aws s3仅允许cloudfront访问_浅析AWS云上应用的GDPR合规实践

“ 1 月 21 号，法国向谷歌开出了 5000 万欧元的罚单，后者由此成为该条例2018年5月生效以来首个遭受处罚的美国科技巨头。这是目前全球针对数据保护最高金额罚款，是隐私保护执法的里程碑，宣告着 “GDPR时代” 的到来。中国互联网出海企业如何应对GDPR时代的挑战？”

GDPR是什么？

GDPR全称为一般数据保护条例(General Data Protection Regulation)，这个法规的前身是欧盟在1995年制定的《计算机数据保护法》。于2018年5月25日出台，成为欧盟最新的隐私法。立法的目的是要在欧盟成员国之间制定了一套统一的数据保护法，适用于欧盟的所有成员国，并具备严格的约束力和执行力。

GDPR所提及的数据，称为“个人数据”，是指欧盟成员国的个体公民身份或可标识身份的任何数据和信息，例如姓名、社保号、地址、Email、生物标识符等。而保护是指数据可以安全的存储，处理，使用和交换等，这个过程必须是持续不断的。因此，我们可以这样理解，在欧盟地域范围内，任何向欧盟个体公民提供商品和服务的企业与组织，在业务过程中，处理“个人数据”时，必须严格遵循GDPR的法律规定。否则，将面对非常严厉的行政罚款。GDPR可以对违反GDPR的任何类型的行为进行处罚，包括纯粹的程序性的违规行为。其罚款金额最高可高达2000万欧元，或企业4%的全球年营业额，2种处罚方式，取最高处罚金额的一种方式执行。估计用触目惊心来形容处罚度，也一点不为过。

如何满足GDPR合规要求？

对于有意在欧盟开展业务的国内互联网企业。在欧盟部署一套GDPR合规的应用系统，会涉及到653项数据处理，309项数据保护，181项权益，49项考核和18项脱敏和加密等。所具备的能力包括：

• 硬件系统和应用系统具备持续机密性、完整性、可用性和弹性的能力。在发生物理或技术事故时，能够及时恢复个人数据访问的可用性。配套有全方面、可追溯的数据备份措施和灾难恢复方案。

• 对个人数据进行全过程的脱敏(名称替代)及加密处理。(名称替代是一项名称替换的技术方法，GDPR明确建议要求采用的优势技术。)过程包括数据的处理、传输、存储等环节。所有的环节有记录可追溯和提供审计。

• 在软件的规划过程中，有明确的数据控制者，和数据处理者角色划分。分不同的层面上实现独立的数据安全管理措施。每个数据控制者，或代表控制者的应用程序，都应该保存其责任范围内的全部活动记录。默认情况下，只有满足特定目的，而必须被处理的个人数据，才能被访问处理。

• 对技术和组织措施的有效性，具有定期测试、考核和评估的流程，以确保处理过程的安全性。具备合理的技术及组织措施，确保风险的水平，完全有能力防止对个人资料未经授权的披露或查阅。

总而言之，如果企业用户光靠自己的技术力量和研发投入，部署一套符合GDPR合规的应用系统，无疑是一条任重而道远的历程。而在当前互联网技术和应用日新月异，机会稍纵即逝的时代，AWS为企业带来了平台和云服务产品的助力，让企业站在巨人的肩膀，聚焦业务的GDPR合规，实现快速上线应用。

AWS如何助力客户满足GDPR合规要求？

对于GDPR所提出的数据保护要求，AWS提供很多的服务和资源，来帮助AWS的客户实现应用符合GDPR的法规。包括：

• 安全架构：AWS推出共享责任模型，与客户一起构建合规的应用环境。AWS负责云的安全和合规，租户仅需要负责云上的安全和合规。

• 资源服务：AWS所提供的全部服务，都已经具备GDPR所要求的能力。用户仅需关注服务的调用和合规配置。

• 合规认证：AWS的合规计划已经取得了全球很多的安全和IT管理认证，可以共享给AWS租户直接使用。与此同时，AWS通过白皮书、报告、认证和其他第三方认证向客户提供关于AWS 云端IT控制环境的大量资料信息。显著缩短租户对合规实现的理解过程。

• 合同义务：AWS提供符合 GDPR 规定的数据处理附录 (GDPR DPA)，让AWS租户的合同义务满足 GDPR 的要求。

共享责任模型

相对于本地数据中心而言，因所有权关系和服务管理范围的差别，云端应用的安全责任需要由云服务提供商和服务租户共同承担。在这种情况下，AWS提出了共享安全责任模型的概念。AWS负责保护支持云的底层基础设施安全，AWS租户负责云上的内容安全和连接上云的安全。这样设计的好处是可以在许多方面减少租户的操作负担，改进云的默认安全状态。

AWS安全责任：

• 负责保护AWS云中所有服务的全球基础设施。包括硬件、软件、网络和设施等。提供技术和管理措施确保基础设施符合各种计算机安全标准和法规，并对外发布符合规范的第三方审计报告。

• 负责托管服务的安全配置，如Amazon DynamoDB、Amazon Elastic MapReduce、Amazon RDS、Amazon Redshift等。AWS将处理这些服务的基本的安全任务，如操作系统和数据库补丁、防火墙配置和灾难恢复等。执行总体上的安全配置工作。

AWS租户安全责任：

• 负责所使用的AWS服务相对应的安全配置工作。像Amazon EC2和Amazon s3等基础设施即服务(IaaS)的产品，需负责执行所有必要的安全配置。如客户操作系统维护(包括更新和安全补丁)、配置安全组等。

• 保护AWS帐户凭证，并使用Amazon Identity和Access Management (IAM)管理单个帐户，实现用户、角色的职责隔离。我们建议对每个帐户开启MFA验证，与资源服务通信，使用SSL/TLS加密通道，长期保存用户活动日志等。

所有的AWS服务都已GDPR就绪

GDPR 的核心是对个人数据具备安全处理和保护的能力。处理的行为包括但不限于删除、加密和监控等行为。到目前为止，所有的AWS 产品都具备GDPR所要求的能力实现，具有能够支持客户实现 GDPR的功能特性。租户只需要按照需要选择最适合的服务，并遵循GDPR的需求，进行合理的安全配置即可。

AWS合规计划

AWS已经具备的合规性认证，为帮助客户维护云中应用的安全性和数据保护，通过GDPR审计提供了非常好的基础。将聚焦管理、便于审计的AWS服务特性与适用的应用合规性或审计标准相结合，AWS合规计划可以帮助客户建立和操作AWS的安全控制环境。

AWS所提供的IT基础设施是按照安全最佳实践和各种IT安全标准设计和管理的。而且AWS所提供的服务已经通过了全球各国众多的合规认证。包括：

• SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) 

• SOC2 

• SOC3 

• FISMA, DIACAP, and FedRAMP 

• DoD SRG 

• PCI DSS Level 1 

• ISO 9001 / ISO 27001 

• ITAR 

• FIPS 140-2 

• MTCS Tier 3

AWS有哪些GDPR合规的技术实践建议？

我们从数据访问控制，监控和日志记录措施和数据保护措施3个维度来看如何采用AWS的服务和配置，来满足GDPR的合规要求。

数据访问控制措施

我们设计AWS访问控制机制，来实现只允许授权管理员、用户和应用程序访问AWS资源和客户数据，帮助客户遵守GDPR要求。建议在AWS服务的选用和配置时：

• 配置S3桶 /SQS/SNS和其他AWS服务的细粒度访问策略。为不同的资源，向不同的人，授予不同的权限。

• 启用双因素身份验证(MFA)，为帐户和个人用户添加双因素身份验证，以获得更高的安全性。

• 在API 请求验证时，使用IAM为应用程序提供访问其他AWS资源所需的可信凭证。

• 开启基于地域的限制策略，通过CloudFront页面分发服务，限制不同地域的用户访问所规划的内容。 

• 采用STS服务生成临时访问token，为可信任的非AWS用户提供访问AWS资源的临时安全访问凭证。这些凭证具有基于角色，可动态生成，无需保存等安全属性。

监控和日志记录措施

设计AWS云上应用时，具备完整的数据处理过程的监控和活动日志记录。帮助客户符合GDPR日志和行为依据的审计要求。

• 通过AWS config服务管理云端资源资产和配置管理，可以获得AWS 资源配置的细节视图，资源之间的关系以及资源配置变更历史等详细信息。

• 通过CloudTrail提供合规审计和安全分析的依据。从CloudTrail服务可以获得账号下所支持服务的API调用历史记录和用户登录记录等具体信息。包括来源IP、调用时间、行为和结果等，并开启完整性和防篡改校验机制，保证日志的可信度。

• 通过Trusted Advisor识别配置优化的事项。可以从成本优化、性能、安全性、容错4个方面，取得资源使用和配置的优化项，持续改进应用状态。

• 开启S3服务访问日志，EC2、VPC流日志，可以记录对个人数据的访问日志，AWS资源的访问记录等。并将日志长期保存，用于合规审计。

数据保护措施

• 采用AES256加密算法，对EBS/S3/Glacier/RDS的数据进行存储加密。其中S3即支持服务侧加密方式，也支持客户侧加密方式。RDS支持透明数据加密技术TDE，不过这会带来RDS计算资源的额外消耗，需综合考虑加密的数据范围和资源消耗成本。

• AWS实例存储存储不支持加密，需要在OS级别实现磁盘或文件系统级别加密管理，例如Linux dm-crypt 框架、Device mapper、NTFS等加密机制。还可以与AWS KMS集成，实现整提供加密架构。

• 采用AWS KMS进行密钥的集中管理。采用KMS进行密钥的创建、导入、更换，定义使用策略等，由AWS提供安全的密钥管理功能，并自动提供符合GDPR所要求的扩展性、持久性、高可用性和安全性要求。同时，还可以通过集成CloudTrail服务，记录密钥的全部使用日志，并对日志做长期保存，作为安全管理与合格审计依据。

• 在私有数据中心与VPC之间采用IPsec加密传输通道。通过VPC的子网设计，访问控制清单，安全组等功能，设计AWS云上的安全网络环境。通过VPN gateway服务建立与自有数据中心的安全加密通道。确保数据在网络传输的过程中满足GDPR的安全要求。

• 采用CloudHSM提供最高级别的密钥管理能力。

构建符合GDPR法规的软件应用是一个系统性工程，需要深度理解GDPR的法规，围绕着隐私数据的保护，在硬件平台、商业逻辑、数据存储与传输、安全与审计等方面进行架构设计与应用构建。对于从零开始的企业而言，这无疑是一条充满荆棘的道路。

将应用构建在AWS云端，可以在资源平台利用已经GDPR就绪的服务， AWS的责任共享模型，GDPR合规计划的成果，采用来自AWS APN高级咨询伙伴光环有云的专业的AWS应用实践意见。可以帮助客户大幅降低工作量和整体成本，法规风险等，显著提升应用投入市场的周期。

 光环有云如何帮客户实现GDPR 合规？

光环有云是一家专注于 AWS 云平台技术的云管理服务商。作为 AWS 全球 MSP 认证服务商及 AWS 高级咨询合作伙伴，为客户提供 All-in AWS的整体迁移上云及云上管理解决方案。

光环有云拥有丰富的企业应用上云实践经验。GDPR 法规出台之后，光环有云已经帮助多家国内出海企业，一起在AWS云端构建符合包括GDPR，HIPPA在内的多种IT和数据保护法规的应用。为企业用户提供整体GDPR合规解决方案。

2018年，光环有云帮助菲仕兰(上海)公司实现了企业应用的AWS上云项目，并协助用户按照荷兰总部的合规性要求，建立了符合GDPR规范的安全和数据保护体系。帮助菲仕兰实现全球一致的安全和技术架构，保证全球统一的用户体验和安全标准。

参考引用：

1. https://www.linkedin.com/pulse/pseudonymisation-advantageous-way-protect-data-eu-under-figueiras

2. https://amazonaws-china.com/cn/compliance/gdpr-center/

3. https://amazonaws-china.com/cn/compliance/gdpr-center/service-capabilities/

4. https://d1.awsstatic.com/whitepapers/compliance/GDPR_Compliance_on_AWS.pdf