快速提升AWS安全性水平的三种方式

译文
安全 云安全
Amazon Web Services已经成为一套极为强大且安全的云服务平台,可用于交付各类软件应用。AWS亦提供一套具备可扩展性、可靠性且拥有广泛、灵活服务选项的结构体系,足以满足大家的独特发展需求。

毫无疑问,Amazon Web Services已经成为一套极为强大且安全的云服务平台,可用于交付各类软件应用。AWS亦提供一套具备可扩展性、可靠性且拥有广泛、灵活服务选项的结构体系,足以满足大家的独特发展需求。然而,面对云环境的全面来临,我们往往在安全保障方面感到有些无力。下面,我们将探讨三种能够切实实现这项目标的三种方式,希望能够为大家提供具备可操作性的起点。

CloudTrail

CloudTrail能够为我们的账户收集与API调用相关的各类信息(例如调用程序、时间、调用IP地址以及与API调用相关的请求与响应信息),并将其存储在S3存储桶内以待后续安全追踪、事故响应以及合规审计。顺带一提,CloudTrail默认对全部数据进行加密。Amazon基于提供一套CloudTrail免费层,允许大家面向各服务区查询最近七天内的各项事件。

以下示例为如何在Threat Stack中使用CloudTrail。我们将在生产环境内的Route53 DNS发生变更时弹出一条警告。尽管DNS变更也许属于计划内操作,但CloudTrail仍会捕捉相关数据,并由Threat Stack向我们快速发出提醒。

EBS加密

EBS全称为Elastic Block Store,即弹性块存储服务,用于为EC2实例存储高耐久性数据。大家可以将其视为附加至EC2实例的磁盘驱动器。EBS与S3的不同之处在于,前者只能配合EC2使用。使用EBS加密机制的***优势是,大家能够随时启用且不会造成任何性能影响。另外,其启用方式非常简单——只需要点选一个复选框即可。如果有人访问到您此前使用过的分卷,加密机制的存在将使其无法查看其中的任何实际数据。

配合STS启用IAM

IAM意为身份与访问管理,而STS则为Amazon的安全令牌服务。STS的基本作用在于允许大家为用户请求临时性且权限受限的IAM凭证。尽管这项功能的设置难度较前两者更高,但其效果绝对物有所值。利用STS,大家可以通过双因素验证机制保护用户的访问密钥与秘密ID。相较于为用户提供具备长期权限的访问密钥,如今用户将通过Amazon IAM API提交自己的密钥与双因素设备信息,从而完成验证。接下来,IAM API会在未来一小时内为用户提供一组密钥,到期后密钥会自动无效化。IAM亦支持有效周期更短的密钥; 最短时间为15分钟,而最长(且默认)有效期为1小时。尽管这并不足以解决一切访问密钥丢失问题,但它仍能够显著提升大家控制访问密钥泄露的能力,同时确保特定时限内访问操作受到双因素设备的配合。

总结

在考虑向AWS账户中添加安全性因素时,此类因素的繁杂性往往令大家感到不知所措。希望今天文章中提及的例子能够帮助大家降低相关复杂性水平,从而更为轻松地实现AWS云环境安全性提升。

责任编辑:武晓燕 来源: 51CTO.com
相关推荐

2022-03-23 10:25:32

区块链安全技术

2018-06-23 00:02:44

2023-09-26 08:21:30

2016-11-15 11:20:39

2017-08-07 09:24:43

云迁移安全方法

2017-08-01 15:33:01

云迁移云安全数据泄露

2019-06-05 13:39:11

2017-06-22 08:58:06

2017-07-14 15:07:23

2023-07-30 15:00:21

2020-09-16 23:14:35

物联网校园安全IOT

2020-07-27 10:00:18

远程办公网络安全网络攻击

2012-07-17 09:16:16

SpringSSH

2022-03-16 11:06:05

区块链支付安全

2015-09-25 10:17:01

AWS合规性安全风险

2017-06-12 08:47:14

ESXi安全vSphere

2021-04-28 15:16:04

数据安全/SOC/安全

2010-09-06 10:47:56

2016-11-04 13:27:25

AWS安全性失误

2012-02-29 09:13:08

ibmdw
点赞
收藏

51CTO技术栈公众号