毫无疑问,安全一直是云服务的敏感话题之一,当你使用AWS或者其他IaaS云时,一定要遵从一些最佳实践,以保证自己的业务不被攻击。本文将为您列出七种方法,让你的AWS更加安全。
启用双因素或多因素认证
为了让黑客更加难以进入你的AWS账号,一定要启动双因素认证(2FA)或者多因素认证。简单来说,双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。比如,在登陆系统时,你需要输入已知的密码以及一个动态产生的代码。AWS提供了一个免费的多因素认证服务(点击这里了解更多)。
除了双因素认证外,你也可以通过其他措施来保护你的秘钥。AWS提供了多种选择,比如HSM(硬件安全模块)。通过AWS CloudHSM服务,你可以在HSM内保护你的加密密钥,HSM依据安全密钥管理的政府标准进行设计并经过验证。你可以安全地生成、存储和管理用于数据加密的加密密钥,使其只能由你访问。
实时监控可疑的云活动
虽然通过一系列的安全措施,可以让黑客很难进入你的系统,但如果你真的想确保未经授权的用户访问,那么你可能需要实时监测你的AWS使用情况。在这方面,亚马逊提供了一些免费的监测工具和多种服务,你可以在AWS商城购买。
AWS中有一个工具叫CloudTrial。CloudTrail是一种记录账户的AWS API调用,并向你发送日志文件的Web服务。记录的信息包括API调用者的身份、API调用的时间、API调用者的源IP地址、请求参数以及AWS服务返回的响应元素。
利用CloudTrail,你可以获得关于账户的AWS API调用的历史记录,包括通过AWS管理控制台、AWS软件开发工具包、命令行工具和更高级别的AWS服务(例如AWS CloudFormation)进行的API调用。由CloudTrail生成的AWS API调用历史记录可用于安全分析、资源变更追踪以及合规性审计。
此外,你还可以通过一些工具来检测云中的异常行为。比如Skyfence,它是一个基于代理的检测系统,可以帮助你监控AWS活动并及时提醒你一些有危险的访问行为。
防止黑客造成大规模破坏
如果黑客已经入侵了你的AWS账户,该如何将损失降到最低?Skyfence这块工具也可以帮到你。通过Skyfence的代理系统,你可以关闭未经授权的AWS账户,并通过管理控制台添加身份凭证。在Code Spaces事件中,这种方法或许能阻止黑客删除其在云上的数据。
加密
自从Intel把无锁倍频处理器定位高端,并且划分出“K”系产品之后,K系处理器还必须搭配Z97/Z87等高阶芯片组主板才能超频,这意味着超频已经与平民用户无缘。近日,Intel基于Hawell Refresh的新处理器—Core i7 4790K与Core i5 4690K即将上市,同步上市的还有奔腾20周年纪念版的G3258处理器,从这款无锁倍频的双核奔腾定位来看,加上近日多个品牌传出的H81、B85、H97等芯片组主板产品支持处理器超频的新闻,看来Intel又再一次让超频开放给大众玩家。
素有“奔腾K”处理器之称的G3258硬件规格并不高,双核心设计,并不支持超线程技术,默认频率为3.2GHz,3M L3缓存,完全与奔腾系列一致的规格参数。从Intel一贯的定价策略来看,定位中低端市场的奔腾G3258被开放倍频支持超频技术,其售价必定贴近Core i3,从规格指标以及消费者惯有的思维来看,奔腾K肯定是备受阉割的产品,纵使超频到较高的频率,其性能一般,内存控制器也有可能无法媲美Core i7等产品,当然上述的都是惯有消费思维,我们本篇章正是采用Intel 奔腾G3258进行超频4.5GHz与Core i7-4770K同频游戏竞技,除了超主频之外,我们还会对内存进行一定的超频,最终让我们看看这款大众超频玩具—奔腾G3258的实际性能表现吧!
Intel 20周年纪念版奔腾G3258外观并没有太多的改变,仍采用铜保护盖,至于封装和TIM(散热材料)会不会和Haswell refresh一样有所改进,这点还不得而知。2
Intel 20周年纪念版奔腾G3258外观并没有太多的改变,仍采用铜保护盖,至于封装和TIM(散热材料)会不会和Haswell refresh一样有所改进,这点还不得而知。
撇开解锁倍频限制可超频外,G3258规格与现售G3420几乎一致,以至于CPU-Z将其识别成了后者。G3258采用22nm的Haswell架构,双核心双线程,3.2GHz主频,3MB三级缓存以及53W的TDP;内存默认频率为1333MHz。
集成核芯显卡为HD Graphics GT1,频率范围为350MHz~1100MHz,EU单元10个。
与其搭配的超频主板,映泰Hi-Fi Z97WE主板采用标准ATX大板设计,扩展能力不俗;基于Intel最新一代Z97芯片组打造,另外,主板一改以往映泰Hi-Fi系列的蓝黑搭配,而是选用了更为高端大气的土豪金,看上去主板整体外观让人感觉眼前一亮。
主板CPU供电部分,主板CPU底座插槽支持LGA 1150针脚处理器,Haswell以及最新的Haswell Refresh处理器都能完美支持。供电方面,映泰采用了10相全固态电容供电,完全可以满足超频用户对于高规格供电基础的一个需要。拆开散热器,仅从电感的数量上来看主板采用10相供电设计,配备了全封闭电感和台产钰邦长寿命固态电容,用料颇为讲究。
CPU供电最终细分为10相,分配至Mosfet承担分流任务,因此Mosfet的选择也较为关键。这里每1相Mosfet由台湾大中出品的1上桥SM4377和1下桥SM4364A组成,采用DFN 5x6-8封装,具有大电流、耐高温和高转换效率等工作特性。总体而言用料相当不错。
在进行CPU超频前,我们先拆出供电部分的土豪金散热片,使用VICHY DM6804A+测温仪对其寻找合适的测温点。
测温探头贴在散热片正中间,并适当添加硅脂提高导热效果,而后再将带有探头的散热片装回主板。
测试平台方面,我们采用映泰Hi-Fi Z97WE主板、OC TEMPLE DDR3-2400MHz 4GBx2内存套装等硬件与G3258、i7-4770K两颗待测CPU组建平台。为了体现CPU和内存大幅超频后的3D性能差距,我们选取微星R9 280X GAMING 6GB显卡进行对比测试。软件部分选用了新发布的3DMark等基准测试以及主流Directx9/10/11游戏Benchmark对平台进行测试,采用主流1920×1080分辨率,画面特效、抗锯齿统一设置为最高,借以更直观的对比两颗CPU默频以及超频至4.5GHz时的帧数表现。
值得注意的是,G3258超频至4.5GHz时电压设置为1.3V时无法通过ORTHOS拷机测试,只有设置为1.35V时才能稳定。除了CPU体质外,主板BIOS尚需进一步优化。而在这么高的电压下,发热量也比较夸张,所以采用采融Megahalems V5压制。
即便是超到4.5GHz,双核双线程的奔腾G3258显然还是无法与四核四线程的i7-4770K进行抗衡,这也就是为什么我们不进行CPU部分的基准测试。由于3DMark附带CPU部分的计算测试,因此多个3DMark版本G3258均处于下风,但超频至4.5GHz时差距进一步缩小。
而在游戏和曲面细分测试中,两颗CPU的帧数表现差距非常微小,甚至在超频至4.5GHz下《Unigine Heaven 3.0》、《黑手党2》和《失落星球2》G3258反而取得领先,足见目前大型3D单机游戏更依赖于显卡部分的处理性能,且搭建游戏平台G3258也没有过多的瓶颈。当然,应对实时物理渲染的游戏对比中,比如《黑手党2》和《蝙蝠侠》,Auto和超频至4.5GHz的帧数差距还是非常的明显。因此,当你玩的是此类游戏时,就要考虑自有平台CPU频率是否够高、够强。
温度测试方面,我们采用ORTHOS 0.41设置“适当大量FFTs,着重内存”选项进行测试。该软件基于tress Prime 2004升级,属于满载负载,运行一个ORTHOS至CPU满载状态,用AIDA64记录CPU两个核心满载后10~15分钟的稳定平均温度。待机温度则是在停止满载十分钟后,清零数据后不对平台进行任何操作,五分钟后记录下两个核心的平均温度。本次温度测试室温为25℃。
在大幅加压至1.35V和采融Megahalems V5六热管散热器降温情况下,G3258相比待机温度仍可以说是天壤之别,相差了20℃以上,足见超频后的发热量也不小。而在待机部分,不同电压状态下1000/1500RPM两档转速的差距则非常微小。
由于无法测试CPU的独立功耗,因此测试中所有的功耗成绩均为整机功耗,且为了降低误差没有加入独显;满载测试过程中使用北电功耗测试仪目测记录峰值功耗。为了更好的反映默频以及4.5GHz 1.35V超频功耗差距,我们在烤机完毕之后待机15分钟,让CPU自然降温后记录下待机功耗。
默频自动开启节能模式,为了保证超频的稳定性后者也关闭了这一功能,因此默频待机功耗均要比两颗CPU超频后的待机功耗低得多。而满载功耗与温度表现如出一辙,成几何似增长,显然,在加压超频保证高频稳定运行的时候,又想低功耗是件鱼与熊掌不可兼得的事情。
在O.N.E项目里进入CPU Configuration项目,将CPU Ratio设置为45,即4.5GHz。0
在O.N.E项目里进入CPU Configuration项目,将CPU Ratio设置为45,即4.5GHz。
其次就是进入Voltages Configuration把CPU电压补偿增加0.25V,即CPU电压为1.35V;同时,RING电压补偿增加0.200V。CPU Vcc电压设置为“规格电压(SPEC Voltage)”模式,如果出现超频不稳的情况,还可以切换为“固定电压(Fixed Voltage)”,进一步调节CPU Vcc,而后按F10保存即可。
我们采用Intel Pentium G3258配映泰Hi-Fi Z97WE主板,加压至1.35V稳定在4.5GHz,运行1个ORTHOS拷机软件使其满载15分钟以上,也没有蓝频或死机等情况出现;散热方面采用的是采融Megahalems V5,处理器的温度徘徊在65~70℃之间,鉴于电压已经升至1.35v,因此需要采用高性能散热稳妥一些。此外,超频至4.5GHz并开启ORTHOS拷机时,通过测温仪录得散热片的最高温度为45.6℃左右,温度还是属于可接受范围内。
在CPU超频至4.5GHz的同时,我们也对内存进行超频测试,频率设定为2400MHz,参数为13-15-15-45,周期为2T。0
在CPU超频至4.5GHz的同时,我们也对内存进行超频测试,频率设定为2400MHz,参数为13-15-15-45,周期为2T。
再将内存电压设置为1.760V,接下来就是保存BIOS,进入系统进行稳定性测试。
在保持CPU 4.5GHz的基础下,我们对DDR3-2400MHz内存频率进行MEMTEST测试,令人兴奋的是,通过MEMTEST 100%测试。事实证明,这颗奔腾20周年纪念版产物G3258除了自身主频比较能超,不负奔腾一贯的超频优秀大名外,在内存控制器上的超频表现也很出色,该内存在i7-4770K上可超频到2400MHz,在奔腾G3258的身上也能正常发挥至2400MHz。
在性能表现方面,奔腾K G3258超频后的性能潜力巨大,特别在单机游戏当中,G3258同频基本媲美Core i7-4770K,这也再一次证明当今大部分的游戏(包括网游)也还没有对4核心超线程作出优化,贴近平民的使用习惯来说,G3258性能为大家带来惊喜。
i7都撼动 奔腾G3258超频游戏性能对比0
由于双核心配置,尽管奔腾K G3258加压1.35V超频4.5GHz,最高满载温度也不过是70.4°C,当然我们本次采用的是采融Megahalems散热器,如果换成是百元级散热器的话,恐怕无法镇压!所以要想尽情发掘奔腾K的性能,一款好的散热器还是必须的,至于超频后的功耗呈现大幅度上升的情况也属于正常。
采用Z97芯片组主板来搭配小奔腾或许大伙都会觉得有些浪费,近日众多厂商也推出了B85、H97等中低阶主板的超频BIOS,这意味着大众消费者可以把奔腾K的超频平台成本进一步下降。当然大家也非常清楚,非Z87/Z97的主板是无法支持内存超频,究竟内存超频对奔腾K的性能发挥有多大的影响?如果我们采用百元级散热器镇压奔腾K超频的话,又能超频至多少G?这些问题将会在我们下一篇章的测试文章解答您!
除了使用Skyfence,你还可以通过加密的方法,来防止黑客删除数据。最简单的方法是,通过AWS提供的工具,将自己存储在云上的数据进行加密—SafeNet和Vormetric就提供各种加密服务,你可以在AWS商城中找到。但需要注意的是,这些工具仅仅提供了一些基本的加密存储服务。
Web应用程序防火墙
在Code Spaces事件中,黑客是通过DDoS攻击从而入侵了该公司的AWS账户,而防止DDoS攻击的一个方法就是Web应用程序防火墙。同样,在AWS市场中也有不少这样的应用,比如Barracuda和Alert Logic,这些工具可以帮助你监控流量、识别一些异常行为等,如果出现类似于DDoS攻击,Web应用程序防火墙可以有效的阻止它们。
备份
保证安全的最佳实践就是备份。很多人对云服务存在一种误解,既数据存在云端会自动备份,事实并非如此。就拿AWS来说,如果使用其弹性存储服务,数据并不会丢失,因为其可以进行自动备份,但EC2虚拟机实例并不是。此外,作为使用者,你还要评估自己想要备份的数据。例如,有些企业需要备份一切数据,而有些企业只需要备份关键数据;有些企业需要随时备份,而有些企业只需要定时备份即可。
AWS同样提供了多种备份选项,包括存储和数据库产品,例如S3、EBS和DynamoDB。此外,AWS也提供了“cold storage”服务,该存储服务特点是成本低、高容错,但在数据检索的相应时间上比较慢。当然,除了存储在云端,也有企业会选择把数据备份在本地。
更新的应用程序
除了备份,“更新的应用程序”是另外一个对于云服务理解的误区。云中的应用程序总是被更新的吗?在SaaS环境中,但IaaS环境并非这样。AWS提供了基础设施来保证应用程序的运行,而用户在虚拟机中来控制它们的应用程序,有些企业认为,只要经常更新软件的漏洞和安全特性,就可以保证应用程序的安全,大错特错!如果你并没有将应用升级到最新版本,那么以上所做的都将是无用功。
通过以上方法, 笔者并不能保证完全避免Code Spaces似的悲剧,但如果你不这样做,后果不堪设想。云服务可以帮助企业降低成本、便于管理、随时访问,但保证安全是使用云服务最基本的前提。
