企業(yè)還在關(guān)注公共云供應(yīng)商的安全能力和能力差距。但是,適當?shù)难芯亢鸵?guī)劃可保護數(shù)據(jù)和工作負載不會超出本地供應(yīng)商工具的能力范圍。
安全問題仍然是企業(yè)避免使用公共云服務(wù)的一個主要原因。同時,眾多云服務(wù)供應(yīng)商已經(jīng)采取措施來改進這方面,以免這一問題成為公共云的軟肋。只有一小部分對企業(yè)產(chǎn)生負面影響的云安全事件是源于服務(wù)供應(yīng)商故障的。IT專業(yè)人士們都知道公共云基礎(chǔ)設(shè)施已提供了全面的安全產(chǎn)品,而且他們也有責任使用好它們。
在云時代,諸如使用防火墻網(wǎng)關(guān)和監(jiān)控流量這樣的基本本地企業(yè)級IT安全需求和概念并沒有發(fā)生真正的改變。但是,隨著公共云的發(fā)展,確保IT環(huán)境安全性所需的工具和技能卻都發(fā)生了變化。
IT團隊必須承擔起加快AWS安全最佳實踐實施的責任,其中包括了本地AWS開發(fā)模塊、可用服務(wù)以及其他必不可少的第三方產(chǎn)品,從而提高AWS部署的安全性。據(jù)Gartner公司的一份2016年預(yù)測報告稱,“到2018年,在擁有千名用戶以上的企業(yè)中約半數(shù)將使用云計算訪問安全經(jīng)紀人的產(chǎn)品來監(jiān)控和管理他們對于軟件即服務(wù)以及其他形式公共云計算的使用。”
企業(yè)也將通過AWS管理控制臺或API來建設(shè)安全基礎(chǔ)設(shè)施。重點關(guān)注諸如網(wǎng)絡(luò)安全、訪問控制與可見性這類的開發(fā)模塊將有助于IT團隊實現(xiàn)自動化和大規(guī)模安全措施強化,從而能夠比AWS運行所面臨的潛在威脅領(lǐng)先一步。
網(wǎng)絡(luò)安全
安全組是支持網(wǎng)絡(luò)安全的最常見開發(fā)模塊。它們可以幫助組織AWS資源池并基于這些資源應(yīng)用網(wǎng)絡(luò)安全策略。
當設(shè)置AWS部署時,IT團隊應(yīng)當在AWS虛擬專用云(VPC)內(nèi)設(shè)置安全組。這可以幫助開發(fā)人員充分利用AWS網(wǎng)絡(luò)的私有虛擬網(wǎng)絡(luò)功能。開發(fā)人員還應(yīng)當使用網(wǎng)絡(luò)訪問列表來控制和定義一個子網(wǎng)的流入和流出流量。
訪問控制
每一位AWS用戶都有一個用于確保AWS賬戶安全性的秘密訪問密鑰和訪問密鑰ID。使用一個AWS安全令牌服務(wù)就可以向一個賬號授予臨時訪問權(quán)限。此外,亞馬遜身份和訪問管理(IAM)還提供了基于角色的訪問。用戶和應(yīng)用程序都被賦予了預(yù)定義的角色,這樣做會非常有助于控制對特定資源和應(yīng)用程序的訪問。AWS還提供了一個多元的身份驗證選項。
可見性
在每一個IT環(huán)境內(nèi),可見性是確保安全性的關(guān)鍵所在。AWS提供了多個安全服務(wù),其中包括Trusted Advisor、Amazon Inspector以及AWS Config。
Trusted Advisor能夠幫助用戶識別漏洞,例如:
錯誤配置的安全組,其中包括開放端口;
未啟用的IAM密碼策略,一個不具備安全套接字層證書的彈性負載平衡器。
AWS Trusted Advisor還能夠掃描備份配置,并會提醒用戶存在著過時的卷標快照或者在用戶的工作負載沒有在足夠的可用區(qū)域內(nèi)實現(xiàn)平衡時通知他們,從而避免出現(xiàn)單點故障。
在re:Invent 2015會上,AWS發(fā)布了Amazon Inspector和AWS Config Rules。Amazon Inspector類似于AWS Trusted Advisor的一個擴展,因為它是一個評估工具。但是,基于代理的Amazon Inspector是一個“堆棧”工具,它可用于分析應(yīng)用程序行為并將其關(guān)聯(lián)到底層AWS資源的行為。Amazon Inspector仍是預(yù)覽模式。
AWS Config可實現(xiàn)合規(guī)性檢查的自動化。它可以捕獲AWS資源的當前狀態(tài)和跟蹤變更,然后向用戶警告那些不符合AWS安全性最佳實踐的變更。
AWS Config Rules通過允許管理人員設(shè)置針對特定類型資源的自定義規(guī)則來實現(xiàn)對AWS Config功能的擴展。AWS Config可有助于保持一致的資源標記并針對錯誤配置安全組發(fā)出警報。AWS Config還為用戶提供了更詳細查看每一項資源配置變更歷史的功能,這就為提高AWS堆棧對管理人員的可見性提供了另一個新方法。
VPC流量日志和AWS CloudTrail也是重要的審查和日志服務(wù),它們在保持AWS部署具有適當可見性和控制性方面是非常重要的。
備份與災(zāi)難恢復
為了實現(xiàn)更高的可用性,開發(fā)人員必須通過使用卷標快照和Amazon Machine Images功能圍繞基本實例來實現(xiàn)備份操作的自動化并執(zhí)行災(zāi)難恢復(DR)程序。此外,謹慎的做法就是選擇具有內(nèi)置高可用性措施的AWS產(chǎn)品。
Amazon簡單存儲服務(wù)(S3)和關(guān)系型數(shù)據(jù)庫服務(wù)(RDS)是 強大的AWS存儲服務(wù)選項中的兩個例子。S3是一個具有高度可用性的存儲工具,它具有固有的冗余特性。據(jù)亞馬遜官方表示,S3的設(shè)計目標是為了在某一年中提供對象99.999999999%的耐用性和99.99% 的可用性。
Amazon RDS可針對一個數(shù)據(jù)庫實例進行自動備份和實現(xiàn)及時點恢復。但是,有一個陷阱就是,如果用戶刪除了RDS,那么所有的自動快照文件也都會被移除。
第三方安全工具
亞馬遜的云工程師具有先見之明地創(chuàng)建了一個API優(yōu)先的策略,這使得安全廠商能夠提供輔助的基本基礎(chǔ)設(shè)施即服務(wù)產(chǎn)品。供應(yīng)商們可以提供全面的網(wǎng)絡(luò)安全管理產(chǎn)品來幫助管理人員部署和保障安全組。
當實施AWS安全最佳實踐時,日志管理也是很重要的。諸如Splunk這樣的流行工具可自動匯總?cè)罩緮?shù)據(jù)并運行啟動操作的智能分析。Evident.io 和 CloudCheckr也提高了部署的可見性;這兩個選項都提供了可替代Amazon Inspector 和 Trusted Advisor工具的第三方產(chǎn)品。在AWS市場上,還有著其他的第三方DR和備份工具。
其他的AWS安全最佳實踐包括了針對工作負載使用跨區(qū)域備份功能和在網(wǎng)絡(luò)邊界部署堡壘服務(wù)器等做法,從而有助于監(jiān)測威脅。