AWS有一系列專為其公有云能夠變得更易于管理而開發的擴展功能和特性。AWS config、AWS CloudTrail和亞馬遜Inspector是能夠幫助管理人員處理監控AWS安全和資源配置的三個相關服務。

AWS CloudTrail是一個審核日志記錄工具，它可記錄AWS賬戶中每一次的API調用，其中還包括了這些調用的元數據。CloudTrail記錄每個條目的信息有：用戶、IP地址、服務和受影響資源等。

從安全角度來看，AWS CloudTrail是一個“必備”的工具，CloudSploit公司的創始人Matthew Fuller說，CloudSploit是一家總部設在紐約市的開源AWS產品和安全公司。該服務對于多用戶環境下AWS賬戶監控應用尤其是必備品。“如果發生了一件安全事件，CloudTrail所提供的歷史日志記錄可用于事后分析以確定導致入侵的原因，惡意用戶采取了什么行動以及受影響的資源等，”Fuller說。

AWS Config與AWS CloudTrail略有不同，該服務會記錄AWS賬戶下每一個啟用資源的歷史狀態，從而允許AWS用戶查看基礎設施特定部分隨時間變化的變化。AWS Config還會顯示未來的更新或更新將會如何影響基礎設施。AWS Config可與Lambda集成，從而允許IT團隊運行自定義代碼以便響應資源狀態變更。

AWS Config Rules則是一個附加服務，它能夠讓管理員定義允許資源的特定狀態。“如果資源無法保持在該狀態（一個可能的安全風險），那么就可以執行一個Lambda函數，”他補充說。

雖然AWS CloudTrail只是簡單地提供日志，但是AWS Config是一個“更先進的概念”，總部位于加利福尼亞州Foster城的cPrime公司CEO Zubin Irani說，cPrime公司是一家專業從事敏捷培訓的企業。AWS Config Rules跟蹤資源在基礎設施內部的使用情況、分配情況以及變更歷史。“CloudTrail的目的就是保存記錄，并對誰做了什么做出反應，而Config則是關于什么資源改變了以及他們看起來是如何的，”Irani說。換而言之，雖然這兩個服務都有助于AWS監控，但一個是以資源為中心的，而另一個則是以用戶操作為中心。

亞馬遜Inspector是一個在彈性計算云實例上運行的代理，它可在服務器級跟蹤潛在合規性違犯和安全風險。Inspector會整合潛在的漏洞以顯示該項目是否符合。“Inspector就如同是一個分析工具，它可以對基礎設施進行檢查并為如何提高安全性提出建議，”Irani說。

為AWS監控選擇服務

AWS Config、CloudTrail 和Inspector都有著各自不同的用途。CloudTrail是一個記錄工具，它會記錄對用戶賬戶進行的每一次API調用、每一次操作以及是誰執行操作的信息。這個信息是進行后續取證和審核的必要信息。AWS Config則是記錄了每一次的資源配置變更。例如，當管理員添加或刪除彈性網絡接口或當安全組中增加一條規則時，AWS Config會記錄相關變更。它在發生變更時為環境提供了一個時間表。

同時使用CloudTrail和Config 的IT團隊會在發生變更時收到一個警告，并能夠看出發生變更的時間和位置。然后，他們可以使用CloudTrail來確定是誰執行了相關操作。AWS監控和保持安全配置是任何環境保護的重要組成部分；這些本地AWS監控工具可以有助于任何企業確保所有變更都是被授權的、可被跟蹤的以及可被審核的 。

AWS Inspector可以查看云實例內部、對已安裝軟件進行掃描以及將掃描結果與AWS 維護的常見漏洞數據庫進行比較。這些功能讓管理人員能夠確定要更新的軟件包以及這些更新將如何影響安全性。Inspector可確保IT團隊能夠定期識別要對系統打哪些補丁。

Config、CloudTrail 和Inspector都是免費的，但是“Inspector是可選的，”Irani補充道。“三個服務中唯一需要和值得推薦的是CloudTrail。”