毫无疑问,安全一直是云服务的敏感话题之一,当你使用AWS或者其他IaaS云时,一定要遵从一些最佳实践,以保证自己的业务不被攻击。本文将为您列出七种方法,让你的AWS更加安全。
启用双因素或多因素认证
为了让黑客更加难以进入你的AWS账号,一定要启动双因素认证(2FA)或者多因素认证。简单来说,双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。比如,在登陆系统时,你需要输入已知的密码以及一个动态产生的代码。AWS提供了一个免费的多因素认证服务(点击这里了解更多)。
除了双因素认证外,你也可以通过其他措施来保护你的秘钥。AWS提供了多种选择,比如HSM(硬件安全模块)。通过AWS CloudHSM服务,你可以在HSM内保护你的加密密钥,HSM依据安全密钥管理的政府标准进行设计并经过验证。你可以安全地生成、存储和管理用于数据加密的加密密钥,使其只能由你访问。
实时监控可疑的云活动
虽然通过一系列的安全措施,可以让黑客很难进入你的系统,但如果你真的想确保未经授权的用户访问,那么你可能需要实时监测你的AWS使用情况。在这方面,亚马逊提供了一些免费的监测工具和多种服务,你可以在AWS商城购买。
AWS中有一个工具叫CloudTrial。CloudTrail是一种记录账户的AWS API调用,并向你发送日志文件的Web服务。记录的信息包括API调用者的身份、API调用的时间、API调用者的源IP地址、请求参数以及AWS服务返回的响应元素。
利用CloudTrail,你可以获得关于账户的AWS API调用的历史记录,包括通过AWS管理控制台、AWS软件开发工具包、命令行工具和更高级别的AWS服务(例如AWS CloudFormation)进行的API调用。由CloudTrail生成的AWS API调用历史记录可用于安全分析、资源变更追踪以及合规性审计。
此外,你还可以通过一些工具来检测云中的异常行为。比如Skyfence,它是一个基于代理的检测系统,可以帮助你监控AWS活动并及时提醒你一些有危险的访问行为。
防止黑客造成大规模破坏
如果黑客已经入侵了你的AWS账户,该如何将损失降到最低?Skyfence这块工具也可以帮到你。通过Skyfence的代理系统,你可以关闭未经授权的AWS账户,并通过管理控制台添加身份凭证。在Code Spaces事件中,这种方法或许能阻止黑客删除其在云上的数据。
加密
除了使用Skyfence,你还可以通过加密的方法,来防止黑客删除数据。最简单的方法是,通过AWS提供的工具,将自己存储在云上的数据进行加密—SafeNet和Vormetric就提供各种加密服务,你可以在AWS商城中找到。但需要注意的是,这些工具仅仅提供了一些基本的加密存储服务。
Web应用程序防火墙
在Code Spaces事件中,黑客是通过DDoS攻击从而入侵了该公司的AWS账户,而防止DDoS攻击的一个方法就是Web应用程序防火墙。同样,在AWS市场中也有不少这样的应用,比如Barracuda和Alert Logic,这些工具可以帮助你监控流量、识别一些异常行为等,如果出现类似于DDoS攻击,Web应用程序防火墙可以有效的阻止它们。
备份
保证安全的最佳实践就是备份。很多人对云服务存在一种误解,既数据存在云端会自动备份,事实并非如此。就拿AWS来说,如果使用其弹性存储服务,数据并不会丢失,因为其可以进行自动备份,但EC2虚拟机实例并不是。此外,作为使用者,你还要评估自己想要备份的数据。例如,有些企业需要备份一切数据,而有些企业只需要备份关键数据;有些企业需要随时备份,而有些企业只需要定时备份即可。
AWS同样提供了多种备份选项,包括存储和数据库产品,例如S3、EBS和DynamoDB。此外,AWS也提供了“cold storage”服务,该存储服务特点是成本低、高容错,但在数据检索的相应时间上比较慢。当然,除了存储在云端,也有企业会选择把数据备份在本地。
更新的应用程序
除了备份,“更新的应用程序”是另外一个对于云服务理解的误区。云中的应用程序总是被更新的吗?在SaaS环境中,但IaaS环境并非这样。AWS提供了基础设施来保证应用程序的运行,而用户在虚拟机中来控制它们的应用程序,有些企业认为,只要经常更新软件的漏洞和安全特性,就可以保证应用程序的安全,大错特错!如果你并没有将应用升级到最新版本,那么以上所做的都将是无用功。
通过以上方法, 笔者并不能保证完全避免Code Spaces似的悲剧,但如果你不这样做,后果不堪设想。云服务可以帮助企业降低成本、便于管理、随时访问,但保证安全是使用云服务最基本的前提。
作者:王晓东编译
