Vilka är AWS säkerhetsbest practices?

Question

Accepted Answer

Att säkra AWS innefattar flera lager — **identitet och åtkomst (IAM)**, **nätverkssäkerhet**, **dataskydd (kryptering)**, **övervakning/detektion** och följande av **shared responsibility model**. Säkerhet är en kritisk, pågående disciplin och en Well-Architected-pelare.

## Shared responsibility model

```text
AWS secures the CLOUD (infrastructure: hardware, facilities, managed service internals).
YOU secure what's IN the cloud (your data, IAM, network config, OS patching on EC2,
  application security, access control).
→ Know the boundary: AWS handles infrastructure; YOU handle configuration and data.
  Most breaches are CUSTOMER misconfigurations (e.g. public S3 buckets), not AWS failures.
```

## Identitet och åtkomst

```text
✓ LEAST PRIVILEGE — grant only needed permissions (the most important IAM principle)
✓ Use ROLES (temporary credentials) not long-lived access keys; rotate any keys
✓ Protect the ROOT account (MFA, don't use it daily); enforce MFA broadly
✓ Use IAM properly; SCPs for org guardrails; audit with Access Analyzer
```

## Nätverks- och dataskydd

```text
NETWORK → VPC isolation; private subnets for backends; security groups (least access);
  don't expose resources publicly unnecessarily (databases in private subnets!)
DATA → ENCRYPT at rest (S3, EBS, RDS — often a checkbox) and in transit (TLS);
  manage keys (KMS); ⚠️ avoid public S3 buckets (a top cause of breaches);
  classify and protect sensitive data; manage secrets (Secrets Manager, not in code)
```

## Detektion och övervakning

```text
✓ CloudTrail → log ALL API activity (audit trail — who did what)
✓ GuardDuty → threat detection; Config → compliance/configuration auditing
✓ Security Hub → centralized security posture; CloudWatch alarms on suspicious activity
✓ Detect and respond to incidents; review regularly
```

## Varför det spelar roll

Att förstå AWS säkerhetsbest practices är kritisk kunskap på seniornivå eftersom säkerhet är en fundamental, högstaka-fråga, och molnet har specifika säkerhetshänsyn, så det är viktigt för att driva AWS ansvarsfullt.

Att förstå **shared responsibility model** är grundläggande: AWS säkrar den underliggande infrastrukturen, men **du är ansvarig för att säkra din data, åtkomst, nätverkskonfiguration och applikationer** — och den avgörande insikten är att **de flesta intrång härstammar från kundmiskonfigurationer** (som offentliga S3-buckets eller alltför breda behörigheter), inte AWS-infrastrukturfel, så att känna till ditt ansvar är väsentligt.

Varje säkerhetslager spelar roll: **identitet och åtkomst** (speciellt **least privilege** — den viktigaste IAM-principen — att använda roller istället för långlivade nycklar, skydda root-kontot och tillämpa MFA) förhindrar åtkomstkontrollfel som orsakar många intrång; **nätverkssäkerhet** (VPC-isolering, privata subnät för backends som databaser, åtkomst med minsta åtkomst security groups, inte exponera resurser offentligt) skyddar system på nätverkslager; **dataskydd** (kryptering i vila och i transit, nyckelhantering, undvik offentliga S3-buckets, korrekt hemlighetshantering) skyddar känslig data; och **detektion och övervakning** (CloudTrail för granskningsloggning, GuardDuty för hotdetektion, Config för efterlevnad, Security Hub) möjliggör detektion och respons på hot.

Att förstå dessa skiktade metoder — och att säkerhet är en pågående disciplin som hanterar vanliga verkliga fel (miskonfigurationer, överdrivna behörigheter, offentlig exponering, okrypterad data) — återspeglar det omfattande säkerhetstänkandet som krävs för produktions-AWS.

Eftersom AWS-säkerhet är högstaka (intrång är kostsamma och vanliga, mestadels från kundmiskonfigurationer) och kräver skiktade försvar över identitet, nätverk, data och detektion, och eftersom förståelsen för shared responsibility model och best practices är väsentlig för att säkra AWS-system, är förståelsen för AWS säkerhetsbest practices kritisk kunskap på seniornivå för att driva AWS ansvarsfullt — ett högt prioriterat område där förståelsen för metoderna (speciellt least privilege, undvikande av offentlig exponering, kryptering och övervakning) direkt förhindrar de verkliga, vanliga säkerhetfel som leder till intrång, vilket återspeglar säkerhetsansvaret som förväntas för seniora molnroller.