# 设计原则 在云中实现安全性有七个设计原则: + **健壮的身份验证体系**:实施最小权限原则,并通过对每一次与 AWS 资源之间的交互进行适当授权来强制执行职责分离。集中进行身份管理,并努力消除对长期静态凭证的依赖。 + **实现可追溯性**:实时监控和审计对环境执行的操作和更改并发送警报。为系统集成日志和指标收集功能,以自动调查并采取措施。 + **在所有层面应用安全措施**:利用多种安全控制措施实现深度防御。应用到所有层面(例如网络边缘、VPC、负载均衡、每个实例和计算服务、操作系统、应用程序和代码)。 + **自动实施安全最佳实践**:借助基于软件的自动化安全机制,您能够以更为快速且更具成本效益的方式实现安全扩展。创建安全架构,包括实施可在版本控制模板中以代码形式定义和管理的控制措施。 + **保护动态数据和静态数据**:将您的数据按敏感程度进行分类,并采用加密、令牌和访问控制等机制(如适用)。 + **限制对数据的访问**:使用相关机制和工具来减少和消除直接访问或人工处理数据的需求。这样可以降低处理敏感数据时数据处理不当、被修改以及人为错误的风险。 + **做好应对安全性事件的准备**:制定符合您组织要求的事件管理和调查策略和流程,做好应对事件的准备工作。开展事件响应模拟演练并使用具有自动化功能的工具来提高检测、调查和恢复的速度。