我们的控制措施

AWS 数据中心从设计之初便注重安全性,并且我们采取控制措施来实现这一点。在建设数据中心之前,我们会花费无数个小时来考虑潜在威胁并设计、实施和测试控制措施,以确保我们部署的系统、技术和人员能够抵御风险。为帮助您符合自己的审核和法规要求,以下将提供一些对物理和环境控制措施的深入介绍。

安全设计

选址

在选址之前,AWS 会进行初始环境和地理评估。精心选择数据中心位置来缓解环境风险,例如洪水、极端天气以及地震活动。我们的可用区彼此独立,物理上相互隔离。

冗余

数据中心可以预测和耐受故障,同时保持服务水平。如果出现故障,自动化流程会将流量从受影响区域转移出去。核心应用程序以 N+1 的标准进行部署,在数据中心出现故障时,将有足够的容量将流量转到其余站点,实现负载均衡。

可用性

AWS 已确定对于保持系统可用性以及在停机情况下恢复服务所必需的关键系统组件。关键系统组件在多个相互隔离的位置进行备份,这些位置称为可用区。每个可用区都设计为可以高度可靠地独立运行。可用区互相连接,使您能够轻松构建可在可用区之间无中断地自动实现故障转移的应用程序。抗风险能力强的系统(因此具有较高的服务可用性)是系统设计的一项功能。通过使用可用区和数据复制,AWS 客户可以实现极短的恢复时间和恢复点目标,以及最高级别的服务可用性。

容量规划

AWS 持续监控服务使用率来部署基础设施以支持我们的可用性承诺和要求。AWS 会维护一个容量规划模型,该模型每月评估至少一次基础设施使用率和需求。此模型支持未来需求规划并包括信息处理、电信和审核日志存储等注意事项。

业务连续性和灾难恢复

业务连续性计划

AWS 业务连续性计划概述了避免和减少环境中断的措施。它包括有关在事件发生之前、期间和之后采取的步骤明细。业务连续性计划由包括不同场景模拟的测试支持。在测试期间和之后,AWS 将记录人员和流程的表现、纠正措施以及获得的经验教训,以实现持续改进。

流行病响应

AWS 将流行病响应策略和过程纳入其灾难恢复计划中,以准备好快速响应传染病暴发威胁。缓解策略包括替代人员配置模型,以将关键流程转移到区域外资源,还包括危机管理计划的激活以支持关键业务运营。流行病计划参考国际卫生机构和法规,包括国际机构的联系点。

物理访问

员工数据中心访问

AWS 仅向获得批准的员工提供物理数据中心访问权。需要数据中心访问权的所有员工都必须首先申请访问权,并提供有效的业务理由。将根据最小特权原则同意这些请求,其中请求必须指定个人需要访问数据中心的哪一层,并且具有时限性。请求由授权人员进行审核和批准,并且在请求时间到期后,会撤销访问权。在授予访问权之后,个人只能访问其权限中指定的区域。

第三方数据中心访问

第三方访问权由获得批准的 AWS 员工请求,他们必须申请第三方访问权,并提供有效的业务理由。将根据最小特权原则同意这些请求,其中请求必须指定个人需要访问数据中心的哪一层,并且具有时限性。这些请求由授权人员进行批准,并且在请求时间到期后,会撤销访问权。在授予访问权之后,个人只能访问其权限中指定的区域。被授予访客徽章访问权的任何人都必须在到达站点时出示身份证明并签名登记方可进入,并由授权人员陪同。

AWS GovCloud 数据中心访问

GovCloud(美国)区域的数据中心有一个限制,只有核实为美国公民的员工才能进行物理访问。

监控与日志记录

数据中心访问权审核

定期对数据中心的访问权进行审核。当在 Amazon 的 HR 系统中终止了某个员工的记录时,将自动撤销其访问权。另外,当根据批准的请求持续时间,员工或承包商的访问权到期时,即使其仍然是 Amazon 的员工,其访问权也会被撤销。

数据中心访问日志

我们会记录、监控和保留对 AWS 数据中心进行的物理访问。AWS 会将从逻辑和物理监控系统获得的信息进行关联,以根据需要增强安全性。

数据中心访问监控

我们使用全球安全运营中心来监控我们的数据中心,安全运营中心负责监控、分类并执行安全计划。它们管理和监控数据中心访问活动,使本地团队和其他支持团队准备好通过分类、咨询、分析和派发响应来响应安全事件,从而提供全天候全球支持。

监控和检测

CCTV

机房的物理访问点将通过闭路电视摄像机 (CCTV) 进行录制。将根据法律和合规性要求保留图像。

数据中心入口点

由专业安全人员利用监控、检测系统和其他电子方式控制对大楼入口的物理访问。授权员工访问数据中心时需要通过多重验证机制的验证。当大门被强行打开或者保持开启时,设备会发出警报来启动事件响应,从而保障机房入口的安全。

入侵检测

电子入侵检测系统安装在数据层中来监控和检测安全事件并自动通知相关人员。通过使用要求每个人在进出之前提供多重验证的设备来保障机房出入口的安全。当大门在未进行身份验证的情况下被强行打开或者保持开启时,这些设备会发出警报。大门警报设备经过配置,可检测人员是否在未提供多重验证的情况下退出或进入数据层。警报将立即派发到全天候 AWS 安全运营中心来立即进行记录、分析和响应。

设备管理

资产管理

通过一个可存储和跟踪 AWS 所拥有资产的所有者、位置、状态、维护和说明信息的库存管理系统,对 AWS 资产进行集中式管理。采购之后,对资产进行扫描和跟踪,并检查和监控处于维护状态的资产的所有权、状态和处理方案。

介质销毁

用于存储客户数据的介质存储设备由 AWS 分类为“关键”并视为具有高影响力,在其整个生命周期中相应采取措施。针对如何安装、服务以及最终在设备不再使用时进行销毁,AWS 制定了严格的标准。当某个存储设备已达到其使用寿命的最后时期时,AWS 会使用 NIST 800-88 中详述的技术使介质退役。直到存储客户数据的介质已安全退役后,才从 AWS 控制中删除此介质。

操作支持系统

电源

我们的数据中心的电源系统被设计为充分冗余且可维护,能够全天候运行,不会对运营造成影响。AWS 确保数据中心配备了备用电源以确保在出现电气故障时为设施内的关键及基本负载提供电源以保持运行。

气候与温度

AWS 数据中心使用气候控制机制,使服务器和其他硬件维持在适当的工作温度,以防止过热并减少服务中断的可能性。人员和系统实时监控温度和湿度并将它们控制在最佳水平。

火灾探测及补救

AWS 数据中心配备了自动火灾检测及灭火设备。火灾检测系统利用联网、机械和基础设施空间中的烟雾检测传感器。这些区域也受灭火系统的保护。

泄漏检测

为了检测是否存在漏水,AWS 为数据中心配备了检测是否有水的功能。如果检测到水,将实施相应机制来清除水以避免水造成的任何其他损坏。

基础设施维护

设备维护

AWS 监控电气和机械设备并对其执行预防性维护来保持 AWS 数据中心中的系统的持续运行。设备维护过程由合格人员执行并按记录的维护计划完成。

环境管理

AWS 监控电气和机械系统和设备,以便能够立即确认问题。利用持续审核工具和通过我们的建筑管理和电气监控系统提供的信息来执行此操作。AWS 会进行预防性维护以维持设备的持续运行。

治理和风险

持续数据中心风险管理

AWS 安全运营中心定期对数据中心执行威胁和漏洞审核。通过数据中心风险评估活动对潜在漏洞进行持续评估和缓解。除了用于识别和管理整个企业存在的风险的企业级风险评估过程外,还进行此评估。此过程还考虑区域法规和环境风险。

第三方安全认证

我们的第三方报告中记录的 AWS 数据中心的第三方测试确保 AWS 已根据获得安全认证所需的既定规则适当实施了安全措施。根据合规性计划及其要求,外部审核员可以执行介质处置的测试、查看监控摄像头录像、观察整个数据中心的入口和通道、测试电子访问控制设备以及检查数据中心设备。