如果想要確保AWS的安全性，第一步就是要知道應(yīng)避免犯哪些錯(cuò)誤，從常見的AWS安全性失誤前車之鑒中學(xué)得一二。

                           前車之鑒：避免常見性錯(cuò)誤 確保云安全

　　云計(jì)算和軟件即服務(wù)(SaaS)已經(jīng)改變了IT安全領(lǐng)域，但并不是所有運(yùn)行AWS環(huán)境的人員都能夠在第一時(shí)間了解到這一點(diǎn)的。

　　這是一位參加在上周波士頓召開的AWS Meetup的云咨詢顧問以及一眾參加會(huì)議并在確保AWS環(huán)境安全性方面擁有大量經(jīng)驗(yàn)的與會(huì)者發(fā)出的聲音。

　　隨著云計(jì)算和軟件即服務(wù)的逐漸普及，近期內(nèi)深刻撼動(dòng)IT安全領(lǐng)域的最顯著變化之一就是像聯(lián)邦貿(mào)易委員會(huì)(FTC)和美國證券交易監(jiān)督委員會(huì)這樣的監(jiān)管部門都變得活躍起來了，stack Armor公司的平臺(tái)架構(gòu)與安全Dev Ops策略師兼云經(jīng)紀(jì)人Gaurav Pal說，stack Armor公司是一家總部設(shè)在馬里蘭州Potomac的云咨詢公司，該公司還是AWS的合作伙伴。

　　去年，F(xiàn)TC贏得了溫德姆集團(tuán)一案的勝利，從而第一次在數(shù)據(jù)安全領(lǐng)域行使了其管轄權(quán)。在2016年1月，F(xiàn)TC向亨利施恩公司(一家總部位于紐約州Melville的牙科診所軟件供應(yīng)商)發(fā)出了一張高達(dá)二十五萬美元的罰單，F(xiàn)TC指控該公司使用虛假廣告的加密水平來保護(hù)患者數(shù)據(jù)。

　　由此看來，監(jiān)管部門的步伐正在趕上云計(jì)算發(fā)展的速度，而現(xiàn)在“缺乏安全感就必須付出代價(jià)，”Pal在他發(fā)表的演講中說。

　　與此同時(shí)，當(dāng)云用戶——尤其是眾多的SaaS初創(chuàng)企業(yè)——也希望在開發(fā)運(yùn)營(DevOps)中的“開發(fā)”部分變得更強(qiáng)而在“運(yùn)營”上相對(duì)弱化時(shí)，網(wǎng)絡(luò)和SaaS產(chǎn)品已經(jīng)改變了確保IT環(huán)境安全性的方法。

　　亟待解決的AWS安全性首要問題

　　避免犯AWS安全性錯(cuò)誤只是成功了一半。請(qǐng)仔細(xì)閱讀，看看專家認(rèn)為應(yīng)如何確保您的AWS環(huán)境的安全性，其中包括：

　　◆使用固定API

　　◆應(yīng)用最小特權(quán)原則

　　◆將使用的工具

　　從根本上了解我們是如何確保AWS環(huán)境安全性的。

　　“十年前，應(yīng)用程序的發(fā)布還只是通過一張CD光盤，而現(xiàn)在SaaS模式要求供應(yīng)商使用Ops的方式，”Pal說。

　　傳統(tǒng)的計(jì)算機(jī)科學(xué)教育項(xiàng)目并沒有非常關(guān)注安全性，他們只是以純粹編程的方式來對(duì)學(xué)生進(jìn)行這方面的訓(xùn)練，RBM科技公司的IT總經(jīng)理Jason Dunkerley在Meetup會(huì)議后接受Search AWS的單獨(dú)采訪時(shí)說，RBM科技是一家總部位于波士頓的商品零售SaaS供應(yīng)商。

　　鑒于云和SaaS行業(yè)仍處于各自的起步階段，還沒有像國家職業(yè)工程師協(xié)會(huì)(NSPE)那樣成立核心軟件工程師專業(yè)群體，Dunkerley指出。但是，在云時(shí)代，開發(fā)人員可以快速地進(jìn)行產(chǎn)品開發(fā)，他們擁有一次為成千上萬用戶提供服務(wù)且無需做出巨額前期投資的能力。

　　“這一點(diǎn)確實(shí)讓人感到興奮，但這也是非常危險(xiǎn)的，”Dunkerley說。“你可能會(huì)重點(diǎn)關(guān)注產(chǎn)品的水準(zhǔn)提升和更新?lián)Q代，以便于讓你的產(chǎn)品能夠?qū)崿F(xiàn)客戶的需求，但是你卻對(duì)保護(hù)你的運(yùn)營方面毫不留意?！?/span>

　　避免犯常見的AWS安全性錯(cuò)誤

　　在云計(jì)算的西部拓荒時(shí)期，一方面是令人信服的業(yè)務(wù)流程，而另一方面則是運(yùn)營經(jīng)驗(yàn)的缺乏，兩者的結(jié)合就意味著企業(yè)要陷入如Pal演講中的那種負(fù)面例子中。在Pal的介紹中，一家數(shù)據(jù)倉庫公司在其云費(fèi)用達(dá)到2000美元/天時(shí)就求助于咨詢師了。

　　當(dāng)他們發(fā)現(xiàn)其高昂的費(fèi)用是與一家境外企業(yè)試圖從其后端數(shù)據(jù)庫中拉取企業(yè)數(shù)據(jù)有關(guān)時(shí)，這次財(cái)務(wù)分析就迅速演變成了一次安全運(yùn)行分析。

　　“技術(shù)正在發(fā)生改變，但我們對(duì)改變帶來的安全方面的影響還不清楚，”Pal說。

　　事實(shí)是，AWS平臺(tái)為在云中部署資源提供了很大的選擇范圍，這對(duì)于靈活性是非常重要的，但是當(dāng)涉及保護(hù)IT環(huán)境時(shí)它可能就是一根讓新入門用戶勒死自己的要命繩，Dunkerley說。

　　“你沒有多少手段，你不應(yīng)該這樣做，”Dunkerley說。

　　雖然這一切都太容易了，但是AWS新用戶應(yīng)該做的最后一件事是忽視亞馬遜的建議，是使用虛擬私有云(VPC)、身份與訪問管理(IAM)角色和IAM身份等工具來確保IT環(huán)境的安全性。

　　“如果你以他們推薦的方式來進(jìn)行這項(xiàng)工作，那么你已經(jīng)遙遙領(lǐng)先了，”Dunkerley說?！叭绻婚_始你就沒有朝那個(gè)方向發(fā)展……那么就真的很難糾正過來了?！?/span>

　　遵循AWS最佳實(shí)踐

　　之后，用戶就會(huì)開始需要專家來參與其中并幫助他們整合之前的運(yùn)行方式和亞馬遜設(shè)置安全措施的方式，Dunkerley說。

　　例如，如果用戶沒有真正花時(shí)間理解安全性、服務(wù)器配置以及服務(wù)器鎖定以便只允許某些特定訪問，那么他可能會(huì)暫時(shí)地開放系統(tǒng)，但之后就會(huì)忘了并一直保持系統(tǒng)的開放狀態(tài)，Dunkerley說。

　　用戶需要找出所需的端口，指定必須發(fā)生數(shù)據(jù)交換的入口和出口并對(duì)之進(jìn)行限制，以便于遵循AWS最佳實(shí)踐，只有某些端口能夠跨越某些VPC進(jìn)行互相會(huì)話，Dunkerley說。如果他們沒有遵照?qǐng)?zhí)行最佳實(shí)踐，那么對(duì)外開放實(shí)例和訪問將如同向黑客們發(fā)出了邀請(qǐng)函。

　　在建立AWS環(huán)境時(shí)，缺乏強(qiáng)大的安全行動(dòng)計(jì)劃也是用戶最常犯的錯(cuò)誤之一，Pal指出。這就要求用戶建立起一套深思熟慮用于打補(bǔ)丁、軟件更新以及關(guān)鍵漏洞監(jiān)控的程序。

　　設(shè)置防火墻和訪問管理

　　“用戶應(yīng)予以更多關(guān)注的其他方面是用于邊界防護(hù)的網(wǎng)絡(luò)應(yīng)用程序防火墻，”Pal說?！吧踔羾@特權(quán)用戶使用虛擬專用網(wǎng)絡(luò)(VPN)來訪問環(huán)境也有著一些解決方案，然后就是通用的防火墻?！?/span>

　　這可能是一個(gè)最佳實(shí)踐，Pal說，但是VPN的安裝與維護(hù)是非常繁瑣的，有時(shí)候用戶會(huì)覺得使用上有所不習(xí)慣。

　　“你會(huì)很驚訝地看到有如此多的SaaS企業(yè)(尤其是那些規(guī)模較少的公司)在特權(quán)用戶訪問他們的云計(jì)算環(huán)境時(shí)是不使用VPN的，”Pal說。

　　其他常見的安全漏洞包括為身份和訪問管理用戶創(chuàng)建不必要的訪問密鑰;Pal表示，控制臺(tái)用戶是不需要密鑰的。相反，用戶應(yīng)當(dāng)提供IAM角色以供實(shí)例訪問時(shí)作臨時(shí)憑證。

　　IAM角色

　　還應(yīng)提供可實(shí)現(xiàn)職責(zé)分離的IAM角色功能，Pal說。很多時(shí)候，缺乏對(duì)生產(chǎn)實(shí)例訪問的限制會(huì)允許任何用戶對(duì)其執(zhí)行操作。