确保AWS安全:避免犯常见错误

日期:2016-3-16作者:Beth Pariseau翻译:滕晓龙来源:TechTarget中国 英文

【TechTarget中国原创】

如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

云计算和软件即服务(SaaS)已经改变了IT安全领域,但并不是所有运行AWS环境的人员都能够在第一时间了解到这一点的。

这是一位参加在上周波士顿召开的AWS Meetup的云咨询顾问以及一众参加会议并在确保AWS环境安全性方面拥有大量经验的与会者发出的声音。

随着云计算和软件即服务的逐渐普及,近期内深刻撼动IT安全领域的最显著变化之一就是像联邦贸易委员会(FTC)和美国证券交易监督委员会这样的监管部门都变得活跃起来了,stackArmor公司的平台架构与安全DevOps策略师兼云经纪人Gaurav Pal说,stackArmor公司是一家总部设在马里兰州Potomac的云咨询公司,该公司还是AWS的合作伙伴。

去年,FTC赢得了温德姆集团一案的胜利,从而第一次在数据安全领域行使了其管辖权。在2016年1月,FTC向亨利施恩公司(一家总部位于纽约州Melville的牙科诊所软件供应商)发出了一张高达二十五万美元的罚单,FTC指控该公司使用虚假广告的加密水平来保护患者数据。

由此看来,监管部门的步伐正在赶上云计算发展的速度,而现在“缺乏安全感就必须付出代价,”Pal在他发表的演讲中说。

与此同时,当云用户——尤其是众多的SaaS初创企业——也希望在开发运营(DevOps)中的“开发”部分变得更强而在“运营”上相对弱化时,网络和SaaS产品已经改变了确保IT环境安全性的方法。

亟待解决的AWS安全性首要问题

避免犯AWS安全性错误只是成功了一半。请仔细阅读,看看专家认为应如何确保您的AWS环境的安全性,其中包括:

  • 使用固定API
  • 应用最小特权原则
  • 将使用的工具

从根本上了解我们是如何确保AWS环境安全性的。

“十年前,应用程序的发布还只是通过一张CD光盘,而现在SaaS模式要求供应商使用Ops的方式,”Pal说。

传统的计算机科学教育项目并没有非常关注安全性,他们只是以纯粹编程的方式来对学生进行这方面的训练,RBM科技公司的IT总经理Jason Dunkerley在Meetup会议后接受SearchAWS的单独采访时说,RBM科技是一家总部位于波士顿的商品零售SaaS供应商。

鉴于云和SaaS行业仍处于各自的起步阶段,还没有像国家职业工程师协会(NSPE)那样成立核心软件工程师专业群体,Dunkerley指出。但是,在云时代,开发人员可以快速地进行产品开发,他们拥有一次为成千上万用户提供服务且无需做出巨额前期投资的能力。

“这一点确实让人感到兴奋,但这也是非常危险的,”Dunkerley说。“你可能会重点关注产品的水准提升和更新换代,以便于让你的产品能够实现客户的需求,但是你却对保护你的运营方面毫不留意。”

避免犯常见的AWS安全性错误

在云计算的西部拓荒时期,一方面是令人信服的业务流程,而另一方面则是运营经验的缺乏,两者的结合就意味着企业要陷入如Pal演讲中的那种负面例子中。在Pal的介绍中,一家数据仓库公司在其云费用达到2000美元/天时就求助于咨询师了。

当他们发现其高昂的费用是与一家境外企业试图从其后端数据库中拉取企业数据有关时,这次财务分析就迅速演变成了一次安全运行分析。

“技术正在发生改变,但我们对改变带来的安全方面的影响还不清楚,”Pal说。

事实是,AWS平台为在云中部署资源提供了很大的选择范围,这对于灵活性是非常重要的,但是当涉及保护IT环境时它可能就是一根让新入门用户勒死自己的要命绳,Dunkerley说。

“你没有多少手段,你不应该这样做,”Dunkerley说。

虽然这一切都太容易了,但是AWS新用户应该做的最后一件事是忽视亚马逊的建议,是使用虚拟私有云(VPC)、身份与访问管理(IAM)角色和IAM身份等工具来确保IT环境的安全性。

“如果你以他们推荐的方式来进行这项工作,那么你已经遥遥领先了,”Dunkerley说。“如果一开始你就没有朝那个方向发展……那么就真的很难纠正过来了。”

遵循AWS最佳实践

之后,用户就会开始需要专家来参与其中并帮助他们整合之前的运行方式和亚马逊设置安全措施的方式,Dunkerley说。

例如,如果用户没有真正花时间理解安全性、服务器配置以及服务器锁定以便只允许某些特定访问,那么他可能会暂时地开放系统,但之后就会忘了并一直保持系统的开放状态,Dunkerley说。

用户需要找出所需的端口,指定必须发生数据交换的入口和出口并对之进行限制,以便于遵循AWS最佳实践,只有某些端口能够跨越某些VPC进行互相会话,Dunkerley说。如果他们没有遵照执行最佳实践,那么对外开放实例和访问将如同向黑客们发出了邀请函。

在建立AWS环境时,缺乏强大的安全行动计划也是用户最常犯的错误之一,Pal指出。这就要求用户建立起一套深思熟虑用于打补丁、软件更新以及关键漏洞监控的程序。

设置防火墙和访问管理

“用户应予以更多关注的其他方面是用于边界防护的网络应用程序防火墙,”Pal说。“甚至围绕特权用户使用虚拟专用网络(VPN)来访问环境也有着一些解决方案,然后就是通用的防火墙。”

这可能是一个最佳实践,Pal说,但是VPN的安装与维护是非常繁琐的,有时候用户会觉得使用上有所不习惯。

“你会很惊讶地看到有如此多的SaaS企业(尤其是那些规模较少的公司)在特权用户访问他们的云计算环境时是不使用VPN的,”Pal说。

其他常见的安全漏洞包括为身份和访问管理用户创建不必要的访问密钥;Pal表示,控制台用户是不需要密钥的。相反,用户应当提供IAM角色以供实例访问时作临时凭证。

IAM角色

还应提供可实现职责分离的IAM角色功能,Pal说。很多时候,缺乏对生产实例访问的限制会允许任何用户对其执行操作。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Beth Pariseau
Beth Pariseau

Beth Pariseau是TechTarget's Data Center and Virtualization Media Group高级新闻作者。写信给她用bpariseau@techtarget.com,或者看她的Twitter:@PariseauTT。

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

相关推荐

  • AWS中阻碍安全性的四个失误

    成本和安全性已成为众多企业使用公共云的障碍。企业用户往往不会选择由公共云供应商所管理的陌生IT环境,他们一般更趋向于投资内部IT团队以求能够实现内部控制的本地资源。

  • 持续交付工具领域:DevOps越出SaaS界线

    主要作为软件即服务(SaaS)提供的DevOps工具在本月开始向用户提供了新的部署方式,视图吸引开始流水线化开发流程、但可能并不会将服务部署到公有云上的大型企业。

  • 克服云安全挑战:专家五个提示

    云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。

  • 如何看待AWS中的数据加密?

    我们并不确定公有云是否适合我们,因为我们对数据的隐私有的高标准的要求。AWS如何加密数据?它提供了哪些关键的管理选项?

技术手册>更多

  • 开源云计算平台和产品教程

    在寻找开源云计算服务供应商时,拥有较强开发能力团体或特定业务应用的企业往往会习惯性地避开商业云计算服务供应商。但是有些问题依然存在,如开源云计算服务供应商如何体现其价值。谁将拔得头筹?Eucalyptus系统是否能够在与OpenStack的残酷竞争中胜出?OpenStack是否能够摆脱过分项目宣传的老套路,进而推出具有量产商业化性质的云计算产品?红帽公司是否能够进一步明确其模糊不清的云计算战略?那么诸如Abiquo之类的无关虚拟化管理程序公司又如何?谁将成为世人眼中的焦点,成为企业私有云计算实施计划中的宠儿?

  • 避免云厂商锁定秘技

    厂商锁定问题不仅给企业产生的巨大的额外成本,对于企业来说还业务管理的灵活性,扩展性也大大降低。基于种种问题,IT管理人员频繁地使用云服务,以此作为摆脱厂商锁定的一种方式。但如何真正避免厂商锁定,一直都是用户在思考的问题。

  • 云服务模式安全性评估手册

    2012年TechTarget中国云安全调查结果显示,目前已经有79.6%的企业正在进行或者考虑采用云服务,形式包括PaaS、Iaas、SaaS、云存储/备份、私有云和混合云。这也从一个侧面反映了企业对于云计算的认可已经逐渐加强,不再云里雾里。但是谈到云计算安全性的时候,认为云计算安全和不安全的受访者基本持平,分别为51.9%(安全)和48.1%(不安全)。本技术手册中,我们将从三个方面评估并实现云服务模式的安全性。

  • 印象Docker

    几年前Docker容器技术一夕之间火遍整个IT界,不论是谷歌、亚马逊还是微软都纷纷加入Docker的阵营中,Docker容器技术已然成为IT业界的一个新风向标。事实上,容器技术并非新兴技术,那么,在新技术让开发人员眼花缭乱的今天,是什么原因让Docker容器技术在IT舞台上大放异彩?

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心