12、云安全：原理、策略与服务应用

云安全：原理、策略与服务应用

1. 云安全基础与准备

过去许多公开报道的云安全问题是由于云服务配置错误，而非漏洞。Serverless 比基于服务器的解决方案会使用更多云服务，这就要求应用团队深入了解这些服务、集成方式和安全选项，以降低出错风险。

1.1 熟悉关键服务

对于 AWS 而言，需要熟悉 Identity and Access Management (IAM) 等服务，包括其角色和精细的安全策略。同时，熟悉 CloudWatch、CloudTrail、GuardDuty 和 Security Hub 等服务也很有帮助，特别是对于企业和大规模解决方案。

1.2 测试与部署

所有代码和基础设施模板在部署到云之前都应进行适当测试。可以通过使用 CodePipeline 和 CodeBuild 等云原生服务的 DevOps 管道实现自动化测试，并结合在 Lambda 中运行的自定义控制。以下是简单的流程说明：
1. 编写代码和基础设施模板。
2. 使用 CodePipeline 构建自动化测试流程。
3. 利用 CodeBuild 执行测试。
4. 在 Lambda 中添加自定义控制逻辑。
5. 通过测试后进行部署。

1.3 加密数据

始终对所有服务的静态数据和传输数据启用加密。加密功能适用于所有 Serverless 和完全托管服务，并且大多数情况下默认启用。

2. 最小权限原则（PoLP）

2.1 原则概述

最小权限原则（PoLP）是一种网络安全策略，在 Server