更好地合作： 利用加密和授权保护数据

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC333-Better_together__Using_encryption___authorization_for_data_protection-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 加密和授权是任何数据保护策略的基础。在企业内部，它们通常各自为政。在亚马逊云科技 中，它们可以相互深入了解，从而为您提供更强大、更灵活、更细粒度的数据保护控制，其作用大于各部分的总和。在本论坛中，您将跟随我们的代表性应用程序的演进，分层使用日益复杂的控制来保护嵌入式数据。深入探索特定的 Amazon Key Management Service (Amazon KMS)、Amazon Identity and Access Management (IAM) 和 Amazon Nitro System 功能、模式和策略，您可以将其带回并直接应用，以便提高自己的安全级别。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1700字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 亚马逊云科技的首席信息官办公室的一名核心成员——Quinn Van Demon先生在一场长达60分钟的主题演讲中开始了他的发言，欢迎超过500名观众参加re:Invent上的亚马逊云科技会议。他向在场的各位介绍了他的共同演讲者，一位在亚马逊云科技密钥管理服务（KMS）团队工作了4多年的高级产品经理Kevin Lee先生。 他们的演讲主旨是展示客户如何通过协同使用加密和授权来实现亚马逊云科技中的强大数据保护成果。尽管将加密和授权结合使用并非一个全新的概念，因为它们在亚马逊云科技中已经协同工作了很多年，但近年来这些功能得到了巨大的提升，达到了全新的水平。例如，在过去两年里，亚马逊云科技推出了超过2000个新的安全功能，包括身份验证、访问控制、加密、审计日志等。 这次会议的目标是为与会者提供对这些服务可能实现的潜力的欣赏，并帮助他们了解如何根据实际指导来确定在使用这些服务时的适当平衡，以便根据数据敏感性的不同来保护数据。尽管数据保护涵盖了许多领域，如备份、持久性、保留和数据主权，但演讲者将主要关注数据安全方面。 Van Demon先生在提供关于亚马逊云科技身份和访问管理（IAM）的10分钟概述之前，首先为我们揭示了一些具体的细节。IAM在控制对亚马逊云科技服务的访问方面起着至关重要的作用，包括每天对诸如启动EC2实例或使用KMS密钥等服务进行的数十亿次API调用。IAM采用主体、操作、资源和条件的模型，将“谁可以在何种条件下访问什么”的回答编码到IAM策略中。尽管有100多种不同的IAM策略类型，但从高级角度来看，可以主要归纳为两类：通过拒绝不良操作来指定最大权限的安全护栏，以及实际授予特定允许权限的授权。 这些有效权限由所有适用策略的交集来决定。Van Demon先生还介绍了从基于身份的到基于资源的不同类型的IAM策略，并强调了它们是如何一起评估以确定有效权限的。 为了进一步说明这一点，Van Demon先生引入了一个包含敏感客户数据的示例营销应用程序，该数据存储在[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)和[Amazon DynamoDB](https://aws.amazon.com/cn/dynamodb/?trk=cndc-detail)中。这个应用程序在多层VPC网络和安全组的保护下，安全地访问亚马逊云科技服务。他强调，虽然S3和DynamoDB的具体服务并不重要，关键是需要访问敏感数据的应用程序的概念。这代表了许多现实生活中的客户使用案例，例如处理机密数据的医疗保健、金融服务和政府部门。 他们采取第一步来保护客户的敏感数据，即实施最基本的最小权限访问。通过使用亚马逊云科技的CLI和SDK，为运行应用程序的EC2实例创建必要的权限，以便能够执行访问存储数据的S3桶和DynamoDB表所必需的特定API操作。IAM会为EC2实例提供临时的安全凭证，这些凭证每小时会自动更换。亚马逊云科技的SDK可以处理使用这些凭证对API调用的签名，无需额外的编程操作。此外，他们还为一个S3桶添加了桶策略，仅允许应用程序创建的具体IAM角色进行访问，明确拒绝了所有其他的访问请求。这样的设置相当于设定了一个“不变量”，精确地指定了允许的访问方式，确保了拒绝优先于任何其他可能更为宽容的策略。 接下来，他们会限制连接，将公共互联网访问替换为亚马逊云科技S3和亚马逊云科技DynamoDB的VPC端点。这将在VPC内部提供一个策略执行点，并将VPC上下文信息传递给IAM进行条件评估。同时，他们还会更新IAM和S3桶策略，只允许从部署应用程序服务器的特定VPC子网进行访问。Van Demon先生解释道，这是一种常见的网络分段和客户实施模式，从他们的企业VPC对亚马逊云科技服务实现私有访问。 在加密方面，演讲者创建了一个用于客户管理的亚马逊云科技KMS密钥，并为它附加了一个策略，允许应用程序服务器使用的IAM角色有权使用此密钥进行加密和解密操作。同时，他们还更新了S3桶策略，要求该桶中的所有对象都必须用指定的亚马逊云科技KMS密钥进行加密。尽管亚马逊云科技S3会代表应用程序使用前向访问会话调用亚马逊云科技KMS，但他们仍确保与应用程序EC2实例关联的IAM角色的权限得以执行。Van Demon先生指出，这种在策略中要求加密的做法是许多客户的首选做法，以确保敏感数据始终在传输和静止时都能得到加密保护。 作为额外的安全措施,亚马逊云科技组织(Amazon Web Services Organizations)在根级别实施了服务控制策略(SCP)，以限制仅对其账户和资源的访问，从而防止特权升级。据范·迪蒙先生介绍，客户通常会采用这种方法在其亚马逊云科技账户周围创建一个安全的数据边界。此外，还添加了额外的控制来监控异常和拒绝访问，这是因为已经实施了严格的最小权限策略。亚马逊GuardDuty被配置为检测与IAM权限相关的潜在异常活动，同时分析启用S3数据事件的亚马逊云科技CloudTrail事件日志，以便在任何S3拒绝访问时发出警报。范·迪蒙先生说，关注安全的客户除了使用预防措施外，还会将分析拒绝请求作为重要的侦查控制。 接下来，范·迪蒙先生在35分钟后将发言权交给了李先生，以概述亚马逊云科技密钥管理服务（Key Management Service）以及讨论管理加密密钥的选择。李先生解释称，亚马逊云科技KMS采用信封加密方式，其中独特的数据键用于加密每个数据对象或文件，然后这些数据键由在KMS中管理的主密钥加密。这提供了额外的安全性，因为用于每个对象的数据键是不同的。亚马逊云科技KMS密钥提供自动密钥轮换、超过99.99%的高可用性和通过定期关键备份的耐用性等安全保护。客户不需要用KMS来管理任何基础设施。他提到了FedRAMP、HIPAA和PCI DSS等合规框架由于其安全控制而使用KMS。 李先生概述了亚马逊云科技KMS提供的四种管理加密密钥的选择，从完全由亚马逊云科技管理到完全由客户管理： 1. 按亚马逊云科技账户创建的亚马逊云科技管理密钥（推荐用于大多数用途） 2. 导入密钥，客户在其中生成并传输自己的密钥材料到KMS 3. 在CloudHSM集群中创建的自定义密钥，以实现严格的隔离和合规性 4. 存储并在客户自己的HSM中管理并通过CloudHSM集成的外部密钥 他注意到了没有一种普遍正确的做法存在，因为这取决于所需的控制、隔离和合规性级别。他建议将密钥与数据所有者绑定，因为他们最了解数据的性能需求和访问策略。李先生表示，客户通常在使用多账户架构时，会分离密钥管理和数据管理角色。 接下来是职责分离的部分，李先生展示了如何在不同的IAM角色之间分割KMS密钥策略，允许密钥用户使用密钥进行加密/解密操作，以及允许密钥管理员管理密钥但不能使用它。这种分离防止了任何人同时拥有对密钥的使用和管理权限，这是安全方面的最佳实践。他强调，为了满足关于最小特权访问的合规标准，这需要定期进行。 下一个关注领域是使用完全由客户管理的客户端侧端到端加密。亚马逊云科技加密SDK和[Amazon DynamoDB](https://aws.amazon.com/cn/dynamodb/?trk=cndc-detail)加密客户端通过处理数据加密/解密复杂性和与亚马逊云科技KMS进行关键管理的集成，简化了实现客户端侧加密的过程。这保护了数据免受中间方的侵害并降低了暴露风险。李先生指出，许多客户在多租户环境中使用客户端侧加密来提供数据安全，启用自带密钥加密，或者作为高度敏感数据的额外保护层。 为了防范来自管理员的内鬼威胁，李先生介绍了亚马逊云科技Nitro安全环境，用于提供高度隔离和受限的可信执行环境以进行数据解密和处理。安全环境对其身份进行加密的密码学证明，并被授权使用与其身份关联的特定KMS密钥。密钥被加密到安全环境的公钥上，确保只有那个安全环境中运行的精确代码可以解密密钥和数据。他表示，这项功能帮助许多受监管的客户（如金融、政府和医疗保健行业）满足了针对特权用户访问的合规要求。 总的来说，这场为期60分钟的演讲探讨了如何通过协同方式将加密和粒度授权策略相结合，以灵活且强大地保护数据。亚马逊云科技服务，如KMS与IAM、VPC网络控制和安全内核认证的无缝集成，为客户提供了定制的深度防御。这些功能的共同运用有助于实现全端到端数据安全的可审计访问控制。 在演讲结束时，发言人强调，尽管展示的架构具有很高的安全性，但客户仍需要根据数据的敏感性和风险承受能力为其特定使用场景找到合适的平衡。他们鼓励与会者利用这次会议来了解亚马逊云科技的可能性，并确定在处理机密数据时组织应采用的适当解决方案和密钥管理策略，以满足安全和合规需求。 **下面是一些演讲现场的精彩瞬间：** 领导者始终关注如何在满足客户需求的同时实现安全性与易用性的平衡。  他们通过运用主体、动作、资源和条件的模型，详细阐述了IAM策略的概念，以确保只有合适的人员在符合特定条件的情况下才能访问相应数据。  此外，领导者还强调了IAM角色如何能够通过实例概览来授权访问权限，并实现自动凭证轮换。  在这个过程中，领导者还谈到了如何利用精确的访问控制来检测和调查潜在的异常情况。  值得一提的是，亚马逊云科技将授权与加密相结合，并利用KMS作为客户数据的守护神。  ## 总结 演讲者强调了对敏感数据进行加密和保护的重要性。他们从实施基本的访问控制开始，接着利用亚马逊云科技的KMS和VPC端点进行加密以限制网络访问。接下来，他们采用亚马逊云组织的策略作为约束条件，同时监控被拒绝的请求以识别异常行为。 为了在开发者速度和合规性之间找到平衡，他们建议在每个使用的账户中创建KMS密钥，但同时集中记录日志。对于高度敏感的数据，他们建议将密钥的使用和管理分开。客户端加密进一步减少了数据的泄露风险。 最后，他们介绍了使用Nitro Enclaves进行保密计算的方法。Enclaves为数据处理提供了硬件级别的隔离，甚至保护了管理员免受攻击。Enclaves需要向KMS证明其身份以获取访问权限。这一进步展示了日益严格的保护关键数据的措施。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")