久久国产精品久久久久久久久久,国产青草视频在线观看,中文字幕亚洲视频

AWS安全最佳實踐：從IT團隊入手

責任編輯：editor005

作者：Ofir Nachmani

2016-03-15 14:23:46

摘自：TechTarget中國

VPC流量日志和AWS CloudTrail也是重要的審查和日志服務，它們在保持AWS部署具有適當可見性和控制性方面是非常重要的。其他的AWS安全最佳實踐包括了針對工作負載使用跨區域備份功能和在網絡邊界部署堡壘服務器等做法，從而有助于監測威脅。

企業還在關注公共云供應商的安全能力和能力差距。但是，適當的研究和規劃可保護數據和工作負載不會超出本地供應商工具的能力范圍。

安全問題仍然是企業避免使用公共云服務的一個主要原因。同時，眾多云服務供應商已經采取措施來改進這方面，以免這一問題成為公共云的軟肋。只有一小部分對企業產生負面影響的云安全事件是源于服務供應商故障的。IT專業人士們都知道公共云基礎設施已提供了全面的安全產品，而且他們也有責任使用好它們。

在云時代，諸如使用防火墻網關和監控流量這樣的基本本地企業級IT安全需求和概念并沒有發生真正的改變。但是，隨著公共云的發展，確保IT環境安全性所需的工具和技能卻都發生了變化。

IT團隊必須承擔起加快AWS安全最佳實踐實施的責任，其中包括了本地AWS開發模塊、可用服務以及其他必不可少的第三方產品，從而提高AWS部署的安全性。據Gartner公司的一份2016年預測報告稱，“到2018年，在擁有千名用戶以上的企業中約半數將使用云計算訪問安全經紀人的產品來監控和管理他們對于軟件即服務以及其他形式公共云計算的使用。”

企業也將通過AWS管理控制臺或API來建設安全基礎設施。重點關注諸如網絡安全、訪問控制與可見性這類的開發模塊將有助于IT團隊實現自動化和大規模安全措施強化，從而能夠比AWS運行所面臨的潛在威脅領先一步。

網絡安全

安全組是支持網絡安全的最常見開發模塊。它們可以幫助組織AWS資源池并基于這些資源應用網絡安全策略。

當設置AWS部署時，IT團隊應當在AWS虛擬專用云（VPC）內設置安全組。這可以幫助開發人員充分利用AWS網絡的私有虛擬網絡功能。開發人員還應當使用網絡訪問列表來控制和定義一個子網的流入和流出流量。

訪問控制

每一位AWS用戶都有一個用于確保AWS賬戶安全性的秘密訪問密鑰和訪問密鑰ID。使用一個AWS安全令牌服務就可以向一個賬號授予臨時訪問權限。此外，亞馬遜身份和訪問管理（IAM）還提供了基于角色的訪問。用戶和應用程序都被賦予了預定義的角色，這樣做會非常有助于控制對特定資源和應用程序的訪問。AWS還提供了一個多元的身份驗證選項。

可見性

在每一個IT環境內，可見性是確保安全性的關鍵所在。AWS提供了多個安全服務，其中包括Trusted Advisor、Amazon Inspector以及AWS Config。

Trusted Advisor能夠幫助用戶識別漏洞，例如：

錯誤配置的安全組，其中包括開放端口；

未啟用的IAM密碼策略，一個不具備安全套接字層證書的彈性負載平衡器。

AWS Trusted Advisor還能夠掃描備份配置，并會提醒用戶存在著過時的卷標快照或者在用戶的工作負載沒有在足夠的可用區域內實現平衡時通知他們，從而避免出現單點故障。

在re:Invent 2015會上，AWS發布了Amazon Inspector和AWS Config Rules。Amazon Inspector類似于AWS Trusted Advisor的一個擴展，因為它是一個評估工具。但是，基于代理的Amazon Inspector是一個“堆棧”工具，它可用于分析應用程序行為并將其關聯到底層AWS資源的行為。Amazon Inspector仍是預覽模式。

AWS Config可實現合規性檢查的自動化。它可以捕獲AWS資源的當前狀態和跟蹤變更，然后向用戶警告那些不符合AWS安全性最佳實踐的變更。

AWS Config Rules通過允許管理人員設置針對特定類型資源的自定義規則來實現對AWS Config功能的擴展。AWS Config可有助于保持一致的資源標記并針對錯誤配置安全組發出警報。AWS Config還為用戶提供了更詳細查看每一項資源配置變更歷史的功能，這就為提高AWS堆棧對管理人員的可見性提供了另一個新方法。

VPC流量日志和AWS CloudTrail也是重要的審查和日志服務，它們在保持AWS部署具有適當可見性和控制性方面是非常重要的。

備份與災難恢復

為了實現更高的可用性，開發人員必須通過使用卷標快照和Amazon Machine Images功能圍繞基本實例來實現備份操作的自動化并執行災難恢復（DR）程序。此外，謹慎的做法就是選擇具有內置高可用性措施的AWS產品。

Amazon簡單存儲服務（S3）和關系型數據庫服務（RDS）是強大的AWS存儲服務選項中的兩個例子。S3是一個具有高度可用性的存儲工具，它具有固有的冗余特性。據亞馬遜官方表示，S3的設計目標是為了在某一年中提供對象99.999999999%的耐用性和99.99% 的可用性。

Amazon RDS可針對一個數據庫實例進行自動備份和實現及時點恢復。但是，有一個陷阱就是，如果用戶刪除了RDS，那么所有的自動快照文件也都會被移除。

第三方安全工具

亞馬遜的云工程師具有先見之明地創建了一個API優先的策略，這使得安全廠商能夠提供輔助的基本基礎設施即服務產品。供應商們可以提供全面的網絡安全管理產品來幫助管理人員部署和保障安全組。

當實施AWS安全最佳實踐時，日志管理也是很重要的。諸如Splunk這樣的流行工具可自動匯總日志數據并運行啟動操作的智能分析。Evident.io 和 CloudCheckr也提高了部署的可見性；這兩個選項都提供了可替代Amazon Inspector 和 Trusted Advisor工具的第三方產品。在AWS市場上，還有著其他的第三方DR和備份工具。

其他的AWS安全最佳實踐包括了針對工作負載使用跨區域備份功能和在網絡邊界部署堡壘服務器等做法，從而有助于監測威脅。

AWS 最佳實踐 Splunk