讲师:武杰 AWS架构师
下载地址:视频下载
1. 邱洋的总结
- 云安全的保障需要3个层面联合努力
– 云平台厂商(主要针对云中的硬件、网络、存储)
– 用户自身(主要针对云中的应用,资源管理流程)
– 合作伙伴(针对客户特别需求) - 云平台厂商的安全资质包括
– 自身的资质,如cmmi、iso、soc等(甚至可以将资质租借给用户,以便拿下某些项目)
– 行业资质,如金融、医疗、军工等 - 云平台针对基础资源的安全保障包括
– 物理机(ssh访问、所有操作都记录可审计、os加强配置–关闭端口等)
– EC2(安全组、网络隔离、密钥保护、防攻击–山石)
– VPC(网络自定义、ACL访问控制、vpn加密访问)
– 存储(加密)
– 多区域部署
– 权限认证(IAM,用户、角色、分组,控制到是否允许访问那些资源)
– 审计(每条操作–api和人工行为的审计、资源变更审计)
2. 责任分担的模型
2.1 分担模型的定义
责任分担模型的定义是在安全层面,AWS和用户之间各自负责自己可控的部分从而共同与风险抗争,其中:
- AWS负责两个层面的安全
– 1.全球基础设施、大区域、可用区
– 2.AWS提供的基本服务:计算、存储、数据库、网络等
- 用户负责的安全
– 1.加密密钥管理、客户端加密、通讯加密
– 2.OS打补丁、防火墙配置等
– 3.应用系统相关,如身份认证、权限管理等
2.2 AWS在安全层面的一些资质
- SOC(注册会计师学会,针对服务性机构的控制,满足在美上市的公司的合规要求)
– ISO(27001、9001在安全领域顶级的认证) - 行业层面
– 银行业PCI(信用卡支付)等认证
– 医疗行业,HIPAA BAAs
– 媒体行业