AWS监控归根到底是工具的选择

日期:2016-11-28作者:Alan R. Earls翻译:滕晓龙 来源:TechTarget中国 英文

【TechTarget中国原创】

AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

AWS CloudTrail是一个审核日志记录工具,它可记录AWS账户中每一次的API调用,其中还包括了这些调用的元数据。CloudTrail记录每个条目的信息有:用户、IP地址、服务和受影响资源等。

从安全角度来看,AWS CloudTrail是一个“必备”的工具,CloudSploit公司的创始人Matthew Fuller说,CloudSploit是一家总部设在纽约市的开源AWS产品和安全公司。该服务对于多用户环境下AWS账户监控应用尤其是必备品。“如果发生了一件安全事件,CloudTrail所提供的历史日志记录可用于事后分析以确定导致入侵的原因,恶意用户采取了什么行动以及受影响的资源等,”Fuller说。

AWS Config与AWS CloudTrail略有不同,该服务会记录AWS账户下每一个启用资源的历史状态,从而允许AWS用户查看基础设施特定部分随时间变化的变化。AWS Config还会显示未来的更新或更新将会如何影响基础设施。AWS Config可与Lambda集成,从而允许IT团队运行自定义代码以便响应资源状态变更。

AWS Config Rules则是一个附加服务,它能够让管理员定义允许资源的特定状态。“如果资源无法保持在该状态(一个可能的安全风险),那么就可以执行一个Lambda函数,”他补充说。

虽然AWS CloudTrail只是简单地提供日志,但是AWS Config是一个“更先进的概念”,总部位于加利福尼亚州Foster城的cPrime公司CEO Zubin Irani说,cPrime公司是一家专业从事敏捷培训的企业。AWS Config Rules跟踪资源在基础设施内部的使用情况、分配情况以及变更历史。“CloudTrail的目的就是保存记录,并对谁做了什么做出反应,而Config则是关于什么资源改变了以及他们看起来是如何的,”Irani说。换而言之,虽然这两个服务都有助于AWS监控,但一个是以资源为中心的,而另一个则是以用户操作为中心。

亚马逊Inspector是一个在弹性计算云实例上运行的代理,它可在服务器级跟踪潜在合规性违犯和安全风险。Inspector会整合潜在的漏洞以显示该项目是否符合。“Inspector就如同是一个分析工具,它可以对基础设施进行检查并为如何提高安全性提出建议,”Irani说。

为AWS监控选择服务

AWS Config、CloudTrail 和Inspector都有着各自不同的用途。CloudTrail是一个记录工具,它会记录对用户账户进行的每一次API调用、每一次操作以及是谁执行操作的信息。这个信息是进行后续取证和审核的必要信息。AWS Config则是记录了每一次的资源配置变更。例如,当管理员添加或删除弹性网络接口或当安全组中增加一条规则时,AWS Config会记录相关变更。它在发生变更时为环境提供了一个时间表。

同时使用CloudTrail和Config 的IT团队会在发生变更时收到一个警告,并能够看出发生变更的时间和位置。然后,他们可以使用CloudTrail来确定是谁执行了相关操作。AWS监控和保持安全配置是任何环境保护的重要组成部分;这些本地AWS监控工具可以有助于任何企业确保所有变更都是被授权的、可被跟踪的以及可被审核的 。

AWS Inspector可以查看云实例内部、对已安装软件进行扫描以及将扫描结果与AWS 维护的常见漏洞数据库进行比较。这些功能让管理人员能够确定要更新的软件包以及这些更新将如何影响安全性。Inspector可确保IT团队能够定期识别要对系统打哪些补丁。

Config、CloudTrail 和Inspector都是免费的,但是“Inspector是可选的,”Irani补充道。“三个服务中唯一需要和值得推荐的是CloudTrail。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Alan R. Earls
Alan R. Earls

TechTarget资深作者

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

相关推荐

  • Fireglass技术击垮AWS CloudTrail

    Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法,这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail。

  • AWS云安全:别忘记这一步

    IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因,但是亚马逊的一系列安全选项为这些疑惑给出了答案。

  • AWS CloudTrail扩展了API调用审计

    AWS大幅增加了AWS CloudTrail支持的服务数量,以便涵盖大量的AWS服务组合中的大多数。当前支持的服务包括大多数计算和网络服务以及所有的部署和管理服务。

  • 创建AWS云监控预警和警报

    一旦你理解了AWS 云监控,并且掌握了工具的基本流程,那么,你就可以创建一个新的指标。要想创建一个新的云监控指标,你需要做的就是将数据“输入”进去。

技术手册>更多

  • 云开发系列文摘:Clouds in my Coffee

    现在说云开发正在增长是一个陈述句。正如云作为另一个行业热词已经降温,兴趣却在飙升,企业开始在应用开发中使用。《云开发文摘》第一期中主要为IT和开发经理提供云开发中的趋势、战略和最佳实践的话题。

  • 平台即服务(PaaS)实操指南

    市场上为开发者提供了各种PaaS。虽然看起来PaaS厂商都极为相似,但是却也存在诸多不同。要跟上市场的变化,在选择PaaS平台时,有一些关键性能需要注意。在这本技术指南中我们将重点介绍平台即服务的市场现状以及如何将遗留开发转移到PaaS之上,同时我们会给出最新的私有PaaS概念和产品选择指导。

  • 云服务性能监测和评估指南

    云服务帮助企业解决了构建IT基础设施和应用的难题,但是企业如何提高云服务的性能?如何高效地使用云服务?本手册介绍云服务性能和标准以及评估云服务的相关技巧法则。

  • 云存储服务使用指导手册

    根据TechTarget最近的一项调查,我们发现受访者所在的企业中,目前有44%已经在数据保护和其他应用中使用云存储服务。大概在未来六个月中,这个数字还会继续增长,因为46%的受访者表示他们计划增加对于云数据存储服务的使用。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心