三种预配AWS强化版OS

日期:2015-7-23作者:Dan Sullivan翻译:谈翔来源:TechTarget中国 英文

AWS安全性   云管理   

【TechTarget中国原创】

尽管需要额外的工作和精力,但开发人员可以使用预配强化的OS来更好的保护AWS里的数据。

云管理员负责确保AWS资源的安全性。使用强化的亚马逊机器镜像是一种启动安全弹性计算实例的方式,同时避免了各种耗时的与操作系统安全相关的配置任务。互联网安全中心在AWS市场提供了一些强化版的Linux操作系统。

互联网安全中心(CIS)是一个网络安全组织,定期举办安全培训讲座并发布互联网安全状态的年度报告。除此之外,该组织还发布与一个安全的OS相关的广泛配置的安全基准指南。

CIS的指南会具体到一些低级别的细节,如保护启动过程。例如,对bootloader的配置设置权限来保护启动参数和设置。配置bootloader,仅允许读和只对root用户的写权限就是一个简单的好方法,但往往很容易被忽略。

同样,CIS建议管理员要求用户身份验证——即使是在单用户模式下。要配置这个,需要为root用户设置一个密码。如果没有用户认证,黑客可以重启机器然后获得root用户的访问权限。

对于高级别的安全问题,CIS建议禁用遗留服务来保护其他的软件不被攻击。要做到这点,需要禁用软件或者整个移除。

强化一个操作系统可能花费大量的时间和精力。即便很多变更实现起来不难,但也增加了引入错误的几率。AWS市场上提供了几个强化的OS,包括GoldDisk Plus、CIS Amazon Linux和CIS Ubuntu。下面来看看每一种选项。

GoldDisk Plus。GoldDisk Plus是一个Windows 2008 R2 64位的安全版本,针对Amazon弹性计算云(EC2)和弹性块存储(EBS)实例。该OS镜像符合国防信息系统局(DISA)安全技术实施指南(STIG),并可以选择包括一个名为ConfigOS的自动修复工具。GoldDisk Plus包括一组STIG兼容的软件和其他组件,如Internet Explorer 10,一个.NET框架4v1和IIS 7.0。

GoldDisk Plus的定价取决于AWS实例的大小和区域。范围从每小时0.02美金的t1.micro实例到每小时7.842美金的i2.8xlarge实例。

CIS Amazon Linux。该选项是强化的64位Linux的Amazon机器镜像(AMI)。这是由CIS开发的操作系统,并基于它的安全基准指南来保证其安全性。同GoldDisk Plus类似,该强化的OS支持在EC2和EBS实例上使用。

CIS Amazon Linux实例的价格范围是0.033美元/小时的t2.micro镜像到6.84美元/小时的i2.8xlarge实例——在美国东部地区。

CIS Ubuntu。该CIS Ubuntu版本的强化OS使用Ubuntu 14.04 LTS x64;它符合CIS的安全基准,并支持在EC2和EBS实例上使用。

CIS Ubuntu的定价同CIS Amazon Linux一样。范围涵盖0.033美元/小时的r2.micro镜像到6.84美元/小时的i2.8xlarge实例。价格因地区而异。

尽管使用预配置的,强化的OS可以降低数据泄露或攻击的风险,但也有利弊上的权衡。有些强化的OS不包括运行在强化的服务器上的应用程序所必需依赖的一些包或库。

但是发现大部分缺少的软件包应该很容易。例如,如果一个服务器将传送数据和进行FTP,但却没有安装安全文件传输协议(SFTP),那么开发人员将会迅速的探测这一点。同样,在实例上编译应用程序的开发人员也很容易立刻检测到编译器的安装与否。然而,当执行部分的应用程序代码时,一个缺失的依赖或不正确的配置则可能发生。

请牢记,提供强化OS的厂商会随着新发现的漏洞或新的代码发布而更新AMI。如果你创建了基于强化镜像的自己的AMI,那就需要使用最新的强化镜像来重新创建那些AMI。

强化的操作系统能够帮助云管理员提高实例的安全性,但需要彻底的测试和审查来确保应用程序正常运行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dan Sullivan
Dan Sullivan

Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。

企业应用与云计算>更多

  • 2017年:HR数据勇士如何崛起

    2017年的新篇章已经打开!奋战在人力资源这片战场的你是时候披上更强硬的盔甲,重新开始战斗了——而这盔甲就是数据!数据及其提供的洞察不仅可以改变和优化企业业务发展,它也将在未来几年改变企业招聘和管理员工的方式。

  • 大连云化之路:软件开发云加速软件企业创新能力

    虽然软件信息业务实雄厚,但大连地处东北地区,在新兴技术的研究和应用落地方面与国内其他地区还有差距。这种情况下,大连急需借助一个具备积极、稳妥、快速、简捷等特性的社会化云服务平台实现向云的过渡。

  • 2017年:你见或不见,这些趋势就在那里!

    2017年新年的钟声已经敲响,在新的一年,还是要许下新年的愿望,不是为了一定实现,而为了在新的一年能有好的运势。那么,在2017年,IT圈的你是否也会期望看到下面的事情发生?

  • Nutanix企业云新解:应用驱动的企业云

    企业开始关注公有云,开始实施部署公有云。然而,企业为什么要开始探讨公有云呢?这是从众的心理,一只羊跟着另一只羊的做法,Nutanix的总裁说。

相关推荐

  • 微软Azure自动化选项与工具探索

    自动化脚本程序和runbooks是系统管理员工具箱里的看家宝。迁移至云基础设施——管理员可以在几秒钟内进行实例化、移动和扩展虚拟资源——只强调了一致性可重复管理过程的重要性。

  • 如何高效使用Azure Resource Manager?

    Azure Resource Manager是微软公有云上的一个管理工具,这是一个多面工具,专门为开发人员、DevOps人员和IT操作人员而设计。

  • 云管理成功的关键:应用工作流

    在云计算中,应用与固定资源是相互隔离的,这就意味着负责云管理的IT管理人员必须对应用的工作流和资源进行并行管理。

  • 聊聊2015年公有云圈中事

    2015年,在公有云这块蛋糕上有尝到甜头,有人却只吃到苦涩;有人挤上前,有了退居后;有人团结力量到,有单打独斗也是其乐无穷。

技术手册>更多

  • 多云战略与管理

    一个多云战略可以让用户充分发挥每个云产品的优势来满足每一个业务需求,但是这样一个战略也会引入一定的复杂性。在一个多云模式中,很容易就会陷入失控的状态;用户一个不小心就会错失整个价值主张。但如果有了合适的预防措施,那么一个多云战略将给用户带来许多的红利。

  • 云平台选择与部署指南

    云计算应用落地是一个很漫长的过程。在部署云计算之前,用户必须认识各个平台供应商及其云平台,然后根据自身架构选择合适的云平台投入运营。

  • 云开发系列文摘之私有云战略

    公有云和私有云各自成为镁光灯下的焦点词汇,但是很多分析师则愿意在二者的混合物——缓和云上下注。专家看到了人们对于私有云的兴趣,因为很多企业就是简单的不能或者不信任,所以不会将数据放入公有云中。不久的将来,这一现状会改变,一些数据在公有云中也非常安全,也许在亚马逊的保护之下甚至比大多数的IT内部要更加安全。在本期云开发文摘中,我们将如何制定良好的私有云战略。

  • 初识云计算

    云计算的概念越来越流行,Amazon、Google和IBM是第一批将云计算引入公众视线的公司。云计算就是新的Web2.0,一种既有技术上的市场绽放。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心