三种预配AWS强化版OS

日期:2015-7-23作者:Dan Sullivan翻译:谈翔 来源:TechTarget中国 英文

AWS安全性   云管理   

【TechTarget中国原创】

尽管需要额外的工作和精力,但开发人员可以使用预配强化的OS来更好的保护AWS里的数据。

云管理员负责确保AWS资源的安全性。使用强化的亚马逊机器镜像是一种启动安全弹性计算实例的方式,同时避免了各种耗时的与操作系统安全相关的配置任务。互联网安全中心在AWS市场提供了一些强化版的Linux操作系统。

互联网安全中心(CIS)是一个网络安全组织,定期举办安全培训讲座并发布互联网安全状态的年度报告。除此之外,该组织还发布与一个安全的OS相关的广泛配置的安全基准指南。

CIS的指南会具体到一些低级别的细节,如保护启动过程。例如,对bootloader的配置设置权限来保护启动参数和设置。配置bootloader,仅允许读和只对root用户的写权限就是一个简单的好方法,但往往很容易被忽略。

同样,CIS建议管理员要求用户身份验证——即使是在单用户模式下。要配置这个,需要为root用户设置一个密码。如果没有用户认证,黑客可以重启机器然后获得root用户的访问权限。

对于高级别的安全问题,CIS建议禁用遗留服务来保护其他的软件不被攻击。要做到这点,需要禁用软件或者整个移除。

强化一个操作系统可能花费大量的时间和精力。即便很多变更实现起来不难,但也增加了引入错误的几率。AWS市场上提供了几个强化的OS,包括GoldDisk Plus、CIS Amazon Linux和CIS Ubuntu。下面来看看每一种选项。

GoldDisk Plus。GoldDisk Plus是一个Windows 2008 R2 64位的安全版本,针对Amazon弹性计算云(EC2)和弹性块存储(EBS)实例。该OS镜像符合国防信息系统局(DISA)安全技术实施指南(STIG),并可以选择包括一个名为ConfigOS的自动修复工具。GoldDisk Plus包括一组STIG兼容的软件和其他组件,如Internet Explorer 10,一个.NET框架4v1和IIS 7.0。

GoldDisk Plus的定价取决于AWS实例的大小和区域。范围从每小时0.02美金的t1.micro实例到每小时7.842美金的i2.8xlarge实例。

CIS Amazon Linux。该选项是强化的64位Linux的Amazon机器镜像(AMI)。这是由CIS开发的操作系统,并基于它的安全基准指南来保证其安全性。同GoldDisk Plus类似,该强化的OS支持在EC2和EBS实例上使用。

CIS Amazon Linux实例的价格范围是0.033美元/小时的t2.micro镜像到6.84美元/小时的i2.8xlarge实例——在美国东部地区。

CIS Ubuntu。该CIS Ubuntu版本的强化OS使用Ubuntu 14.04 LTS x64;它符合CIS的安全基准,并支持在EC2和EBS实例上使用。

CIS Ubuntu的定价同CIS Amazon Linux一样。范围涵盖0.033美元/小时的r2.micro镜像到6.84美元/小时的i2.8xlarge实例。价格因地区而异。

尽管使用预配置的,强化的OS可以降低数据泄露或攻击的风险,但也有利弊上的权衡。有些强化的OS不包括运行在强化的服务器上的应用程序所必需依赖的一些包或库。

但是发现大部分缺少的软件包应该很容易。例如,如果一个服务器将传送数据和进行FTP,但却没有安装安全文件传输协议(SFTP),那么开发人员将会迅速的探测这一点。同样,在实例上编译应用程序的开发人员也很容易立刻检测到编译器的安装与否。然而,当执行部分的应用程序代码时,一个缺失的依赖或不正确的配置则可能发生。

请牢记,提供强化OS的厂商会随着新发现的漏洞或新的代码发布而更新AMI。如果你创建了基于强化镜像的自己的AMI,那就需要使用最新的强化镜像来重新创建那些AMI。

强化的操作系统能够帮助云管理员提高实例的安全性,但需要彻底的测试和审查来确保应用程序正常运行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dan Sullivan
Dan Sullivan

Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。

企业应用与云计算>更多

  • 制造业数字化转型:如何打造差异化的行业云

    根据福布斯Insights和日立对全球573位高管的调查显示,数字化转型在企业的战略清单上已经居于首位。而且,接下来两年将是企业数字化转型的关键时期。

  • 特朗普经济:2017年IT渠道商机大家谈

    随着步入2017年,IT渠道分析师和高管们都形成了一个共识:变革就在眼前。过去一年,许多渠道合作伙伴都实施了大胆的措施来改变他们的业务,从而促进其收入增加。

  • 2017年CX云的关键词:连接客户

    2017年新篇章已经开始,客户将变得比过去更加主动更有话语权,所以对于企业而言,了解客户需求才是取得成功的关键一步。

  • 黄允松:2017,云的机遇在哪里

    在这个倡导所有企业都将最终成为IT企业的时代,你认为在新的一年中,云计算将会有哪些新机遇?未来世界会哪些新的技术方向。

相关推荐

  • 微软Azure自动化选项与工具探索

    自动化脚本程序和runbooks是系统管理员工具箱里的看家宝。迁移至云基础设施——管理员可以在几秒钟内进行实例化、移动和扩展虚拟资源——只强调了一致性可重复管理过程的重要性。

  • 如何高效使用Azure Resource Manager?

    Azure Resource Manager是微软公有云上的一个管理工具,这是一个多面工具,专门为开发人员、DevOps人员和IT操作人员而设计。

  • 云管理成功的关键:应用工作流

    在云计算中,应用与固定资源是相互隔离的,这就意味着负责云管理的IT管理人员必须对应用的工作流和资源进行并行管理。

  • 聊聊2015年公有云圈中事

    2015年,在公有云这块蛋糕上有尝到甜头,有人却只吃到苦涩;有人挤上前,有了退居后;有人团结力量到,有单打独斗也是其乐无穷。

技术手册>更多

  • 云存储最佳实践

    云存储可帮助用户在能访问互联网的任何地方,恢复任一个时间点的数据。本手册将介绍云存储的发展状况与云存储的最佳实践与技巧。

  • 网格计算入门指南

    业务周期的速度和不可预测性已经使很多企业的管理能力逼近了极限。企业需要更具适应性,但他们信息系统的响应速度往往较慢。同时,这些企业希望借助IT系统获得更高的效率,并降低计算成本。

      网格计算是一种新的IT体系结构,它能够适应不断变化的业务需求。网格计算还为IT经济带来了革命性的变化。通过企业网格计算,您可以使用可随需应变的灵活成本结构构建一个功能强大的数据中心。

      虚拟化是关于运行时部署的效率,注重提供方便。因为企业逐渐转向应用SOA,所以它们会寻求服务周期的管理方式,这其中可能就包括调用虚拟容器作为服务、数据、甚至SOA基础设施本身(如虚拟化软件产品)的运行时间。

  • 主流云计算服务模式安全攻略

    毫无疑问,云计算具备了众多的好处。从规模经济到应用可用性,云计算绝对能够为您的应用环境带来一些积极的因素。如今,在广大云计算供应商和支持者的推崇下,众多企业用户已开始跃跃欲试。但是,对于公共云计算平台而言,无论是SaaS(软件即服务)、IaaS(基础设施即服务),还是PaaS(平台即服务),都无法拿出真正可靠的云安全方案来。而对于私有云而言,也不同程度地面临着类似的问题,这也正是广大用户最为担心的方面。本手册为用户介绍如何在SaaS、IaaS及PaaS模式下保证应用和数据的安全性。

  • 云开发系列文摘之私有云战略

    公有云和私有云各自成为镁光灯下的焦点词汇,但是很多分析师则愿意在二者的混合物——缓和云上下注。专家看到了人们对于私有云的兴趣,因为很多企业就是简单的不能或者不信任,所以不会将数据放入公有云中。不久的将来,这一现状会改变,一些数据在公有云中也非常安全,也许在亚马逊的保护之下甚至比大多数的IT内部要更加安全。在本期云开发文摘中,我们将如何制定良好的私有云战略。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心