AWS监控归根到底是工具的选择

日期:2016-11-28作者:Alan R. Earls翻译:滕晓龙来源:TechTarget中国 英文

【TechTarget中国原创】

AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

AWS CloudTrail是一个审核日志记录工具,它可记录AWS账户中每一次的API调用,其中还包括了这些调用的元数据。CloudTrail记录每个条目的信息有:用户、IP地址、服务和受影响资源等。

从安全角度来看,AWS CloudTrail是一个“必备”的工具,CloudSploit公司的创始人Matthew Fuller说,CloudSploit是一家总部设在纽约市的开源AWS产品和安全公司。该服务对于多用户环境下AWS账户监控应用尤其是必备品。“如果发生了一件安全事件,CloudTrail所提供的历史日志记录可用于事后分析以确定导致入侵的原因,恶意用户采取了什么行动以及受影响的资源等,”Fuller说。

AWS Config与AWS CloudTrail略有不同,该服务会记录AWS账户下每一个启用资源的历史状态,从而允许AWS用户查看基础设施特定部分随时间变化的变化。AWS Config还会显示未来的更新或更新将会如何影响基础设施。AWS Config可与Lambda集成,从而允许IT团队运行自定义代码以便响应资源状态变更。

AWS Config Rules则是一个附加服务,它能够让管理员定义允许资源的特定状态。“如果资源无法保持在该状态(一个可能的安全风险),那么就可以执行一个Lambda函数,”他补充说。

虽然AWS CloudTrail只是简单地提供日志,但是AWS Config是一个“更先进的概念”,总部位于加利福尼亚州Foster城的cPrime公司CEO Zubin Irani说,cPrime公司是一家专业从事敏捷培训的企业。AWS Config Rules跟踪资源在基础设施内部的使用情况、分配情况以及变更历史。“CloudTrail的目的就是保存记录,并对谁做了什么做出反应,而Config则是关于什么资源改变了以及他们看起来是如何的,”Irani说。换而言之,虽然这两个服务都有助于AWS监控,但一个是以资源为中心的,而另一个则是以用户操作为中心。

亚马逊Inspector是一个在弹性计算云实例上运行的代理,它可在服务器级跟踪潜在合规性违犯和安全风险。Inspector会整合潜在的漏洞以显示该项目是否符合。“Inspector就如同是一个分析工具,它可以对基础设施进行检查并为如何提高安全性提出建议,”Irani说。

为AWS监控选择服务

AWS Config、CloudTrail 和Inspector都有着各自不同的用途。CloudTrail是一个记录工具,它会记录对用户账户进行的每一次API调用、每一次操作以及是谁执行操作的信息。这个信息是进行后续取证和审核的必要信息。AWS Config则是记录了每一次的资源配置变更。例如,当管理员添加或删除弹性网络接口或当安全组中增加一条规则时,AWS Config会记录相关变更。它在发生变更时为环境提供了一个时间表。

同时使用CloudTrail和Config 的IT团队会在发生变更时收到一个警告,并能够看出发生变更的时间和位置。然后,他们可以使用CloudTrail来确定是谁执行了相关操作。AWS监控和保持安全配置是任何环境保护的重要组成部分;这些本地AWS监控工具可以有助于任何企业确保所有变更都是被授权的、可被跟踪的以及可被审核的 。

AWS Inspector可以查看云实例内部、对已安装软件进行扫描以及将扫描结果与AWS 维护的常见漏洞数据库进行比较。这些功能让管理人员能够确定要更新的软件包以及这些更新将如何影响安全性。Inspector可确保IT团队能够定期识别要对系统打哪些补丁。

Config、CloudTrail 和Inspector都是免费的,但是“Inspector是可选的,”Irani补充道。“三个服务中唯一需要和值得推荐的是CloudTrail。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Alan R. Earls
Alan R. Earls

TechTarget资深作者

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

  • 云IAM市场进化应对新老IT挑战

    云身份和访问管理(IAM)市场估值约为6亿美金,并预计在2017年将增长到10亿美金,Gregg Kreizman,Gartner分析机构的研究副总裁说道。

相关推荐

  • Fireglass技术击垮AWS CloudTrail

    Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法,这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail。

  • AWS云安全:别忘记这一步

    IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因,但是亚马逊的一系列安全选项为这些疑惑给出了答案。

  • AWS CloudTrail扩展了API调用审计

    AWS大幅增加了AWS CloudTrail支持的服务数量,以便涵盖大量的AWS服务组合中的大多数。当前支持的服务包括大多数计算和网络服务以及所有的部署和管理服务。

  • 创建AWS云监控预警和警报

    一旦你理解了AWS 云监控,并且掌握了工具的基本流程,那么,你就可以创建一个新的指标。要想创建一个新的云监控指标,你需要做的就是将数据“输入”进去。

技术手册>更多

  • 开源云计算平台和产品教程

    在寻找开源云计算服务供应商时,拥有较强开发能力团体或特定业务应用的企业往往会习惯性地避开商业云计算服务供应商。但是有些问题依然存在,如开源云计算服务供应商如何体现其价值。谁将拔得头筹?Eucalyptus系统是否能够在与OpenStack的残酷竞争中胜出?OpenStack是否能够摆脱过分项目宣传的老套路,进而推出具有量产商业化性质的云计算产品?红帽公司是否能够进一步明确其模糊不清的云计算战略?那么诸如Abiquo之类的无关虚拟化管理程序公司又如何?谁将成为世人眼中的焦点,成为企业私有云计算实施计划中的宠儿?

  • 熔炉之云中DevOps

    在云计算、大数据等技术颠覆性趋势继续在应用经济下发挥作用的同时,DevOps也已经稳健地在业务思维方式中占有一席之地,并将在2015年扮演主要角色。

  • 2010年最具价值的技巧指导

    2010年,云在大家心中留下了怎样的印象?用户开始关心并讨论云,开始思考云的好与不好。对此,TechTarget云计算网站特别总结2010年最具价值的技巧指导与大家分享。

  • 下一代数据中心交换网络:云计算虚拟化交换网络

    下一代数据中心交换网络:云计算虚拟化交换网络。在云计算漫漫之旅上,虚拟化将是我们建设架构即服务云不得不跨越的一道坎,而大规模部署虚拟化更是给传统数据中心管理模式、服务器、存储和网络架构规划管理带来巨大的挑战。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心