AWS有一系列專為其公有云能夠變得更易于管理而開發(fā)的擴(kuò)展功能和特性。AWS config、AWS CloudTrail和亞馬遜Inspector是能夠幫助管理人員處理監(jiān)控AWS安全和資源配置的三個(gè)相關(guān)服務(wù)。
AWS CloudTrail是一個(gè)審核日志記錄工具,它可記錄AWS賬戶中每一次的API調(diào)用,其中還包括了這些調(diào)用的元數(shù)據(jù)。CloudTrail記錄每個(gè)條目的信息有:用戶、IP地址、服務(wù)和受影響資源等。
從安全角度來(lái)看,AWS CloudTrail是一個(gè)“必備”的工具,CloudSploit公司的創(chuàng)始人Matthew Fuller說(shuō),CloudSploit是一家總部設(shè)在紐約市的開源AWS產(chǎn)品和安全公司。該服務(wù)對(duì)于多用戶環(huán)境下AWS賬戶監(jiān)控應(yīng)用尤其是必備品。“如果發(fā)生了一件安全事件,CloudTrail所提供的歷史日志記錄可用于事后分析以確定導(dǎo)致入侵的原因,惡意用戶采取了什么行動(dòng)以及受影響的資源等,”Fuller說(shuō)。
AWS Config與AWS CloudTrail略有不同,該服務(wù)會(huì)記錄AWS賬戶下每一個(gè)啟用資源的歷史狀態(tài),從而允許AWS用戶查看基礎(chǔ)設(shè)施特定部分隨時(shí)間變化的變化。AWS Config還會(huì)顯示未來(lái)的更新或更新將會(huì)如何影響基礎(chǔ)設(shè)施。AWS Config可與Lambda集成,從而允許IT團(tuán)隊(duì)運(yùn)行自定義代碼以便響應(yīng)資源狀態(tài)變更。
AWS Config Rules則是一個(gè)附加服務(wù),它能夠讓管理員定義允許資源的特定狀態(tài)。“如果資源無(wú)法保持在該狀態(tài)(一個(gè)可能的安全風(fēng)險(xiǎn)),那么就可以執(zhí)行一個(gè)Lambda函數(shù),”他補(bǔ)充說(shuō)。
雖然AWS CloudTrail只是簡(jiǎn)單地提供日志,但是AWS Config是一個(gè)“更先進(jìn)的概念”,總部位于加利福尼亞州Foster城的cPrime公司CEO Zubin Irani說(shuō),cPrime公司是一家專業(yè)從事敏捷培訓(xùn)的企業(yè)。AWS Config Rules跟蹤資源在基礎(chǔ)設(shè)施內(nèi)部的使用情況、分配情況以及變更歷史。“CloudTrail的目的就是保存記錄,并對(duì)誰(shuí)做了什么做出反應(yīng),而Config則是關(guān)于什么資源改變了以及他們看起來(lái)是如何的,”Irani說(shuō)。換而言之,雖然這兩個(gè)服務(wù)都有助于AWS監(jiān)控,但一個(gè)是以資源為中心的,而另一個(gè)則是以用戶操作為中心。
亞馬遜Inspector是一個(gè)在彈性計(jì)算云實(shí)例上運(yùn)行的代理,它可在服務(wù)器級(jí)跟蹤潛在合規(guī)性違犯和安全風(fēng)險(xiǎn)。Inspector會(huì)整合潛在的漏洞以顯示該項(xiàng)目是否符合。“Inspector就如同是一個(gè)分析工具,它可以對(duì)基礎(chǔ)設(shè)施進(jìn)行檢查并為如何提高安全性提出建議,”Irani說(shuō)。
為AWS監(jiān)控選擇服務(wù)
AWS Config、CloudTrail 和Inspector都有著各自不同的用途。CloudTrail是一個(gè)記錄工具,它會(huì)記錄對(duì)用戶賬戶進(jìn)行的每一次API調(diào)用、每一次操作以及是誰(shuí)執(zhí)行操作的信息。這個(gè)信息是進(jìn)行后續(xù)取證和審核的必要信息。AWS Config則是記錄了每一次的資源配置變更。例如,當(dāng)管理員添加或刪除彈性網(wǎng)絡(luò)接口或當(dāng)安全組中增加一條規(guī)則時(shí),AWS Config會(huì)記錄相關(guān)變更。它在發(fā)生變更時(shí)為環(huán)境提供了一個(gè)時(shí)間表。
同時(shí)使用CloudTrail和Config 的IT團(tuán)隊(duì)會(huì)在發(fā)生變更時(shí)收到一個(gè)警告,并能夠看出發(fā)生變更的時(shí)間和位置。然后,他們可以使用CloudTrail來(lái)確定是誰(shuí)執(zhí)行了相關(guān)操作。AWS監(jiān)控和保持安全配置是任何環(huán)境保護(hù)的重要組成部分;這些本地AWS監(jiān)控工具可以有助于任何企業(yè)確保所有變更都是被授權(quán)的、可被跟蹤的以及可被審核的 。
AWS Inspector可以查看云實(shí)例內(nèi)部、對(duì)已安裝軟件進(jìn)行掃描以及將掃描結(jié)果與AWS 維護(hù)的常見漏洞數(shù)據(jù)庫(kù)進(jìn)行比較。這些功能讓管理人員能夠確定要更新的軟件包以及這些更新將如何影響安全性。Inspector可確保IT團(tuán)隊(duì)能夠定期識(shí)別要對(duì)系統(tǒng)打哪些補(bǔ)丁。
Config、CloudTrail 和Inspector都是免費(fèi)的,但是“Inspector是可選的,”Irani補(bǔ)充道。“三個(gè)服務(wù)中唯一需要和值得推薦的是CloudTrail。”