毫無疑問,Amazon Web Services已經(jīng)成為一套極為強(qiáng)大且安全的云服務(wù)平臺,可用于交付各類軟件應(yīng)用。AWS亦提供一套具備可擴(kuò)展性、可靠性且擁有廣泛、靈活服務(wù)選項的結(jié)構(gòu)體系,足以滿足大家的獨(dú)特發(fā)展需求。然而,面對云環(huán)境的全面來臨,我們往往在安全保障方面感到有些無力。下面,我們將探討三種能夠切實實現(xiàn)這項目標(biāo)的三種方式,希望能夠為大家提供具備可操作性的起點(diǎn)。
CloudTrail
CloudTrail能夠為我們的賬戶收集與API調(diào)用相關(guān)的各類信息(例如調(diào)用程序、時間、調(diào)用IP地址以及與API調(diào)用相關(guān)的請求與響應(yīng)信息),并將其存儲在S3存儲桶內(nèi)以待后續(xù)安全追蹤、事故響應(yīng)以及合規(guī)審計。順帶一提,CloudTrail默認(rèn)對全部數(shù)據(jù)進(jìn)行加密。Amazon基于提供一套CloudTrail免費(fèi)層,允許大家面向各服務(wù)區(qū)查詢最近七天內(nèi)的各項事件。
以下示例為如何在Threat Stack中使用CloudTrail。我們將在生產(chǎn)環(huán)境內(nèi)的Route53 DNS發(fā)生變更時彈出一條警告。盡管DNS變更也許屬于計劃內(nèi)操作,但CloudTrail仍會捕捉相關(guān)數(shù)據(jù),并由Threat Stack向我們快速發(fā)出提醒。
EBS加密
EBS全稱為Elastic Block Store,即彈性塊存儲服務(wù),用于為EC2實例存儲高耐久性數(shù)據(jù)。大家可以將其視為附加至EC2實例的磁盤驅(qū)動器。EBS與S3的不同之處在于,前者只能配合EC2使用。使用EBS加密機(jī)制的最大優(yōu)勢是,大家能夠隨時啟用且不會造成任何性能影響。另外,其啟用方式非常簡單——只需要點(diǎn)選一個復(fù)選框即可。如果有人訪問到您此前使用過的分卷,加密機(jī)制的存在將使其無法查看其中的任何實際數(shù)據(jù)。
配合STS啟用IAM
IAM意為身份與訪問管理,而STS則為Amazon的安全令牌服務(wù)。STS的基本作用在于允許大家為用戶請求臨時性且權(quán)限受限的IAM憑證。盡管這項功能的設(shè)置難度較前兩者更高,但其效果絕對物有所值。利用STS,大家可以通過雙因素驗證機(jī)制保護(hù)用戶的訪問密鑰與秘密ID。相較于為用戶提供具備長期權(quán)限的訪問密鑰,如今用戶將通過Amazon IAM API提交自己的密鑰與雙因素設(shè)備信息,從而完成驗證。接下來,IAM API會在未來一小時內(nèi)為用戶提供一組密鑰,到期后密鑰會自動無效化。IAM亦支持有效周期更短的密鑰; 最短時間為15分鐘,而最長(且默認(rèn))有效期為1小時。盡管這并不足以解決一切訪問密鑰丟失問題,但它仍能夠顯著提升大家控制訪問密鑰泄露的能力,同時確保特定時限內(nèi)訪問操作受到雙因素設(shè)備的配合。
總結(jié)
在考慮向AWS賬戶中添加安全性因素時,此類因素的繁雜性往往令大家感到不知所措。希望今天文章中提及的例子能夠幫助大家降低相關(guān)復(fù)雜性水平,從而更為輕松地實現(xiàn)AWS云環(huán)境安全性提升。
原文標(biāo)題: 3 Things You Can Do to Improve Your AWS Security Posture,作者: Pete Cheslock