关于服务之间的通信，我能信任Amazon安全产品吗？

Question

这个问题可能有一个快速的答案，但是，我想要一个更详细的答案，解释AWS如何提供一种安全的方法来保证服务之间的安全通信。

看看这些例子

这个代码是一个实际的例子，基本上是从Lambda函数执行的。

var sns = new AWS.SNS();
var params = {
    Message: "SMS message test",
    MessageStructure: 'string',
    PhoneNumber: '0045xxxxxxxx',
    Subject: 'Alarm',
    MessageAttributes :{
        'AWS.SNS.SMS.SenderID': {
            'DataType': 'String',
            'StringValue': 'MySender'
        },
        'AWS.SNS.SMS.SMSType': 'Transactional'
    }
};

sns.publish(params, function(err_publish, data) {
    if (err_publish) {}
});

上面的代码通过SNS服务将消息发布到特定的号码。

如您所见，电话号码是一个敏感数据，它将从Lambda函数传输到SNS端点。

var lambda = new AWS.Lambda({region: REGION, apiVersion: '2015-03-31'});
// create JSON object for parameters for invoking Lambda function
var pullParams = {
    FunctionName : 'slotPull',
    InvocationType : 'RequestResponse',
    LogType : 'None'
};

// create variable to hold data returned by the Lambda function
var pullResults;
lambda.invoke(pullParams, function(error, data) {
    if (error) {
        prompt(error);
    } else {
        pullResults = JSON.parse(data.Payload);
    }
});

上面的代码从Lambda函数调用Lambda函数。该代码也作为有效负载敏感数据发送。

等等，有很多场景、体系结构等等，在这些场景中，服务之间的通信正在被执行。

我可以信任这种情况、体系结构等的AWS安全产品吗？

Answer 1

AWS提供了大量的服务，其中一些服务被很好地集成，以完成从AI、Serverless、Bot、Notification等不同的场景。

我们可以从API网关、SNS通知等执行Lambda函数。这种服务之间的通信发生在Amazon的私有网络中，因此，每个呼叫、执行等都是私有和安全的。

为什么？

首先，我们必须了解服务如何调用其他服务？。

和我们所有人一样，我们执行API调用来触发AWS中的服务，AWS本身也是这样做的。AWS提供的SDK和Restful服务使用协议HTTPS执行请求，因此每个通信都将被加密。此外，一切都发生在亚马逊的专用网络中，这是一个非常安全的孤立网络。

看看分担责任模型，了解更多关于您的责任范围的信息。

​

​

安全性和遵从性是AWS和客户之间的共同责任。这种共享模型可以帮助减轻客户的操作负担，因为AWS操作、管理和控制从主机操作系统和虚拟化层到服务所在设施的物理安全的组件。客户负责管理客户操作系统(包括更新和安全修补程序)、其他相关的应用程序软件以及AWS的配置，提供安全组防火墙。客户应该仔细考虑他们选择的服务，因为他们的职责因所使用的服务、将这些服务集成到他们的IT环境以及适用的法律和法规而有所不同。这种分担责任的性质还提供了允许部署的灵活性和客户控制。如下图所示，这种责任的区分通常称为“云与安全”在“云”中的“安全性”。

AWS的职责是提供一个安全的基础设施。该基础设施由硬件、软件、网络和运行AWS服务的设施组成。

云的安全性

AWS负责“云的安全性”- AWS负责保护运行AWS中提供的所有服务的基础设施。该基础设施由硬件、软件、网络和运行AWS服务的设施组成。

云中的安全

客户责任“云中的安全性”-客户责任将由客户选择的AWS服务决定。这决定了客户作为其安全责任的一部分必须执行的配置工作量。例如，诸如(Amazon )、(Amazon )和Amazon等服务被归类为基础设施为服务( EC2)，因此要求客户执行所有必要的安全配置和管理任务。如果客户部署了Amazon实例，则负责管理客户操作系统(包括更新和安全修补程序)、客户在实例上安装的任何应用程序软件或实用程序，以及每个实例上由AWS提供的防火墙(称为安全组)的配置。

最后，AWS服务集成保证了服务之间通信的安全方法，但是，客户负责配置体系结构的每个部分，以满足对基础设施的需求。AWS将在其专用网络中提供服务之间的安全通信通道。

资源

• 下载最多的10份AWS安全和法规文档
• 分担责任模型
• 安全和合规白皮书