毫無(wú)疑問,Amazon Web Services已經(jīng)成為一套極為強(qiáng)大且安全的云服務(wù)平臺(tái),可用于交付各類軟件應(yīng)用。AWS亦提供一套具備可擴(kuò)展性、可靠性且擁有廣泛、靈活服務(wù)選項(xiàng)的結(jié)構(gòu)體系,足以滿足大家的獨(dú)特發(fā)展需求。然而,面對(duì)云環(huán)境的全面來(lái)臨,我們往往在安全保障方面感到有些無(wú)力。下面,我們將探討三種能夠切實(shí)實(shí)現(xiàn)這項(xiàng)目標(biāo)的三種方式,希望能夠?yàn)榇蠹姨峁┚邆淇刹僮餍缘钠瘘c(diǎn)。
CloudTrail
CloudTrail能夠?yàn)槲覀兊馁~戶收集與API調(diào)用相關(guān)的各類信息(例如調(diào)用程序、時(shí)間、調(diào)用IP地址以及與API調(diào)用相關(guān)的請(qǐng)求與響應(yīng)信息),并將其存儲(chǔ)在S3存儲(chǔ)桶內(nèi)以待后續(xù)安全追蹤、事故響應(yīng)以及合規(guī)審計(jì)。順帶一提,CloudTrail默認(rèn)對(duì)全部數(shù)據(jù)進(jìn)行加密。Amazon基于提供一套CloudTrail免費(fèi)層,允許大家面向各服務(wù)區(qū)查詢最近七天內(nèi)的各項(xiàng)事件。
以下示例為如何在Threat Stack中使用CloudTrail。我們將在生產(chǎn)環(huán)境內(nèi)的Route53 DNS發(fā)生變更時(shí)彈出一條警告。盡管DNS變更也許屬于計(jì)劃內(nèi)操作,但CloudTrail仍會(huì)捕捉相關(guān)數(shù)據(jù),并由Threat Stack向我們快速發(fā)出提醒。
EBS加密
EBS全稱為Elastic Block Store,即彈性塊存儲(chǔ)服務(wù),用于為EC2實(shí)例存儲(chǔ)高耐久性數(shù)據(jù)。大家可以將其視為附加至EC2實(shí)例的磁盤驅(qū)動(dòng)器。EBS與S3的不同之處在于,前者只能配合EC2使用。使用EBS加密機(jī)制的最大優(yōu)勢(shì)是,大家能夠隨時(shí)啟用且不會(huì)造成任何性能影響。另外,其啟用方式非常簡(jiǎn)單——只需要點(diǎn)選一個(gè)復(fù)選框即可。如果有人訪問到您此前使用過(guò)的分卷,加密機(jī)制的存在將使其無(wú)法查看其中的任何實(shí)際數(shù)據(jù)。
配合STS啟用IAM
IAM意為身份與訪問管理,而STS則為Amazon的安全令牌服務(wù)。STS的基本作用在于允許大家為用戶請(qǐng)求臨時(shí)性且權(quán)限受限的IAM憑證。盡管這項(xiàng)功能的設(shè)置難度較前兩者更高,但其效果絕對(duì)物有所值。利用STS,大家可以通過(guò)雙因素驗(yàn)證機(jī)制保護(hù)用戶的訪問密鑰與秘密ID。相較于為用戶提供具備長(zhǎng)期權(quán)限的訪問密鑰,如今用戶將通過(guò)Amazon IAM API提交自己的密鑰與雙因素設(shè)備信息,從而完成驗(yàn)證。接下來(lái),IAM API會(huì)在未來(lái)一小時(shí)內(nèi)為用戶提供一組密鑰,到期后密鑰會(huì)自動(dòng)無(wú)效化。IAM亦支持有效周期更短的密鑰; 最短時(shí)間為15分鐘,而最長(zhǎng)(且默認(rèn))有效期為1小時(shí)。盡管這并不足以解決一切訪問密鑰丟失問題,但它仍能夠顯著提升大家控制訪問密鑰泄露的能力,同時(shí)確保特定時(shí)限內(nèi)訪問操作受到雙因素設(shè)備的配合。
總結(jié)
在考慮向AWS賬戶中添加安全性因素時(shí),此類因素的繁雜性往往令大家感到不知所措。希望今天文章中提及的例子能夠幫助大家降低相關(guān)復(fù)雜性水平,從而更為輕松地實(shí)現(xiàn)AWS云環(huán)境安全性提升。
原文標(biāo)題: 3 Things You Can Do to Improve Your AWS Security Posture,作者: Pete Cheslock
京公網(wǎng)安備 11010502049343號(hào)