本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

邊緣的安全性

在 中 AWS 雲端，安全是首要任務。隨著組織採用雲端的可擴展性和靈活性， 會 AWS 協助他們採用安全性、身分和合規性作為關鍵業務因素。 將安全性 AWS 整合到其核心基礎設施，並提供 服務來協助您滿足獨特的雲端安全需求。當您將架構的範圍擴展到 時 AWS 雲端，您可以從本機區域和 Outpost 等基礎設施的整合中獲益 AWS 區域。此整合可讓 AWS 將一組選取的核心安全服務擴展到邊緣。

安全性是 AWS 與您之間的共同責任。AWS 共同責任模型區分雲端安全性和雲端安全性：

資料保護

AWS 共同責任模型適用於 AWS Outposts 和 中的資料保護 AWS Local Zones。如此模型所述， AWS 負責保護執行 AWS 雲端 (雲端安全性） 的全域基礎設施。您有責任控制在此基礎設施 (雲端中的安全) 上託管的內容。此內容包含 AWS 服務 您使用之 的安全組態和管理任務。

基於資料保護目的，我們建議您保護 AWS 帳戶 登入資料，並使用 AWS Identity and Access Management (IAM) 或 設定個別使用者AWS IAM Identity Center。這只會為每個使用者提供完成其工作職責所需的許可。

靜態加密

EBS 磁碟區中的加密

使用 時 AWS Outposts，所有資料都會進行靜態加密。金鑰材料是以外部金鑰 Nitro 安全金鑰 (NSK) 包裝，存放在可移除的裝置中。需要 NSK 才能解密 Outpost 機架上的資料。您可以對 EBS 磁碟區和快照使用 Amazon EBS 加密。Amazon EBS 加密使用 AWS Key Management Service (AWS KMS) 和 KMS 金鑰。

在 Local Zones 中， 除非為帳戶啟用加密，否則所有 EBS 磁碟區都會預設在所有 Local Zones 中加密，但 AWS Local Zones FAQ 中記錄的清單除外 （請參閱問題：Local Zones 中 EBS 磁碟區的預設加密行為為何？)。

Amazon S3 on Outposts 中的加密

依預設，所有存放在 Amazon S3 on Outposts 中的資料均會使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 進行加密。您可以選擇性以客戶提供的加密金鑰 (SSE-C) 使用伺服器端加密。若要使用 SSE-C，請指定加密金鑰做為物件 API 請求的一部分。伺服器端加密只會加密物件資料，非物件中繼資料。

傳輸中加密

對於 AWS Outposts，服務連結是 Outposts 伺服器與所選 AWS 區域 （或主要區域） 之間的必要連線，並允許管理 Outpost 和往返 的流量交換 AWS 區域。服務連結使用 AWS 受管 VPN 與主要區域通訊。內部的每個主機 AWS Outposts 都會建立一組 VPN 通道，以分割控制平面流量和 VPC 流量。根據 的服務連結連線 （網際網路或 AWS Direct Connect) AWS Outposts，這些通道需要開啟防火牆連接埠，服務連結才能在上面建立浮水印。如需 和服務連結安全性 AWS Outposts 的詳細資訊，請參閱 AWS Outposts 文件中的透過服務連結的連線和 中的基礎設施安全性 AWS Outposts。

AWS Outposts 服務連結會建立加密通道，以建立與父系的控制平面和資料平面連線 AWS 區域，如下圖所示。

每個 AWS Outposts 主機 （運算和儲存） 都需要透過已知的 TCP 和 UDP 連接埠使用這些加密通道，才能與其父區域通訊。下表顯示 UDP 和 TCP 通訊協定的來源和目的地連接埠和地址。

本地區域也會透過備援且高頻寬的 Amazon 全域私有骨幹連接到父區域。此連線可讓在 Local Zones 中執行的應用程式快速、安全且無縫地存取其他 AWS 服務。只要 Local Zones 是 AWS 全球基礎設施的一部分，所有流經 AWS 全球網路的資料都會在實體層自動加密，再離開 AWS 安全的設施。如果您對於加密內部部署位置和 AWS Direct Connect PoPs 之間傳輸中的資料以存取 Local Zone 有特定需求，您可以在內部部署路由器或交換器與 AWS Direct Connect 端點之間啟用 MAC Security (MACsec)。如需詳細資訊，請參閱 AWS 部落格文章將 MACsec 安全性新增至 AWS Direct Connect 連線。

資料刪除

當您在 中停止或終止 EC2 執行個體時 AWS Outposts，Hypervisor 會先清除 （設定為零） 分配給新執行個體的記憶體，並重設每個儲存區塊。從 Outpost 硬體刪除資料涉及使用專用硬體。NSK 是一種小型裝置，如下圖所示，連接至 Outpost 中每個運算或儲存單元的正面。它旨在提供一種機制，以防止您的資料從資料中心或主機代管網站公開。Outpost 裝置上的資料會受到保護，方法是包裝用來加密裝置的金鑰資料，並將包裝的資料存放在 NSK 上。當您傳回 Outpost 主機時，您可以旋轉晶片上的小型螺絲來銷毀 NSK，該螺絲會摧毀 NSK 並實際銷毀晶片。銷毀 NSK 會在 Outpost 上以密碼編譯方式分割資料。

身分與存取管理

AWS Identity and Access Management (IAM) 是一種 AWS 服務 ，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以進行驗證 （登入） 和授權 （具有許可） 來使用 AWS Outposts 資源。如果您有 AWS 帳戶，則可以免費使用 IAM。

下表列出您可以使用的 IAM 功能 AWS Outposts。

* 除了 IAM 身分型政策之外，Amazon S3 on Outposts 還支援儲存貯體和存取點政策。這些是連接至 Amazon S3 on Outposts 資源的資源型政策。

如需 中如何支援這些功能的詳細資訊 AWS Outposts，請參閱 AWS Outposts 使用者指南。

基礎架構安全

基礎設施保護是資訊安全計畫的關鍵部分。它可確保工作負載系統和服務受到保護，免於意外和未經授權的存取，以及潛在的漏洞。例如，您可以定義信任界限 （例如網路和帳戶界限）、系統安全組態和維護 （例如強化、最小化和修補）、作業系統身分驗證和授權 （例如使用者、金鑰和存取層級），以及其他適當的政策強制執行點 （例如 Web 應用程式防火牆或 API 閘道）。

AWS 提供多種基礎設施保護方法，如以下各節所述。

保護網路

您的使用者可能是人力資源或客戶的一部分，而且可以位於任何地方。因此，您無法信任有權存取您網路的每個人。當您遵循在所有層套用安全性的原則時，您會採用零信任方法。在零信任安全模型中，應用程式元件或微服務被視為分散的，而且沒有元件或微服務信任任何其他元件或微服務。若要實現零信任安全性，請遵循下列建議：

保護運算資源

運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。每個運算資源類型都需要不同的安全方法。不過，這些資源會共用您需要考慮的常見策略：深度防禦、漏洞管理、減少攻擊面、組態和操作自動化，以及遠端執行動作。

以下是保護關鍵服務運算資源的一般指引：

此外，針對 AWS 服務 您使用的每個 ，請檢查服務文件中的特定安全建議。

網際網路存取

AWS Outposts 和 Local Zones 都提供架構模式，讓您的工作負載能夠存取和存取網際網路。當您使用這些模式時，只有當您將其用於修補、更新、存取外部的 Git 儲存庫，以及類似案例時 AWS，才考慮從 區域使用網際網路是可行的選項。對於此架構模式，會套用集中式傳入檢查和集中式網際網路輸出的概念。這些存取模式使用 AWS Transit Gateway NAT 閘道、網路防火牆和其他位於 中的元件 AWS 區域，但透過區域和邊緣之間的資料路徑連接到 AWS Outposts 或 Local Zones。

Local Zones 採用稱為網路邊界群組的網路建構，用於 AWS 區域。 會 AWS 公告來自這些唯一群組的公有 IP 地址。網路邊界群組包含可用區域、本機區域或 Wavelength 區域。您可以明確配置公有 IP 地址集區，以用於網路邊界群組。您可以使用網路邊界群組，允許從群組提供彈性 IP 地址，將網際網路閘道延伸到 Local Zones。此選項要求您部署其他元件，以補充 Local Zones 中提供的核心服務。這些元件可能來自 ISVs並協助您在 Local Zone 中建置檢查層，如 AWS 部落格文章所述。 AWS Local Zones

在 中 AWS Outposts，如果您想要使用本機閘道 (LGW) 從網路連線到網際網路，則必須修改與 AWS Outposts 子網路相關聯的自訂路由表。路由表必須具有使用 LGW 做為下一個躍點的預設路由項目 (0.0.0.0/0)。您有責任在本機網路中實作剩餘的安全控制，包括周邊防禦，例如防火牆和入侵預防系統或入侵偵測系統 (IPS/IDS)。這符合共同的責任模型，這會劃分您與雲端提供者之間的安全責任。

透過父系存取網際網路 AWS 區域

在此選項中，Outpost 中的工作負載會透過服務連結和父系中的網際網路閘道存取網際網路 AWS 區域。網際網路的傳出流量可以透過 VPC 中執行個體化的 NAT 閘道路由。為了提高輸入和輸出流量的安全性，您可以在 中使用 AWS 安全服務 AWS WAF，例如 AWS Shield和 Amazon CloudFront AWS 區域。

下圖顯示 AWS Outposts 執行個體中的工作負載與透過父系的網際網路之間的流量 AWS 區域。

透過您本機資料中心的網路進行網際網路存取

在此選項中，Outpost 中的工作負載會透過本機資料中心存取網際網路。存取網際網路的工作負載流量會透過您本機網際網路的存在點周遊，並在本機輸出。在這種情況下，您本機資料中心的網路安全基礎設施負責保護 AWS Outposts 工作負載流量。

下圖顯示 AWS Outposts 子網路中的工作負載與網際網路之間經過資料中心的流量。

基礎設施控管

無論您的工作負載是部署在 AWS 區域、 Local Zone 或 Outpost 中，您都可以使用 AWS Control Tower 進行基礎設施控管。 AWS Control Tower 提供簡單的方法來設定和管理 AWS 多帳戶環境，遵循規範的最佳實務。 AWS Control Tower 會協調數個其他 的功能 AWS Organizations， AWS 服務包括 和 IAM Identity Center （請參閱所有整合服務) AWS Service Catalog，以在不到一小時的時間內建置登陸區域。資源會代表您設定和管理。

AWS Control Tower 提供跨所有 AWS 環境的統一控管，包括區域、本地區域 （低延遲延伸） 和 Outposts （內部部署基礎設施）。這有助於確保整個混合雲端架構的安全性和合規性一致。如需詳細資訊，請參閱 AWS Control Tower 文件。

您可以設定 AWS Control Tower 和 防護機制等功能，以符合政府和金融服務機構 (FSIs) 等受監管產業的資料駐留要求。若要了解如何在邊緣部署資料駐留的護欄，請參閱以下內容：

共用 Outpost 資源

由於 Outpost 是位於資料中心或主機代管空間中的有限基礎設施，為了集中管理 AWS Outposts，您需要集中控制要共用哪些帳戶 AWS Outposts 資源。

透過 Outpost 共用，Outpost 擁有者可以與同一組織中 AWS 帳戶 的其他 共用其 Outpost 和 Outpost 資源，包括 Outpost 網站和子網路 AWS Organizations。身為 Outpost 擁有者，您可以從中央位置建立和管理 Outpost 資源，並在 AWS 帳戶 AWS 組織內的多個 之間共用資源。這可讓其他取用者使用 Outpost 站點、設定 VPC，以及在共用的 Outpost 上啟動並對執行個體進行執行。

中的可共用資源 AWS Outposts 包括：

若要遵循在多帳戶環境中共用 Outposts 資源的最佳實務，請參閱下列 AWS 部落格文章：