毫無(wú)疑問，安全一直是云服務(wù)的敏感話題之一，當(dāng)你使用AWS或者其他IaaS云時(shí)，一定要遵從一些最佳實(shí)踐，以保證自己的業(yè)務(wù)不被攻擊。本文將為您列出七種方法，讓你的AWS更加安全。

 

　　啟用雙因素或多因素認(rèn)證

 

　　為了讓黑客更加難以進(jìn)入你的AWS賬號(hào)，一定要啟動(dòng)雙因素認(rèn)證(2FA)或者多因素認(rèn)證。簡(jiǎn)單來說，雙因素身份認(rèn)證就是通過你所知道再加上你所能擁有的這二個(gè)要素組合到一起才能發(fā)揮作用的身份認(rèn)證系統(tǒng)。比如，在登陸系統(tǒng)時(shí)，你需要輸入已知的密碼以及一個(gè)動(dòng)態(tài)產(chǎn)生的代碼。AWS提供了一個(gè)免費(fèi)的多因素認(rèn)證服務(wù)(點(diǎn)擊這里了解更多)。

 

　　除了雙因素認(rèn)證外，你也可以通過其他措施來保護(hù)你的秘鑰。AWS提供了多種選擇，比如HSM(硬件安全模塊)。通過AWS CloudHSM服務(wù)，你可以在HSM內(nèi)保護(hù)你的加密密鑰，HSM依據(jù)安全密鑰管理的政府標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)并經(jīng)過驗(yàn)證。你可以安全地生成、存儲(chǔ)和管理用于數(shù)據(jù)加密的加密密鑰，使其只能由你訪問。

 

　　實(shí)時(shí)監(jiān)控可疑的云活動(dòng)

 

　　雖然通過一系列的安全措施，可以讓黑客很難進(jìn)入你的系統(tǒng)，但如果你真的想確保未經(jīng)授權(quán)的用戶訪問，那么你可能需要實(shí)時(shí)監(jiān)測(cè)你的AWS使用情況。在這方面，亞馬遜提供了一些免費(fèi)的監(jiān)測(cè)工具和多種服務(wù)，你可以在AWS商城購(gòu)買。

 

　　AWS中有一個(gè)工具叫CloudTrial。CloudTrail是一種記錄賬戶的AWS API調(diào)用，并向你發(fā)送日志文件的Web服務(wù)。記錄的信息包括API調(diào)用者的身份、API調(diào)用的時(shí)間、API調(diào)用者的源IP地址、請(qǐng)求參數(shù)以及AWS服務(wù)返回的響應(yīng)元素。

 

　　利用CloudTrail，你可以獲得關(guān)于賬戶的AWS API調(diào)用的歷史記錄，包括通過AWS管理控制臺(tái)、AWS軟件開發(fā)工具包、命令行工具和更高級(jí)別的AWS服務(wù)(例如AWS CloudFormation)進(jìn)行的API調(diào)用。由CloudTrail生成的AWS API調(diào)用歷史記錄可用于安全分析、資源變更追蹤以及合規(guī)性審計(jì)。

 

　　此外，你還可以通過一些工具來檢測(cè)云中的異常行為。比如Skyfence，它是一個(gè)基于代理的檢測(cè)系統(tǒng)，可以幫助你監(jiān)控AWS活動(dòng)并及時(shí)提醒你一些有危險(xiǎn)的訪問行為。

 

　　防止黑客造成大規(guī)模破壞

 

　　如果黑客已經(jīng)入侵了你的AWS賬戶，該如何將損失降到最低?Skyfence這塊工具也可以幫到你。通過Skyfence的代理系統(tǒng)，你可以關(guān)閉未經(jīng)授權(quán)的AWS賬戶，并通過管理控制臺(tái)添加身份憑證。在Code Spaces事件中，這種方法或許能阻止黑客刪除其在云上的數(shù)據(jù)。

 

　　加密

 

　　除了使用Skyfence，你還可以通過加密的方法，來防止黑客刪除數(shù)據(jù)。最簡(jiǎn)單的方法是，通過AWS提供的工具，將自己存儲(chǔ)在云上的數(shù)據(jù)進(jìn)行加密—SafeNet和Vormetric就提供各種加密服務(wù)，你可以在AWS商城中找到。但需要注意的是，這些工具僅僅提供了一些基本的加密存儲(chǔ)服務(wù)。

 

　　Web應(yīng)用程序防火墻

 

　　在Code Spaces事件中，黑客是通過DDoS攻擊從而入侵了該公司的AWS賬戶，而防止DDoS攻擊的一個(gè)方法就是Web應(yīng)用程序防火墻。同樣，在AWS市場(chǎng)中也有不少這樣的應(yīng)用，比如Barracuda和Alert Logic，這些工具可以幫助你監(jiān)控流量、識(shí)別一些異常行為等，如果出現(xiàn)類似于DDoS攻擊，Web應(yīng)用程序防火墻可以有效的阻止它們。

 

　　備份

 

　　保證安全的最佳實(shí)踐就是備份。很多人對(duì)云服務(wù)存在一種誤解，既數(shù)據(jù)存在云端會(huì)自動(dòng)備份，事實(shí)并非如此。就拿AWS來說，如果使用其彈性存儲(chǔ)服務(wù)，數(shù)據(jù)并不會(huì)丟失，因?yàn)槠淇梢赃M(jìn)行自動(dòng)備份，但EC2虛擬機(jī)實(shí)例并不是。此外，作為使用者，你還要評(píng)估自己想要備份的數(shù)據(jù)。例如，有些企業(yè)需要備份一切數(shù)據(jù)，而有些企業(yè)只需要備份關(guān)鍵數(shù)據(jù);有些企業(yè)需要隨時(shí)備份，而有些企業(yè)只需要定時(shí)備份即可。

 

　　AWS同樣提供了多種備份選項(xiàng)，包括存儲(chǔ)和數(shù)據(jù)庫(kù)產(chǎn)品，例如S3、EBS和DynamoDB。此外，AWS也提供了“cold storage”服務(wù)，該存儲(chǔ)服務(wù)特點(diǎn)是成本低、高容錯(cuò)，但在數(shù)據(jù)檢索的相應(yīng)時(shí)間上比較慢。當(dāng)然，除了存儲(chǔ)在云端，也有企業(yè)會(huì)選擇把數(shù)據(jù)備份在本地。

 

　　更新的應(yīng)用程序

 

　　除了備份，“更新的應(yīng)用程序”是另外一個(gè)對(duì)于云服務(wù)理解的誤區(qū)。云中的應(yīng)用程序總是被更新的嗎?在SaaS環(huán)境中，但I(xiàn)aaS環(huán)境并非這樣。AWS提供了基礎(chǔ)設(shè)施來保證應(yīng)用程序的運(yùn)行，而用戶在虛擬機(jī)中來控制它們的應(yīng)用程序，有些企業(yè)認(rèn)為，只要經(jīng)常更新軟件的漏洞和安全特性，就可以保證應(yīng)用程序的安全，大錯(cuò)特錯(cuò)!如果你并沒有將應(yīng)用升級(jí)到最新版本，那么以上所做的都將是無(wú)用功。

 

　　通過以上方法， 筆者并不能保證完全避免Code Spaces似的悲劇，但如果你不這樣做，后果不堪設(shè)想。云服務(wù)可以幫助企業(yè)降低成本、便于管理、隨時(shí)訪問，但保證安全是使用云服務(wù)最基本的前提。

 

　　作者：王曉東編譯