Sikring av AWS innebærer flere lag — identitet og tilgang (IAM), nettverkssikkerhet, datavern (kryptering), overvåking/deteksjon, og å følge modellen for delt ansvar. Sikkerhet er en kritisk, pågående disiplin og en Well-Architected-søyle.
Modellen for delt ansvar
AWS secures the CLOUD (infrastructure: hardware, facilities, managed service internals).
YOU secure what's IN the cloud (your data, IAM, network config, OS patching on EC2,
application security, access control).
→ Know the boundary: AWS handles infrastructure; YOU handle configuration and data.
Most breaches are CUSTOMER misconfigurations (e.g. public S3 buckets), not AWS failures.
Identitet og tilgang
✓ LEAST PRIVILEGE — grant only needed permissions (the most important IAM principle)
✓ Use ROLES (temporary credentials) not long-lived access keys; rotate any keys
✓ Protect the ROOT account (MFA, don't use it daily); enforce MFA broadly
✓ Use IAM properly; SCPs for org guardrails; audit with Access Analyzer
Nettverksvern og datavern
NETWORK → VPC isolation; private subnets for backends; security groups (least access);
don't expose resources publicly unnecessarily (databases in private subnets!)
DATA → ENCRYPT at rest (S3, EBS, RDS — often a checkbox) and in transit (TLS);
manage keys (KMS); ⚠️ avoid public S3 buckets (a top cause of breaches);
classify and protect sensitive data; manage secrets (Secrets Manager, not in code)
Deteksjon og overvåking
✓ CloudTrail → log ALL API activity (audit trail — who did what)
✓ GuardDuty → threat detection; Config → compliance/configuration auditing
✓ Security Hub → centralized security posture; CloudWatch alarms on suspicious activity
✓ Detect and respond to incidents; review regularly
Hvorfor det er viktig
Å forstå AWS-sikkerhetsbestpraksis er kritisk kompetanse på seniorsnivå fordi sikkerhet er en grunnleggende, høy-risiko bekymring, og skyen har spesifikke sikkerhetshensyn, så det er essensiellt for å operere AWS ansvarlig.
Å forstå modellen for delt ansvar er grunnleggende: AWS sikrer den underliggende infrastrukturen, men du er ansvarlig for å sikre dine data, tilgang, nettverkskonfigurering og applikasjoner — og det kritiske innsiktet er at de fleste brudd stammer fra kundekonfigurasjoner (som offentlige S3-bøtter eller altfor brede tillatelser), ikke AWS-infrastrukturfeil, så å kjenne ditt ansvar er essensielt.
Hvert sikkerhetslag er viktig: identitet og tilgang (spesielt minste tilgang — det viktigste IAM-prinsippet — ved å bruke roller i stedet for langvarige nøkler, beskytte root-kontoen, og håndheve MFA) forhindrer tilgangskontrollfeil som forårsaker mange brudd; nettverkssikkerhet (VPC-isolering, private subnett for backends som databaser, minste tilgang til sikkerhetsgrupper, ikke å eksponere ressurser offentlig) beskytter systemer på nettverkslaget; datavern (kryptering i hvile og under overføring, nøkkelstyring, unngå offentlige S3-bøtter, riktig hemmelighetsforvaltning) beskytter sensitive data; og deteksjon og overvåking (CloudTrail for revisjonslogging, GuardDuty for trusseldeteksjon, Config for overholdelse, Security Hub) muliggjør deteksjon og respons på trusler.
Å forstå disse lagdelte praksisene — og at sikkerhet er en pågående disiplin som adresserer vanlige realverden-feil (feilkonfigurasjoner, overdrevne tillatelser, offentlig eksponering, ukrypterte data) — reflekterer det omfattende sikkerhetssinn som kreves for produksjon-AWS.
Fordi AWS-sikkerhet er høy-risiko (brudd er kostbare og vanlige, hovedsakelig fra kundekonfigurasjoner) og krever lagdelte forsvar på tvers av identitet, nettverk, data og deteksjon, og fordi å forstå modellen for delt ansvar og bestpraksis er essensielt for å sikre AWS-systemer, er å forstå AWS-sikkerhetsbestpraksis kritisk kompetanse på seniorsnivå for å operere AWS ansvarlig — et høyt prioriterts område hvor å forstå praksisene (spesielt minste tilgang, unngå offentlig eksponering, kryptering og overvåking) direkte forhindrer de reelle, vanlige sikkerhetsfeilene som fører til brudd, reflekterende ansvaret for sikkerhet som forventes for senior skyrollen.