三种预配AWS强化版OS

日期:2015-7-23作者:Dan Sullivan翻译:谈翔 来源:TechTarget中国 英文

AWS安全性   云管理   

【TechTarget中国原创】

尽管需要额外的工作和精力,但开发人员可以使用预配强化的OS来更好的保护AWS里的数据。

云管理员负责确保AWS资源的安全性。使用强化的亚马逊机器镜像是一种启动安全弹性计算实例的方式,同时避免了各种耗时的与操作系统安全相关的配置任务。互联网安全中心在AWS市场提供了一些强化版的Linux操作系统。

互联网安全中心(CIS)是一个网络安全组织,定期举办安全培训讲座并发布互联网安全状态的年度报告。除此之外,该组织还发布与一个安全的OS相关的广泛配置的安全基准指南。

CIS的指南会具体到一些低级别的细节,如保护启动过程。例如,对bootloader的配置设置权限来保护启动参数和设置。配置bootloader,仅允许读和只对root用户的写权限就是一个简单的好方法,但往往很容易被忽略。

同样,CIS建议管理员要求用户身份验证——即使是在单用户模式下。要配置这个,需要为root用户设置一个密码。如果没有用户认证,黑客可以重启机器然后获得root用户的访问权限。

对于高级别的安全问题,CIS建议禁用遗留服务来保护其他的软件不被攻击。要做到这点,需要禁用软件或者整个移除。

强化一个操作系统可能花费大量的时间和精力。即便很多变更实现起来不难,但也增加了引入错误的几率。AWS市场上提供了几个强化的OS,包括GoldDisk Plus、CIS Amazon Linux和CIS Ubuntu。下面来看看每一种选项。

GoldDisk Plus。GoldDisk Plus是一个Windows 2008 R2 64位的安全版本,针对Amazon弹性计算云(EC2)和弹性块存储(EBS)实例。该OS镜像符合国防信息系统局(DISA)安全技术实施指南(STIG),并可以选择包括一个名为ConfigOS的自动修复工具。GoldDisk Plus包括一组STIG兼容的软件和其他组件,如Internet Explorer 10,一个.NET框架4v1和IIS 7.0。

GoldDisk Plus的定价取决于AWS实例的大小和区域。范围从每小时0.02美金的t1.micro实例到每小时7.842美金的i2.8xlarge实例。

CIS Amazon Linux。该选项是强化的64位Linux的Amazon机器镜像(AMI)。这是由CIS开发的操作系统,并基于它的安全基准指南来保证其安全性。同GoldDisk Plus类似,该强化的OS支持在EC2和EBS实例上使用。

CIS Amazon Linux实例的价格范围是0.033美元/小时的t2.micro镜像到6.84美元/小时的i2.8xlarge实例——在美国东部地区。

CIS Ubuntu。该CIS Ubuntu版本的强化OS使用Ubuntu 14.04 LTS x64;它符合CIS的安全基准,并支持在EC2和EBS实例上使用。

CIS Ubuntu的定价同CIS Amazon Linux一样。范围涵盖0.033美元/小时的r2.micro镜像到6.84美元/小时的i2.8xlarge实例。价格因地区而异。

尽管使用预配置的,强化的OS可以降低数据泄露或攻击的风险,但也有利弊上的权衡。有些强化的OS不包括运行在强化的服务器上的应用程序所必需依赖的一些包或库。

但是发现大部分缺少的软件包应该很容易。例如,如果一个服务器将传送数据和进行FTP,但却没有安装安全文件传输协议(SFTP),那么开发人员将会迅速的探测这一点。同样,在实例上编译应用程序的开发人员也很容易立刻检测到编译器的安装与否。然而,当执行部分的应用程序代码时,一个缺失的依赖或不正确的配置则可能发生。

请牢记,提供强化OS的厂商会随着新发现的漏洞或新的代码发布而更新AMI。如果你创建了基于强化镜像的自己的AMI,那就需要使用最新的强化镜像来重新创建那些AMI。

强化的操作系统能够帮助云管理员提高实例的安全性,但需要彻底的测试和审查来确保应用程序正常运行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dan Sullivan
Dan Sullivan

Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。

企业应用与云计算>更多

  • CloudMetro云城域网:基于BRAS CU分离架构建设新城域

    4K视频流量与数量十倍、百倍增长,包括数量;物联网、车联网,包括家庭物联网,都加大了城哉网络的负担。为此,华为联合中国移动,经过一年的研究,创新研发了BRAS CU分离架构。

  • 听!UCloud CEO季昕华在讲理想的故事

    有一句流行语也描述了理想与现实的巨大差距,即“理想很丰满,现实很骨感。”难道理想与现实的关系真有的如此之大?那么,我们不妨听一听UCloud CEO季昕华如何说。

  • 聊天机器人中的两把技术之火:AI和机器学习

    由于chatbot技术—模拟会话语言或文本人际交互的软件——变得越来越普遍,应用开发人员还需要获得另一个领域的专业知识。

  • 华大基因:BT+IT引领物种学科的新开工

    BT和IT融合,为基因组学这个重要的生物学分支奠定了基础。所谓基因组学(英文名称Genomics),就是研究生物基因组、研究如何利用基因的一门学问。它涉及基因测序、基因作图、基因组功能分析等。

相关推荐

  • 微软Azure自动化选项与工具探索

    自动化脚本程序和runbooks是系统管理员工具箱里的看家宝。迁移至云基础设施——管理员可以在几秒钟内进行实例化、移动和扩展虚拟资源——只强调了一致性可重复管理过程的重要性。

  • 如何高效使用Azure Resource Manager?

    Azure Resource Manager是微软公有云上的一个管理工具,这是一个多面工具,专门为开发人员、DevOps人员和IT操作人员而设计。

  • 云管理成功的关键:应用工作流

    在云计算中,应用与固定资源是相互隔离的,这就意味着负责云管理的IT管理人员必须对应用的工作流和资源进行并行管理。

  • 聊聊2015年公有云圈中事

    2015年,在公有云这块蛋糕上有尝到甜头,有人却只吃到苦涩;有人挤上前,有了退居后;有人团结力量到,有单打独斗也是其乐无穷。

技术手册>更多

  • Windows Azure技巧集锦

    如今,微软已经视云计算为核心战略,该项业务的表现甚至将决定这家老牌IT巨头未来的走势,而且其云计算产品Windows Azure也占据微软云计算服务的半壁江山。

  • 解密后端即服务(BaaS)

    后端即服务(BaaS)作为通向后端的一个不同方法已经兴起—它包含服务器、应用程序和支持应用程序面向用户的前端数据库—通过引入云服务架构通向后端流程。虽然是新的,但它已经有了许多的厂商,随着BaaS商场的不断增长,越来越多的开发团队开始注意到移动应用领域的这个新生儿。

  • 一步一步教你打造私有云架构

    云计算(Cloud Computing)是真实的,计算正在向云平台转移。尽管从技术的演进上来说,云计算还算不上是一次技术革命,但是,它对IT产业的影响算得上是革命性的。它不仅将影响我们应用IT的方式,更为重要的是,它很可能将引发IT产业新一轮的调整。究竟何谓云计算?它有哪些主要类型?云计算有哪些优劣势?随着云计算的逐渐推广,企业如何在维持原有预算水平不变的前提下搭建一个私有云架构来改进IT业务?本手册将对这些问题进行解答。

  • 2013年云计算案例合集

    巨头侵入中国市场,也反映出用户已经接受了云计算技术。在过去的一年中,云计算也在各个行业中有了不俗的表现。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心