随着云IT激增,安全问题已经减少的一个障碍收养。但是,这并不意味着你可以在云中忽略安全,因为一个大的攻击可以有昂贵的 - 和潜在的业务结束 - 后果。
越来越多的敏感数据正在流向云。例如,基因组信息公司GenomeNext将原始基因组测序数据输入到完全在AWS上运行的高速计算算法中。制药巨头百时美施贵宝(Bristol-Myers Squibb)通过使用AWS缩短了临床试验的时间。电子交易所纳斯达克OMX在AWS上开发了FinQloud,为客户提供存储和管理金融数据的工具。
亚马逊,最喜欢的云服务提供商,负责安全的物理数据中心和服务器硬件的虚拟机上运行的,但它的叶子到个人客户,以保护自己的基础设施。2020欧洲杯预赛Amazon提供的安全服务和工具,以确保实际工作负载的任何过多,但管理员必须真正落实必要的防御。
以下是远远超出了基本的保护您的AWS帐号,并保持业务正常运行专家提示。
不要让开发商做主
大多数开发人员希望是安全的,但他们不希望被拖慢。他们都承受着巨大的压力,以建立新的功能和船舶代码。云是应该帮助他们提高工作效率,使他们以这样的方式,他们可以继续做自己最擅长的将安全。
在大多数企业云的使用往往是主要开发人员推动的,作为开发商旋转起来的新实例时,他们需要更多的存储空间或电源。当开发人员引领云使用,很容易与不同安全级别一个庞大的环境拉闸,丰富萨顿,在Nexgate工程副总裁,证券公司的Proofpoint的一个部门说。所有端口可以是打开的,或所有用户帐户给定服务器上可能具有管理员权限。另一个常见的错误是重复使用跨实例root密码。
创建配置已经应用基础的安全策略和安全工具云图。开发人员可以部署新实例关闭安全图像,因此很容易使用自助服务的启动和运行,而不会引入摩擦。
一个典型的开发方案有开发商在不同的环境中开发,测试和生产工作。在万无一失的方法来建立云对方是为每个环境完全独立的AWS账户。因此,每个环境彼此隔离,所以谁获得了对开发服务器访问攻击者无法轻易跳上生产系统。它还可以防止事故的发生,如开发人员或管理员的生产,而不是在测试中删除数据库。
萨顿说:“开发商正试图尽快把事情做好。”“这是开发者不会犯错的内在保证。”
如果单独账户是不可能的,每个环境应使用不同的密钥,以防止交叉连接。开发密钥,永远在生产代码,反之亦然风。
拿走用户帐户
用户帐户是信息安全的致命弱点,因为攻击者可以通过窃取帐户凭据来接管整个环境。所以,尽量简化——尽可能避免使用用户帐户。Amazon提供了各种api来处理供应和扩展;在处理实例时选择它们,而不是创建新帐户来管理它们。
有应用程序使用专门创建的低权限的服务帐户来访问系统。一个例子是当它需要进行数据库调用,而不是一个正常的数据库用户帐户要创建一个特定的账号的应用。
服务帐户通常以他们能做什么限制。与数据库服务帐户,例如,权限可能只限于选择也可能更新某些表的能力。如果有人试图登录,对损坏的可能性会大大降低,因为攻击者无法查看其他表或对象,更不用说进行任何更改。如果日志显示,使用服务帐户的登录尝试,这是一个万无一失的迹象有人试图打断他。
“安全与AWS是所有关于积极主动,并通过限制损害减少攻击面的攻击者可能导致在最终违约的情况下,”在BitDefender的高级电子威胁分析师利维乌·温格说。
对于那些已经被创建或需要为特定目的存在,删除它们可能会导致更多的问题的用户帐户。也许球队甚至不知道是否有人正在使用的帐户。相反,删除这些账户,分配最低的一组可能的特权。如果该帐户是合法使用,有人会抱怨。与服务帐户,如果有人试图在其中一个帐户登录,将在记录中显示。然后,管理员将有一个出发点调查,以确定该尝试是否合法。
AlertLogic首席战略官兼创始人米沙•戈夫什廷(Misha Govshteyn)表示:“如果你看到(用户账户)浮出水面,很有可能有人侵入了你的云基础设施。”
使用Amazon的内置工具
亚马逊提供了几个安全服务,包括证书管理,加密工具,硬件安全模块用于存储私钥和Web应用防火墙。趁这些内置的工具 - 或者亚马逊商城的众多产品之一。
安全组允许管理员通过服务类型划分实例,并将它们分配给特定群体。一套安全策略可以被应用到所有分配给该组的主机。该数据库应在其自己的组,从负载平衡器和Web应用防火墙分隔,例如。通过限制端口的定义和访问规则,管理员可以防止侧向运动在网络上,在那里攻击者获得Web服务器上的立足之地,并尝试移动到数据库。
通过AWS控制台定期检查安全组设置,以确保一切都没有意外更改。如果白名单的IP地址 - 一个非常好的做法,以限制访问某些系统 - 检查列表以确保一切都没有改变不知情的情况下。
虽然安全组和网络访问控制列表没有比较全面的防火墙,他们仍然有效限制应用的特定网络访问。更重要的是,他们防止任何人闯入不同的组。工艺入站和出站规则来过滤掉不必要的流量,并只允许必要的网络通信。
“你需要考虑你是否真的需要允许0.0.0.0/0网络流量或只接受特定的连接,”温格说。
本地AWS工具,如弹性负载平衡器(ELBs)可以使用 - 有些 - 减轻DOS或DDoS攻击,温格说。ELBs使应用程序的弹性,当通过将流量定向到运行相同应用程序的多个EC2实例面临着一个高业务负载。在DoS或DDoS攻击的情况下,应用程序保持并可用,因为ELB扩展到多个实例。
基因组学公司GenomeNext需要的云的流体性质充分利用。该公司随机在该地区,使IP地址是不断的变化四处移动的情况。这种战术的力量潜在的攻击者进入的游戏隐藏和寻求,试图找出服务器足够长的时间来发动攻击。
“我们利用了亚马逊提供的所有安全服务,但你仍然需要设计你的环境。你还是要为失败做好准备。”GenomeNext联合创始人兼首席执行官詹姆斯•希尔马斯说。
像对待软件开发一样对待安全
正如软件之前要经过生产广泛的测试,云实例应该彻底的测试。如果在生产云实例有一个严重的漏洞或缺少适当的安全控制,那么它应该被视为停运,这一问题升级,使其解决的时候了。
如果一个云实例在部署到生产环境之前发现了一个漏洞,那么应该以与关键软件缺陷同等的优先级来处理它,并且应该停止发布。
软件在发布之前已经经过了QA。为什么安全系统不能这样工作呢?”Govshteyn问道。
不要忘记Amazon的非安全工具
定期备份您的数据,以便恢复可能,即使在攻击或勒索病毒感染的情况下。
代码空间它提供了对devops应用程序管理的支持,这给我们上了一课,让我们清醒地认识到一个专门的作恶者会对公司的云环境造成多大的破坏。在这种情况下,攻击者发起了DDoS攻击并要求赎金。当Code Spaces官员登录到AWS帐户试图阻止攻击时,攻击者删除了服务器上的数据。破坏的范围很广,以至于代码空间停止了操作。
亚马逊允许客户跨区域甚至移动数据备份数据从S3到亚马逊的冰川进行数据归档。规则可以移动亚马逊S3对象版本的成本较低的冰川类和自动将数据有效期限之后从冰川存储删除它们。这可能会觉得像倒退,但不是备份到另一个云实例,创建离线归档是一个选项,太。有脱机备份的好处是保证有至关重要的业务数据,攻击者的副本不容易访问。
记住最基本的
亚马逊提供的所有工具采取安全基础的护理。不要忽视他们。在AWS账户的多因素认证是必须的。为开发人员创建单独的帐户,这样没有人共享密码。确保没有人使用root账户和开发者帐户只有必要的特权。
使用Amazon的工具来管理私钥,并确保他们安全地存储。监控AWS使用可疑活动,比如意想不到的API调用和异常的帐户登录。
作为对AWS的安全需要从组织如何接近传统安全不同的思维定式。作为Govshteyn说,“你必须相信亚马逊这样做是需要保护其环境的工作,但人们也不得不改变他们如何设计他们的基础设施。”
这个故事,“如何保护亚马逊网络服务”最初发表InfoWorld的 。