在 AWS 中学习云安全基础
Source: Dev.to
请提供您想要翻译的完整文本内容(除代码块和 URL 之外),我将把它翻译成简体中文并保持原有的格式、Markdown 语法以及技术术语不变。谢谢!
介绍
安全是每个系统和基础设施的重要组成部分。单词 security 来自拉丁语 securitas,由 se-(意为“没有”)和 cura(意为“关心”或“担忧”)组成。最初它的意思是“无忧”。随着时间的推移,它逐渐表示安全或受保护的状态。
如今,当我们谈论安全时,通常指的是免受伤害、危险或威胁的保护——无论是在我们的家庭、在线环境、使用网上银行,甚至是整个国家范围内。安全在我们所做的一切中都至关重要。
云服务提供商如 AWS 也不例外。它们的基础设施必须得到保障,以确保用户的安心。在 AWS 等平台上,安全是一种 shared responsibility(共享责任):提供商和用户都在维护安全方面发挥作用。
Amazon Web Services(AWS)是全球最受欢迎的云服务提供商之一。强大的功能和灵活性伴随着保护您的云基础设施、数据和应用程序的责任。
在本指南中,我们将探讨 AWS 云安全的基本要点,让刚接触云计算的人也能轻松理解。
什么是云安全?
云安全是一套用于保护您在线(“云端”)存储的数据、应用和服务的规则、工具和实践。它有助于防止数据丢失、黑客攻击和信息滥用。
把云安全想象成给房子上锁——您不会把门敞开让任何人进来。同样,您的云账户必须得到保护,才能确保数据安全。
如果您的云服务不安全,黑客可能会窃取您的数据或造成重大损害。无论您是企业还是使用云应用的个人,确保信息安全都是至关重要的。
为什么云安全很重要?
- 它确保只有合适的人能够访问您的信息。
- 它保护您的数据不被丢失、被盗或被滥用。
- 良好的安全性让您的应用程序能够安全运行,免受攻击。
- 它帮助保持个人或企业数据的私密性,降低数据泄露和财务损失的风险。
既然您已经了解了云安全的重要性,接下来让我们看看 AWS 如何帮助您保持安全,以及您在确保安全方面的角色是什么。
关键云安全概念
在 AWS 中,云安全是 AWS 与客户共同承担的责任。这被称为 Shared Responsibility Model(共享责任模型)。
在了解 AWS 如何划分安全职责之前,您需要明白,AWS 负责保护其基础设施,而您必须保护自己的账户。
当您创建一个新的 AWS 账户时,您会从 root user(根用户) 开始。根用户拥有完整的控制权,但将其用于日常工作风险很大。您应该仅使用根用户来创建另一个用户——IAM(Identity and Access Management)用户。
推荐做法
- 使用根账户 创建 IAM 用户(仅执行一次)。
- 不要在日常任务中使用根账户,而应使用 IAM 用户。
- 遵循 最小权限原则——仅授予用户其所需的权限。
- 通过启用 MFA(Multi‑Factor Authentication,多因素认证) 来 保护根用户。
什么是 MFA?
MFA 在您登录时增加了另一层安全防护。它将您知道的东西(密码)与您拥有的东西(手机或安全设备)相结合。即使有人获取了您的密码,没有 MFA 代码也无法登录。
启用 MFA 的方式
- 虚拟 MFA 应用,例如 Google Authenticator 或 Authy
- 实体安全密钥,例如 YubiKey
- 来自 Gemalto 的硬件设备
- 对于 AWS GovCloud 用户,使用 SurePassID 的 MFA 设备
始终为您的根用户和 IAM 用户启用 MFA——这是保护您的 AWS 账户最简单且最有效的方式之一。
理解 AWS 共享责任模型
AWS 共享责任模型将安全职责在 AWS 与客户之间划分。
1. AWS 的责任 – 云的安全
AWS 负责保护运行在 AWS 云中服务的基础设施。包括:
- 数据中心的物理安全
- 硬件、软件、网络和设施
2. 客户的责任 – 云中的安全
客户负责保护其在云中存储的数据、用户账户、应用程序和配置。
图片来源: AWS shared responsibility model
例如,AWS 负责保护其数据中心和服务器,而客户必须正确配置其账户和资源。
示例:RDS(关系数据库服务)
AWS 的职责
- 自动化数据库补丁
- 审计并维护底层实例和存储磁盘
- 应用操作系统更新
(如有需要,可添加更多职责;此列表反映原始内容。)
本指南提供了 AWS 云安全的高级概览。欲深入了解各主题,请参阅官方 AWS 文档和安全最佳实践指南。
# Stem Patches AutomaticallyAmazon RDS (关系数据库服务)
客户责任(您)
- 管理数据库内部的用户、角色和权限
- 选择数据库是公开还是私有
- 审核并控制数据库安全组中的入站规则、端口和 IP 地址
- 配置数据库加密设置
AWS 责任
- 确保为您的数据提供加密选项
- 提供几乎无限的存储容量
- 防止 AWS 员工和公众访问您的数据
- 保持每个客户的数据相互隔离
Amazon S3(简单存储服务)
客户职责(您)
- 根据您的安全标准定义 S3 存储桶策略
- 审查存储桶配置设置
- 创建并管理具有适当权限的 IAM 用户和角色
AWS 职责
- 确保为您的数据提供加密选项
- 提供几乎无限的存储容量
- 防止 AWS 员工和公众访问您的数据
- 将每位客户的数据与其他客户的数据分离
结论
安全一直是关于安心的。无论是你的家、手机,还是云账户,你都希望知道自己的数据是安全的。
AWS 通过保护云本身为你提供坚实的基础,但你的角色同样重要——比如启用 MFA、使用强密码以及管理谁可以访问哪些资源。这些简单的习惯在保护数据方面作用巨大。
云安全不是一次性设置,而是持续的实践。当 AWS 与用户都保持警惕时,云就会成为一个值得信赖的地方,能够安心存储、构建和发展。
既然你已经了解了 AWS 中的安全工作原理,就可以进一步深入,开始探索那些保持系统平稳运行的服务。
想要更深入、更清晰的解释,你可以在此阅读完整指南:
了解 AWS 云安全基础
其他资源
如果你觉得本文对你有帮助,欢迎分享。如果你更喜欢通过视频学习,我也在我的 YouTube 频道 上用通俗的方式讲解云计算相关主题。
关注以下平台,获取我的项目最新动态:
感谢阅读!