首页 » 亚马逊云科技解决方案 » 安全与合规 » 网络安全等级保护 » 亚马逊云科技云原生等保解决方案
亚马逊云科技云原生等保解决方案指南
此亚马逊云科技解决方案有何用途 ?
亚马逊云科技中国(北京)区域和亚马逊云科技中国(宁夏)区域云平台通过独立的第三方机构验证其标准符合能力,已经完成了等级保护三级测评。
亚马逊云原生等保解决方案,是以云环境责任共担模型以基础、为客户提供云租户层基于云原生安全服务和运维管理工具的解决方案,可以满足客户租户层等保二级和等保三级的需求。该解决方案不仅提供了满足不同等级的等保技术要求所需要的产品服务,还提供在已有 workload 的云环境上构建该方案的 Runbook 文档,便于客户快速构建安全的云环境。该等保解决方案不仅可以满足等保合格要求,同时也帮助客户提升安全基线,符合 WA 安全最佳实践;对于同时使用亚马逊国际云服务和中国区云服务的客户,可以满足安全方案一致性的要求,统一安全运营管理、避免额外的运营负担。
方案优势
符合 WA 安全最佳实践
云原生服务,一个方案同时满足 Well-Architected 安全最佳实践和等保技术要求,默认支持 landing zone 部署架构。
一站式开通
所有服务都通过管理控制台开通,并提供完整的 runbook 操作指南,降低实施难度和运维复杂度。
按量后付费
所有产品都支持 pay as you go 模式,不需要提前规划使用量及预付费,节省成本。
亚马逊云科技解决方案概述
以下架构图展示了整个方案的部署架构。
图 1: 云原生等保解决方案
图示说明
- 在一个区域的两个可用区部署业务应用的高可用架构;
- 通过 VPC、NFW 和安全组进行四层网络隔离和访问控制;
- 通过 NFW 进行网络入侵防御、恶意域名和恶意软件访问管理和拦截等;
- 通过 WAF 进行七层网络访问控制及威胁检测拦截;
- 通过 GuardDuty 进行恶意软件检测、云环境威胁检测及网络入侵检测;
- 使用 Inspector 进行操作系统和中间件的 CVE 漏洞检测,并用 Systems Manager Patch Manager 进行自动化打补丁;
- 使用 Systems Manager Session Manager 做云主机 EC2 的运维管理和操作审计;
- 通过 CloudWatch Logs 进行集中日志审计,包括云主机运维日志、数据库 audit log、云平台操作日志 CloudTrail log、WAF log、EC2 的 OS log 和应用程序 log 等;
- 使用 KMS 进行敏感数据加密保护;
- 使用 Security hub 统一收集安全告警事件,实现云安全中心的安全运营能力。
