AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

李思源 AWS解决方案架构师

AWS 云安全最佳实践

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

日程

• AWS 安全服务概览

• 网络安全

• 数据安全

• 访问控制

• 监控与审计

• AWS 安全技术资源

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS 安全服务概览

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS 安全服务概览

加密

网络 & 安全 合规 & 治理

身份

Amazon

VPCAWS Direct

Connect

VPN connection Security Groups

AWS WAFAWS Shield

AWS

KMS

AWS

CloudHSM

Flow logs

AWS

Certificate

Manager

Client-side

encryption

IAM

AWS Artifact

AWS

Organizations

Temporary

Security

credential

AWS Directory

Service

Active Directory

integration

SAML

Federation

Amazon

Inspector

AWS Trusted

Advisor

AWS

Service Catalog

Amazon

CloudWatch

AWS

CloudFormation

AWS

CloudTrail

AWS ConfigRoute table

AWS Systems

Manager

AWS

OpsWorks

AWS

Secrets

Manager

Amazon

GuardDuty

AWS

Single

Sign-on

Amazon

Cognito

AWS Firewall

Manager

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS 安全责任共担模型

AWS：

底层基础设施

客户：

基础设施上的

所有项目

AWS 基础服务

计算 存储 数据库 网络

AWS

全球基础架构

区域

可用区

边缘节点

客户端数据加密 服务端数据加密 网络流量防护

平台，应用，身份和权限管理

操作系统，网络和防火墙配置

客户内容

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

ISO 9001

SOC 3

SOC 2

ISO 27001

ISO 27017

PCI DSS Level 1ISO 27018

SOC 1 / ISAE 3402

GxPHIPAA

ITAR

FERPA

FISMA, RMF, and DIACAP

FedRAMP

Section 508 / VPAT

DoD SRG Levels 2 & 4

FIPS 140-2

CJIS

Cloud Security Alliance

MPAA

NIST

MLPS Level 3

G-Cloud

IT-Grundschutz

MTCS Tier 3

IRAP Cyber Essentials Plus

AWS 云平台支持的安全标准和规范

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

法律

•《国家安全法》

•《反恐法》

•《网络安全法》

法规

• 商用密码管理条例

• 信息安全等级保护条例

• 信息安全产品管理规定

• 网络安全审查办法

标准

• GB/YD/GM/…

• CSA GC Standard

Group

• DCA

AWS 在中国的合规性

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

网络安全

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

Amazon 虚拟私有网络 (VPC)

EC2

实例 1

10.1.1.6

安全组In

安全组Out

安全组In

安全组Out

安全组In

安全组Out

Network ACL

In

Network ACL

Out

Network ACL

In

Network ACL

Out

路由表 路由表

子网 10.1.1.0/24 子网 10.1.10.0/24

Internet

网关虚拟私有网关

VPC 10.1.0.0/16

EC2

实例 2

10.1.1.7

EC2

实例 3

10.1.10.20

虚拟路由器

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

允许所有流量进入

适用于子网

网络访问控制列表 Network Access Control List

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

安全组 Security Group

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

VPC 动手实验

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS WAF —— Web 应用程序防火墙

• 阻止或允许 WEB 请求

• 监控安全事件

• 与 Amazon CloudFront 集成，也可部署在 ALB 或 API Gateway 上

• 提供 API，支持自动化创建、部署和维护WAF规则

• 基于规则过滤WEB流量：IP地址，HTTP 头，HTTP 正文，URL，SQL 注入等

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

数据安全

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

• 使用数据库实例安全组，精确控制访问权限

• 启用 SSL 连接

• 启用自动备份

• 定期对数据库实例做快照

• 启动多可用区部署

数据库数据安全：Amazon Relational Database Service (RDS)

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

文件存储数据安全：Amazon EC2 与 Amazon EBS

主机平台访问安全

• AWS 没有访问客户实例的权限，客户拥有完全权限

• 建议禁用对客户机的仅使用口令访问

• 建议使用基于证书的 SSH 访问

• 严格管理安全组，只允许指定IP远程登录进行管理

块存储数据安全

• 在传输过程中，使用 SSL 或 TLS 对数据进行加密

• 在数据存储时，使用默认或 AWS 托管的密钥进行静态数据加密

• 定期对 EBS 卷做快照

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

对象存储数据安全：Amazon S3

S3 存储持久性：99.999999999%

存储桶和数据对象级访问控制

• 控制读取、写入、全部

• 所有者拥有全部控制权限

数据加密

• 支持 SSL 做传输加密

• 支持服务器端加密，可使用默认 SSE 密钥或 AWS 托管的密钥

• 也可以在客户端加密后再进行上传

版本控制、MFA 删除、预签名 URL 等功能

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

访问控制

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS Identity and Access Management (IAM)

• 客户可以控制谁在 AWS 环境中什么时候，在

哪里，可以做什么

• 支持多因子认证 MFA

• 支持与企业现有 AD 集成以实现联合身份认证或

者 SSO

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

Amazon IAM 动手实验

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

监控与审计

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

Amazon CloudWatch

• 收集 AWS 资源、应用程序和服务的指标与日志

• 可视化监控指标，支持创建警报，通知到邮箱

• CloudWatch Logs：监控、存储和访问日志信息

o Amazon EC2

o VPC FlowLog

o AWS CloudTrail

• 定义 Filter, 产生告警

• 可以导出到 Amazon S3，或者输出到 Amazon Kinesis，AWS Lambda

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS CloudTrail

• 记录您的账户所做的 API 调用，并向您的 Amazon S3 存储桶提供日志文件。

• 每一条记录包括：

o API 的名称（源 IP 地址）

o 调用者的身份

o API 调用时间

o 请求参数

o AWS 服务返回的响应元素

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

CloudWatch Logs & CloudTrail

动手实验

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS Config 云资源配置 & Config Rules

• 持续纪录配置变动

• 提供基于时间的资源变化视图

• 存档和比较

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS Trusted Advisor

检查您的 AWS 环境

提供建议

针对安全配置错误提供警报：

• 保持打开某些端口

• 忽视了为您的内部用户创建 IAM 账户

• 允许公共访问 S3 存储桶

• 未使用 AWS 根账户上的 MFA

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

APN 合作伙伴—安全

Advanced

Threat

Analytics

Application

Security

Identity and

Access MgmtEncryption &

Key Mgmt

Server &

Endpoint

Protection

Network

SecurityVulnerability

& Pen Testing

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars| Webinars

AWS 安全技术资源

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS 安全技术博客

blogs.aws.amazon.com/security

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| Webinars

AWS 安全相关资料

AWS Security 白皮书

https://aws.amazon.com/cn/whitepapers/

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

| WebinarsAWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

我们希望您喜欢今天的内容！也请帮助我们完成反馈问卷。

欲获取关于 AWS 的更多信息和技术内容，可以通过以下方式找到我们：

微信公众号：AWSChina

新浪微博：https://www.weibo.com/amazonaws/

领英：https://www.linkedin.com/company/aws-china/

知乎：https://www.zhihu.com/org/aws-54/activities/

视频中心：http://aws.amazon.bokecc.com/

感谢参加 AWS 在线研讨会

更多线上技术活动：https://aws.amazon.com/cn/about-aws/events/webinar/