亞馬遜Web服務(AWS)為其自己的基礎設施提供了一套強大的控制措施,但是確保各臺服務器的安全性是客戶的責任而不是亞馬遜的,明確這一點是很重要的,即這是分擔責任模式的一部分。
要想了解這一個不同的模式還是有一定難度的。總之,讓亞馬遜提供漏洞管理可能是不可行的,因為漏洞管理要求云計算供應商能夠對每一臺服務器都擁有管理員級別或root級別的訪問權限,而這樣做無疑是數據隱私的一個無邊噩夢。
同樣需特別指出的是,雖然亞馬遜對其所擁有的基礎設施是定期進行漏洞測試的,但是對于用戶企業所控制單個IP這并不意味著安全性。用戶應當對AWS中的 IP地址、其他任何私有或公共IP地址一視同仁,并以相同的方式處理,而企業漏洞管理策略應當被擴展至由AWS所托管的服務器。
在本文中,我將詳細討論一下,企業在分擔責任模式下AWS漏洞掃描在他們方面所必須實施的工作。
AWS漏洞管理
AWS中漏洞管理的最佳方法就是在AWS中直接安裝一個漏洞掃描設備的虛擬實例——例如Qualys公司的產品或Tenable網絡安全公司的 Nessus。雖然AWS通常要求得到明確的許可以便于在AWS基礎設施中的服務器上運行任何形式的漏洞評估,但是在企業用戶的實例中安裝一個虛擬設施就可以規避這一要求——這主要取決于所購買的類型。該虛擬實施可根據需要以任意頻率運行預定義的掃描。如果被賦予了有效的管理員級(Windows系統)或 root級(Unix系統)訪問權限,那么虛擬掃描設備就能夠為操作系統、第三方軟件甚至系統配置中的漏洞提供補丁。
一般來說,虛擬漏洞掃描設施能夠對EC2和亞馬遜VPC中的私有和公共IP地址進行掃描,并能夠對通過IPSec VPN與亞馬遜相連的私有IP地址以及互聯網上的公共IP地址進行掃描。用戶可以從亞馬遜市場購買,亞馬遜將通過亞馬遜機器映像(AMI)向用戶交付。一旦購買成功,亞馬遜將從AWS EC2 控制臺(可通過AWS管理控制臺訪問)啟動AMI實例。購買虛擬掃描設施通常需要一個對相關漏洞掃描SaaS的現有訂購。在一些情況下,AMI是作為 SaaS標準訂購中的一部分;而在其他情況下,它是作為一個額外的功能。
運行漏洞掃描虛擬設施的成本主要分為兩個部分。其一,就是AMI使用自有設施的成本。其二,AWS 會對運行該設施收取費用。該費用涵蓋了基于實例類型的計算資源(這是其中的大頭)、被使用的存儲資源以及數據的傳輸。
在漏洞掃描之后
運行AWS漏洞掃描僅僅只是確保系統安全的第一步。企業還需要確保他們擁有相關的專業技術知識來解釋和分析掃描結果;雖然漏洞掃描設施是非常有用的工具,但是它們也很容易出現誤報和缺少在企業環境中對漏洞嚴重等級進行打分的能力。只要用戶能夠正確地理解這一技術,那么漏洞掃描應當能夠在AWS中為服務器部署發揮積極的作用。
京公網安備 11010502049343號