了解并使用13款 AWS 安全工具，遵循 SEC 建议保护云端客户数据

Original URL：https://aws.amazon.com/cn/blogs/security/learn-and-use-13-aws-security-tools-to-implement-sec-recommended-protection-stored-customer-data-cloud/

大多数企业需要收集、处理并存储各类客户敏感数据，自然也有责任保护这部分数据以赢得客户信任、防止客户数据被滥用。此外，企业还需要证明自身符合监管机构发布的各项准则。以资本市场为例，经纪交易商与投资顾问必须证明其确有遵守美国证券交易委员会（SEC）分支机构合规检查办公室（OCIE）提出的各项具体要求。

那么，作为企业一方，我们该如何保护及保障云端客户数据，并为审计师/监管方提供关于客户数据保护的确切证明？

在本文中，我们将一同了解13款重要AWS工具，探讨如何使用它们解决不同类型AWS存储服务中的具体数据保护问题。我们将以SEC OCIE的关键发现与问题为基础，解释这些工具如何帮助大家满足最严格的合规性义务与指导意见。当然，以下提到的各类工具与用例，同样适用于其他行业。

SEC OCIE观察见解对于AWS客户意味着什么

SEC制定的SEC法规S-P（隐私声明与保护政策的主要规则）与法规S-ID（身份盗窃标记规则）已经成为包括证明企业在内的各类金融机构的主要合规性要求。2019年，OCIE检查了各经纪交易商及投资顾问对于网络存储解决方案（包括云存储）的使用情况，并整理出当前方法与最佳实践之间在保护所存储客户信息方面存在的差距。OCIE方面指出，现有安全设置、配置管理以及供应商网络存储解决方案与监管要求之间确有差距，且相当一部分企业并没有使用存储解决方案上直接提供的安全功能。具体差距可以归纳为以下三个方向，且此类差距在其他行业的企业中同样较为常见。

• 配置错误——网络存储解决方案配置错误，缺乏安全设置。
• 监控与监督——缺少对供应商所提供网络存储解决方案的必要监督。
• 数据保护——数据分类政策与程序缺失。

那么，我们该如何有效使用AWS安全工具与功能，进而全面审查并增强安全与配置管理实践？

AWS工具与功能——协调检查、监控并解决SEC提出的问题

在本文中，我们将立足以上提到的三大方向——1）配置错误；2）监控与监督；3）数据保护——分享13款能够切实解决问题的重要AWS工具选项。

这13款工具全部依靠自动监控警报以及检测性、预防性与预测性控制机制，为用户带来便捷可用的安全与数据控制功能。而这种行之有效的监控、安全分析与变更管理能力，正是包括资本运作企业在内的各类公司保护客户数据、并验证安全风险应对效果的核心所在。

AWS提供全面的云存储服务，可帮助您满足各项应用程序与归档合规性要求。其中部分行业通用的AWS存储服务包括：

• 使用 Amazon Simple Storage Service (Amazon S3)实现对象存储
• 使用 Amazon Elastic File System (Amazon EFS)实现文件存储
• 使用Amazon Elastic Block Store (Amazon EBS)实现块存储
• 使用Amazon S3 Glacier进行归档
• 使用 AWS Storage Gateway实现混合存储

本文示例将主要使用Amazon S3与Amazon EBS服务。

通过实施责任分担模型建立控制围栏

在介绍这13款工具之前，我们首先了解云安全性的实现基础。AWS责任分担模型（即由AWS与AWS客户共同承担安全性与合规性责任）与OCIE提出的所有权/问责制，以及全部可用安全功能的使用建议之间保持着高度统一。

实现安全性与合规性的第一步，从用于控制围栏的基准结构开始。如果缺乏对于责任分担模型的清晰了解，可能导致控制机制缺失或者未使用必要的安全功能。而对责任分担模型及共享控制的确切理解与严格遵循，则有助于在基础设施层与客户层中全面推行安全与合规最佳实践，并针对相互独立的特定场景或视角做出对应调整。

云安全——AWS负责保护AWS云体系中所运行之全部服务的基础设施。

云负载安全——作为AWS用户，您的责任范围由您选择使用的AWS云服务决定。在云服务保护层面，您所选的服务决定了您需要承担的安全职责范围之内的配置工作这一部分的工作量。包括管理您需要使用的数据（包括加密选项）、对资产进行分类，而后使用IAM工具为其分配适当的操作权限。

配置错误——监控、检测并修复AWS云存储服务中的配置错误

OCIE指出，用户应对特定业务领域实施监控、检测与修复。配置错误可能引发各类意外情况，例如不应出现的公开访问、不受限的访问权限以及未经加密的信息记录等。根据您的实际用例，大家可以使用各类AWS服务实现对配置错误的监控、检测与修复。

通过AWS身份与访问管理（IAM）访问分析器实现访问分析——在预防配置错误方面，一大关键在于明确是否有人因配置不当而得以从AWS账户外部访问您的内部资源。访问分析器（Access Analyzer）能够识别到各类无需登录AWS账户即可访问的资源。例如，访问分析器会持续监控新的策略或者更新策略，分析针对Amazon S3存储桶、AWS Key Management Service（AWS KMS）以及AWS IAM角色的各类授权策略。要了解使用IAM访问分析器对S3存储桶意外访问进行标记的更多详细信息，请参阅使用IAM访问分析器标记指向共享S3存储桶的意外访问。

通过AWS Trusted Advisor执行附带行动建议的安全性检查——不受限的访问权限会极大提升恶意活动的成功几率，包括各类黑客攻击、拒绝服务攻击以及数据盗窃等。Trusted Advisor会定期发布安全建议，供您按时检查并采取相应行动。Trusted Advisor可以提醒您关注风险，例如未受保护的Amazon S3存储桶，以及被标记为公开可见的Amazon EBS存储卷快照。未对数据上传或数据删除等操作设置权限的存储桶将允许任何互联网使用者向其中添加、修改或者删除条目，进而引发潜在的安全漏洞。Trusted Advisor能够检查显式存储桶权限以及可能导致存储桶权限遭到覆盖的相关存储桶管理策略。此服务还将检查安全组规则，找出各类可能允许不受限访问资源的配置错误。要了解关于Trusted Advisor的更多使用详细信息，请参阅如何开始使用Trusted Advisor？

通过AWS Key Management Service (AWS KMS)实施加密——简化加密密钥的创建与管理流程，对于实现配置数据的默认加密可谓至关重要。您可以使用AWS KMS主密钥自动控制存储在各个与AWS KMS集成的服务（例如Amazon EBS与Amazon S3）当中的数据加密机制。AWS KMS可帮助您集中控制用于保护数据的加密密钥。AWS KMS在设计层面，能够保证包括服务操作者在内的任何用户都无法从服务中检索到主密钥的明文。该服务还使用FIPS140-2认证硬件安全模块（HSM）保护密钥的保密性与完整性）。例如，您可以指定以加密形式创建的所有新建Amazon EBS存储卷，并选择使用AWS KMS提供的默认密钥、或者由您自行创建的密钥。Amazon S3存储库则可用于审计并报告特定对象的复制与加密状态，借此满足业务、合规性与法规要求。要了解如何在S3存储桶上使用KMS实现数据加密，请参阅如何通过KMS与IAM为S3中的加密数据提供独立的安全控制机制。

监控与监督——AWS存储服务提供持续性监控、评估与审计支持

持续监控与定期评估控制环境的变化与即时合规性，是实现数据存储监督的基本前提。您可以借此验证组织云存储的安全性、访问设置以及权限机制是否符合安全策略要求，并标记各类不合规问题。例如，您可以使用AWS Config或者AWS Security Hub简化审计、安全性分析、监控与变更管理的具体流程。

通过AWS Config 配置合规性监控——您可以使用AWS Config通过详尽的AWS资源配置视图（包括当前、历史配置快照与各项变更），评估资源配置方式与内部实践、行业准则以及法规要求的匹配程度。AWS Config托管规则属于预先定义且可随时定制的规则，用于评估您的AWS资源是否符合常规最佳实践。配置规则可用于评估配置设定、检测并修复规则中的违规问题，同时标记各类与内部惯例不符的具体情况。对于需要频繁审计的数据，AWS Config还有助于证明其是否符合内部策略与最佳实践。例如，您可以使用托管规则快速评估您的EBS存储卷是否经过加密，或者是否已经正确在资源中应用特定标签。AWS Config规则的另一种常见用例，是通过持续运行的检测控制机制检查您的S3存储桶是否正确阻止一切公开读取访问。该规则能够检查负责阻止公开访问的设置、存储桶策略以及存储桶访问控制列表（ACL）。您可以通过配置确定当前设定是否符合内部实践逻辑，自动将正在使用的IAM角色标记为符合，将非活动角色标记为不符合。要了解使用AWS Config规则的更多详细信息，请参阅设置自定义AWS Config规则以检查OS CIS合规性。

通过AWS Security Hub自动执行合规性检查——Security Hub消除了由AWS账户与工作负载安全性与合规性保障，带来的管理与改进工作的复杂性并减轻了相应工作量。Security Hub能够根据您指定的行业最佳实践及标准（例如CIS AWS Foundations Benchmarks），以自动方式持续对账户及资源层级的配置执行检查，借此提高自动检查的合规性水平。Security Hub还能够提供分组形式的洞见结论，突出强调突变趋势或者可能出现的安全问题。例如，洞见结论能帮助您发现允许公开读取或写入的Amazon S3存储桶。另外，它还使用标准化AWS安全查找格式从合作伙伴的安全产品集合中查找结果，帮助您摆脱耗时费力的数据解析与标准化工作。要了解关于Security Hub的更多详细信息，请参阅Security Hub现已提供AWS基础安全最佳实践标准。

通过AWS Artifact提供的安全性与合规性报告——作为独立监督体系的组成部分，第三方审计员将全年测试AWS环境并确定其是否符合2600多项标准及要求。AWS Artifact提供按需访问的AWS安全性与合规性报告功能，具体涵盖AWS服务组织控制（SOC）报告、支付卡行业（PCI）报告以及来自各类认证机构的证书（这些证书可用于验证AWS安全控制的实施效果与运营有效性）。您可以在AWS管理控制台中的Artifacts部分在线访问相关证书。要了解关于Artifact的更多详细信息，请参阅在AWS Artifact中下载报告。

数据保护——通过数据分类策略与程序实现数据发现与保护

只有对机构内数据进行准确分类，我们才能进一步为其分别指定适应的安全保护级别。数据发现与分类能够带来正确的安全性、隐私性与访问控制分级。但考虑到所涉及的数据量往往极为巨大，加上需要在严格安全状态与业务敏捷性之间做出取舍，数据的发现与分类往往成为困扰企业的一大难题。

通过S3 Block Public Access建立控制机制——S3 Block Public Access能够帮助我们对整个AWS账户或者特定S3存储桶加以控制，保证其中的存储对象不接受公开访问。阻止公开访问是一种重要的二级保护机制，能够确保您不会无意间向超出预期范围的对象授予访问权限。要了解使用S3 Block Public Access的更多详细信息，请参阅如何使用Amazon S3中的两项重要安全功能——Block Public Access与S3 Object Lock。

通过Amazon Macie监控S3配置并发现敏感数据——您可以使用Macie实现敏感数据的发现、分类与保护，例如及时识别存储在Amazon S3中的个人身份信息（PII）。Macie能够对AWS Organization所有账户中的S3存储桶配置进行可见分析与持续监控，并在发现未加密存储桶、可公开访问的存储桶或者与 Orgnization外各AWS账户共享或复制数据的存储桶时发出警报。对于您指定的存储桶，Macie将使用机器学习与模式匹配机制识别出包含敏感数据的对象。在找到敏感数据后，Macie会将发现结果发送至EventBridge，借此实现自动操作或者与工单系统相集成。要了解使用Macie的更多详细信息，请参阅经过增强的Amazon Macie。

通过Amazon S3 Object Lock实现数据WORM的保障——Object Lock能够帮助用户切实遵循金融服务法规提出的技术要求，即采用一次写入、多次读取（WORM）式数据存储方案，借此存储某些类型的账簿与记录信息。要了解使用S3 Object Lock的更多详细信息，请参阅如何使用Amazon S3中的两项重要安全功能——Block Public Access与S3 Object Lock。

通过Amazon GuardDuty 实现警报功能——GuardDuty设计目标是能够在有人对可能易受攻击的系统执行扫描，或者面向非正常位置进行大规模数据移入/移出时发出警报。要了解关于GuardDuty发现结果的更多详细信息，请参阅对Amazon GuardDuty发现结果进行可视化。

注意：AWS提醒您，请千万不要将敏感身份信息放置在任意格式字段或者元数据（例如函数名称或者标签）当中。您输入至元数据内的任何数据，都有可能直接显示在诊断日志当中。

行之有效的配置管理功能与实践

OCIE还针对存储配置领域提出几项行之有效的行业惯例，包括：

• 采用能够全面支持存储系统从初始安装到持续维护/监控阶段的策略与程序
• 制定安全控制准则与基准安全配置标准
• 在对软件及硬件安装修复补丁后，通过供应商管理策略与程序进行安全配置评估

除了以上已经涵盖的服务之外，AWS还提供其他多种服务与功能选项，帮助您建立起行之有效的控制措施。

通过Amazon Inspector 实现安全评估——您可以使用Amazon Inspector评估AWS资源中存在的漏洞，或者当前配置与最佳实践间的差异，并按严重性级别生成具有相应优先级排序的安全发现结果列表。例如，Amazon Inspector安全评估可帮助您检查Amazon Elastic Compute Cloud (Amazon EC2) 实例中是否存在意外网络访问，以及实例当中是否包含已知安全漏洞。要了解关于评估EC2实例网络暴露状况的更多详细信息，请参阅评估EC2实例网络暴露状况的简单方法：AWS在Amazon Inspector中提供新的网络可达性评估功能。

通过AWS Config conformance packs保障配置合规性——Conformance packs能够帮助我们使用现成框架与打包模型，实现对AWS资源配置合规性的规模化管理——涵盖策略定义、审计乃至报告汇总等各个阶段。以此为基础，您能够以可扩展且高效的方式为组织内各个账户中的资源配置策略与最佳实践建立起通行基准。Conformance Packs模板（例如Amazon S3运营最佳实践）可帮助您快速评估并配置AWS环境。要了解关于AWS Config conformance packs的更多详细信息，请参阅使用conformance packs修复并管理自定义AWS Config规则。

通过AWS CloudTrail 实现日志记录与监控——CloudTrail允许您跟踪并自动响应各类可能威胁到AWS资源安全的账户活动。在与Amazon CloudWatch Events相集成后，您可以在CloudTrail中定义发生安全漏洞利用事件时所应触发的响应工作流。例如，您可以创建对应工作流，当CloudTrail在记录中发现有API调用导致特定Amazon S3存储桶允许公开访问时，向该存储桶添加特定访问控制策略。要了解使用CloudTrail响应异常API活动的更多详细信息，请参阅CloudTrail Insights发布：识别并响应异常API活动。

通过Amazon Detective实现基于机器学习的安全调查——Detective能够显著简化对潜在安全事件或可疑活动根本原因的分析、调查与快速识别。Detective会自动从您的AWS资源处收集日志数据，并使用机器学习、统计分析与图理论构建起一套关联数据集，帮助您更快、更有效地实现安全调查。要了解如何使用Amazon Detective进行调查的更多详细信息，请参阅Amazon Detective——快速安全调查与分析。

总结

AWS提供的安全性与合规性功能，将帮助大家充分配合SEC OCIE提出的观察见解与问题，进而采取有效措施保护组织存储在AWS云环境中的数据。要了解并增强您的云数据存储安全性，请认真了解本文介绍的13款AWS工具与功能。以此为基础，您将拥有丰富的监控、审计、安全分析与变更管理选项，借此纠正安全设定与当前配置中存在的潜在错误。此外，也有无数客户已经使用AWS专业服务帮助其定义并实施安全性、风险与合规性战略、治理结构、运营控制、责任分担模型、控制映射表以及最佳实践。

如果您对本文内容有任何建议或反馈，请在下方评论区中与我们交流。如果您对本文还有其他疑问，请联系AWS支持服务。

希望了解关于AWS Security的更多方法指南、新闻与功能公告？请在 Twitter上关注我们。

本篇作者