新技术论坛
搜索
查看: 777|回复: 0
打印 上一主题 下一主题

[技术交流] 快速提升AWS安全性水平的三种方式

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-11-24 06:54:52 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式

      毫无疑问,Amazon Web  Services已经成为一套极为强大且安全的云服务平台,可用于交付各类软件应用。AWS亦提供一套具备可扩展性、可靠性且拥有广泛、灵活服务选项的结构体系,足以满足大家的独特发展需求。然而,面对云环境的全面来临,我们往往在安全保障方面感到有些无力。下面,我们将探讨三种能够切实实现这项目标的三种方式,希望能够为大家提供具备可操作性的起点。
      CloudTrail
      CloudTrail能够为我们的账户收集与API调用相关的各类信息(例如调用程序、时间、调用IP地址以及与API调用相关的请求与响应信息),并将其存储在S3存储桶内以待后续安全追踪、事故响应以及合规审计。顺带一提,CloudTrail默认对全部数据进行加密。Amazon基于提供一套CloudTrail免费层,允许大家面向各服务区查询最近七天内的各项事件。

      以下示例为如何在Threat Stack中使用CloudTrail。我们将在生产环境内的Route53  DNS发生变更时弹出一条警告。尽管DNS变更也许属于计划内操作,但CloudTrail仍会捕捉相关数据,并由Threat Stack向我们快速发出提醒。

      EBS加密
      EBS全称为Elastic Block  Store,即弹性块存储服务,用于为EC2实例存储高耐久性数据。大家可以将其视为附加至EC2实例的磁盘驱动器。EBS与S3的不同之处在于,前者只能配合EC2使用。使用EBS加密机制的最大优势是,大家能够随时启用且不会造成任何性能影响。另外,其启用方式非常简单只需要点选一个复选框即可。如果有人访问到您此前使用过的分卷,加密机制的存在将使其无法查看其中的任何实际数据。

      配合STS启用IAM
      IAM意为身份与访问管理,而STS则为Amazon的安全令牌服务。STS的基本作用在于允许大家为用户请求临时性且权限受限的IAM凭证。尽管这项功能的设置难度较前两者更高,但其效果绝对物有所值。利用STS,大家可以通过双因素验证机制保护用户的访问密钥与秘密ID。相较于为用户提供具备长期权限的访问密钥,如今用户将通过Amazon  IAM API提交自己的密钥与双因素设备信息,从而完成验证。接下来,IAM  API会在未来一小时内为用户提供一组密钥,到期后密钥会自动无效化。IAM亦支持有效周期更短的密钥;  最短时间为15分钟,而最长(且默认)有效期为1小时。尽管这并不足以解决一切访问密钥丢失问题,但它仍能够显著提升大家控制访问密钥泄露的能力,同时确保特定时限内访问操作受到双因素设备的配合。

      总结
      在考虑向AWS账户中添加安全性因素时,此类因素的繁杂性往往令大家感到不知所措。希望今天文章中提及的例子能够帮助大家降低相关复杂性水平,从而更为轻松地实现AWS云环境安全性提升。
      原文标题: 3 Things You Can Do to Improve Your AWS Security Posture,作者: Pete  Cheslock


    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 10:01 , Processed in 0.115134 second(s), 22 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表