AWS安全最佳实践:从IT团队入手

日期:2016-3-15作者:Ofir Nachmani翻译:滕晓龙来源:TechTarget中国 英文

AWS安全   公共云   网络安全   

【TechTarget中国原创】

企业还在关注公共云供应商的安全能力和能力差距。但是,适当的研究和规划可保护数据和工作负载不会超出本地供应商工具的能力范围。

安全问题仍然是企业避免使用公共云服务的一个主要原因。同时,众多云服务供应商已经采取措施来改进这方面,以免这一问题成为公共云的软肋。只有一小部分对企业产生负面影响的云安全事件是源于服务供应商故障的。IT专业人士们都知道公共云基础设施已提供了全面的安全产品,而且他们也有责任使用好它们。

在云时代,诸如使用防火墙网关和监控流量这样的基本本地企业级IT安全需求和概念并没有发生真正的改变。但是,随着公共云的发展,确保IT环境安全性所需的工具和技能却都发生了变化。

IT团队必须承担起加快AWS安全最佳实践实施的责任,其中包括了本地AWS开发模块、可用服务以及其他必不可少的第三方产品,从而提高AWS部署的安全性。据Gartner公司的一份2016年预测报告称,“到2018年,在拥有千名用户以上的企业中约半数将使用云计算访问安全经纪人的产品来监控和管理他们对于软件即服务以及其他形式公共云计算的使用。”

企业也将通过AWS管理控制台或API来建设安全基础设施。重点关注诸如网络安全、访问控制与可见性这类的开发模块将有助于IT团队实现自动化和大规模安全措施强化,从而能够比AWS运行所面临的潜在威胁领先一步。

网络安全

安全组是支持网络安全的最常见开发模块。它们可以帮助组织AWS资源池并基于这些资源应用网络安全策略。

当设置AWS部署时,IT团队应当在AWS虚拟专用云(VPC)内设置安全组。这可以帮助开发人员充分利用AWS网络的私有虚拟网络功能。开发人员还应当使用网络访问列表来控制和定义一个子网的流入和流出流量。

访问控制

每一位AWS用户都有一个用于确保AWS账户安全性的秘密访问密钥和访问密钥ID。使用一个AWS安全令牌服务就可以向一个账号授予临时访问权限。此外,亚马逊身份和访问管理(IAM)还提供了基于角色的访问。用户和应用程序都被赋予了预定义的角色,这样做会非常有助于控制对特定资源和应用程序的访问。AWS还提供了一个多元的身份验证选项。

可见性

在每一个IT环境内,可见性是确保安全性的关键所在。AWS提供了多个安全服务,其中包括Trusted Advisor、Amazon Inspector以及AWS Config。

Trusted Advisor能够帮助用户识别漏洞,例如:

错误配置的安全组,其中包括开放端口;

未启用的IAM密码策略,一个不具备安全套接字层证书的弹性负载平衡器。

AWS Trusted Advisor还能够扫描备份配置,并会提醒用户存在着过时的卷标快照或者在用户的工作负载没有在足够的可用区域内实现平衡时通知他们,从而避免出现单点故障。

在re:Invent 2015会上,AWS发布了Amazon Inspector和AWS Config Rules。Amazon Inspector类似于AWS Trusted Advisor的一个扩展,因为它是一个评估工具。但是,基于代理的Amazon Inspector是一个“堆栈”工具,它可用于分析应用程序行为并将其关联到底层AWS资源的行为。Amazon Inspector仍是预览模式。

AWS Config可实现合规性检查的自动化。它可以捕获AWS资源的当前状态和跟踪变更,然后向用户警告那些不符合AWS安全性最佳实践的变更。

AWS Config Rules通过允许管理人员设置针对特定类型资源的自定义规则来实现对AWS Config功能的扩展。AWS Config可有助于保持一致的资源标记并针对错误配置安全组发出警报。AWS Config还为用户提供了更详细查看每一项资源配置变更历史的功能,这就为提高AWS堆栈对管理人员的可见性提供了另一个新方法。

VPC流量日志和AWS CloudTrail也是重要的审查和日志服务,它们在保持AWS部署具有适当可见性和控制性方面是非常重要的。

备份与灾难恢复

为了实现更高的可用性,开发人员必须通过使用卷标快照和Amazon Machine Images功能围绕基本实例来实现备份操作的自动化并执行灾难恢复(DR)程序。此外,谨慎的做法就是选择具有内置高可用性措施的AWS产品。

Amazon简单存储服务(S3)和关系型数据库服务(RDS)是 强大的AWS存储服务选项中的两个例子。S3是一个具有高度可用性的存储工具,它具有固有的冗余特性。据亚马逊官方表示,S3的设计目标是为了在某一年中提供对象99.999999999%的耐用性和99.99% 的可用性。

Amazon RDS可针对一个数据库实例进行自动备份和实现及时点恢复。但是,有一个陷阱就是,如果用户删除了RDS,那么所有的自动快照文件也都会被移除。

第三方安全工具

亚马逊的云工程师具有先见之明地创建了一个API优先的策略,这使得安全厂商能够提供辅助的基本基础设施即服务产品。供应商们可以提供全面的网络安全管理产品来帮助管理人员部署和保障安全组。

当实施AWS安全最佳实践时,日志管理也是很重要的。诸如Splunk这样的流行工具可自动汇总日志数据并运行启动操作的智能分析。Evident.io 和 CloudCheckr也提高了部署的可见性;这两个选项都提供了可替代Amazon Inspector 和 Trusted Advisor工具的第三方产品。在AWS市场上,还有着其他的第三方DR和备份工具。

其他的AWS安全最佳实践包括了针对工作负载使用跨区域备份功能和在网络边界部署堡垒服务器等做法,从而有助于监测威胁。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ofir Nachmani
Ofir Nachmani

商业技术专家、IamOnDemand.com博主。

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

相关推荐

  • AWS中阻碍安全性的四个失误

    成本和安全性已成为众多企业使用公共云的障碍。企业用户往往不会选择由公共云供应商所管理的陌生IT环境,他们一般更趋向于投资内部IT团队以求能够实现内部控制的本地资源。

  • 云自动缩放启动不需要的资源

    可扩展性是公共云的基石。但是,正如在有需要时扩展资源一样,在不需要或者资源未被充分使用时也需要收缩资源,这两者是同等重要的。

  • IT人士亲身试验:公共云部署经验教训

    随着企业用户对于安全性和受制于供应商等问题得到了一定程度的缓解,公共云应用率正在持续上升。公共云的收入将在2016年达到2040亿美元,该数字将比2015年的1750亿美元增长16.5%,据Gartner发布。

  • VMware云战略加入新成员:VCloud Air

    随着VMware希望提高企业用户跨云运行和管理环境的方式,公司曾经的旗舰公共云已经悄然无声地转移到了后台。

技术手册>更多

  • 容器技术应用浅析

    如今,容器市场可说是三分天下:cloudfoundry、kubernetes、mesos,在这三种容器技术之上,衍生出不少容器技术,使得容器市场变得更加复杂,各大服务提供商纷纷出兵亮器,彰显自己在容器领域的实力。

  • SaaS应用管理技术手册

    SaaS解决方案通常通过Web交付,通过订阅服务收费,而服务数目则取决于企业。SaaS软件解决方案属于厂商的网站,运行在厂商的服务器上。有一些用户的敏感数据可能也要放到厂商的存储设备上。厂商有责任升级、维护和支持应用软件。在这本技术手册中,我们将关注SaaS市场的发展现状以及如何选取最合适的SaaS应用,同时涉及目前主要面临的安全问题。

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

  • 云中虚拟机配置与保护措施教程

    如何为私有云选择正确的虚拟机,我们分析每一个虚拟机和服务所用的资源,还要检查把这些资源移向云中的风险。有了正确的调查,就可以找到最好的资源和服务,并且可以相对容易的部署到私有云中。部署好了之后,云端虚拟机的安全如何保证与管理又成为问题,保证了正常运转与管理之后,随着业务发展,在云端,虚拟机蔓延该如何控制呢?在这本技术手册中我们将一一为您解答。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心