本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 边缘安全
<a name="security"></a>

在中 AWS 云，安全是重中之重。随着组织采用云的可扩展性和灵活性， AWS 可以帮助他们将安全性、身份和合规性作为关键业务因素。 AWS 将安全性集成到其核心基础架构中，并提供服务来帮助您满足独特的云安全要求。当您将架构的范围扩展到时 AWS 云，您将受益于将 Local Zones 和 Outposts 等基础架构集成到中。 AWS 区域通过这种集成 AWS ，可以将一组精选的核心安全服务扩展到边缘。

安全是双方共同承担 AWS 的责任。[责任AWS 共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)**区分了云的安全性和云端的安全性：**
+ **云安全** — AWS 负责保护在云 AWS 服务 中运行的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划](https://aws.amazon.com/compliance/programs/)的一部分，第三方审计师定期测试和验证 AWS 安全的有效性。
+ **云端安全** — 您的责任由您 AWS 服务 使用的内容决定。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

## 数据保护
<a name="data-protection"></a>

分 AWS 担责任模型适用于 AWS Outposts 和中的数据保护 AWS Local Zones。如本模型所述 AWS ，负责保护运行 AWS 云 （*云安全）的*全球基础架构。您有责任保持对托管在此基础架构上的内容的控制（*云端安全*）。此内容包括您 AWS 服务 使用的的安全配置和管理任务。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 或设置个人用户[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。这仅为每位用户提供履行其工作职责所需的权限。

### 静态加密
<a name="encryption-at-rest"></a>

#### 在 EBS 卷中加密
<a name="encryption-ebs"></a>

使用 AWS Outposts，所有数据都处于静态加密状态。密钥材料用外部密钥 Nitro 安全密钥 (NSK) 包裹，该密钥存储在可移动设备中。需要使用 NSK 来解密 Outpost 机架上的数据。您可以对 EBS 卷和快照使用 Amazon EBS 加密。Amazon EBS 加密使用 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 和 KMS 密钥。

就本地区域而言，默认情况下，****所有本地区域中的所有 EBS 卷都经过加密，但[AWS Local Zones 常见](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/#:~:text=What%E2%80%99s%20the%20default%20encryption%20behavior%20of%20EBS%20volumes%20in%20Local%20Zones%3F)问题解答中记录的列表除外（参见问题：*本地区域中 EBS 卷的默认加密行为是什么？* )，除非已为账户启用加密。

#### Outposts 上的 Amazon S3 中的加密
<a name="encryption-s3"></a>

原定设置情况下，存储在 Amazon S3 on Outposts 中的所有数据都使用带 Amazon S3 托管式加密密钥 (SSE-S3) 的服务器端加密进行加密。您可以选择使用带客户提供的加密密钥的服务器端加密 (SSE-C)。要使用 SSE-C，请在对象 API 请求中指定加密密钥。服务器端加密仅加密对象数据而非加密对象元数据。

**注意**  
Outposts 上的 Amazon S3 不支持使用 KMS 密钥 (SSE-KMS) 进行服务器端加密。

### 传输中加密
<a name="encryption-in-transit"></a>

因为 AWS Outposts，服务链接是你的Outposts服务器和你选择的 AWS 区域 （或主区域）之间的必要连接，它允许管理前哨基地以及交换往返前哨的流量。 AWS 区域服务链接使用 AWS 托管 VPN 与本地区域通信。内部的每台主机都会 AWS Outposts 创建一组 VPN 隧道来分割控制平面流量和 VPC 流量。根据服务链路连接（互联网或 Direct Connect）的不同 AWS Outposts，这些隧道需要打开防火墙端口，服务链路才能在其上创建叠加层。有关安全 AWS Outposts 性和服务链接的详细技术信息，请参阅 AWS Outposts 文档[AWS Outposts中的[通过服务链接连接](https://docs.aws.amazon.com/outposts/latest/userguide/service-links.html)和基础设施安全](https://docs.aws.amazon.com/outposts/latest/server-userguide/infrastructure-security.html)。

 AWS Outposts 服务链路创建加密隧道，用于建立与父节点的控制平面和数据平面连接 AWS 区域，如下图所示。

![\[锚点 VPC 注意事项。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/hybrid-cloud-best-practices/images/anchor-vpc.png)


每 AWS Outposts 台主机（计算和存储）都需要这些通过众所周知的 TCP 和 UDP 端口的加密隧道才能与其父区域通信。下表显示了 UDP 和 TCP 协议的源和目标端口和地址。


| **协议** | **源端口** | **源地址** | **目的端口** | **目的地地址** | 
| --- | --- | --- | --- | --- | 
| UDP | 443 | AWS Outposts 服务链接 /26 | 443 | AWS Outposts 区域的公共路由或锚点 VPC CIDR | 
| TCP | 1025-65535 | AWS Outposts 服务链接 /26 | 443 | AWS Outposts 区域的公共路由或锚点 VPC CIDR | 

Local Zones 还通过 Amazon 冗余且带宽极高的全球私有主干网连接到父区域。这种连接使在 Local Zones 中运行的应用程序可以快速、安全、无缝地访问其他应用程序 AWS 服务。只要 Local Zones 是 AWS 全球基础设施的一部分，所有流经 AWS 全球网络的数据都会在离开 AWS 安全设施之前在物理层自动加密。如果您对在本地位置之间传输的数据进行加密以及 Direct Connect PoPs 访问本地区域有特定要求，则可以在本地路由器或交换机与 Direct Connect 终端节点之间启用 MAC Security (MACsec)。有关更多信息，请参阅 AWS 博客文章为[Direct Connect 连接添加 MACsec 安全性](https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/)。

### 数据删除
<a name="data-deletion"></a>

当您在中停止或终止某个 EC2 实例时 AWS Outposts，虚拟机管理程序会清理分配给该实例的内存（设置为零），然后再将其分配给新实例，并且每个存储块都会被重置。从 Outpost 硬件中删除数据需要使用专门的硬件。NSK是一种小型设备，如下图所示，它连接到前哨基地中每个计算或存储单元的正面。它旨在提供一种机制，防止您的数据从您的数据中心或托管站点暴露。Outpost 设备上的数据通过包装用于加密设备的密钥材料并将包装好的材料存储在 NSK 上来保护。当你返回 Outpost 主机时，你可以通过转动芯片上的小螺丝来摧毁 NSK，摧毁 NSK 并物理摧毁芯片。摧毁 NSK 会以加密方式粉碎你的前哨基地上的数据。

![\[Outposts 中的 NSK 设备。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/hybrid-cloud-best-practices/images/nsk.jpg)


## Identity and access management
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以进行身份验证（登录）和授权（拥有权限）使用 AWS Outposts 资源。如果您有 AWS 账户，则可以免费使用 IAM。

下表列出了您可以搭配使用的 IAM 功能 AWS Outposts。


| **IAM 功能** | **AWS Outposts 支持** | 
| --- | --- | 
| 基于身份的策略 | 是 | 
| 基于资源的策略 | 是\$1 | 
| 策略操作 | 是 | 
| 策略资源 | 是 | 
| 策略条件键（特定于服务） | 是 | 
| 访问控制列表 (ACLs) | 否 | 
| 基于属性的访问控制 (ABAC)（策略中的标签） | 是 | 
| 临时凭证 | 是 | 
| 主体权限 | 是 | 
| 服务角色 | 否 | 
| 服务关联角色 | 是 | 

**\$1** 除了基于 IAM 身份的策略外，Outposts 上的 Amazon S3 还支持存储桶和接入点策略。这些是[基于资源的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)，附在 Amazon S3 on Outposts 资源上。

有关中如何支持这些功能的更多信息 AWS Outposts，请参阅[AWS Outposts 用户指南](https://docs.aws.amazon.com/outposts/latest/userguide/security_iam_service-with-iam.html)。

## 基础结构安全性
<a name="infrastructure-security"></a>

基础设施保护是信息安全计划的一个关键组成部分。它可确保工作负载系统和服务受到保护，防止意外和未经授权的访问以及潜在的漏洞。例如，您可以定义信任边界（例如，网络和帐户边界）、系统安全配置和维护（例如强化、最小化和修补）、操作系统身份验证和授权（例如用户、密钥和访问级别）以及其他相应的策略实施点（例如，Web 应用程序防火墙或 API 网关）。

AWS 提供了多种基础架构保护方法，如以下各节所述。

### 保护网络
<a name="protecting-networks"></a>

您的用户可能是您的员工或客户的一员，并且可以位于任何地方。因此，您不能信任所有有权访问您的网络的人。当你遵循在所有层面应用安全的原则时，你就采用了[零信任](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)方法。在零信任安全模型中，应用程序组件或微服务被视为离散的，任何组件或微服务都不信任任何其他组件或微服务。要实现零信任安全，请遵循以下建议：
+ [创建网络层](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_network_protection_create_layers.html)。分层网络有助于对相似的网络组件进行逻辑分组。它们还缩小了未经授权的网络访问的潜在影响范围。
+ [控制流量层](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_network_protection_layered.html)。通过一种 defense-in-depth方法对入站和出站流量应用多种控制措施。这包括使用安全组（状态检查防火墙）、网络 ACLs、子网和路由表。
+ [实施检查和保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_network_protection_inspection.html)。检查并过滤每层的流量。您可以使用[网络访问分析器检查您的 VPC 配置是否存在潜在的意外访问](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)。您可以指定您的网络访问要求并确定不符合这些要求的潜在网络路径。

### 保护计算资源
<a name="protecting-compute-resources"></a>

计算资源包括 EC2 实例、容器、 AWS Lambda 函数、数据库服务、物联网设备等。每种计算资源类型都需要不同的安全方法。但是，这些资源确实共享您需要考虑的共同策略：*深度防御*、*漏洞管理*、*减少攻击面*、*配置和操作自动化*以及*远距离执行操作*。

以下是保护关键服务的计算资源的一般指南：
+ [创建和维护漏洞管理程序](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_vulnerability_management.html)。定期扫描和修补资源，例如 EC2 实例、亚马逊弹性容器服务 (Amazon ECS) 容器和亚马逊 Elastic Kubernetes Service (Amazon EKS) 工作负载。
+ [自动计算保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)。实现保护性计算机制的自动化，包括漏洞管理、减少攻击面和资源管理。这种自动化可以腾出时间来保护工作负载的其他方面，并有助于降低人为错误的风险。
+ [减少攻击面](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_surface.html)。通过强化操作系统并最大限度地减少所使用的组件、库和外部可使用的服务，减少意外访问的风险。

此外，对于您 AWS 服务 使用的每种产品，请查看[服务文档](https://docs.aws.amazon.com/)中的具体安全建议。

## 互联网访问
<a name="internet-access"></a>

两者 AWS Outposts 和 Local Zones 都提供了架构模式，让您的工作负载可以访问和访问互联网。当你使用这些模式时，只有当你使用该区域来修补、更新、访问外部的 Git 存储库以及类似场景时，才将 AWS该地区的互联网消费视为可行的选择。对于这种架构模式，[集中式入站检查和集中式](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-inbound-inspection.html)[互联网出站的概念适用](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)。这些访问模式使用 AWS Transit Gateway NAT 网关、网络防火墙和其他组件，这些组件位于区域中 AWS 区域但通过区域和边缘之间的数据路径连接到 AWS Outposts 或 Local Zones。

Local Zones 采用一种称为*网络边界组*的网络结构，用于 AWS 区域。 AWS 通告来自这些唯一群组的公有 IP 地址。网络边界组由可用区、Local Zones 或 Wavelength 区域组成。您可以明确分配公有 IP 地址池以用于网络边界组。您可以使用网络边界组将互联网网关扩展到 Local Zones，方法是允许该组提供弹性 IP 地址。此选项要求您部署其他组件来补充 Local Zones 中可用的核心服务。这些组件可能来自 ISVs 并帮助您在本地区域中构建检查层，如 AWS 博客文章《[混合检查架构](https://aws.amazon.com/blogs/networking-and-content-delivery/hybrid-inspection-architectures-with-aws-local-zone/)》中所述 AWS Local Zones。

在中 AWS Outposts，如果要使用本地网关 (LGW) 从您的网络访问 Internet，则必须修改与 AWS Outposts 子网关联的自定义路由表。路由表必须有一个使用 LGW 作为下一跳的默认路由条目 (0.0.0.0/0)。您负责在本地网络中实施其余的安全控制，包括外围防御，例如防火墙和入侵防御系统或入侵检测系统 (IPS/IDS)。这与责任共担模式一致，后者在您和云提供商之间划分安全职责。

### 通过家长上网 AWS 区域
<a name="parent-region"></a>

在此选项中，Outpost 中的工作负载通过[服务链接](https://docs.aws.amazon.com/outposts/latest/userguide/service-links.html)和父 AWS 区域站中的互联网网关访问互联网。互联网的出站流量可以通过在您的 VPC 中实例化的 NAT 网关进行路由。为了进一步保护您的入口和出口流量，您可以在 CloudFront 中使用 AWS 安全服务 AWS WAF，例如 AWS Shield、和 Amazon。 AWS 区域

下图显示了实例中的工作负载与通过父 AWS Outposts 实例的 Internet 之间的流量 AWS 区域。

![\[Outpost 中的工作负载通过家长 AWS 区域访问互联网。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/hybrid-cloud-best-practices/images/internet-access-through-parent-region.png)


### 通过本地数据中心的网络访问互联网
<a name="local-network"></a>

在此选项中，Outpost 中的工作负载通过您的本地数据中心访问互联网。访问互联网的工作负载流量通过您的本地互联网接入点并在本地流出。在这种情况下，本地数据中心的网络安全基础设施负责保护 AWS Outposts 工作负载流量。

下图显示了 AWS Outposts 子网中的工作负载与通过数据中心的互联网之间的流量。

![\[Outpost 中的工作负载通过本地网络访问互联网。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/hybrid-cloud-best-practices/images/internet-access-through-local-network.png)


## 基础设施治理
<a name="infrastructure-governance"></a>

无论您的工作负载是部署在 AWS 区域、本地区域还是 Outpost 中，您都可以使用它来 AWS Control Tower 管理基础架构。 AWS Control Tower 遵循规范性最佳实践，提供了一种设置和管理 AWS 多账户环境的简单方法。 AWS Control Tower 协调其他几项功能 AWS 服务，包括 AWS Organizations AWS Service Catalog、和 IAM Identity Center（查看[所有集成服务](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html)），以便在不到一小时的时间内构建一个着陆区。资源是代表您设置和管理的。

AWS Control Tower 提供跨所有 AWS 环境的统一管理，包括区域、Local Zones（低延迟扩展）和 Outposts（本地基础架构）。这有助于确保整个混合云架构始终如一的安全性和合规性。有关详情，请参阅 [AWS Control Tower 文档](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)。

您可以配置护栏等功能，以符合政府 AWS Control Tower 和监管行业（如金融服务机构）的数据驻留要求（）FSIs。要了解如何为边缘数据驻留部署护栏，请参阅以下内容：
+ [AWS Local Zones 使用 landing zone 控件管理数据驻留的最佳实践](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/)（AWS 博客文章）
+ [使用机架和 landing zone 护栏设计数据驻留 AWS Outposts 架构](https://aws.amazon.com/blogs/compute/architecting-for-data-residency-with-aws-outposts-rack-and-landing-zone-guardrails/)（AWS 博客文章）
+ [混合云服务视角下的数据驻留](https://docs.aws.amazon.com/wellarchitected/latest/data-residency-hybrid-cloud-services-lens/data-residency-with-hybrid-cloud-services-lens.html)（Well-Architect AWS ed Framework 文档）

### 共享 Outposts 资源
<a name="sharing-outposts-resources"></a>

由于 Outpost 是一种有限的基础架构，位于您的数据中心或托管空间中，因此要进行集中管理 AWS Outposts，您需要集中控制与哪些账户共享 AWS Outposts 资源。

通过 Outpost 共享，Outpost 所有者可以与同一组织中的其他 AWS 账户 人共享他们的 Outposts 和 Outpost 资源，包括前哨基地和子网。 AWS Organizations作为 Outpost 所有者，您可以从一个中心位置创建和管理 Outpost 资源，并在组织 AWS 账户 内的多个位置共享资源。 AWS 这允许其他用户使用 Outpost 站点，在共享的 Outpost 上配置 VPCs、启动和运行实例。

中的可共享资源 AWS Outposts 有：
+ 已分配的专用主机
+ 容量预留
+ 客户拥有的 IP (CoIP) 地址池
+ 本地网关路由表
+ Outposts
+ Amazon S3 on Outposts
+ 站点
+ 子网

要遵循在多账户环境中共享 Outposts 资源的最佳做法，请参阅以下 AWS 博客文章：
+ [AWS Outposts 在多账户 AWS 环境中共享：第 1 部分](https://aws.amazon.com/blogs/mt/best-practices-aws-outposts-in-a-multi-account-aws-environment-part-1/)
+ [AWS Outposts 在多账户 AWS 环境中共享：第 2 部分](https://aws.amazon.com/blogs/mt/best-practices-aws-outposts-in-a-multi-account-aws-environment-part-2/)