云本身的安全性

AWS 责任共担模式

  • 利用安全最佳实践保护您的信息和系统(包括数据的机密性和完整性)、管理用户权限以及实施控制措施来检测安全事件。

  • 这种共担模式有助于减轻客户的运营负担,因为 AWS 负责运行、管理和控制从主机操作系统和虚拟层到服务运营所在设施的物理安全性的组件。

  • AWS 负责云本身的安全性,您负责云中的安全性。

  • 客户:作为 AWS 客户,您可以在 AWS 云中安全地预置虚拟服务器、存储、数据库和桌面。

您有责任保护您在 AWS 云中创建的数据、操作系统、网络、平台和其他资源。保证您的数据在云中的机密性、完整性和可用性。

  • AWS:AWS 负责保护用于运行 AWS 云中提供的各项服务的全球基础设施。此基础设施包括运行 AWS 服务的硬件、软件、网络和设施。

AWS全球基础设施

  • AWS 全球基础设施由 AWS 构建、维护和保护。您可以将此基础设施用于环境或工作负载来满足您的独特需求和目标,例如可用性、延迟、合规性或成本。

  • 可用区和区域:一个 AWS 数据中心拥有数千台服务器,且数据中心分布在全球各地的隐蔽位置。

    这些数据中心通过完全冗余的专用低延迟连接相互连接。所有数据中心均处于在线状态并为客户服务,没有“冷”数据中心。

    如果出现故障,自动化流程会将客户数据流量从受影响的数据中心移出。

  • 可用区:AWS 将自己的物理数据中心分成多个称为“可用区”的逻辑单元。

    可用区由一个或多个数据中心组成,某些可用区最多拥有六个数据中心。但是,每个数据中心只能属于一个可用区。每个可用区都被设计为独立的故障区。

  • 区域:区域 区域通常由三个可用区组成,这些可用区域在物理上是隔离的,彼此隔离。

    这样,如果一个可用区出现故障,其他可用区不会受到影响。在 AWS 上创建某些资源时,您必须选择 AWS 区域来托管这些资源。

  • 区域间的所有通信都是跨越公共互联网基础设施进行的;因此,您需要使用适当的加密方法来保护敏感数据。跨多个可用区分布应用程序时,您应该注意不同地点的隐私和合规性要求,例如《欧盟数据隐私指令》。

alt text

选择AWS区域

  • 合规性:

    例如,您可能需要满足合规性要求,您的数据必须位于特定国家/地区或复制到特定国家/地区。与医护、金融和教育行业等相关的应用程序必须遵守特定的合规性要求。在将客户数据从一个站点移到另一个站点时,每个国家/地区都有相关的安全性与合规性规则。

  • 客户延迟:

    考虑选择一个靠近客户或终端用户的 AWS 区域。如果您的大多数用户位于同一个地理位置,请在该 AWS 区域部署应用程序。这样就可以实现最低的网络延迟和最快的响应速度。

  • 成本:

    AWS 区域的价格因每个国家/地区的规定不同而有所差异。比如说,资本支出和运营支出(例如电费)在不同的地理位置就有所不同。查看并比较您选择在其中部署工作负载的 AWS 区域的成本,并在成本与到目前为止我们提到的其他因素之间进行权衡,做出最佳选择。

数据中心安全性

安全层

AWS 全球基础设施是根据安全最佳实践以及各种安全合规性标准进行设计和管理的。作为 AWS 客户,您完全可以放心,您正在构建的解决方案由全球最安全的计算基础设施之一提供支持。

  • 外围:外围层包括安全功能,例如保安、隔离栏、安全信息馈送和其他安全措施,具体取决于所在位置。

  • 环境:环境层专门负责环境事项,包括从选址和建设到运营和可持续发展。AWS 会仔细选择数据中心的位置,以降低风险。

  • 基础设施:基础设施层包括确保其运行的数据中心建筑、设备以及系统。AWS 数据中心配备如下:

自动火灾探测与消防设备

温度控制,防止过热并减少服务中断

不间断电源 (UPS) 装置和发电机提供的备用电源

  • 数据:数据层是最关键的保护点,因为这是保存客户数据的唯一区域。

    采取保护措施的第一步是限制访问,以及保持各层之间的权限隔离。

    AWS 部署的系统协议包括:

    根据合规性最佳实践报废存储设备

    接受外部第三方公司的审计

AWS 服务器会向客户发送有关任何尝试删除数据的通知

合规性和监督

AWS 上的合规性

  • 我们持续地对 AWS 环境进行审计,获得了全球各种认证机构的认证。这意味着已满足您的部分合规性要求。为了帮助您满足特定的政府、行业和公司安全标准及法规,AWS 提供认证报告,其中说明了 AWS 云基础设施是如何满足广泛的全球安全标准的要求的。

  • 您可以联系 AWS 客户代表获取可用的合规性报告。客户可以将 AWS 运营的许多控制沿用到自己的合规性和认证计划中。除了可以保持控制,这还可以降低保持和运行安全保障工作的成本。有了强大的基础,您就可以自由地优化工作负载的安全性,以实现敏捷性、弹性和规模。

合规性计划和资源

  • 在 AWS 上运行工作负载不会自动使工作负载实现合规性。您需要确保它满足您的所有合规性要求。使用 AWS,您确实继承了一些控制,比如通过 AWS 全球基础设施提供的物理安全性。通过 AWS 服务的广度和丰富功能,您可以满足其他特定于您工作负载的控制要求。

  • AWS合规中心:AWS 合规中心为您提供一个集中位置,让您可以研究云相关监管要求及其对您的行业的影响。

    选择您感兴趣的国家/地区,然后 AWS 合规中心将显示该国家/地区在采用云服务方面的监管状况。我们提供各种打印和 Web 资源,帮助您更好地了解如何满足全球监管要求。

AWS Artifact

  • AWS Artifact 是一个免费的自助服务门户,可用于访问 AWS 安全性与合规性报告以及选择在线协议。AWS Artifact 提供多份第三方审计人员出具的合规性报告,他们测试并验证了我们在多种全球性、区域性和行业特定安全标准和法规方面的合规性。

AWS Config

AWS Config

  • AWS Config 是一项持续监控和评估服务,可为您提供 AWS 资源的清单,并记录这些资源的配置更改。您可以查看资源的当前和历史配置,并使用这一信息对中断进行故障排除,以及执行安全攻击分析。您还可以随时查看配置,并使用这一信息重新配置资源,使其在中断期间进入稳定状态。

name:zhangjiafu