AWS安全指南

責任編輯:editor006

作者:nana

2015-09-06 15:16:28

摘自:安全牛

AWS的安全性建立在共享責任模型基礎(chǔ)之上:亞馬遜提供基礎(chǔ)設(shè)施并保證其安全,用戶則負責維護自己運行其上的應用的安全。很明顯,這是個可能導致公司數(shù)據(jù)丟失的不安全設(shè)定,因此,建議創(chuàng)建只允許指定出站流量的規(guī)則,保護真正關(guān)鍵的數(shù)據(jù)。

隨著越來越高的容量和種類繁多的云服務的推出,亞馬遜的AWS(Amazon Web Services)已經(jīng)成為許多企業(yè)和機構(gòu)的最流行選擇,幫助企業(yè)在云計算提供的可擴展性和經(jīng)濟存儲之間找到平衡。

AWS的安全性建立在共享責任模型基礎(chǔ)之上:亞馬遜提供基礎(chǔ)設(shè)施并保證其安全,用戶則負責維護自己運行其上的應用的安全。這一模型可使用戶獲得對自身流量和數(shù)據(jù)的更大操控性,鼓勵用戶更加積極主動。然而,在邁向應用遷移進程之前,最好先看看以下幾條小建議,可以有助于用戶在AWS和內(nèi)部環(huán)境中掌控安全,獲得最大限度的保護。

理解安全組概念

亞馬遜提供虛擬防火墻功能過濾你云網(wǎng)段上流過的數(shù)據(jù)流量;但AWS防火墻的管理方式與傳統(tǒng)防火墻的略有不同。AWS防火墻的中心組件是‘安全組(security group)’,基本上相當于其他防火墻廠商所說的策略,也就是規(guī)則集合。不過,安全組和傳統(tǒng)防火墻策略有著關(guān)鍵區(qū)別,這一點需要充分認識到。

首先,AWS規(guī)則中沒有流量被允許或放棄的‘動作’。這是因為AWS的所有規(guī)則都是積極的,總是允許指定流量通過——不像傳統(tǒng)防火墻規(guī)則。

其次,AWS規(guī)則允許你指定流量源或目的地址——二者規(guī)則不同。對入站規(guī)則而言,要有源地址聲明流量從何而來,但無需目的地址告訴它往哪兒去。出站規(guī)則正好相反:你可以指定目的地址而不是源地址。這么規(guī)定的原因是AWS安全組總是會為應用的實例自動設(shè)定未指定端(源或目的地址,視具體情況而定)。

在應用規(guī)則上AWS會賦予你很高的靈活性。一個安全組可以應用到多個實例,就像你可以將一個傳統(tǒng)安全策略應用到多個防火墻一樣。AWS還允許你反著來:將多個安全組應用到同一個實例上,意味著這一實例從所有它關(guān)聯(lián)的安全組繼承規(guī)則。這是亞馬遜提供的眾多特性之一,允許你為特定功能或操作系統(tǒng)創(chuàng)建安全組,然后將它們混合搭配以適應業(yè)務需求。

管理出站流量

AWS當然會管理出站流量,但管理方式上與常規(guī)方法有些不太一樣,你得留意。初始設(shè)置過程中,AWS的用戶是不會被自動引導進行出站流量設(shè)置的。默認設(shè)置所有出站流量都被允許,這一點與入站流量默認設(shè)置正好相反,入站流量默認是除非創(chuàng)建規(guī)則否則全部拒絕。

很明顯,這是個可能導致公司數(shù)據(jù)丟失的不安全設(shè)定,因此,建議創(chuàng)建只允許指定出站流量的規(guī)則,保護真正關(guān)鍵的數(shù)據(jù)。由于AWS設(shè)置向?qū)Р粫詣右龑нM行出站設(shè)置,你得手動創(chuàng)建并應用這些規(guī)則。

審計與合規(guī)

一旦你開始在產(chǎn)品中使用AWS,你得記?。哼@些應用現(xiàn)在可就處于合規(guī)和內(nèi)部審計的眼皮子底下了。亞馬遜確實提供一些內(nèi)置功能輔助合規(guī)和審計:亞馬遜云監(jiān)測(Amazon CloudWatch),類似實例健康監(jiān)測儀和日志服務器;以及亞馬遜云軌跡(Amazon CloudTrail),記錄和審計你的API調(diào)用情況。但是,如果你用的是混合數(shù)據(jù)中心環(huán)境,你還需要額外的合規(guī)和審計工具。

根據(jù)你所處產(chǎn)業(yè)和你處理的數(shù)據(jù)類型,你的業(yè)務將受到不同的監(jiān)管。比如,如果你處理的是信用卡信息,你就要受支付卡行業(yè)(PCI)監(jiān)管。因此,如果你想用AWS云平臺處理這些敏感數(shù)據(jù),你就需要合適的第三方安全管理產(chǎn)品為你提供與常規(guī)防火墻相同的報告功能。

你需要從第三方解決方案中獲得的最重要的東西,是對所有安全組和整個混合資產(chǎn)的可見性,還有類似本地基礎(chǔ)設(shè)施能提供的對你安全環(huán)境進行全面審視和管理的分析及審計能力。

放到AWS環(huán)境中的所有東西的安全性都是自己的責任。充分考慮到以上幾點,在你遷移到AWS時會對你保護數(shù)據(jù)和符合監(jiān)管的要求提供幫助。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號