本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 防止未经授权的访问和数据外泄
根据 [2022年数据泄露成本报告](https://securityintelligence.com/series/2022-cost-of-a-data-breach-report/)(Ponemon Institute报告),2022年数据泄露的平均成本为30万美元 USD4。对于半导体公司而言,保护知识产权(IP)至关重要。由于未经授权访问而导致的 IP 丢失可能造成经济损失、声誉受损,甚至是监管后果。这些潜在的后果使得控制数据访问和数据流成为架构完善设计中的关键环节。
保护数据安全的关键考虑因素包括:
+ 访问安全开发环境的用户身份验证
+ 访问安全开发环境内数据的用户授权
+ 记录进出安全开发环境的所有传输
+ 架构环境之间的安全数据流动
+ 传输中数据和静态数据加密
+ 限制和记录出站网络流量
## 配置权限
[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 通过控制谁经过身份验证并有权使用 AWS 资源,从而帮助您安全地管理对资源的访问权限。默认情况下,除非明确允许 AWS ,否则中的任何操作都会被隐式拒绝。您可以通过创建*策略*来管理 AWS 中的访问权限。您可以使用策略来精细定义哪些用户可以访问哪些资源,以及他们可以对这些资源执行哪些操作。 AWS 最佳做法是应用最低权限权限,这意味着您只向用户授予他们执行任务所需的权限。有关更多信息,请参阅 IAM 文档中的以下内容:
+ [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)
+ [ IAM 安全最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#:~:text=Management%20User%20Guide.-,Apply%20least%2Dprivilege%20permissions,known%20as%20least%2Dprivilege%20permissions)
## 验证用户身份
AWS 最佳做法是要求人类用户使用与身份提供商的联合身份验证才能使用临时证书 AWS 进行访问。集中处理用户员工访问权限的推荐服务是 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。此服务可帮助您安全地创建或连接员工身份,并集中管理他们对 AWS 账户 和应用程序的访问权限。IAM Identity Center 可以使用 SAML 2.0、Open ID Connect (OIDC) 或 OAuth 2.0 与外部身份提供商 () 联合,以提供无缝集成和用户管理。IdPs有关更多信息,请参阅 AWS(AWS 营销)[中的身份联合](https://aws.amazon.com/identity/federation/)和[身份提供商和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)(IAM 文档)。
您还可以使用 [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) 管理在 Active Directory 等目录中定义的用户和组,对用户进行身份验证和授权。在安全的开发环境中,您可以使用 Linux 文件权限来授权和限制虚拟私有云(VPC)内的数据访问。使用 [VPC 终端节点](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)提供访问权限, AWS 服务 无需通过公共互联网。使用[终端节点策略](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)限制哪些 AWS 委托人可以使用终端节点,并使用基于身份的策略来限制对终端节点的访问。 AWS 服务
## 传输数据
AWS 提供了多种将本地数据迁移到云端的方法。通常将数据最初存储在 [Amazon Simple Storage Service(Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)中。Amazon S3 是一项基于云的对象存储服务,可帮助您存储、保护和检索任意数量的数据。传输数据出入 Amazon Elastic Compute Cloud(Amazon EC2)实例时,它可提供高达 25 Gbps 的带宽。该服务还提供跨区域数据复制和数据分层。存储在 Amazon S3 中的数据可以用作复制源。您可以使用它来创建新的文件系统或将数据传输到 EC2 实例。您可以将 Amazon S3 用作半导体工具和流程的 AWS 托管、符合便携式操作系统接口 (POSIX) 标准的文件系统的后端。
另一项 AWS 存储服务是 [Amazon FSx](https://docs.aws.amazon.com/fsx/),它提供的文件系统支持行业标准的连接协议,并提供高可用性和跨 AWS 区域复制功能。半导体行业的常见选择包括 [ NetApp ONTAP FSx 的亚马逊](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)、[Lustre FSx 的亚马逊和](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html) OpenZFS [ FSx 的亚马逊。](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html)Amazon 中可扩展、高性能的文件系统 FSx非常适合在安全的开发环境中本地存储数据。
AWS 建议您 AWS 先[定义半导体工作负载的存储要求](https://docs.aws.amazon.com/whitepapers/latest/semiconductor-design-on-aws/define-storage-requirements-and-transfer-data.html),然后确定适当的数据传输机制。 AWS 建议使用[AWS DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)将数据从本地传输到 AWS。 DataSync 是一项在线数据传输和发现服务,可帮助您在 AWS 存储服务之间移动文件或对象数据。根据您使用的是自我管理的存储系统还是存储提供商(例如) NetApp,您可以进行配置 DataSync 以加快通过 Internet 或通过互联网向安全开发环境移动和复制数据的速度。 AWS Direct Connect DataSync 可以传输您的文件系统数据和元数据,例如所有权、时间戳和访问权限。如果您要在 ONTAP 和 NetApp ONTAP 之间传输文件, AWS 建议 FSx 使用。[NetApp SnapMirror](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/migrating-fsx-ontap-snapmirror.html)Amazon FSx 支持静态和传输中的加密。使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 和其他服务特定的日志记录功能,记录所有 API 调用和相关数据传输。将日志集中在专用账户中,并对不可变的历史记录应用精细的访问策略。
AWS 提供其他服务来帮助控制数据流,包括具有应用程序感知能力的网络防火墙 [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html),例如 [Amazon Route 53 Resolver DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)和 Web [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)代理。通过使用[安全组](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)、[网络访问控制列表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)和 Amazon Virtual Private Cloud (Amazon VPC) 中的 VPC 终端节点、网络防火墙、中[转网关路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)和[服务控制策略 (SCPs) 来控制](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)环境内的数据流 AWS Organizations。使用 [VPC 流日志](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/vpc-flow-logs.html)和 VPC 流日志版本 2-5 中的[可用字段](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)集中记录所有网络流量。
## 加密数据
使用 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)客户自主管理型密钥或 [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) 加密所有静态数据。创建和维护精细的密钥资源策略。有关详细信息,请参阅 [Creating an enterprise encryption strategy for data at rest](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。
使用行业标准的 256 位高级加密标准(AES-256)密码强制执行最低 TLS 1.2,加密传输中数据。
## 管理出站网络流量
如果安全开发环境需要访问互联网,则应通过网络级执行点(例如通过 Network Firewall 或开源代理 [Squid](http://www.squid-cache.org/Intro/))记录和限制所有出站互联网流量。VPC 端点和互联网代理可帮助防止用户未经授权的数据外泄。这对于允许在安全开发环境中且仅在 VPC 内访问数据至关重要。
最后,您可以使用[网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html)(Amazon VPC 的一项功能)执行网络分段验证,并识别不满足指定要求的潜在网络路径。
通过分层安全控制措施,您可以建立和强制执行强大的数据边界。有关更多信息,请参阅在[上构建数据边界。 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)