可以看到您的数据

<h1>AWS安全神话第1部分 – 数据安全</h1>
<blockquote>首先，您保留对数据的责任和全部所有权，AWS完全致力于履行其处理数据的责任. AWS允许您将数据保留在云中，包括为您确定数据所在的哪个区域提供功能. AWS还将保护您的数据免受未经授权的访问权限的访问.</blockquote>
<h2>可以看到您的数据</h2>
<p>Reddit及其合作伙伴使用饼干和类似技术为您提供更好的体验.</p>
<p>通过接受所有饼干，您同意我们使用cookie来提供和维护我们的服务和网站，提高reddit的质量，个性化reddit内容和广告，并衡量广告的有效性.</p>
<p>通过拒绝非必需的cookie，Reddit仍然可以使用某些cookie来确保我们平台的正确功能.</p>
<p>有关更多信息，请参阅我们的cookie通知和我们的隐私政策 .</p>
<h2>AWS安全神话第1部分 – 数据安全</h2>
<img src=”https://media.bridewell.com/web/images/default-source/insights/aws-security-myths-part-1—data-security.jpg?sfvrsn=ba44c59b_1″ alt=”云” />
<h2>在赶上AWS回复的同时：本月发明，我遇到了AWS神话破坏会议. 谈话本身确实试图消除或反驳公共云安全性的共同误解. 这个博客旨在解决安全神话，一般而言.</h2>
<p>总会有一些行业和特定用例可能不适合，例如工业控制系统环境和政府最高的分类级别. 但是，云提供商正在通过专业服务，专门的建筑模式和云服务线路来解决这些领域，并确保了更高的政府安全级别.</p>
<p>在我尝试总结谈话的关键要素之前，我认为了解与云提供商和云消费者有关的共同责任模型的概念很重要.</p>
<h2>主要要点</h2>
<p>简单地将云提供商始终负责云的安全性. 这可以从基础数据中心的物理安全性到基础硬件和虚拟化技术的逻辑安全性，管理和维护，这些技术支撑了云消费者可用的服务和技术.</p>
<p>云服务的消费者将始终负责云中安全性的某些元素. 在AWS中，这可能包括对EC2实例进行修补，用户身份和访问管理（IAM），并确保对客户数据进行保护. 但是，根据所消耗的云服务的类型，职责可能会有所不同。一个示例是无服务器技术，消费者可以利用云提供商的额外安全性和弹性.</p>
<p><img src=”https://media.bridewell.com/web/images/default-source/insights/aws-security-myths-part-1.png?sfvrsn=317561e4_1″ alt=”AWS安全神话第1部分” /></p>
<p>这是两部分系列中的第一个试图消除与公共云使用和安全性相关的神话. 以下部分旨在解决有关您在AWS中数据的神话.</p>
<h3>&ldquo;我在云中失去了对数据的所有权和控制，并且可以在不知情的情况下将其转移到不同的国家&rdquo;</h3>
<p>首先，您保留对数据的责任和全部所有权，AWS完全致力于履行其处理数据的责任. AWS允许您将数据保留在云中，包括为您确定数据所在的哪个区域提供功能. AWS还将保护您的数据免受未经授权的访问权限的访问.</p>
<h3>&ldquo;我无法将我的敏感个人数据放在公共云中&rdquo;</h3>
<p>AWS施加的云职责的安全包括在他们负责的层面上保持数据的隐私/机密性. 除此之外，AWS为客户提供了将数据保护在云中的工具.</p>
<p>一个很好的例子是能够在AWS服务线中加密数据和静止的能力. 使用无处不在的技术可以使用良好的服务（例如AWS密钥管理服务（KMS）或AWS Cloud Cloud硬件安全模块（HSM））来实现这一点。.</p>
<h3>我无法控制如何删除数据，也无法验证处置</h3>
<p>在设备可用的生活中，AWS使用零零和去除逻辑指针等技术来消毒媒体并使客户数据无法阅读. 就目前的设备准备被物理销毁，AWS将在其数据中心的安全区域内安全销毁媒体. 客户可以通过审查AWS中的文档（例如SOC2报告.</p>
<h3>其他客户使用无服务器技术时可以看到我的数据</h3>
<p>AWS中的无服务器服务继承了基础服务中内置的安全控件；例如，由EC2和容器支撑的Lambda. 这些服务是按照AWS的最佳实践来确保的，这些实践提供了强烈的隔离，确保来自不同AWS帐户的代码始终在EC2实例中运行. 记录机制还确保可见无服务器环境中发生的事情.</p>
<p>无服务器中的客户责任包括确保身份并访问您自己的无服务器应用程序</p>
<h3>政府可以在AWS中访问我的数据</h3>
<p>AWS了解客户隐私极为重要，并且只会披露客户内容的法律强迫，并收到了具有法律约束力的法院命令. 这包括明确表明犯罪活动的地方.</p>
<p>AWS审查执法部门的请求，并且不会促进访问请求，以免被视为超过或不适当的请求. 在可能的情况下，AWS将通知您任何此类请求，但没有法律要求延迟或扣留通知</p>
<h3>AWS员工可以查看我的数据</h3>
<p>AWS内的管理访问是基于&ldquo;使人类远离数据&rdquo;的理念. AWS主要利用自动化来管理，维护和扩展其云产品. 有时需要人类访问，但它受强大的控制措施的约束，包括：</p>
<ul>
<li>具有物理访问AWS客户资产的员工不会获得您数据的逻辑访问权利，反之亦然</li>
<li>公司网络和服务网络被隔离并使用单独的身份提供商</li>
<li>访问由使用VPN，多因素身份验证，设备证书和堡垒主机的使用来控制. 所有访问均已记录</li>
<li>具有行政访问的员工受到增强的筛查水平</li>
<li>所有管理访问均通过票证记录，并采取评估和采取行动来解决根本原因，并开发自动化以防止类似问题.</li>
</ul>
<h3>可以绕过虚拟化技术以访问其他客户数据</h3>
<p>AWS在构建虚拟化技术方面拥有十多年的经验，以建立和扩展其业务. 他们与禅宗管理程序社区大量参与了其服务中的使用，这使他们能够了解安全或功能问题.</p>
<p>AWS还限制了它们在Zen机身内使用的功能，从而进一步降低了攻击表面，并且在许多情况下会影响Zen Hypervisor软件. AWS已开始将软件组件转移到其硝基系统中的硬件中，该系统提供了进一步的虚拟化隔离和其他安全益处.</p>
<h3>云对于存储敏感数据很危险，每个人都可以访问它</h3>
<p>的确，有很多关于未受保护的S3存储桶泄漏敏感数据的故事，例如访问密钥或客户个人信息. 但是，默认情况下，AWS S3和许多其他服务是安全的. 像当今许多事件和随后的违规行为一样，根本原因通常归因于缺乏安全意识和培训，以及/或安全性错误。</p>
<p>当在S3中创建一个存储桶时，默认情况下将其设置为私有. 这意味着它不能公开查看. 在您想公开共享水桶的情况下，有几个可以安全地实现这一目标的控件.</p>
<ul>
<li>首先是IAM策略，可用于限制用户，组和角色更改设置，并提供访问存储桶的能力.</li>
<li>第二道防线是S3桶政策。这些是可以用来限制访问存储桶的水平级策略.</li>
<li>最后，通过使用CloudTrail和CloudWatch，您可以在发现公共存储桶和/或过于允许的存储桶权限时监视和警报. 然后，可以使用lambda创建功能以使事件响应自动化和修复不安全的S3存储桶.</li>
</ul>
<h2>概括</h2>
<p>总体而言，AWS和云提供商在确保您在共同责任模型中负责的层面确保您的数据做得很好. 他们还提供工具和支持，以使云消费者能够有效地将其数据固定在公共云上. 重要的是要了解云使组织能够快速扩展其基础架构和应用程序以响应内部和客户需求.</p>
<p>这些功能还可以导致云中数据安全的成功或失败. 在将数据放置在云中之前，应采取相同的注意以识别，分类和保护您的数据与您所控制的任何资产. 显然，与传统的本地基础架构相比.</p>
<p>如果您想知道Bridewell如何帮助您确保您的云旅程，请保持联系.</p>