组保护具有进出站流量状态筛选器的实例•使用行业标准加密的 IPSEC VPN 连接将您的 VPC 与您的内部 IT 基础设施连接起来安全组NACL允许所有流量进入适用于子网VPCFlowLog 账户、ENI、源／目的地址端口、协议、包数量、字节时间、操作AWS安全服务AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点EC2的安全•主机平台运行操作系统虚拟实例操作系统（客户机操作系统由客户完全控制）客户具有 root 访问权限AWS 没有访问权•最佳实践：禁用对客户机的仅使用密码访问至少使用基于证书的 SSH 版本访问•防火墙数据库安全•DB 安全性组•SSL 连接•自动备份•DB 快照•多可用区部署数据安全•通过数据加密保护隐私和执行策略。•AmazonEBS：服务器端加密和 AWS 处理密钥管理。•AmazonS3：预加密的内容、服务器端加密和基于客户密钥的加密AmazonS3安全性•存储桶和数据对象级访问控制：•读取、写入、全部•所有者拥有全部控制权限•数据加密：•支持SSL•服务器端加密•客户端加密•耐久性99.999999999%•版本控制（MFA删除）•详细的访问日志•签名URL数据加密•加密数据，无论数据正在传输还是静态。•传输中的数据•使用 SSL 或 TLS•静态数据•先给对象加密，然后再进行存储•先给记录加密，然后再将其写入数据库•采用加密的文件系统来保护敏感数据AWSKeyManagementService(KMS)•集中管理您的加密密钥 •已与其他 AWS 服务集成，包括 Amazon EBS、Amazon S3 和 Amazon Redshift•已与 CloudTrail 集成 – 记录密钥的使用•轻松实施和审计密钥创建、轮换和使用政策AWS的安全管理AWSNetworkingServices计算数据库存储部署与管理客户端数据加密和数据完整性验证服务器端加密（文件系统和/或数据）网络流量保护（加密/完整性/身份标示）操作系统、网络和防火墙配置平台、应用程序、身份和权限管理客户数据AWS全球基础设施可用区/区域边缘站点AWSIdentityandAccessManagement(IAM)•客户可以控制 谁 在AWS环境中 什么时候，从哪里，可以 做什么•支持多因子认证•支持与企业现有AD集成以实现身份联邦或者SSOAWSCloudTrail•记录您的账户所做的 API 调用的重要信息，并向您的 Amazon S3 存储桶提供日志文件。•API 的名称（源 IP 地址）•调用者的身份•API 调用时间•请求参数•AWS 服务返回的响应元素AWSCloudWatch•监控和管理CloudWatch Log的信息EC2,VPC FlowLog,CloudTrail•定义Filter,   产生告警•输出到Kinesis，LambaAWSConfig•资源是相互关联的已应用于服务器或实例的许可权限Amazon EBS 卷已连接到 Amazon EC2 实例网络接口实例包含在子网或 VPC 中TrustedAdvisor•检查您的 AWS 环境 •提供建议 •针对安全配置错误提供警报：保持打开某些端口忽视了为您的内部用户创建 IAM 账户允许公共访问 S3 存储桶未使用 AWS 根账户上的 MFA了解更多：安全合作伙伴AdvancedThreatAnalyticsApplicationSecurityIdentityandAccessMgmtEncryption&KeyMgmtServer&EndpointProtectionNetworkSecurityVulnerability&PenTestingAWS安全技术资源AWS安全技术博客blogs.aws.amazon.com/securityAWS安全技术白皮书Introduction to AWS SecuritySecurity at Scale: Governance in AWSSecurity at Scale: Logging in AWSAWS Security Best PracticesSecuring Data at Rest with EncryptionAWS Security WhitepaperAWSSecurityWhitePapersCheckPoint on AWS•CheckPoint 和 Amazon Web Services (AWS) 合作来帮助您快速部署应用工作负荷•可利用您自己的许可证通过自带许可 (BYOL) 或按小时收费的许可证在 AWS 云中部署 CheckPoint平台•vSEC on AWS: 将Check Point software blade architecture扩展到AWS上，提供了Check Point支持的全方位软件安全防护方案。vSEC on AWS  － 规格vSEC on AWS – 性能谢谢！