安全设计
在本方案中除了实现业务需求和技术需求,我们也将针对项目中所涉及的信息在数据传输安全、数据存储安全方面进行良好的规划、设计和协助部署。包括:
-
• AWS Identity and Access Management (IAM)安全设计
-
o 确认用户、组、角色、联合认证设计、命名及安全规范标准;
-
o 编制用户、组、角色、联合认证设计列表,制定各部门权限并和用户确认并调整
-
• 网络安全设计
-
o Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址数量规模、命名规范、以及基础网络环境互通策略
-
o 编制Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址、弹性IP地址、NAT网关设计列表及基础网络访问控制,和用户确认并调整
-
o 网络安全组、网络访问控制列表设计
-
o 确认各个应用系统的关联关系和子网流量控制策略规划,确认运维管理的安全组策略
-
o 编制网络安全组策略列表、NACL以及子网关联和路由策略列表,请用户确认并调整
-
• 存储安全设计
-
o 确认数据分类、保密级别等要求
-
o 确认各部门、人员对数据访问的权限设计
-
o 确认需加密存储的数据范围
-
o 设计针对 AMAZON Elastic Block Store(Amazon EBS)、Amazon Simple Storage Service(Amazon S3)、Amazon Relational Database Service(Amazon RDS)、Amazon Elastic File System 等存储的数据加密方式
-
o 设计相应的数据访问权限,如 Amazon Simple Storage Service(Amazon S3) Access Control List、AWS Identity and Access Management (IAM) Policy 等
-
• 日志/审计安全设计
-
o 确认企业安全合规对于日志管理的要求,日志收集范围,日志存放方式以及日志生命周期保留策略
-
o 编制日志收集策略、存储桶列表,请用户确认并调整
-
o 确认企业安全合规对于安全审计的要求,建议开启 AWS Cloudtrail、AWS Config 等服务监控
-
o 指导用户完成AWS Cloudtrail、AWS Config 等服务监控的查看和分析,并协助制定相应的应急措施