如(rú)果想要确保AWS的安全性，那麽第一(yī)步就(jiù)是要知道應避免犯哪些(xiē)錯誤。所以，如(rú)果想要邁出正确的一(yī)步，那麽就(jiù)應從常見的AWS安全性失誤前車之鑒中學得一(yī)二。

雲計算(suàn)和軟件即服務(wù)(SaaS)已經改變了(le)IT安全領域，但(dàn)并不是所有運行AWS環境的人(rén)員(yuán)都能(néng)夠在第一(yī)時(shí)間(jiān)了(le)解到這(zhè)一(yī)點的。

這(zhè)是一(yī)位參加在上(shàng)周波士頓召開的AWSMeetup的雲咨詢顧問以及一(yī)衆參加會議(yì)并在确保AWS環境安全性方面擁有大量經驗的與會者發出的聲音(yīn)。

随着雲計算(suàn)和軟件即服務(wù)的逐漸普及，近期内深刻撼動IT安全領域的最顯著變化(huà)之一(yī)就(jiù)是像聯邦貿易委員(yuán)會(FTC)和美國證券交易監督委員(yuán)會這(zhè)樣的監管部門都變得活躍起來(lái)了(le)，stackArmor公司的平台架構與安全DevOps策略師兼雲經紀人(rén)GauravPal說(shuō)，stackArmor公司是一(yī)家總部設在馬裏蘭州Potomac的雲咨詢公司，該公司還是AWS的合作(zuò)夥伴。

去年，FTC赢得了(le)溫德姆集團一(yī)案的勝利，從而第一(yī)次在數據安全領域行使了(le)其管轄權。在2016年1月(yuè)(yuè)，FTC向亨利施恩公司(一(yī)家總部位于紐約州Melville的牙科診所軟件供應商(shāng))發出了(le)一(yī)張高達二十五萬美元的罰單，FTC指控該公司使用虛假廣告的加密水平來(lái)保護患者數據。

由此看來(lái)，監管部門的步伐正在趕上(shàng)雲計算(suàn)發展的速度，而現(xiàn)在“缺乏安全感就(jiù)必須付出代價，”Pal在他發表的演講中說(shuō)。

與此同時(shí)，當雲用戶——尤其是衆多的SaaS初創企業——也(yě)希望在開發運營(DevOps)中的“開發”部分(fēn)變得更強而在“運營”上(shàng)相對弱化(huà)時(shí)，網絡和SaaS産品已經改變了(le)确保IT環境安全性的方法。

亟待解決的AWS安全性首要問題

避免犯AWS安全性錯誤隻是成功了(le)一(yī)半。請仔細閱讀，看看專家認為(wèi)應如(rú)何确保您的AWS環境的安全性，其中包括：

◆使用固定API

◆應用最小特權原則

◆将使用的工具

從根本上(shàng)了(le)解我們是如(rú)何确保AWS環境安全性的。

“十年前，應用程序的發布還隻是通過一(yī)張CD光盤，而現(xiàn)在SaaS模式要求供應商(shāng)使用Ops的方式，”Pal說(shuō)。

傳統的計算(suàn)機科學教育項目并沒有非常關(guān)注安全性，他們隻是以純粹編程的方式來(lái)對學生(shēng)進行這(zhè)方面的訓練，RBM科技公司的IT總經理(lǐ)JasonDunkerley在Meetup會議(yì)後接受SearchAWS的單獨采訪時(shí)說(shuō)，RBM科技是一(yī)家總部位于波士頓的商(shāng)品零售SaaS供應商(shāng)。

鑒于雲和SaaS行業仍處于各自的起步階段，還沒有像國家職業工程師協會(NSPE)那樣成立核心軟件工程師專業群體(tǐ)，Dunkerley指出。但(dàn)是，在雲時(shí)代，開發人(rén)員(yuán)可以快(kuài)速地進行産品開發，他們擁有一(yī)次為(wèi)成千上(shàng)萬用戶提供服務(wù)且無需做出巨額前期投資的能(néng)力。

“這(zhè)一(yī)點确實讓人(rén)感到興奮，但(dàn)這(zhè)也(yě)是非常危險的，”Dunkerley說(shuō)。“你可能(néng)會重點關(guān)注産品的水準提升和更新(xīn)換代，以便于讓你的産品能(néng)夠實現(xiàn)客戶的需求，但(dàn)是你卻對保護你的運營方面毫不留意。”

避免犯常見的AWS安全性錯誤

在雲計算(suàn)的西(xī)部拓荒時(shí)期，一(yī)方面是令人(rén)信服的業務(wù)流程，而另一(yī)方面則是運營經驗的缺乏，兩者的結合就(jiù)意味着企業要陷入如(rú)Pal演講中的那種負面例子(zǐ)中。在Pal的介紹中，一(yī)家數據倉庫公司在其雲費用達到2000美元/天時(shí)就(jiù)求助于咨詢師了(le)。

當他們發現(xiàn)其高昂的費用是與一(yī)家境外企業試圖從其後端數據庫中拉取企業數據有關(guān)時(shí)，這(zhè)次财務(wù)分(fēn)析就(jiù)迅速演變成了(le)一(yī)次安全運行分(fēn)析。

“技術正在發生(shēng)改變，但(dàn)我們對改變帶來(lái)的安全方面的影響還不清楚，”Pal說(shuō)。

事(shì)實是，AWS平台為(wèi)在雲中部署資源提供了(le)很大的選擇範圍，這(zhè)對于靈活性是非常重要的，但(dàn)是當涉及保護IT環境時(shí)它可能(néng)就(jiù)是一(yī)根讓新(xīn)入門用戶勒死自己的要命繩，Dunkerley說(shuō)。

“你沒有多少手段，你不應該這(zhè)樣做，”Dunkerley說(shuō)。

雖然這(zhè)一(yī)切都太容易了(le)，但(dàn)是AWS新(xīn)用戶應該做的最後一(yī)件事(shì)是忽視(shì)亞馬遜的建議(yì)，是使用虛拟私有雲(VPC)、身(shēn)份與訪問管理(lǐ)(IAM)角色和IAM身(shēn)份等工具來(lái)确保IT環境的安全性。

“如(rú)果你以他們推薦的方式來(lái)進行這(zhè)項工作(zuò)，那麽你已經遙遙領先了(le)，”Dunkerley說(shuō)。“如(rú)果一(yī)開始你就(jiù)沒有朝那個(gè)方向發展……那麽就(jiù)真的很難糾正過來(lái)了(le)。”

遵循AWS最佳實踐

之後，用戶就(jiù)會開始需要專家來(lái)參與其中并幫助他們整合之前的運行方式和亞馬遜設置安全措施的方式，Dunkerley說(shuō)。

例如(rú)，如(rú)果用戶沒有真正花時(shí)間(jiān)理(lǐ)解安全性、服務(wù)器(qì)配置以及服務(wù)器(qì)鎖定以便隻允許某些(xiē)特定訪問，那麽他可能(néng)會暫時(shí)地開放(fàng)系統，但(dàn)之後就(jiù)會忘了(le)并一(yī)直保持系統的開放(fàng)狀态，Dunkerley說(shuō)。

用戶需要找出所需的端口，指定必須發生(shēng)數據交換的入口和出口并對之進行限制，以便于遵循AWS最佳實踐，隻有某些(xiē)端口能(néng)夠跨越某些(xiē)VPC進行互相會話(huà)，Dunkerley說(shuō)。如(rú)果他們沒有遵照執行最佳實踐，那麽對外開放(fàng)實例和訪問将如(rú)同向黑客們發出了(le)邀請函。

在建立AWS環境時(shí)，缺乏強大的安全行動計劃也(yě)是用戶最常犯的錯誤之一(yī)，Pal指出。這(zhè)就(jiù)要求用戶建立起一(yī)套深思熟慮用于打補丁、軟件更新(xīn)以及關(guān)鍵漏洞監控的程序。

設置防火(huǒ)牆和訪問管理(lǐ)

“用戶應予以更多關(guān)注的其他方面是用于邊界防護的網絡應用程序防火(huǒ)牆，”Pal說(shuō)。“甚至圍繞特權用戶使用虛拟專用網絡(VPN)來(lái)訪問環境也(yě)有着一(yī)些(xiē)解決方案，然後就(jiù)是通用的防火(huǒ)牆。”

這(zhè)可能(néng)是一(yī)個(gè)最佳實踐，Pal說(shuō)，但(dàn)是VPN的安裝與維護是非常繁瑣的，有時(shí)候用戶會覺得使用上(shàng)有所不習慣。

“你會很驚訝地看到有如(rú)此多的SaaS企業(尤其是那些(xiē)規模較少的公司)在特權用戶訪問他們的雲計算(suàn)環境時(shí)是不使用VPN的，”Pal說(shuō)。

其他常見的安全漏洞包括為(wèi)身(shēn)份和訪問管理(lǐ)用戶創建不必要的訪問密鑰;Pal表示，控制台用戶是不需要密鑰的。相反，用戶應當提供IAM角色以供實例訪問時(shí)作(zuò)臨時(shí)憑證。

IAM角色

還應提供可實現(xiàn)職責分(fēn)離的IAM角色功能(néng)，Pal說(shuō)。很多時(shí)候，缺乏對生(shēng)産實例訪問的限制會允許任何用戶對其執行操作(zuò)

微信掃一(yī)掃

關(guān)注昊雲訂閱号