如果想要确保AWS的安全性，那麽第一(yī)步就(jiù)是要知道應避免犯哪些錯(cuò)誤。所以，如果想要邁出正确的一(yī)步，那麽就(jiù)應從(cóng)常見(jiàn)的AWS安全性失誤前車之鑒中學得一(yī)二。

雲計算(suàn)和軟件(jiàn)即服務(SaaS)已經改變了IT安全領域，但并不是所有運行AWS環境的人員(yuán)都能(néng)夠在第一(yī)時間了解到(dào)這一(yī)點的。

這是一(yī)位參加在上(shàng)周波士頓召開(kāi)的AWSMeetup的雲咨詢顧問以及一(yī)衆參加會(huì)議并在确保AWS環境安全性方面擁有大量經驗的與會(huì)者發出的聲音(yīn)。

随著(zhe)雲計算(suàn)和軟件(jiàn)即服務的逐漸普及，近期内深刻撼動IT安全領域的最顯著變化之一(yī)就(jiù)是像聯邦貿易委員(yuán)會(huì)(FTC)和美國(guó)證券交易監督委員(yuán)會(huì)這樣的監管部門(mén)都變得活躍起來了，stackArmor公司的平台架構與安全DevOps策略師(shī)兼雲經紀人GauravPal說，stackArmor公司是一(yī)家總部設在馬裡(lǐ)蘭州Potomac的雲咨詢公司，該公司還(hái)是AWS的合作夥伴。

去年(nián)，FTC赢得了溫德姆集團一(yī)案的勝利，從(cóng)而第一(yī)次在數據安全領域行使了其管轄權。在2016年(nián)1月(yuè)，FTC向亨利施恩公司(一(yī)家總部位于紐約州Melville的牙科診所軟件(jiàn)供應商)發出了一(yī)張高(gāo)達二十五萬美元的罰單，FTC指控該公司使用虛假廣告的加密水(shuǐ)平來保護患者數據。

由此看(kàn)來，監管部門(mén)的步伐正在趕上(shàng)雲計算(suàn)發展的速度，而現在“缺乏安全感就(jiù)必須付出代價，”Pal在他發表的演講中說。

與此同時，當雲用戶——尤其是衆多(duō)的SaaS初創企業(yè)——也希望在開(kāi)發運營(DevOps)中的“開(kāi)發”部分變得更強而在“運營”上(shàng)相(xiàng)對弱化時，網絡和SaaS産品已經改變了确保IT環境安全性的方法。

亟待解決的AWS安全性首要問題

避免犯AWS安全性錯(cuò)誤隻是成功了一(yī)半。請仔細閱讀(dú)，看(kàn)看(kàn)專家認為(wèi)應如何确保您的AWS環境的安全性，其中包括：

◆使用固定API

◆應用最小(xiǎo)特權原則

◆将使用的工(gōng)具

從(cóng)根本上(shàng)了解我們是如何确保AWS環境安全性的。

“十年(nián)前，應用程序的發布還(hái)隻是通(tōng)過一(yī)張CD光(guāng)盤，而現在SaaS模式要求供應商使用Ops的方式，”Pal說。

傳統的計算(suàn)機(jī)科學教育項目并沒有非常關注安全性，他們隻是以純粹編程的方式來對學生(shēng)進行這方面的訓練，RBM科技(jì)公司的IT總經理JasonDunkerley在Meetup會(huì)議後接受SearchAWS的單獨采訪時說，RBM科技(jì)是一(yī)家總部位于波士頓的商品零售SaaS供應商。

鑒于雲和SaaS行業(yè)仍處于各自(zì)的起步階段，還(hái)沒有像國(guó)家職業(yè)工(gōng)程師(shī)協會(huì)(NSPE)那樣成立核心軟件(jiàn)工(gōng)程師(shī)專業(yè)群體，Dunkerley指出。但是，在雲時代，開(kāi)發人員(yuán)可以快速地進行産品開(kāi)發，他們擁有一(yī)次為(wèi)成千上(shàng)萬用戶提供服務且無需做出巨額前期投資的能(néng)力。

“這一(yī)點确實讓人感到(dào)興奮，但這也是非常危險的，”Dunkerley說。“你可能(néng)會(huì)重點關注産品的水(shuǐ)準提升和更新換代，以便于讓你的産品能(néng)夠實現客戶的需求，但是你卻對保護你的運營方面毫不留意。”

避免犯常見(jiàn)的AWS安全性錯(cuò)誤

在雲計算(suàn)的西(xī)部拓荒時期，一(yī)方面是令人信服的業(yè)務流程，而另一(yī)方面則是運營經驗的缺乏，兩者的結合就(jiù)意味著(zhe)企業(yè)要陷入如Pal演講中的那種負面例子中。在Pal的介紹中，一(yī)家數據倉庫公司在其雲費(fèi)用達到(dào)2000美元/天時就(jiù)求助于咨詢師(shī)了。

當他們發現其高(gāo)昂的費(fèi)用是與一(yī)家境外企業(yè)試圖從(cóng)其後端數據庫中拉取企業(yè)數據有關時，這次财務分析就(jiù)迅速演變成了一(yī)次安全運行分析。

“技(jì)術(shù)正在發生(shēng)改變，但我們對改變帶來的安全方面的影響還(hái)不清楚，”Pal說。

事(shì)實是，AWS平台為(wèi)在雲中部署資源提供了很大的選擇範圍，這對于靈活性是非常重要的，但是當涉及保護IT環境時它可能(néng)就(jiù)是一(yī)根讓新入門(mén)用戶勒死自(zì)己的要命繩，Dunkerley說。

“你沒有多(duō)少手段，你不應該這樣做，”Dunkerley說。

雖然這一(yī)切都太容易了，但是AWS新用戶應該做的最後一(yī)件(jiàn)事(shì)是忽視亞馬遜的建議，是使用虛拟私有雲(VPC)、身份與訪問管理(IAM)角色和IAM身份等工(gōng)具來确保IT環境的安全性。

“如果你以他們推薦的方式來進行這項工(gōng)作，那麽你已經遙遙領先了，”Dunkerley說。“如果一(yī)開(kāi)始你就(jiù)沒有朝那個(gè)方向發展……那麽就(jiù)真的很難糾正過來了。”

遵循AWS最佳實踐

之後，用戶就(jiù)會(huì)開(kāi)始需要專家來參與其中并幫助他們整合之前的運行方式和亞馬遜設置安全措施的方式，Dunkerley說。

例如，如果用戶沒有真正花時間理解安全性、服務器(qì)配置以及服務器(qì)鎖定以便隻允許某些特定訪問，那麽他可能(néng)會(huì)暫時地開(kāi)放(fàng)系統，但之後就(jiù)會(huì)忘了并一(yī)直保持系統的開(kāi)放(fàng)狀态，Dunkerley說。

用戶需要找出所需的端口，指定必須發生(shēng)數據交換的入口和出口并對之進行限制，以便于遵循AWS最佳實踐，隻有某些端口能(néng)夠跨越某些VPC進行互相(xiàng)會(huì)話，Dunkerley說。如果他們沒有遵照(zhào)執行最佳實踐，那麽對外開(kāi)放(fàng)實例和訪問将如同向黑(hēi)客們發出了邀請函。

在建立AWS環境時，缺乏強大的安全行動計劃也是用戶最常犯的錯(cuò)誤之一(yī)，Pal指出。這就(jiù)要求用戶建立起一(yī)套深思熟慮用于打補丁、軟件(jiàn)更新以及關鍵漏洞監控的程序。

設置防火牆和訪問管理

“用戶應予以更多(duō)關注的其他方面是用于邊界防護的網絡應用程序防火牆，”Pal說。“甚至圍繞特權用戶使用虛拟專用網絡(VPN)來訪問環境也有著(zhe)一(yī)些解決方案，然後就(jiù)是通(tōng)用的防火牆。”

這可能(néng)是一(yī)個(gè)最佳實踐，Pal說，但是VPN的安裝與維護是非常繁瑣的，有時候用戶會(huì)覺得使用上(shàng)有所不習慣。

“你會(huì)很驚訝地看(kàn)到(dào)有如此多(duō)的SaaS企業(yè)(尤其是那些規模較少的公司)在特權用戶訪問他們的雲計算(suàn)環境時是不使用VPN的，”Pal說。

其他常見(jiàn)的安全漏洞包括為(wèi)身份和訪問管理用戶創建不必要的訪問密鑰;Pal表示，控制台用戶是不需要密鑰的。相(xiàng)反，用戶應當提供IAM角色以供實例訪問時作臨時憑證。

IAM角色

還(hái)應提供可實現職責分離的IAM角色功能(néng)，Pal說。很多(duō)時候，缺乏對生(shēng)産實例訪問的限制會(huì)允許任何用戶對其執行操作

微信掃一(yī)掃

關注昊雲訂閱号