毫无疑问,Amazon Web Services已经成为一套极为强大且安全的云服务平台,可用于交付各类软件应用。AWS亦提供一套具备可扩展性、可靠性且拥有广泛、灵活服务选项的结构体系,足以满足大家的独特发展需求。然而,面对云环境的全面来临,我们往往在安全保障方面感到有些无力。下面,我们将探讨三种能够切实实现这项目标的三种方式,希望能够为大家提供具备可操作性的起点。
CloudTrail
CloudTrail能够为我们的账户收集与API调用相关的各类信息(例如调用程序、时间、调用IP地址以及与API调用相关的请求与响应信息),并将其存储在S3存储桶内以待后续安全追踪、事故响应以及合规审计。顺带一提,CloudTrail默认对全部数据进行加密。Amazon基于提供一套CloudTrail免费层,允许大家面向各服务区查询最近七天内的各项事件。
以下示例为如何在Threat Stack中使用CloudTrail。我们将在生产环境内的Route53 DNS发生变更时弹出一条警告。尽管DNS变更也许属于计划内操作,但CloudTrail仍会捕捉相关数据,并由Threat Stack向我们快速发出提醒。
EBS加密
EBS全称为Elastic Block Store,即弹性块存储服务,用于为EC2实例存储高耐久性数据。大家可以将其视为附加至EC2实例的磁盘驱动器。EBS与S3的不同之处在于,前者只能配合EC2使用。使用EBS加密机制的***优势是,大家能够随时启用且不会造成任何性能影响。另外,其启用方式非常简单——只需要点选一个复选框即可。如果有人访问到您此前使用过的分卷,加密机制的存在将使其无法查看其中的任何实际数据。
配合STS启用IAM
IAM意为身份与访问管理,而STS则为Amazon的安全令牌服务。STS的基本作用在于允许大家为用户请求临时性且权限受限的IAM凭证。尽管这项功能的设置难度较前两者更高,但其效果绝对物有所值。利用STS,大家可以通过双因素验证机制保护用户的访问密钥与秘密ID。相较于为用户提供具备长期权限的访问密钥,如今用户将通过Amazon IAM API提交自己的密钥与双因素设备信息,从而完成验证。接下来,IAM API会在未来一小时内为用户提供一组密钥,到期后密钥会自动无效化。IAM亦支持有效周期更短的密钥; 最短时间为15分钟,而最长(且默认)有效期为1小时。尽管这并不足以解决一切访问密钥丢失问题,但它仍能够显著提升大家控制访问密钥泄露的能力,同时确保特定时限内访问操作受到双因素设备的配合。
总结
在考虑向AWS账户中添加安全性因素时,此类因素的繁杂性往往令大家感到不知所措。希望今天文章中提及的例子能够帮助大家降低相关复杂性水平,从而更为轻松地实现AWS云环境安全性提升。
