三种预配AWS强化版OS

日期:2015-7-23作者:Dan Sullivan翻译:谈翔来源:TechTarget中国 英文

AWS安全性   云管理   

【TechTarget中国原创】

尽管需要额外的工作和精力,但开发人员可以使用预配强化的OS来更好的保护AWS里的数据。

云管理员负责确保AWS资源的安全性。使用强化的亚马逊机器镜像是一种启动安全弹性计算实例的方式,同时避免了各种耗时的与操作系统安全相关的配置任务。互联网安全中心在AWS市场提供了一些强化版的Linux操作系统。

互联网安全中心(CIS)是一个网络安全组织,定期举办安全培训讲座并发布互联网安全状态的年度报告。除此之外,该组织还发布与一个安全的OS相关的广泛配置的安全基准指南。

CIS的指南会具体到一些低级别的细节,如保护启动过程。例如,对bootloader的配置设置权限来保护启动参数和设置。配置bootloader,仅允许读和只对root用户的写权限就是一个简单的好方法,但往往很容易被忽略。

同样,CIS建议管理员要求用户身份验证——即使是在单用户模式下。要配置这个,需要为root用户设置一个密码。如果没有用户认证,黑客可以重启机器然后获得root用户的访问权限。

对于高级别的安全问题,CIS建议禁用遗留服务来保护其他的软件不被攻击。要做到这点,需要禁用软件或者整个移除。

强化一个操作系统可能花费大量的时间和精力。即便很多变更实现起来不难,但也增加了引入错误的几率。AWS市场上提供了几个强化的OS,包括GoldDisk Plus、CIS Amazon Linux和CIS Ubuntu。下面来看看每一种选项。

GoldDisk Plus。GoldDisk Plus是一个Windows 2008 R2 64位的安全版本,针对Amazon弹性计算云(EC2)和弹性块存储(EBS)实例。该OS镜像符合国防信息系统局(DISA)安全技术实施指南(STIG),并可以选择包括一个名为ConfigOS的自动修复工具。GoldDisk Plus包括一组STIG兼容的软件和其他组件,如Internet Explorer 10,一个.NET框架4v1和IIS 7.0。

GoldDisk Plus的定价取决于AWS实例的大小和区域。范围从每小时0.02美金的t1.micro实例到每小时7.842美金的i2.8xlarge实例。

CIS Amazon Linux。该选项是强化的64位Linux的Amazon机器镜像(AMI)。这是由CIS开发的操作系统,并基于它的安全基准指南来保证其安全性。同GoldDisk Plus类似,该强化的OS支持在EC2和EBS实例上使用。

CIS Amazon Linux实例的价格范围是0.033美元/小时的t2.micro镜像到6.84美元/小时的i2.8xlarge实例——在美国东部地区。

CIS Ubuntu。该CIS Ubuntu版本的强化OS使用Ubuntu 14.04 LTS x64;它符合CIS的安全基准,并支持在EC2和EBS实例上使用。

CIS Ubuntu的定价同CIS Amazon Linux一样。范围涵盖0.033美元/小时的r2.micro镜像到6.84美元/小时的i2.8xlarge实例。价格因地区而异。

尽管使用预配置的,强化的OS可以降低数据泄露或攻击的风险,但也有利弊上的权衡。有些强化的OS不包括运行在强化的服务器上的应用程序所必需依赖的一些包或库。

但是发现大部分缺少的软件包应该很容易。例如,如果一个服务器将传送数据和进行FTP,但却没有安装安全文件传输协议(SFTP),那么开发人员将会迅速的探测这一点。同样,在实例上编译应用程序的开发人员也很容易立刻检测到编译器的安装与否。然而,当执行部分的应用程序代码时,一个缺失的依赖或不正确的配置则可能发生。

请牢记,提供强化OS的厂商会随着新发现的漏洞或新的代码发布而更新AMI。如果你创建了基于强化镜像的自己的AMI,那就需要使用最新的强化镜像来重新创建那些AMI。

强化的操作系统能够帮助云管理员提高实例的安全性,但需要彻底的测试和审查来确保应用程序正常运行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dan Sullivan
Dan Sullivan

Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。

企业应用与云计算>更多

  • 特朗普经济:2017年IT渠道商机大家谈

    随着步入2017年,IT渠道分析师和高管们都形成了一个共识:变革就在眼前。过去一年,许多渠道合作伙伴都实施了大胆的措施来改变他们的业务,从而促进其收入增加。

  • 2017年CX云的关键词:连接客户

    2017年新篇章已经开始,客户将变得比过去更加主动更有话语权,所以对于企业而言,了解客户需求才是取得成功的关键一步。

  • 黄允松:2017,云的机遇在哪里

    在这个倡导所有企业都将最终成为IT企业的时代,你认为在新的一年中,云计算将会有哪些新机遇?未来世界会哪些新的技术方向。

  • 2017年数字经济新时代:除去云计算,还需要什么

    据LinkedIn最近的调查结果显示,最受欢迎的职业技能都与数字技术有关,可见日益普及的数字技术将引领未来。目前,用户界面设计已成为最受欢迎的移动应用技能之一。

相关推荐

  • 微软Azure自动化选项与工具探索

    自动化脚本程序和runbooks是系统管理员工具箱里的看家宝。迁移至云基础设施——管理员可以在几秒钟内进行实例化、移动和扩展虚拟资源——只强调了一致性可重复管理过程的重要性。

  • 如何高效使用Azure Resource Manager?

    Azure Resource Manager是微软公有云上的一个管理工具,这是一个多面工具,专门为开发人员、DevOps人员和IT操作人员而设计。

  • 云管理成功的关键:应用工作流

    在云计算中,应用与固定资源是相互隔离的,这就意味着负责云管理的IT管理人员必须对应用的工作流和资源进行并行管理。

  • 聊聊2015年公有云圈中事

    2015年,在公有云这块蛋糕上有尝到甜头,有人却只吃到苦涩;有人挤上前,有了退居后;有人团结力量到,有单打独斗也是其乐无穷。

技术手册>更多

  • Windows Azure应用开发实践指南

    在2012年闰年宕机和可能更名的混乱电子邮件之后,很多人认为微软就是不可靠。但是微软采取了很多磕磕绊绊的动作,颠覆了Windows Azure,微软在公有云计算平台上充满野性的成功,随着其和Windows Server 2012实现无缝绑定,其战略重要性逐渐凸显,Azure有望处理变化不定的计算负荷。在2013年的云计算大会上,微软宣布Windows Azure公众预览版正式开放注册,这意味着微软已经成为在中国市场中唯一一家能够提供企业内部部署和混合云服务的厂商。在这本技术手册中,我们将介绍Windows Azure的最新升级和价格情况,以及Windows Azure一些主要功能的应用实践案例,最后我们会关注Windows Azure的整体市场情况。

  • 云开发系列文摘:Clouds in my Coffee

    现在说云开发正在增长是一个陈述句。正如云作为另一个行业热词已经降温,兴趣却在飙升,企业开始在应用开发中使用。《云开发文摘》第一期中主要为IT和开发经理提供云开发中的趋势、战略和最佳实践的话题。

  • 私有云实施前准备

    越来多的企业倾向于私有云的选择,因为他们既想要利用云计算的优势,但又不想因为采用公有云,而被迫放弃他们手中的控制权,因此私有云变得越来越受欢迎。

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心