随着云IT的迅速发展,安全问题已经不再是采用云IT的障碍。但这并不意味着您可以忽略云中的安全性,因为一次重大攻击可能会带来代价高昂的后果——甚至可能导致业务终止。
越来越敏感的数据正在前往云端。例如,基因组信息公司GenomeNext将原始基因组测序数据归因于完全在AWS上运行的高速计算算法。制药巨头Bristol-Myers Squibb通过使用AWS减少其临床试验的持续时间。电子交换NASDAQ OMX在AWS上开发FINQLoud,为客户提供用于存储和管理财务数据的工具。
亚马逊,如大多数云提供商,为其物理数据中心和服务器硬件负责保护虚拟机运行,但将其留给个人客户以保护其自身的基础架构。雷竞技电脑网站亚马逊提供了一种过多的安全服务和工具,以确保实际上任何工作负载,但管理员必须实际实施必要的防御。
以下是一些专家建议,这些建议超越了保护您的AWS帐户并保持业务正常运行的基础。
不要让开发人员运行节目
大多数开发人员希望安全,但他们不想减速。它们受到巨大压力,以建立新的功能和船舶代码。云应该帮助他们更快地工作,因此他们纳入了安全性,以便他们可以继续做到最好的事情。
大多数组织中的云使用往往主要是开发人员驱动,因为开发人员随时旋转新的实例,每当他们需要更多的存储或电源时都会旋转新的实例。当安全公司校对点Nexgate副总裁Rich Sutton表示,当开发人员领导云使用时,它很容易与庞大的环境蔓延,这是一个庞大的环境,这是一个不同于安全的公司验证点。所有端口可以均为打开,或者给定服务器上的所有用户帐户都可能具有管理员权限。另一个常见错误是在实例中重用root密码。
使用已应用的基本安全策略创建云图像和配置的安全工具。开发人员可以在安全图像中部署新实例,使得可以轻松使用自助服务来启动和运行而不会引入摩擦。
典型的开发方案具有在不同环境中工作的开发人员,用于开发,测试和生产。建立云对应物的万无一失方式是为每个环境完全分开AWS帐户。因此,每个环境都与另一个环境隔离,因此获得对开发服务器访问的攻击者无法轻易跳到生产系统上。它还可以防止事故,例如开发人员或管理员丢弃在生产中的数据库而不是测试中的数据库。
“开发人员正试图尽可能快地完成,”萨顿说。“这是一个内在的保证,开发商无法犯错误。”
如果无法进行单独的帐户,则每个环境应使用不同的键来防止交叉连接。开发键永远不会在生产代码中结合起来,反之亦然。
带走用户帐户
用户帐户是Achilles的信息安全脚跟,因为攻击者可以通过窃取帐户凭据来接管整个环境。因此,使其简单 - 无论何处,都可以避免用户帐户。亚马逊提供各种API来处理供应和缩放;使用实例时选择它们而不是创建新帐户来管理它们。
让应用程序使用专门创建的具有低权限的服务帐户来访问系统。例如,当应用程序需要进行数据库调用时,创建一个特定的帐户,而不是使用一个普通的数据库用户帐户。
服务账户通常受到他们能做的内容。例如,使用数据库服务帐户,权限可能仅限于选择和可能更新某些表的功能。如果有人试图登录,损坏的可能性会低得多,因为攻击者无法查看其他表或对象,更不用说变化。如果日志使用服务帐户显示登录尝试,那就是某人试图闯入的Querfire符号。
“AWS的安全性是关于积极主动,通过限制攻击者可能导致的伤害造成攻击,以便在比特德菲德的高级电子威胁分析师Liviu Arsene说。
对于已经创建或出于特定目的需要存在的用户帐户,删除它们可能会导致更多问题。也许团队甚至不确定是否有人在使用账号。不要删除这些帐户,而是尽可能分配最低的权限集。如果该账户是合法使用的,就会有人抱怨。与服务帐户一样,如果有人尝试用这些帐户登录,记录中就会显示出来。然后管理员将有一个调查的起点,以确定这种尝试是否合法。
“如果您看到[用户账户]表面,机会是某人会损害您的云基础设施,”AlertLogic的首席战略官员和创始人Misha Govshteyn说。
使用亚马逊的内置工具
亚马逊提供了多种安全服务,包括证书管理,加密工具,用于存储私钥的硬件安全模块以及Web应用程序防火墙。利用这些内置的工具 - 或亚马逊市场的众多产品之一。
安全组允许管理员按服务类型分割实例,并将它们分配给特定的组。然后可以将一组安全策略应用于分配给组的所有主机。例如,数据库应该在它自己的组中,与负载平衡器和Web应用程序防火墙分开。通过限制端口和定义访问规则,管理员可以防止跨网络的横向移动,攻击者在Web服务器上获得立足点并试图移动到数据库。
通过AWS控制台定期检查安全组设置,确保没有意外更改。如果您将IP地址列入白名单(限制对某些系统的访问的一种很好的做法),请检查该名单,以确保没有任何更改是您不知情的。
虽然安全组和网络访问控制列表不会与全面防火墙进行比较,但它们仍然有效地限制了对应用程序的特定网络访问。更重要的是,他们阻止任何人闯入不同的群体。工艺入站和出站规则以过滤掉不必要的流量并仅允许必要的网络通信。
“您需要考虑是否真的需要允许0.0.0.0/0网络流量,还是只接受特定的连接,”Arsene说。
Arsene说,原生AWS工具,如弹性负载均衡器(elb),可以在一定程度上用来减轻DoS或DDoS攻击。elb通过将流量导向运行相同应用程序的多个EC2实例,使应用程序在面临高流量负载时具有弹性。在DoS或DDoS攻击的情况下,应用程序仍然可用,因为ELB可以扩展到多个实例。
Genomics公司Genomenext充分利用了云的流体性质。该公司随机移动该地区周围的情况,以便在助焊剂中不断地进行IP地址。这个策略力量潜在攻击者进入一个捉迷藏的游戏,试图找到足够长的服务器来发动攻击。
“我们利用Amazon安全的一切,但您仍然必须建立您的环境。“Genomenext的联合创始人兼首席执行官James Hirmas说,您仍然必须计划失败。”
处理软件开发等安全性
正如软件在投入生产之前要进行广泛的测试一样,云实例也应该进行彻底的测试。如果生产中的云实例存在关键漏洞或缺少适当的安全控制,则应将其视为停机,并将问题升级,以便立即解决。
如果云实例在将其部署到生产之前发现漏洞,则应将其优先处理与关键软件缺陷相同,并且应停止释放。
“软件已经在发货前经过QA。为什么不应该以这种方式工作?“问Govshteyn。
不要忘记亚马逊的不安全工具
定期备份您的数据,以便即使在攻击或赎金软件感染的情况下也是可能的。
代码空间为Devops申请管理提供了支持,提供了一个伤害专用犯罪者可能会对公司的云环境造成的令人兴奋的课程。在这种情况下,攻击者推出了DDOS攻击并要求赎金。当代码空间官员登录到AWS帐户时尝试停止攻击时,攻击者将从服务器中删除数据。销毁足够广泛的代码空间停止了操作。
Amazon允许客户跨区域备份数据,甚至可以将数据从S3移到Amazon冰川进行数据归档。规则可以将Amazon S3对象版本移动到成本较低的冰川类,并在数据到期后自动从冰川存储中删除它们。这可能感觉像是倒退,但与备份到另一个云实例不同,创建脱机归档也是一种选择。脱机备份的好处是确保有一个攻击者无法轻易访问的基本业务数据的副本。
记住基础知识
Amazon提供了所有处理安全基础的工具。不要忽视他们。必须对AWS帐户进行多因素身份验证。为开发人员创建单独的帐户,这样就不会有人共享密码。确保没有人使用根帐户,并且开发人员帐户只有必要的特权。
使用Amazon的工具来管理私钥并确保它们存储在安全。监控AWS使用对可疑活动,例如意外的API调用和不寻常的帐户登录。
要想在AWS上获得安全,需要与组织传统的安全方式不同的思维模式。正如Govshteyn所说:“你必须相信亚马逊正在做它需要做的工作来保护它的环境,但人们也必须改变他们构建基础设施的方式。”
这个故事,“如何保护亚马逊网络服务”最初发布信息世界 .