AWS安全最佳实践:从IT团队入手

日期:2016-3-15作者:Ofir Nachmani翻译:滕晓龙 来源:TechTarget中国 英文

AWS安全   公共云   网络安全   

【TechTarget中国原创】

企业还在关注公共云供应商的安全能力和能力差距。但是,适当的研究和规划可保护数据和工作负载不会超出本地供应商工具的能力范围。

安全问题仍然是企业避免使用公共云服务的一个主要原因。同时,众多云服务供应商已经采取措施来改进这方面,以免这一问题成为公共云的软肋。只有一小部分对企业产生负面影响的云安全事件是源于服务供应商故障的。IT专业人士们都知道公共云基础设施已提供了全面的安全产品,而且他们也有责任使用好它们。

在云时代,诸如使用防火墙网关和监控流量这样的基本本地企业级IT安全需求和概念并没有发生真正的改变。但是,随着公共云的发展,确保IT环境安全性所需的工具和技能却都发生了变化。

IT团队必须承担起加快AWS安全最佳实践实施的责任,其中包括了本地AWS开发模块、可用服务以及其他必不可少的第三方产品,从而提高AWS部署的安全性。据Gartner公司的一份2016年预测报告称,“到2018年,在拥有千名用户以上的企业中约半数将使用云计算访问安全经纪人的产品来监控和管理他们对于软件即服务以及其他形式公共云计算的使用。”

企业也将通过AWS管理控制台或API来建设安全基础设施。重点关注诸如网络安全、访问控制与可见性这类的开发模块将有助于IT团队实现自动化和大规模安全措施强化,从而能够比AWS运行所面临的潜在威胁领先一步。

网络安全

安全组是支持网络安全的最常见开发模块。它们可以帮助组织AWS资源池并基于这些资源应用网络安全策略。

当设置AWS部署时,IT团队应当在AWS虚拟专用云(VPC)内设置安全组。这可以帮助开发人员充分利用AWS网络的私有虚拟网络功能。开发人员还应当使用网络访问列表来控制和定义一个子网的流入和流出流量。

访问控制

每一位AWS用户都有一个用于确保AWS账户安全性的秘密访问密钥和访问密钥ID。使用一个AWS安全令牌服务就可以向一个账号授予临时访问权限。此外,亚马逊身份和访问管理(IAM)还提供了基于角色的访问。用户和应用程序都被赋予了预定义的角色,这样做会非常有助于控制对特定资源和应用程序的访问。AWS还提供了一个多元的身份验证选项。

可见性

在每一个IT环境内,可见性是确保安全性的关键所在。AWS提供了多个安全服务,其中包括Trusted Advisor、Amazon Inspector以及AWS Config。

Trusted Advisor能够帮助用户识别漏洞,例如:

错误配置的安全组,其中包括开放端口;

未启用的IAM密码策略,一个不具备安全套接字层证书的弹性负载平衡器。

AWS Trusted Advisor还能够扫描备份配置,并会提醒用户存在着过时的卷标快照或者在用户的工作负载没有在足够的可用区域内实现平衡时通知他们,从而避免出现单点故障。

在re:Invent 2015会上,AWS发布了Amazon Inspector和AWS Config Rules。Amazon Inspector类似于AWS Trusted Advisor的一个扩展,因为它是一个评估工具。但是,基于代理的Amazon Inspector是一个“堆栈”工具,它可用于分析应用程序行为并将其关联到底层AWS资源的行为。Amazon Inspector仍是预览模式。

AWS Config可实现合规性检查的自动化。它可以捕获AWS资源的当前状态和跟踪变更,然后向用户警告那些不符合AWS安全性最佳实践的变更。

AWS Config Rules通过允许管理人员设置针对特定类型资源的自定义规则来实现对AWS Config功能的扩展。AWS Config可有助于保持一致的资源标记并针对错误配置安全组发出警报。AWS Config还为用户提供了更详细查看每一项资源配置变更历史的功能,这就为提高AWS堆栈对管理人员的可见性提供了另一个新方法。

VPC流量日志和AWS CloudTrail也是重要的审查和日志服务,它们在保持AWS部署具有适当可见性和控制性方面是非常重要的。

备份与灾难恢复

为了实现更高的可用性,开发人员必须通过使用卷标快照和Amazon Machine Images功能围绕基本实例来实现备份操作的自动化并执行灾难恢复(DR)程序。此外,谨慎的做法就是选择具有内置高可用性措施的AWS产品。

Amazon简单存储服务(S3)和关系型数据库服务(RDS)是 强大的AWS存储服务选项中的两个例子。S3是一个具有高度可用性的存储工具,它具有固有的冗余特性。据亚马逊官方表示,S3的设计目标是为了在某一年中提供对象99.999999999%的耐用性和99.99% 的可用性。

Amazon RDS可针对一个数据库实例进行自动备份和实现及时点恢复。但是,有一个陷阱就是,如果用户删除了RDS,那么所有的自动快照文件也都会被移除。

第三方安全工具

亚马逊的云工程师具有先见之明地创建了一个API优先的策略,这使得安全厂商能够提供辅助的基本基础设施即服务产品。供应商们可以提供全面的网络安全管理产品来帮助管理人员部署和保障安全组。

当实施AWS安全最佳实践时,日志管理也是很重要的。诸如Splunk这样的流行工具可自动汇总日志数据并运行启动操作的智能分析。Evident.io 和 CloudCheckr也提高了部署的可见性;这两个选项都提供了可替代Amazon Inspector 和 Trusted Advisor工具的第三方产品。在AWS市场上,还有着其他的第三方DR和备份工具。

其他的AWS安全最佳实践包括了针对工作负载使用跨区域备份功能和在网络边界部署堡垒服务器等做法,从而有助于监测威胁。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ofir Nachmani
Ofir Nachmani

商业技术专家、IamOnDemand.com博主。

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

相关推荐

  • 裸机云服务优缺点概览

    在某些情况下,公共云服务无法为管理员提供全面的可见性和控制权,特别是在可变工作负载运行性能和安全性方面尤是如此。一些供应商通过提供裸机云来解决这一挑战。

  • 你造吗?多云计算还存在很多问题

    一些专家谈到多云计算,使用多个“基础设施即服务”提供商,是下一波企业云采用的趋势。然而,对于许多IT团队来说,通往多云之路是坎坷的。

  • AWS中阻碍安全性的四个失误

    成本和安全性已成为众多企业使用公共云的障碍。企业用户往往不会选择由公共云供应商所管理的陌生IT环境,他们一般更趋向于投资内部IT团队以求能够实现内部控制的本地资源。

  • 云自动缩放启动不需要的资源

    可扩展性是公共云的基石。但是,正如在有需要时扩展资源一样,在不需要或者资源未被充分使用时也需要收缩资源,这两者是同等重要的。

技术手册>更多

  • SDN技术特刊

    SDN是一种网络防御计划,它能够大大提高网络发现、预防和对抗安全威胁的能力,制定企业的整体安全策略,是建立"自防御网络"的基础。随着网络技术不断地发展,网络安全要从以前被动的方式有所转变,在以前,企业不断在已有的计算机网络上不断添加防火墙,网络入侵检测设备,主机防病毒产品,网络身份认证系统,网络管理系统等等,其目的就是要加强网络的安全性。

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

  • 混合云管理实战技术手册

    虽然有关云计算的探讨大部分是关于隐私、成本和安全问题,但是很多IT专家认为混合云模式给出了云计算的优势和风险之间的最佳平衡点。近期的TechTarget Cloud Pulse调查中我们发现39%的企业使用云计算,但是部署的是混合云,相比较而言,目前有22%的企业部署私有云,40%使用公有云。但是现在很多企业还是处于一种迷糊状态,如何才能实现更好的混合云部署,如何能够管理混合云?在这本技术手册中很多业界的专家针对混合云给出了一些建议,供参考。

  • 电子书:十步构建私有云

    构建私有云并不是一项快速工程。始于理解企业环境对于云的期望和定义,继而在已经创建的模型上进行构架。要确保涵盖整个组织、其所有的流程以及构建云计算的技术。下面是构思、搭建和维护私有云的十大步骤。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心