IT管理員將安全擔(dān)憂引申為他們?cè)谶w移到云這件事上躊躇不前的原因，但是亞馬遜的一系列安全選項(xiàng)為這些疑惑給出了答案。

[[137872]]

沒有一種單一的方式可以保護(hù)你在公有云中的資源、文件和數(shù)據(jù)。使用亞馬遜Web服務(wù)的企業(yè)可以依賴各種本地工具來(lái)保護(hù)他們的云，但最佳方式在于對(duì)數(shù)據(jù)積極主動(dòng)的維護(hù)。

公有云懷疑論者的數(shù)量正在減少，但是剩下的那些堅(jiān)決不采納公有云的將安全引述為最大的原因。許多公司已經(jīng)認(rèn)定亞馬遜Web服務(wù)(AWS)是安全的存儲(chǔ)和非關(guān)鍵任務(wù)的計(jì)算資源及應(yīng)用，但是對(duì)于安全漏洞的擔(dān)憂并不完全是無(wú)中生有。下面讓我們來(lái)分析下常見的安全障礙以及如何解決。

AWS云安全可能發(fā)生的最壞情況?

以Code Spaces為例，一家位于英格蘭的代碼托管公司，整個(gè)公司被一名黑客徹底擊垮。在2014年6月，一名入侵者獲取了該公司AWS彈性計(jì)算云(EC2)控制臺(tái)的訪問權(quán)限。在試圖勒索錢財(cái)失敗之后，黑客刪除了該公司非常重要的數(shù)據(jù)、備份、實(shí)例以及其他的AWS資源，讓其業(yè)務(wù)無(wú)法得以繼續(xù)運(yùn)作。

這次致命的攻擊在IT業(yè)界產(chǎn)生了很大的反響并從此關(guān)閉了Code Spaces的大門，盡管該攻擊原本可以通過(guò)異地備份和服務(wù)分隔來(lái)防止。企業(yè)必須在了解和鞏固他們潛在的漏洞上做出努力。

如何監(jiān)控我們的安全進(jìn)程?

企業(yè)想要監(jiān)控誰(shuí)在他們的云里做什么，可以使用亞馬遜的CloudTrail來(lái)監(jiān)控行為并發(fā)送警報(bào)。該Web服務(wù)收集各種API的調(diào)用，允許管理員識(shí)別提交請(qǐng)求參數(shù)的人，時(shí)間和地點(diǎn)。日志文件被自動(dòng)傳送到Amazon S3的存儲(chǔ)容器中保護(hù)起來(lái)防止未經(jīng)授權(quán)的訪問和操作。

CloudTrail還便于資源的管理和合規(guī)性報(bào)告，滿足各種內(nèi)部和外部監(jiān)管的參數(shù)。

AWS如何保護(hù)公有云?

Amazon為全球范圍內(nèi)的客戶提供相同的安全標(biāo)準(zhǔn)，小企業(yè)和AWS的最大Web規(guī)?？蛻粢粯酉碛袑?duì)同樣安全工具的訪問。Amazon對(duì)其基礎(chǔ)設(shè)施和設(shè)備的有力保護(hù)，下至其員工管理的各種嚴(yán)格規(guī)定。 AWS還提供了無(wú)數(shù)的網(wǎng)絡(luò)和安全監(jiān)控系統(tǒng)，包括客戶接入點(diǎn)、內(nèi)置防火墻、虛擬私有云(VPC)的專用子網(wǎng)和數(shù)據(jù)存儲(chǔ)加密。

VPC維護(hù)網(wǎng)絡(luò)安全，允許管理員管理多層應(yīng)用服務(wù)器整合到嚴(yán)格控制的子網(wǎng)。然后Amazon會(huì)提供用戶可以創(chuàng)建安全組來(lái)管理入站和出站的網(wǎng)絡(luò)流量的能力。

AWS用戶應(yīng)該定期評(píng)估他們的安全需求并且，理想的情況是，每周投入人力資源到新的安全研究上。DevOps的團(tuán)隊(duì)?wèi)?yīng)該實(shí)施定期安全檢測(cè)，如果最壞的情況出現(xiàn)，企業(yè)應(yīng)該列出安全漏洞事件發(fā)生時(shí)的對(duì)策綱要。

企業(yè)如何限制對(duì)云端數(shù)據(jù)的訪問?

AWS身份和訪問管理(IAM)包含了多種控制來(lái)管理和監(jiān)控對(duì)AWS云的訪問。要使用IAM，管理員必須為實(shí)例分配不同的角色以保護(hù)AWS管理控制臺(tái)和API訪問密鑰的完整性。

定期更新角色，以滿足不斷變化的工作頭銜勢(shì)在必行，但企業(yè)也應(yīng)限制對(duì)其根AWS配置文件的使用，絕不共享訪問。相反，只授予用戶完成他們的工作所需的訪問權(quán)限，遵循最低權(quán)限的原則，以防一個(gè)新用戶犯錯(cuò)或者某個(gè)賬戶被攻破。

管理員還可以要求14個(gè)或更多字符組成的密碼短語(yǔ)，實(shí)現(xiàn)多因素認(rèn)證或者對(duì)資源進(jìn)行IP限制，只對(duì)預(yù)先批準(zhǔn)的位置給與訪問。

有哪些第三方的云安全工具?

AWS的Marketplace提供了很多第三方的產(chǎn)品，因?yàn)锳mazon鼓勵(lì)用戶在公有云的努力上互相協(xié)作。這些第三方的安全工具可以幫助管理員了解各種豐富的配置并對(duì)數(shù)據(jù)進(jìn)行審計(jì)追蹤。

Cloudnexa的vNOC 云管理平臺(tái)是一個(gè)將數(shù)據(jù)分組成快照來(lái)幫助用戶評(píng)估AWS的情境性能的軟件即服務(wù)選項(xiàng)。RightScale和ServiceMesh提供更多的EC2實(shí)例管理功能。AWS Marketplace的安全工具非常豐富，因此保持告知是管理員的任務(wù)。知道何時(shí)要堅(jiān)持原生的Amazon協(xié)議還是使用第三方軟件是IT專業(yè)人士對(duì)云安全需求進(jìn)行評(píng)估時(shí)的另一個(gè)挑戰(zhàn)。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89549.htm