# 最佳实践
**Topics**
+ [安全性](sec-security.md)
+ [身份与权限管控](sec-iam.md)
+ [检测](sec-detection.md)
+ [基础设施保护](sec-infrastructure.md)
+ [数据保护](sec-dataprot.md)
+ [事件响应](sec-incresp.md)
# 安全性
为了安全地操作您的工作负载,您必须对安全性的各个方面应用总体最佳实践。采用您在组织和工作负载层面的卓越运营中定义的要求和流程,并将它们应用到各个方面。
及时了解最新的 AWS、行业建议以及威胁情报信息可帮助您改进您的威胁模型和控制目标。实现安全流程、测试和验证的自动化可扩展您的安全运营。
以下问题主要针对安全方面的注意事项。(有关安全性问题的列表和最佳实践,请参阅 [附录](a-security.md))。
| SEC 1:如何安全地操作您的工作负载? |
| --- |
| 为了安全地操作您的工作负载,您必须对安全性的各个方面应用总体最佳实践。采用您在组织和工作负载层面的卓越运营中定义的要求和流程,并将它们应用到各个方面。及时了解来自 AWS 的建议、行业资源以及威胁情报信息可帮助您改进您的威胁模型和控制目标。实现安全流程、测试和验证的自动化可扩展您的安全运营。 |
在 AWS 中,建议根据账户的功能和合规性或数据敏感性要求分离不同的工作负载。
# 身份与权限管控
身份识别与访问管理是信息安全计划的关键部分,可以确保只有经过授权和通过身份验证的用户和组件才能访问您的资源,并且只能以您要求的方式进行访问。例如,您需要定义一些主体(即可以在您的账户中执行操作的账户、用户、角色和服务)、创建与这些主体相匹配的策略,并实施严格的凭证管理。这些权限管理元素构成了身份验证和授权的核心。
在 AWS 中,权限管理主要通过 AWS Identity and Access Management(IAM)服务来实现,您可以使用该服务控制对 AWS 服务和资源的用户和编程访问。您需要应用细粒度的策略向用户、组、角色或资源分配权限。您还可以应用强密码原则(例如复杂程度)来避免重复使用并强制执行多重验证 (MFA)。您可以将联合身份验证与现有的目录服务配合使用。对于需要系统接入 AWS 的工作负载,IAM 可以通过角色、实例配置文件、身份联合验证和临时凭证进行安全访问。
以下问题主要针对安全方面的注意事项。
| SEC 2:如何管理人员和机器的身份? |
| --- |
| 在访问和运行安全的 AWS 工作负载时,您需要管理两种类型的身份。了解管理和授予访问权限所需的身份类型,这有助于确保正确的身份能够在正确的条件下访问正确的资源。 人员身份:您的管理员、开发人员、操作员和最终用户需要确定身份才能访问您的 AWS 环境和应用程序。这些是您的组织成员或您与之协作的外部用户,以及通过 Web 浏览器、客户端应用程序或交互式命令行工具与您的 AWS 资源交互的用户。 机器身份:您的服务应用程序、操作工具和工作负载需要一个身份来向 AWS 服务发出请求,例如,读取数据。这些身份包括在 AWS 环境中运行的机器,例如 Amazon EC2 实例或 AWS Lambda 函数。您还可以管理需要访问权限的外部各方的机器身份。此外,您可能还有需要访问您 AWS 环境的 AWS 之外的机器。 |
| SEC 3:如何管理人员和机器的权限? |
| --- |
| 管理权限以控制对需要访问 AWS 和您的工作负载的人员和机器身份的访问。权限用于控制哪些人可以在什么条件下访问哪些内容。 |
凭证不得与任何用户或系统共享。应使用最小权限原则授予用户访问权限,并采用密码规则和强制执行 MFA 等最佳实践。应使用临时凭证和有限权限凭证(例如 AWS Security Token Service 发放的凭证)来执行程序访问(包括对 AWS 服务的 API 调用)。
AWS 提供了能够帮助您使用 Identity and Access Management 的资源。为了帮助学习最佳实践,请探索我们的 [管理凭证和身份验证](https://wellarchitectedlabs.com/Security/Quest_Managing_Credentials_and_Authentication/README.html?ref=wellarchitected-wp), [控制人员访问](https://wellarchitectedlabs.com/Security/Quest_Control_Human_Access/README.html?ref=wellarchitected-wp)和 [控制程序访问的相关动手实验](https://wellarchitectedlabs.com/Security/Quest_Control_Programmatic_Access/README.html?ref=wellarchitected-wp).
# 检测
您可以使用检测控制来识别潜在的安全威胁或事件。检测控制是管理框架的重要组成部分,并且可以用于支持质量流程、法律或合规,还可以用于威胁识别和响应工作。检测控制分为多种不同类型。例如,编制资产清单及其详细属性有助于更有效地做出决策(以及进行生命周期管理),从而有助于建立运营基准。您可以通过内部审计(是指对信息系统相关的控制措施进行的检查)来确保实践符合策略和要求,并确保您已根据定义的条件设置了正确的自动告警通知。这些控制措施都是重要的响应手段,可以帮助您的组织识别和了解异常活动的范围。
在 AWS 中,您可以通过处理可用于审计、自动化分析和触发警报的日志、事件以及监控来实施检测控制。CloudTrail 日志、AWS API 调用和 CloudWatch 可以提供对指标进行监控以及报警的功能,AWS Config 可以提供配置历史记录。Amazon GuardDuty 是一种托管的威胁检测服务,可以持续监控恶意或未经授权的行为,从而帮助您保护您的 AWS 账户和工作负载。您还可以使用服务级别日志,例如,您可以使用 Amazon Simple Storage Service (Amazon S3) 来记录访问请求。
以下问题主要针对安全方面的注意事项。
| SEC 4:您如何检测和调查安全事件? |
| --- |
| 通过日志和指标来记录和分析事件,以便了解信息。针对安全事件和潜在的威胁采取措施,以便保护您的工作负载。 |
日志管理对于架构完善的工作负载至关重要,这其中原因众多,包括安全性或取证、法律或法规要求。分析日志并相应地做出响应至关重要,这样您能够识别潜在的安全事件。借助 AWS 提供的功能,您能够定义数据保留生命周期或定义数据保存、存档或最终删除的位置,从而更轻松地管理日志。这样,您就能够以更为简单且更具成本效益的方式进行可预测且可靠的数据处理。
# 基础设施保护
基础设施保护包括满足最佳实践和组织、法律及监管义务所必需的控制方法(例如深度防御)。使用这些方法对于在云中或本地持续成功运营是至关重要的。
在 AWS 中,您可以通过使用 AWS 原生技术或使用 AWS Marketplace 提供的合作伙伴产品和服务来进行有状态和无状态数据包检查。您还可使用 Amazon Virtual Private Cloud (Amazon VPC) 创建一个安全且可扩展的私有环境,您可以在其中定义拓扑结构,包括网关、路由表以及公有子网和私有子网。
以下问题主要针对安全方面的注意事项。
| SEC 5:如何保护您的网络资源? |
| --- |
| 任何以某种形式连接至网络的工作负载(互联网或私有网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。 |
| SEC 6:如何保护计算资源? |
| --- |
| 工作负载内的计算资源需要采用多层防御,才有助于免受内部和外部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。 |
在任何类型的环境,我们都建议使用多层防御。在基础设施保护方面,许多概念和方法在跨云和本地模型中都有效。实施边界保护、监控入站点和出站点以及建立全面的日志记录、监控和告警机制对于制定有效的信息安全计划至关重要。
AWS 客户能够定制或加强 Amazon Elastic Compute Cloud(Amazon EC2)、Amazon Elastic Container Service(Amazon ECS)容器或 AWS Elastic Beanstalk 实例的配置,并将配置保存到不可变的亚马逊云机器镜像(AMI,Amazon Machine Image)。之后,无论是由 Auto Scaling 触发还是手动启动,使用此 AMI 启动的所有新虚拟服务器(实例)都会收到上述加强的配置。
# 数据保护
在为任何系统设计架构之前,您应确定可能影响安全性的基本实践。例如,数据分级提供了一种基于敏感程度对组织数据进行分类的方法,加密通过让未经授权的用户无法获知数据的真正内容来保护数据。这些工具和方法非常重要,因为它们有助于实现诸如避免财务损失或遵循法律与合规性要求等一系列目标。
在 AWS 中,以下实践有助于保护数据:
+ 作为 AWS 客户,您拥有对自己的数据的完全控制权。
+ AWS 可帮助您更轻松地加密数据和管理密钥(包括定期密钥轮换),这些操作可以由 AWS 轻松自动执行,也可由您执行。
+ 我们还提供包含文件访问和更改等重要内容的详细日志记录。
+ AWS 设计的存储系统具有优异的弹性。例如,Amazon S3 标准、S3 标准 – IA、S3 单区 – IA 和 Amazon Glacier 都设计为可以在一年内实现 99.999999999% 的对象持久性。这一持久性级别相当于平均每年有 0.000000001% 的数据对象丢失。
+ 作为较大规模数据生命周期管理流程中的一部分,版本控制可以防止意外覆盖、删除数据和类似损害。
+ AWS 永远不会主动在区域之间移动数据。除非您明确启用相关功能或利用提供该功能的服务移动数据,否则放置在某个区域中的内容将保留在该区域中。
以下问题主要针对安全方面的注意事项。
| SEC 7:如何对数据进行分类? |
| --- |
| 分类提供了一种基于关键性和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制措施。 |
| SEC 8:如何保护静态数据? |
| --- |
| 通过实施多个控制措施来保护静态数据,以降低未经授权的访问或处理不当带来的风险。 |
| SEC 9:如何保护传输中的数据? |
| --- |
| 通过实施多个控制措施来保护传输中的数据,以降低未经授权的访问或数据丢失所带来的风险。 |
AWS 提供了多种加密静态数据和传输中数据的方法。我们将这些功能内置在我们的服务中,这样您可以更轻松地加密数据。例如,我们为 Amazon S3 实施了服务器端加密 (SSE),这样您可以更轻松地以加密的方式存储数据。您还可以将整个 HTTPS 加密和解密过程(通常称为 SSL 终端)交给 Elastic Load Balancing (ELB) 来完成。
# 事件响应
即使采用极为成熟的预防和检测控制机制,您的组织仍应制定相关流程来响应安全事件并缓解安全事件可能带来的影响。工作负载的架构会极大地影响团队在事件发生期间采取行动、隔离或约束系统并将运行状态恢复到已知的良好状态的能力。在安全事件发生之前确保相关工具部署到位,而后定期进行响应演练,将有助于确保您的架构有能力及时进行调查和恢复。
在 AWS 中,以下实践有助于做出有效的事故响应:
+ 我们提供包含文件访问和更改等重要内容的详细日志记录。
+ 事件可以自动处理,并且会触发通过使用 AWS API 自动做出响应的工具。
+ 您可以使用 AWS CloudFormation 预先配置工具和一个“清洁屋”。这样您就可以在安全且隔离的环境中进行取证。
以下问题主要针对安全方面的注意事项。
| SEC 10:如何预测、响应事件以及从事件中恢复? |
| --- |
| 准备工作对于及时有效地调查、响应安全事件以及从安全事件中恢复至关重要,可以尽可能减少对组织的破坏。 |
确保您能够快速授予安全团队访问权限,而且系统可以自动隔离实例并自动捕捉数据与状态信息用于取证。