宣布 亚马逊云科技 上的 Data Fabric 安全解决方案

联邦客户经常面临的挑战是集成多个系统的数据，并为在多个组织中运营的经过身份验证的用户提供联合访问权限。这些挑战的根源在于孤立的数据存储库、分散且不兼容的身份数据类型，以及不同组织之间缺乏统一的数据访问控制。为了支持联邦客户应对这些挑战，亚马逊网络服务（亚马逊云科技）开发了基于亚马逊云科技的数据结构安全（DFS）解决方案，以支持多组织系统的身份和访问需求。借助 DFS on 亚马逊云科技，联邦客户可以通过消除阻碍系统和用户通信的障碍来加速云端的联合互操作性、现代化和数据驱动型决策，同时仍能通过 Zero Trust 原则增强安全性。

DFS on 亚马逊云科技 解决方案为客户提供了安全的身份聚合、数据访问和大规模数据治理解决方案，最适合大型企业用例。DFS on 亚马逊云科技 部署由集中式数据治理和身份聚合层组成的安全基础，提供基于属性的精细访问控制 (ABAC)，利用现代身份、凭证和访问管理 (ICAM) 架构来应对身份和访问管理挑战。

DFS on 亚马逊云科技 采用 零信任方法 ，将统一身份层与基于属性的精细权限集成在一起，因此任务所有者可以放心地利用来自多个环境的数据，以相关速度向客户提供功能。DFS on 亚马逊云科技 将解决方案提供商 Radiant Logic 的身份统一/ICAM 解决方案 与 亚马逊云科技 合作伙伴 Immuta 的灵活数据安全平台集成在一起 ，同时将身份与身份验证分离，实现大规模基于属性的控制。然后，这些集成功能将通过 亚马逊弹性 Kubernetes 服务 （亚马逊 EKS）集群启动。

美国国防部 (DoD) 亚马逊云科技 首席技术专家罗布·诺伦说：“我们的 Data Fabric 安全解决方案的目标是让我们的客户更容易在企业内共享和整合数据。”“通过将身份与身份验证分离，客户可以利用强大的身份属性来制定强大的基于属性的访问控制策略。这将促进与提供商的敏捷和安全的数据共享。Radiant Logic 和 Immuta 数据安全平台是这个难题的关键部分，可实现安全、合规的数据分析以及数据平台、安全和合规团队之间的大规模协作。我们很高兴能联手努力消除这一过程中的瓶颈，为我们的客户提供他们需要和应得的及时分析和数据共享能力。”

亚马逊云科技 上的 DFS 由 亚马逊云科技 使用 AW S 云开发套件 (亚马逊云科技 CDK) 构建，该框架用于将云基础设施定义为代码 (IaC) 并通过 亚马逊云科技 CloudFormation 进行配置。 通过 亚马逊云科技 CDK 交付可自动集成和启动该解决方案，并自动配置所需的网络，其中可能包括虚拟私有云 (VPC) 和 Amazon Route 53 资源 。这种全包式方法使客户能够专注于连接身份和数据源以及配置策略，而不是构建架构。

亚马逊云科技 上数据结构安全的关键要素

DFS on 亚马逊云科技 解决方案有四个关键要素，可帮助大型和企业客户更好地管理用户、数据和应用程序。

1. 自动容器化部署： AW S 上的 DFS 提供了身份统一、数据访问和监管功能的自动全包部署。利用基础设施即代码 (IaC) 和容器化意味着客户可以从已经集成的解决方案中受益，该解决方案已预先配置了所有必需的资源和组件。
2. 统一身份作为单一的 “全球” 身份： 该解决方案的Radiant Logic组件将来自不同来源的身份合并并对其进行合理化，从而提供统一的用户列表以及其完整的身份档案（属性），没有重叠之处。然后，亚马逊云科技 上 DFS 的数据安全组件 Immuta 指出，Radiant Logic 是身份验证和授权的单一事实来源，这可确保访问控制得到适当执行。Radiant Logic 可以转换和翻译身份数据以满足每个查询系统的要求。
3. 使用 ICAM 和 ABAC 实施零信任： Radiant Logic 充当政策信息点，负责验证身份和检索属性。Immuta 充当策略管理和策略决策点，负责制定和评估要在所查询的数据存储上强制执行的策略。亚马逊云科技 上的 DFS 允许客户通过 Immuta 构建通俗易懂的数据访问策略，使用存储在 Radiant Logic 中的身份和属性来自动执行数据隐私和治理。Immuta 可以创建一次数据策略，然后在新用户和现有用户中强制执行这些策略，同时提供列、行和单元格级别的访问权限。
4. 高度可用、可扩展的解决方案： DFS on 亚马逊云科技 采用 亚马逊云科技 构建，可提供高可用性和容错能力，这是在多个始终在线的环境中共享和分析数据不可或缺的要求。DFS on 亚马逊云科技 是一种多可用区 (AZ) 部署，使用 弹性负载均衡器 在多个目标之间分配传入的应用程序流量，使其能够根据不断变化的需求向上或向下扩展。

如何在 亚马逊云科技 上部署 DFS

DFS on 亚马逊云科技 解决方案提供概述、部署指南，以及有关相关 亚马逊云科技 成本和如何获得许可证的信息。为在没有活动或工作负载的非关键沙盒环境中运行 DFS on 亚马逊云科技 解决方案而部署的 亚马逊云科技 云产品包括以下内容：

• 一 (1) 个亚马逊 EKS 集群
• 三 (3) 个 m5.2xlarge EC2 实例（跨自动扩展组中的两个可用区）
• 两 (2) 台弹性负载均衡器 — 经典型（Radiant Logic 和 Immuta 各有一台）
• Amazon Route 53（一个托管区域，两条记录）

亚马逊云科技 iaC 上的 DFS 部署启动了上述核心计量产品或服务。亚马逊云科技 合作伙伴应使用这些服务来报价。亚马逊云科技 合作伙伴还可以通过 亚马逊云科技 定价 计算器获取 A WS 云服务的最新定价 。

Radiant Logic 和 Immuta 产品都需要许可证。客户可以联系 Radiant Logic 和 Immuta ，询问价格、许可或其他特定解决方案的问题。

要了解有关 亚马逊云科技 上的 DFS 的更多信息，请 联系您的 亚马逊云科技 代表 或访问 AW S 上的 DFS 快速入门网站。

了解有关 适用于美国政府 的 亚马逊云科技 和用于 国防 的 亚马逊云科技 的 更多信息 。

订阅 亚马逊云科技 公共部门博客时事通讯 ， 将来自公共部门的 亚马逊云科技 工具、解决方案和创新的最新信息发送到您的收件箱，或者 联系我们 。

请花几分钟时间在本次调查中分享您对 亚马逊云科技 公共部门博客的体验的见解 ，我们将使用调查的反馈来创建更多符合读者偏好的内容。