【AWS云从业者基础知识笔记】—

01介绍

学习目标

解释shared responsebility模型的好处。
描述multi-factor authentication(MFA)。
区分AWS Identity和IAM (Access Management安全级别。
解释AWS Organization的主要好处。
描述basic level的安全策略。
总结遵循AWS的好处。
从basic level解释其他AWS安全服务。

02Shared responsibility model

在本课程中，您已经了解了可以在AWS云中创建的各种资源。这些资源包括Amazon EC2实例、Amazon S3桶和Amazon RDS数据库。谁负责保护这些资源的安全:您(客户)还是AWS?

答案是两者都有。原因是您没有将AWS环境视为单个对象。相反，您将环境视为相互构建的各个部分的集合。AWS负责您环境的某些部分，而您(客户)负责其他部分。这个概念被称为责任共担模型。

责任共担模型分为客户责任(通常称为云中的安全性)和AWS责任(通常称为云的安全性)。

你可以把这个模型想象成类似于房屋所有者和房屋建筑商之间的责任划分。建筑商(AWS)负责建造你的房子，并确保它牢固。作为房主(客户)，你有责任确保房子里的一切安全，确保门是关着的。

Customers: Security in the cloud

客户对他们在AWS云中创建和放置的所有东西的安全负责。

在使用AWS服务时，您(客户)对您的内容保持完全控制。您有责任管理您的内容的安全需求，包括您选择将哪些内容存储在AWS上、您使用哪些AWS服务以及谁有权访问这些内容。您还可以控制如何授予、管理和撤销访问权限。

您采取的安全步骤将取决于一些因素，如您使用的服务、系统的复杂性以及您公司的特定操作和安全需求。步骤包括选择、配置将在Amazon EC2实例上运行的操作系统并打补丁、配置安全组和管理用户帐户。

AWS: Security of the cloud

AWS负责云的安全。

AWS操作、管理和控制基础设施的所有层的组件。这包括主机操作系统、虚拟化层，甚至服务运行所在的数据中心的物理安全等领域。

AWS负责保护运行AWS云中提供的所有服务的全球基础设施。此基础设施包AWS Regions, Availability Zones, and edge locations。

AWS管理云的安全，特别是托管您的资源的物理基础设施，包括:

Physical security of data centers
Hardware and software infrastructure
Network infrastructure
Virtualization infrastructure

尽管您无法访问AWS数据中心亲眼看到这种保护措施，但AWS提供了一些来自第三方审计员的报告。这些审核员已核实其符合各种计算机安全标准和规定。

03User permissions and access

AWS Identity and Access Management (IAM)使您能够安全地管理对AWS服务和资源的访问。

根据公司的具体操作和安全需求，IAM为您提供了配置访问的灵活性。你可以通过使用IAM特性的组合来做到这一点，这将在本课中详细讨论:

IAM users, groups, and roles
IAM policies
Multi-factor authentication

您还将学习这些特性的最佳实践。

AWS account root user

当您第一次创建AWS帐户时，首先要创建一个称为root user的身份。

通过使用您创建AWS帐户时使用的电子邮件地址和密码登录，就可以访问根用户。您可以将根用户视为类似于咖啡店的所有者。它可以完全访问该帐户中的所有AWS服务和资源。

最佳实践:

不要在日常任务中使用root用户。
相反，使用根用户创建您的第一个IAM用户，并为它分配创建其他用户的权限。
然后，继续创建其他IAM用户，并访问这些身份，以便在整个AWS中执行常规任务。只在需要执行有限数量的任务时使用根用户，这些任务只对根用户可用。这些任务的示例包括更改根用户的电子邮件地址和更改AWS支持计划。

IAM users

IAM users是在AWS中创建的一个标识。它表示与AWS服务和资源交互的人员或应用程序。它由name 和 credentials组成。

默认情况下，当您在AWS中创建一个新的IAM用户时，它没有与之关联的权限。为了允许IAM用户在AWS中执行特定的操作，比如启动一个Amazon EC2实例或创建一个Amazon S3桶，您必须授予IAM用户必要的权限。

最佳实践:

我们建议您为每个需要访问AWS的人创建单独的IAM用户。
即使您有多个员工需要相同的访问级别，您也应该为每个员工创建单独的IAM用户。通过允许每个IAM用户拥有一组唯一的安全凭据，这提供了额外的安全性。

IAM policies

IAM policies是允许或拒绝对AWS服务和资源的权限的文档。
通过使用IAM policies，可以定制用户对资源的访问级别。例如，您可以允许用户访问AWS帐户内的所有Amazon S3存储桶，或者只访问特定的存储桶。

最佳实践：

在授予权限时，请遵循最小权限的安全原则。
通过遵循这一原则，您可以帮助防止用户或角色拥有超出执行其任务所需的更多权限。
例如，如果某个员工只需要访问某个特定的桶，则需要在IAM策略中指定该桶。这样做，而不是授予员工对AWS帐户中所有存储桶的访问权。

Example: IAM policy

下面是IAM policy如何工作的示例。假设咖啡店老板必须为新雇佣的收银员创建一个IAM用户。收银员需要访问ID为AWSDOC-EXAMPLE-BUCKET的Amazon S3桶中保存的收据。

这个示例IAM policy允许查看ID为awsdoc-example-bucket的Amazon S3桶中的对象列表，并访问这些对象。

在这个例子中，IAM policy允许在Amazon S3: ListObject and GetObject中执行特定的actions。该策略还提到了一个特定的桶ID: awsdoc-example-bucket。当所有者将此策略附加到收银员的IAM user时，它将允许收银员查看awsdoc-example-bucket bucket中的对象列表，并访问它们。

如果所有者希望收银员能够访问其他服务并在AWS中执行其他操作，则所有者必须附加额外的策略来指定这些服务和操作。

现在，假设咖啡店雇佣了更多的收银员。所有者不是将权限分配给每个单独的IAM用户，而是将这些用户放在一个IAM组中。

IAM groups

IAM组是IAM用户的集合。当为组分配IAM policy时，组内所有用户都将被授予该策略指定的权限。

这是一个在咖啡店如何工作的例子。所有者可以创建一个“收银员”IAM组，而不是一次将权限分配给一个收银员。所有者可以将IAM用户添加到组中，然后在组级别上附加权限。

在组级别分配IAM策略也使得在员工转移到不同的作业时更容易调整权限。例如，如果收银员成为库存专家，咖啡店老板将他们从“收银员”IAM组中移除，并将他们添加到“库存专家”IAM组中。这确保员工只拥有当前角色所需的权限。

如果咖啡店的员工没有永久地切换工作，而是整天都在不同的工作站上轮换工作，那会怎么样?这个员工可以通过IAM角色获得他们需要的访问。

IAM roles

在咖啡店里，一名员工整天都在不同的工作站轮流工作。根据咖啡店的人员配置，该员工可能执行几种职责:收银机工作、更新库存系统、处理在线订单，等等。

当员工需要切换到不同的任务时，他们放弃对一个工作站的访问，而获得对下一个工作站的访问。员工可以轻松地在工作站之间切换，但在任何给定的时间点，他们只能访问单个工作站。同样的概念也存在于IAM角色的AWS中。

IAM角色是一种身份，您可以假定它获得对权限的临时访问。

IAM中的用户、应用程序或服务必须具有切换到IAM角色的权限，才能成为IAM角色。当某人使用IAM角色时，他们将放弃之前在一个角色中拥有的所有权限，并使用新角色的权限。

最佳实践:

当需要临时而不是长期授予对服务或资源的访问权时，IAM角色是理想的选择。

Multi-factor authentication

你是否曾经登录一个要求你提供多条信息来验证你身份的网站?你可能需要提供你的密码和第二种形式的身份验证，比如发送到你手机上的随机代码。这是一个多因素身份验证的例子。

在IAM中，多因素身份验证(MFA)为AWS帐户提供了额外的安全层。

04AWS Organizations

假设您的公司有多个AWS帐户。您可以使用AWS组织在一个中心位置整合和管理多个AWS帐户。

创建组织时，AWS组织自动创建一个root，它是组织中所有帐户的parent container。

在AWS组织中，您可以通过使用service control policies(scp)集中控制组织中帐户的权限。scp允许您对每个帐户中的用户和角色可以访问的AWS服务、资源和单个API操作进行限制。

统一计费是AWS组织的另一个特性。您将在后面的模块中了解合并账单。

Organizational units

在AWS组织中，您可以将帐户分组到organizational units(ou)中，以便更容易地管理具有类似业务或安全需求的帐户。当将策略应用于OU时，该OU中的所有帐户将自动继承策略中设置的权限。

通过将独立的帐户组织到ou中，您可以更容易地隔离具有特定安全需求的工作负载或应用程序。例如，如果您的公司拥有只能访问满足某些监管要求的AWS服务的帐户，则可以将这些帐户放入一个OU中。然后，您可以将策略附加到该OU，该策略将阻止对不符合监管要求的所有其他AWS服务的访问。

Example: AWS Organizations

假设您的公司为财务、信息技术(IT)、人力资源(HR)和法律部门拥有单独的AWS账户。您决定将这些帐户合并到一个组织中，以便可以从一个中心位置管理它们。当您创建组织时，就建立了根。在设计组织时，要考虑每个部门的业务、安全性和法规需求。您可以使用此信息来决定在ou中将哪些部门组合在一起。

财务和IT部门的需求不与任何其他部门的需求重叠。您将这些帐户引入组织以利用合并帐单等好处，但不将它们放入任何OU中。

人力资源和法律部门需要访问相同的AWS服务和资源，因此您将它们放在一个OU中。将它们放置到OU中，使您能够附加适用于HR和法律部门的AWS帐户的策略。

即使您已经将这些帐户放置到ou中，您仍然可以通过IAM继续为用户、组和角色提供访问。通过将您的帐户分组到ou中，您可以更容易地让它们访问所需的服务和资源。您还可以阻止他们访问不需要的任何服务或资源。

05Compliance

AWS Artifact

根据公司所在行业的不同，你可能需要坚持特定的标准。审计或检查将确保公司达到这些标准。

AWS Artifact是一种服务，可按需访问AWS安全和合规报告，并选择在线协议。AWS工件包括两个主要部分:AWS Artifact Agreements和AWS Artifact Reports。

AWS Artifact Agreements

假设您的公司需要与AWS就您在整个AWS服务中使用某些类型的信息签署协议。您可以通过AWS工件协议来实现这一点。

在“AWS工件协议”中，您可以审查、接受和管理单个帐户和AWS组织中的所有帐户的协议。提供了不同类型的协议，以满足受特定法规约束的客户的需求，例如《健康保险便携性和问责法》(HIPAA)。

AWS Artifact Reports

接下来，假设您公司开发团队的一名成员正在构建一个应用程序，并且需要更多关于他们遵守特定监管标准的责任的信息。您可以建议他们在AWS工件报告中访问此信息。

AWS工件报告提供来自第三方审计员的合规报告。这些审计员已经测试和验证了AWS符合各种全球、地区和行业特定的安全标准和法规。AWS工件报告与发布的最新报告保持一致。您可以向审计人员或监管者提供AWS审计构件，作为AWS安全控制的证据。

以下是您可以在AWS Artifact中找到的一些遵从性报告和法规。每份报告都包括对其内容的说明以及文件有效的报告期间。

Customer Compliance Center

Customer Compliance Center包含的资源可以帮助您了解有关AWS遵从性的更多信息。

在Customer Compliance Center中，您可以阅读客户法规遵循案例，了解受监管行业中的公司如何解决各种法规遵循、治理和审计挑战。

您还可以访问关于以下主题的合规白皮书和文档:

AWS answers to key compliance questions
An overview of AWS risk and compliance
An auditing security checklist

此外，Customer Compliance Center还包括一个审计师学习路径。此学习路径是为审计、合规和法律角色的个人设计的，他们希望更多地了解他们的内部操作如何使用AWS云演示合规。

06Denial-of-service attacks

顾客可以打电话到咖啡店下订单。接完电话后，收银员会把订单交给咖啡师。然而，假设一个恶作剧者打了很多次电话来下订单，但是从来没有拿过他们的饮料。这会导致收银员无法接听其他顾客的电话。咖啡店可以试图通过屏蔽恶作剧者使用的电话号码来阻止错误请求。在这种情况下，恶作剧者的行为类似于denial-of-service attack。

denial-of-service(DoS)攻击是故意使网站或应用程序对用户不可用的攻击。

例如，攻击者可能会用过多的网络流量淹没网站或应用程序，直到目标网站或应用程序超载而不再能够响应。如果网站或应用程序变得不可用，这将拒绝向试图发出合法请求的用户提供服务。

Distributed denial-of-service attacks

现在，假设恶作剧者得到了朋友的帮助。这名恶作剧者和他们的朋友不断打电话给这家咖啡店，要求下单，尽管他们并不打算去接他们。这些请求来自不同的电话号码，咖啡店不可能把它们都屏蔽掉。此外，大量电话的涌入也使得客户接听电话变得越来越困难。这类似于分布式拒绝服务攻击。

DDoS (distributed denial-of-service)攻击是指利用多个源发起攻击，目的是使一个网站或应用程序不可用。这可能来自一组攻击者，甚至单个攻击者。单个攻击者可以使用多个受感染的计算机(也称为“机器人”)向一个网站或应用程序发送过多的流量。

为了帮助减少DoS和DDoS攻击对应用程序的影响，您可以使用AWS Shield。

AWS Shield

AWS Shield是一种保护应用程序免受DDoS攻击的服务。AWS Shield提供两个级别的保护:标准和高级。

AWS Shield Standard：免费自动保护所有AWS客户。它保护您的AWS资源免受最常见的、经常发生的DDoS攻击类型。
当网络流量进入您的应用程序时，AWS Shield Standard使用各种分析技术实时检测恶意流量并自动减轻其影响。
AWS Shield Advanced：是一项付费服务，提供详细的攻击诊断，并能够检测和减轻复杂的DDoS攻击。它还集成了其他服务，如Amazon CloudFront、Amazon Route 53和Elastic Load Balancing。此外，您可以通过编写自定义规则来集成AWS Shield和AWS WAF，以减轻复杂的DDoS攻击。

07Additional security services

AWS Key Management Service (AWS KMS)

咖啡馆里有很多东西，比如咖啡机、糕点、收银机里的钱等等。您可以将这些项视为数据。咖啡店老板希望确保所有这些物品都是安全的，无论它们是放在储藏室里还是在商店之间运输。

同样，您必须确保应用程序的数据在存储**(静态加密)和传输时是安全的，称为传输加密**。

AWS密钥管理服务(AWS KMS)使您能够通过使用加密密钥执行加密操作。密码密钥是一串随机的数字，用于锁定(加密)和解锁(解密)数据。您可以使用AWS KMS来创建、管理和使用加密密钥。您还可以在广泛的服务和应用程序中控制键的使用。

使用AWS KMS，您可以为密钥选择所需的特定访问控制级别。例如，您可以指定哪些IAM用户和角色能够管理密钥。或者，您可以暂时禁用秘钥，使它们不再被任何人使用。您的密钥永远不会离开AWS KMS，并且您始终控制着它们。

AWS WAF

AWS WAF是一个web应用程序防火墙，它可以让你监控进入你的web应用程序的网络请求。

AWS WAF与Amazon CloudFront和一个Application Load Balancer一起工作。回想一下您在前面的模块中了解的network access control。AWS WAF以类似的方式工作，以阻止或允许流量。然而，它通过使用web access control list (ACL)来保护AWS资源。

下面是一个如何使用AWS WAF来允许和阻止特定请求的示例：

假设您的应用程序一直在接收来自多个IP地址的恶意网络请求。您希望阻止这些请求继续访问您的应用程序，但您还希望确保合法用户仍然可以访问它。通过配置web ACL，允许除指定IP地址外的所有请求。

当一个请求进入AWS WAF时，它会根据您在web ACL中配置的规则列表进行检查。如果一个请求不是来自被阻止的IP地址之一，它就允许访问应用程序。

但是，如果请求来自您在web ACL中指定的被阻止的IP地址之一，则会被拒绝访问。

Amazon Inspector

假设咖啡店的开发人员正在开发和测试一个新的订货应用程序。他们希望确保按照安全最佳实践来设计应用程序。但是，他们还有其他几个应用程序要开发，因此他们不能花很多时间来进行手工评估。为了执行自动化的安全评估，他们决定使用Amazon Inspector。

Amazon Inspector通过运行自动化的安全评估，帮助提高应用程序的安全性和合规性。它检查应用程序的安全漏洞和安全最佳实践的偏差，例如开放对Amazon EC2实例的访问和易受攻击的软件版本的安装。

在Amazon Inspector执行了评估之后，它会向您提供一个安全结果列表。该列表按严重级别划分优先级，包括对每个安全问题的详细描述和如何修复它的建议。然而，AWS并不保证按照所提供的建议解决所有潜在的安全问题。在共享责任模型下，客户对运行在AWS服务上的应用程序、进程和工具的安全性负责。

Amazon GuardDuty

Amazon GuardDuty是一项为AWS基础设施和资源提供智能威胁检测的服务。它通过持续监控AWS环境中的网络活动和帐户行为来识别威胁。

在您为AWS帐户启用GuardDuty后，GuardDuty将开始监控您的网络和帐户活动。您不必部署或管理任何额外的安全软件。guarduty可以连续分析多个AWS源的数据，包括VPC流量日志和DNS日志。

如果GuardDuty检测到任何威胁，您可以从AWS管理控制台查看有关这些威胁的详细发现。调查结果包括建议的补救步骤。您还可以配置AWS Lambda函数，以自动采取补救步骤，以响应GuardDuty的安全发现。