安全不变性：从企业杂乱到云端秩序

安全不变性：从企业杂乱到云端秩序

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Security Invariance， Service Control Policies， Resource Control Policies， Declarative Policies， Permission Boundaries]
  导读

安全不变量是云环境中至关紧张的保护措施，但在大规模实施它们具有挑战性。将它们摆设到现有环境中而不破坏现有功能更加困难。本次会议定义了不变量，并演示了怎样大规模构建和摆设它们。了解怎样使用账户和组织级别的设置（如BPA和IMDSv2），并在深入探究IAM和SCP创建细节之前，赋能主动化修复。本次会议充满实用示例，包括主动化测试和AI天生支持。
  演讲精华

以下是小编为您整理的本次演讲的精华。
在云计算范畴，安全不变性(security invariance)作为一个关键概念应运而生，旨在办理企业安全实践中的同等性和负担减轻需求。Chris Farris是一位云安全布道者和亚马逊云科技安全英雄，与履历丰富的云安全研究员Rich Mogull一同在亚马逊云科技 re:Invent 2024活动上阐述了这种变革性方法。
Farris和Mogull首先阐明了安全不变性的本质，将其定义为一组与业务核心原则保持同等的防备性控制措施。他们解释说，这些控制措施颠末经心计划，旨在确保严酷执行某些行为或设置，不留任何偏差空间。
演讲者夸大，安全变乱通常源于看似无害的错误，而非复杂细密的攻击。他们认为，安全不变性可以防范这些常见错误，为开辟职员和运维团队设置防护雕栏，确保他们在预定义的边界内运作，从而低沉违规和毛病的风险。
Farris和Mogull阐述了跨越安全范畴所需的多方面方法，包括开辟职员教育、架构计划评审、基础设施代码扫描等技能控制、服务控制策略、主动修复和毛病管理。他们夸大了为每种情况经心选择适当防护雕栏的紧张性，并夸大需要采取量身定制、符合上下文的策略。
随着讨论深入，演讲者显现了在亚马逊云科技生态系统中执行安全不变性的工具武库。他们阐释了服务控制策略(SCPs)怎样管理亚马逊云科技组织中的身份，而资源控制策略(RCPs)则扩展到资源层面，限定任何亚马逊云科技客户的访问权限，无论其组织隶属关系怎样。声明性策略是亚马逊云科技武库中的新增增补，可在服务级别连续强制执行设置，超越了权限范畴。
Farris和Mogull通过切实的例子阐释了安全不变性的概念，如限定特定团队或角色创建虚拟私有云(VPCs)、附加互联网网关或公开袒露S3存储桶。他们夸大了用简单语言定义这些不变量的紧张性，确保它们详细、可执行、实际且没有破例——这是Mogull从与Farris的合作中领悟到的原则。
演讲者随后引导观众了解制定和摆设SCPs、RCPs和声明性策略的复杂过程。他们深入探究了JSON策略、条件键以及管理这些各种控制措施交互的复杂策略评估逻辑。Farris和Mogull夸大了在摆设之前全面明确这些策略的潜伏影响的紧张性，并提供了测试和维护技能，如利用CloudTrail、Access Analyzer和基础设施代码。
认识到管理身份和权限的复杂性，演讲者阐明了权限边界的作用。这些边界在账户级别运作，可防止权限升级，限定管理员无意或恶意地为自己授予更高的访问权限。
贯穿整个演讲，Farris和Mogull夸大了与开辟职员和运维团队进行沟通、保持透明度和协作的至关紧张性。他们提倡创建一个云安全基线文档，全面阐述防护雕栏、允许的操作和各团队的职责。此外，他们建议以可重现的方式存储策略，并营造一种教育氛围，让构建者了解实施防护雕栏背后的原理。
演讲者还深入探究了组织条理结构考虑因素的细微差别，阐明了审慎使用破例、入职、托儿和暂停组织单元(OUs)的紧张性。他们解释说，这些专门的OUs有助于在关键时候(如账户生命周期管理或并购)顺利应用安全不变性，确保安全方面的同等性和可控性。
在结束语中，Farris和Mogull重申了安全不变性的变革潜力，将其定位为在企业云环境中常见的杂乱中带来秩序的催化剂。他们夸大了经心规划、严酷测试和开放沟通的必要性，以充实发挥这一范式的潜力，在强盛的安全性和顺畅的业务运营之间告竣和谐平衡。
Farris和Mogull在亚马逊云科技 re:Invent 2024活动上的演讲记录概括了安全不变性的本质，这一概念有望重塑云安全格局。通过全面的阐述，他们使观众深入明确了导航安全不变性复杂范畴所需的工具、技能和最佳实践，让组织可以或许自信而有弹性地拥抱云计算。
下面是一些演讲现场的精彩瞬间：
演讲者介绍了安全不变性的概念，并答应将在亚马逊云科技上提供定义、技能示例和政策实施细节。

一项安全政策允许根用户仅从公司网络IP地点访问，从而实现快速变乱相应，同时低沉未经授权访问的风险。

探究了用于服务控制策略和IAM策略的强盛全局条件上下文键，实现细粒度访问控制和安全不变性。

Chris Munns解释了在亚马逊云科技 IAM中使用权限边界的用例，允许管理员管理IAM资源，同时防止权限升级。

演示了使用带有知识库的语言模型天生和评估服务控制策略，夸大了人工监视的紧张性以及利用现有策略库的作用。

在收购新公司时，通过建立暂时组织单元来逐步整合其亚马逊云科技账户，制止立即强制执行安全控制措施而影响新公司的技能栈。

演讲者解释了使用“暂停OU”和“全部拒绝”策略暂时禁用账户的紧张性，允许在永久关闭之前轻松规复和故障排查。

  总结

在不断演进的云环境中，安全不变性(security invariance)作为一个强盛的概念应运而生，旨在为企业环境中的杂乱制定防护措施并维持秩序。履历丰富的云安全专家Chris Farris和Rich Mogull深入探究了利用亚马逊云科技工具和最佳实践实施安全不变性的复杂性。
不变性是一种始终如一的防备性控制措施，旨在减轻安全负担并在整个组织内提供同等性。通过利用服务控制策略、资源控制策略和声明性策略，亚马逊云科技提供了一套全面的工具，可以在身份、资源和设置等各个层面实施不变性。
演讲者夸大了用简单语言定义不变性的紧张性，例如“只有网络工程团队才能创建VPC”，然后将其转化为可执行的策略。他们引导观众了解复杂的策略评估逻辑，演示怎样使用JSON语法和条件键来制定有用的服务控制策略和资源控制策略。
此外，演示还夸大了权限边界在限定权限提升方面的作用，以及委派管理在保护关键安全控制方面的紧张性。演讲者夸大了谨慎摆设、测试和维护这些不变性的必要性，利用基础设施作为代码并与开辟团队进行透明沟通。
最后，Farris和Mogull夸大了安全不变性在从企业杂乱过渡到云秩序方面的变革潜力，使组织可以或许为其云操作奠基安全和同等的基础。
亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球天生式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 搜集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告