隨著越來越高的容量和種類繁多的云服務(wù)的推出，亞馬遜的 AWS（Amazon Web Services）已經(jīng)成為許多企業(yè)和機(jī)構(gòu)的最流行選擇，幫助企業(yè)在云計(jì)算提供的可擴(kuò)展性和經(jīng)濟(jì)存儲(chǔ)之間找到平衡。

AWS 的安全性建立在共享責(zé)任模型基礎(chǔ)之上：亞馬遜提供基礎(chǔ)設(shè)施并保證其安全，用戶則負(fù)責(zé)維護(hù)自己運(yùn)行其上的應(yīng)用的安全。這一模型可使用戶獲得對自身流量和數(shù)據(jù)的更大操控性，鼓勵(lì)用戶更加積極主動(dòng)。然而，在邁向應(yīng)用遷移進(jìn)程之前，最好先看看以下幾條小建議，可以有助于用戶在 AWS 和內(nèi)部環(huán)境中掌控安全，獲得最大限度的保護(hù)。

理解安全組概念

亞馬遜提供虛擬防火墻功能過濾你云網(wǎng)段上流過的數(shù)據(jù)流量；但 AWS 防火墻的管理方式與傳統(tǒng)防火墻的略有不同。AWS 防火墻的中心組件是‘安全組（security group）’，基本上相當(dāng)于其他防火墻廠商所說的策略，也就是規(guī)則集合。不過，安全組和傳統(tǒng)防火墻策略有著關(guān)鍵區(qū)別，這一點(diǎn)需要充分認(rèn)識(shí)到。

首先，AWS 規(guī)則中沒有流量被允許或放棄的‘動(dòng)作’。這是因?yàn)?AWS 的所有規(guī)則都是積極的，總是允許指定流量通過——不像傳統(tǒng)防火墻規(guī)則。

其次，AWS 規(guī)則允許你指定流量源或目的地址——二者規(guī)則不同。對入站規(guī)則而言，要有源地址聲明流量從何而來，但無需目的地址告訴它往哪兒去。出站規(guī)則正好相反：你可以指定目的地址而不是源地址。這么規(guī)定的原因是 AWS 安全組總是會(huì)為應(yīng)用的實(shí)例自動(dòng)設(shè)定未指定端（源或目的地址，視具體情況而定）。

在應(yīng)用規(guī)則上 AWS 會(huì)賦予你很高的靈活性。一個(gè)安全組可以應(yīng)用到多個(gè)實(shí)例，就像你可以將一個(gè)傳統(tǒng)安全策略應(yīng)用到多個(gè)防火墻一樣。AWS 還允許你反著來：將多個(gè)安全組應(yīng)用到同一個(gè)實(shí)例上，意味著這一實(shí)例從所有它關(guān)聯(lián)的安全組繼承規(guī)則。這是亞馬遜提供的眾多特性之一，允許你為特定功能或操作系統(tǒng)創(chuàng)建安全組，然后將它們混合搭配以適應(yīng)業(yè)務(wù)需求。

管理出站流量

AWS 當(dāng)然會(huì)管理出站流量，但管理方式上與常規(guī)方法有些不太一樣，你得留意。初始設(shè)置過程中，AWS 的用戶是不會(huì)被自動(dòng)引導(dǎo)進(jìn)行出站流量設(shè)置的。默認(rèn)設(shè)置所有出站流量都被允許，這一點(diǎn)與入站流量默認(rèn)設(shè)置正好相反，入站流量默認(rèn)是除非創(chuàng)建規(guī)則否則全部拒絕。

很明顯，這是個(gè)可能導(dǎo)致公司數(shù)據(jù)丟失的不安全設(shè)定，因此，建議創(chuàng)建只允許指定出站流量的規(guī)則，保護(hù)真正關(guān)鍵的數(shù)據(jù)。由于 AWS 設(shè)置向?qū)Р粫?huì)自動(dòng)引導(dǎo)進(jìn)行出站設(shè)置，你得手動(dòng)創(chuàng)建并應(yīng)用這些規(guī)則。

審計(jì)與合規(guī)

一旦你開始在產(chǎn)品中使用 AWS，你得記�。哼@些應(yīng)用現(xiàn)在可就處于合規(guī)和內(nèi)部審計(jì)的眼皮子底下了。亞馬遜確實(shí)提供一些內(nèi)置功能輔助合規(guī)和審計(jì)：亞馬遜云監(jiān)測（Amazon CloudWatch），類似實(shí)例健康監(jiān)測儀和日志服務(wù)器；以及亞馬遜云軌跡（Amazon CloudTrail），記錄和審計(jì)你的API調(diào)用情況。但是，如果你用的是混合數(shù)據(jù)中心環(huán)境，你還需要額外的合規(guī)和審計(jì)工具。

根據(jù)你所處產(chǎn)業(yè)和你處理的數(shù)據(jù)類型，你的業(yè)務(wù)將受到不同的監(jiān)管。比如，如果你處理的是信用卡信息，你就要受支付卡行業(yè)（PCI）監(jiān)管。因此，如果你想用 AWS 云平臺(tái)處理這些敏感數(shù)據(jù)，你就需要合適的第三方安全管理產(chǎn)品為你提供與常規(guī)防火墻相同的報(bào)告功能。

你需要從第三方解決方案中獲得的最重要的東西，是對所有安全組和整個(gè)混合資產(chǎn)的可見性，還有類似本地基礎(chǔ)設(shè)施能提供的對你安全環(huán)境進(jìn)行全面審視和管理的分析及審計(jì)能力。

放到 AWS 環(huán)境中的所有東西的安全性都是自己的責(zé)任。充分考慮到以上幾點(diǎn)，在你遷移到 AWS 時(shí)會(huì)對你保護(hù)數(shù)據(jù)和符合監(jiān)管的要求提供幫助。