云安全架构
云安全架构是为了全方位保护云环境所打造的技术体系架构,可分为控制模型、责任共担模型和云控制矩阵 3 个组块。在初始阶段进行云安全架构设计时,不仅要系统地梳理技术实现逻辑,而且也要充分考量资源利用率以及成本效应,以实现降本增效。一般而言,云安全架构主要是参照安全、合规模型或云服务模型,针对安全措施进行查漏补缺,明确安全差距、明辨威胁挑战,从而进行精准的安全规划建设,打造一整套标准化、多维度的安全防御体系。
云安全解决方案
亚马逊云科技从四个方面对云安全提供相应解决方案,其中包含 ID 访问控制,检测式控制,基础设置保护和数据保护。由于每个方面都提供有适配服务,因此用户能够获得全方位的云上安全环境。
ID 访问控制
ID 访问控制包含 IAM,SSO,Amazon Directory Service,Cognito 等服务,主要应用在管理用户访问、加密密钥、云点单登录服务、应用程序身份管理、轮换和检索密钥等方面。
检测式控制
检测式控制,包含了 Security Hub,GuardDuty,Inspector,Macie 和 Detective 等服务,可应用于一体化安全性与合规性中心、威胁检测的托管服务、分析应用程序安全性、调查潜在安全问题等场景中。
基础设置保护
基础设置保护,包含了 shield,WAF 和 Firewall manager,应用在例如 DDoS 保护,过滤恶意 Web 流量,集中管理防火墙等服务中。
数据保护
数据保护,涵盖 KMS,Cloud HSM 和 Certificate manager。它负责关键存储和管理,预置、管理和部署公有和私有 SSL / TLS 证书,有助于实现基于硬件的监管合规性的秘钥存储。
云安全关键技术有哪些
云安全技术关键在于充分理解客户及其需求,并设计相应的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测或防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等。云安全的关键技术主要体现在数据安全、应用安全和虚拟化安全等方面。
数据安全
用户比较关注数据的安全性,广义的数据不仅包括用户的业务数据,还包括用户的应用程序和整个业务系统。在传统的 IT 架构中,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心,因此需要对数据采用足够有效的保护措施,以确保数据的安全。
应用安全
云环境具备灵活性、开放性以及公众可用性等特性。但开放性也会致使云环境面临多重风险威胁。服务商在云主机上部署 Web 应用程序时,需要全面考量、监测来自互联网的威胁,以保证终端用户 SaaS,PaaS,IaaS 应用的整体性安全。
虚拟化安全
虚拟化技术在引入云计算时,可能会面临两个方面的安全问题:虚拟化软件的安全和使用虚拟化技术的虚拟服务器的安全。虚拟化软件层存在于裸机上,能够提供创建、运行和销毁虚拟服务器的能力;而虚拟服务器位于虚拟化软件之上,与物理服务器应用相似的安全原理和实践,应该对其进行严密监控。
亚马逊云科技云安全相关产品
.fd4cfcbbfdd806ea22e5969264d197df36ffbac0.png "Amazon Identity and Access Management (IAM)")
