本文中讨论的Nitro系统设计功能是在AWS的全套强大控制的背景下运行的,以维护AWS云中的安全和数据保护。在本节中,我们将对相关AWS安全和合规实践进行高级概述。作为AWS客户,您继承了AWS政策、体系结构和运营流程的所有最佳实践,以满足我们最安全敏感客户的要求。
AWS环境不断接受审计,并获得来自不同地区和垂直行业的认证机构的认证。如果需要,AWS前哨站还为客户提供了在位于自己设施内的基于Nitro System的硬件上本地运行AWS计算、存储、数据库和其他服务的能力。
基础设施安全
AWS的安全始于我们的核心基础设施,即运行AWS云服务的硬件、软件、网络和设施。我们为云定制,旨在满足世界上最严格的安全要求,我们的基础设施全天候监控,以帮助确保客户数据的机密性、完整性和可用性。使用AWS,您可以建立在最安全的全球基础设施上,知道您始终拥有客户数据,包括加密、移动和管理保留的能力。
物理访问
专业安全人员使用视频监控、双因素和生物特征认证、入侵检测系统和其他电子手段,对AWS数据中心的物理访问进行严格控制,无论是在周界还是在建筑物入口。授权员工必须至少通过两次双重身份验证才能访问数据中心楼层。所有访客都必须出示身份证明,并由授权人员签字并持续陪同。AWS仅向有合法业务需要的员工和承包商提供数据中心访问和信息。
当员工不再需要这些特权时,即使他们继续是亚马逊或亚马逊Web服务的员工,其访问权限也会立即被撤销。AWS员工对数据中心的所有物理访问都会定期记录和审核。
媒体净化
AWS将用于存储客户数据的媒体存储设备分类为“关键”。AWS对如何安装、维修和最终销毁不再有用的设备制定了严格的标准。当存储设备达到其使用寿命时,AWS使用NIST 800-88中详述的技术停用介质。存储客户数据的介质在安全停用之前不会从AWS控制中删除。
数据保护
通过AWS全球网络(连接我们的数据中心和地区)传输的所有数据在我们的安全设施之间传输之前,都会在物理层自动加密。还存在其他加密层;例如,所有区域间VPC对等流量以及客户或服务到服务TLS连接。我们提供的工具允许您在传输和休息时轻松加密客户数据,以确保只有授权用户才能使用AWS KMS管理的密钥访问,或使用FIPS 140-2 Level 3验证HSM使用AWS CloudHSM管理加密密钥。
我们还为您提供所需的控制和可见性,以帮助您遵守区域和本地数据隐私法律法规。我们全球基础设施的设计允许您选择客户数据所在的地区,帮助您满足数据驻留要求。
