亞馬遜Web服務(wù)(AWS)為其自己的基礎(chǔ)設(shè)施提供了一套強大的控制措施，但是確保各臺服務(wù)器的安全性是客戶的責任而不是亞馬遜的，明確這一點是很重要的，即這是分擔責任模式的一部分。

[[134397]]

要想了解這一個不同的模式還是有一定難度的。總之，讓亞馬遜提供漏洞管理可能是不可行的，因為漏洞管理要求云計算供應(yīng)商能夠?qū)γ恳慌_服務(wù)器都擁有管理員級別或root級別的訪問權(quán)限，而這樣做無疑是數(shù)據(jù)隱私的一個無邊噩夢。

同樣需特別指出的是，雖然亞馬遜對其所擁有的基礎(chǔ)設(shè)施是定期進行漏洞測試的，但是對于用戶企業(yè)所控制單個IP這并不意味著安全性。用戶應(yīng)當對AWS中的 IP地址、其他任何私有或公共IP地址一視同仁，并以相同的方式處理，而企業(yè)漏洞管理策略應(yīng)當被擴展至由AWS所托管的服務(wù)器。

在本文中，我將詳細討論一下，企業(yè)在分擔責任模式下AWS漏洞掃描在他們方面所必須實施的工作。

AWS漏洞管理

AWS中漏洞管理的最佳方法就是在AWS中直接安裝一個漏洞掃描設(shè)備的虛擬實例——例如Qualys公司的產(chǎn)品或Tenable網(wǎng)絡(luò)安全公司的 Nessus。雖然AWS通常要求得到明確的許可以便于在AWS基礎(chǔ)設(shè)施中的服務(wù)器上運行任何形式的漏洞評估，但是在企業(yè)用戶的實例中安裝一個虛擬設(shè)施就可以規(guī)避這一要求——這主要取決于所購買的類型。該虛擬實施可根據(jù)需要以任意頻率運行預定義的掃描。如果被賦予了有效的管理員級(Windows系統(tǒng))或 root級(Unix系統(tǒng))訪問權(quán)限，那么虛擬掃描設(shè)備就能夠為操作系統(tǒng)、第三方軟件甚至系統(tǒng)配置中的漏洞提供補丁。

一般來說，虛擬漏洞掃描設(shè)施能夠?qū)C2和亞馬遜VPC中的私有和公共IP地址進行掃描，并能夠?qū)νㄟ^IPSec VPN與亞馬遜相連的私有IP地址以及互聯(lián)網(wǎng)上的公共IP地址進行掃描。用戶可以從亞馬遜市場購買，亞馬遜將通過亞馬遜機器映像(AMI)向用戶交付。一旦購買成功，亞馬遜將從AWS EC2 控制臺(可通過AWS管理控制臺訪問)啟動AMI實例。購買虛擬掃描設(shè)施通常需要一個對相關(guān)漏洞掃描SaaS的現(xiàn)有訂購。在一些情況下，AMI是作為 SaaS標準訂購中的一部分;而在其他情況下，它是作為一個額外的功能。

運行漏洞掃描虛擬設(shè)施的成本主要分為兩個部分。其一，就是AMI使用自有設(shè)施的成本。其二，AWS 會對運行該設(shè)施收取費用。該費用涵蓋了基于實例類型的計算資源(這是其中的大頭)、被使用的存儲資源以及數(shù)據(jù)的傳輸。

在漏洞掃描之后

運行AWS漏洞掃描僅僅只是確保系統(tǒng)安全的第一步。企業(yè)還需要確保他們擁有相關(guān)的專業(yè)技術(shù)知識來解釋和分析掃描結(jié)果;雖然漏洞掃描設(shè)施是非常有用的工具，但是它們也很容易出現(xiàn)誤報和缺少在企業(yè)環(huán)境中對漏洞嚴重等級進行打分的能力。只要用戶能夠正確地理解這一技術(shù)，那么漏洞掃描應(yīng)當能夠在AWS中為服務(wù)器部署發(fā)揮積極的作用。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89043.htm