开发者俱乐部

标题: AWS安全最佳实践:从IT团队入手 [打印本页]

作者: xman    时间: 2016-3-18 10:26
标题: AWS安全最佳实践:从IT团队入手
企业还在关注公共云供应商的安全能力和能力差距。但是,适当的研究和规划可保护数据和工作负载不会超出本地供应商工具的能力范围。
  安全问题仍然是企业避免使用公共云服务的一个主要原因。同时,众多云服务供应商已经采取措施来改进这方面,以免这一问题成为公共云的软肋。只有一小部分对企业产生负面影响的云安全事件是源于服务供应商故障的。IT专业人士们都知道公共云基础设施已提供了全面的安全产品,而且他们也有责任使用好它们。
  在云时代,诸如使用防火墙网关和监控流量这样的基本本地企业级IT安全需求和概念并没有发生真正的改变。但是,随着公共云的发展,确保IT环境安全性所需的工具和技能却都发生了变化。
   IT团队必须承担起加快AWS安全最佳实践实施的责任,其中包括了本地AWS开发模块、可用服务以及其他必不可少的第三方产品,从而提高AWS部署的安全性。据Gartner公司的一份2016年预测报告称,“到2018年,在拥有千名用户以上的企业中约半数将使用云计算访问安全经纪人的产品来监控和管理他们对于软件即服务以及其他形式公共云计算的使用。”
  企业也将通过AWS管理控制台或API来建设安全基础设施。重点关注诸如网络安全、访问控制与可见性这类的开发模块将有助于IT团队实现自动化和大规模安全措施强化,从而能够比AWS运行所面临的潜在威胁领先一步。
  网络安全
  安全组是支持网络安全的最常见开发模块。它们可以帮助组织AWS资源池并基于这些资源应用网络安全策略。
  当设置AWS部署时,IT团队应当在AWS虚拟专用云(VPC)内设置安全组。这可以帮助开发人员充分利用AWS网络的私有虚拟网络功能。开发人员还应当使用网络访问列表来控制和定义一个子网的流入和流出流量。
  访问控制
  每一位AWS用户都有一个用于确保AWS账户安全性的秘密访问密钥和访问密钥ID。使用一个AWS安全令牌服务就可以向一个账号授予临时访问权限。此外,亚马逊身份和访问管理(IAM)还提供了基于角色的访问。用户和应用程序都被赋予了预定义的角色,这样做会非常有助于控制对特定资源和应用程序的访问。AWS还提供了一个多元的身份验证选项。
  可见性
  在每一个IT环境内,可见性是确保安全性的关键所在。AWS提供了多个安全服务,其中包括Trusted Advisor、Amazon Inspector以及AWS Config。
  Trusted Advisor能够帮助用户识别漏洞,例如: 错误配置的安全组,其中包括开放端口; 未启用的IAM密码策略,一个不具备安全套接字层证书的弹性负载平衡器。 AWS Trusted Advisor还能够扫描备份配置,并会提醒用户存在着过时的卷标快照或者在用户的工作负载没有在足够的可用区域内实现平衡时通知他们,从而避免出现单点故障。
  在re:Invent 2015会上,AWS发布了Amazon Inspector和AWS Config Rules。Amazon Inspector类似于AWS Trusted Advisor的一个扩展,因为它是一个评估工具。但是,基于代理的Amazon Inspector是一个“堆栈”工具,它可用于分析应用程序行为并将其关联到底层AWS资源的行为。Amazon Inspector仍是预览模式。
   AWS Config可实现合规性检查的自动化。它可以捕获AWS资源的当前状态和跟踪变更,然后向用户警告那些不符合AWS安全性最佳实践的变更。 AWS Config Rules通过允许管理人员设置针对特定类型资源的自定义规则来实现对AWS Config功能的扩展。AWS Config可有助于保持一致的资源标记并针对错误配置安全组发出警报。AWS Config还为用户提供了更详细查看每一项资源配置变更历史的功能,这就为提高AWS堆栈对管理人员的可见性提供了另一个新方法。
  VPC流量日志和AWS CloudTrail也是重要的审查和日志服务,它们在保持AWS部署具有适当可见性和控制性方面是非常重要的。
  备份与灾难恢复
  为了实现更高的可用性,开发人员必须通过使用卷标快照和Amazon Machine Images功能围绕基本实例来实现备份操作的自动化并执行灾难恢复(DR)程序。此外,谨慎的做法就是选择具有内置高可用性措施的AWS产品。
  Amazon简单存储服务(S3)和关系型数据库服务(RDS)是 强大的AWS存储服务选项中的两个例子。S3是一个具有高度可用性的存储工具,它具有固有的冗余特性。据亚马逊官方表示,S3的设计目标是为了在某一年中提供对象99.999999999%的耐用性和99.99% 的可用性。
  Amazon RDS可针对一个数据库实例进行自动备份和实现及时点恢复。但是,有一个陷阱就是,如果用户删除了RDS,那么所有的自动快照文件也都会被移除。
  第三方安全工具
  亚马逊的云工程师具有先见之明地创建了一个API优先的策略,这使得安全厂商能够提供辅助的基本基础设施即服务产品。供应商们可以提供全面的网络安全管理产品来帮助管理人员部署和保障安全组。
   当实施AWS安全最佳实践时,日志管理也是很重要的。诸如Splunk这样的流行工具可自动汇总日志数据并运行启动操作的智能分析。Evident.io 和 CloudCheckr也提高了部署的可见性;这两个选项都提供了可替代Amazon Inspector 和 Trusted Advisor工具的第三方产品。在AWS市场上,还有着其他的第三方DR和备份工具。
  其他的AWS安全最佳实践包括了针对工作负载使用跨区域备份功能和在网络边界部署堡垒服务器等做法,从而有助于监测威胁。





欢迎光临 开发者俱乐部 (http://xodn.com/) Powered by Discuz! X3.2