如果想要確保AWS的安全性，那么第一步就是要知道應(yīng)避免犯哪些錯誤。所以，如果想要邁出正確的一步，那么就應(yīng)從常見的AWS安全性失誤前車之鑒中學得一二。

[[164204]]

云計算和軟件即服務(wù)(SaaS)已經(jīng)改變了IT安全領(lǐng)域，但并不是所有運行AWS環(huán)境的人員都能夠在第一時間了解到這一點的。

這是一位參加在上周波士頓召開的AWS Meetup的云咨詢顧問以及一眾參加會議并在確保AWS環(huán)境安全性方面擁有大量經(jīng)驗的與會者發(fā)出的聲音。

隨著云計算和軟件即服務(wù)的逐漸普及，近期內(nèi)深刻撼動IT安全領(lǐng)域的最顯著變化之一就是像聯(lián)邦貿(mào)易委員會(FTC)和美國證券交易監(jiān)督委員會這樣的監(jiān)管部門都變得活躍起來了，stackArmor公司的平臺架構(gòu)與安全DevOps策略師兼云經(jīng)紀人Gaurav Pal說，stackArmor公司是一家總部設(shè)在馬里蘭州Potomac的云咨詢公司，該公司還是AWS的合作伙伴。

去年，F(xiàn)TC贏得了溫德姆集團一案的勝利，從而第一次在數(shù)據(jù)安全領(lǐng)域行使了其管轄權(quán)。在2016年1月，F(xiàn)TC向亨利施恩公司(一家總部位于紐約州 Melville的牙科診所軟件供應(yīng)商)發(fā)出了一張高達二十五萬美元的罰單，F(xiàn)TC指控該公司使用虛假廣告的加密水平來保護患者數(shù)據(jù)。

由此看來，監(jiān)管部門的步伐正在趕上云計算發(fā)展的速度，而現(xiàn)在“缺乏安全感就必須付出代價，”Pal在他發(fā)表的演講中說。

與此同時，當云用戶——尤其是眾多的SaaS初創(chuàng)企業(yè)——也希望在開發(fā)運營(DevOps)中的“開發(fā)”部分變得更強而在“運營”上相對弱化時，網(wǎng)絡(luò)和SaaS產(chǎn)品已經(jīng)改變了確保IT環(huán)境安全性的方法。

亟待解決的AWS安全性首要問題

避免犯AWS安全性錯誤只是成功了一半。請仔細閱讀，看看專家認為應(yīng)如何確保您的AWS環(huán)境的安全性，其中包括：

◆使用固定API

◆應(yīng)用最小特權(quán)原則

◆將使用的工具

從根本上了解我們是如何確保AWS環(huán)境安全性的。

“十年前，應(yīng)用程序的發(fā)布還只是通過一張CD光盤，而現(xiàn)在SaaS模式要求供應(yīng)商使用Ops的方式，”Pal說。

傳統(tǒng)的計算機科學教育項目并沒有非常關(guān)注安全性，他們只是以純粹編程的方式來對學生進行這方面的訓練，RBM科技公司的IT總經(jīng)理Jason Dunkerley在Meetup會議后接受SearchAWS的單獨采訪時說，RBM科技是一家總部位于波士頓的商品零售SaaS供應(yīng)商。

鑒于云和SaaS行業(yè)仍處于各自的起步階段，還沒有像國家職業(yè)工程師協(xié)會(NSPE)那樣成立核心軟件工程師專業(yè)群體，Dunkerley指出。但是，在云時代，開發(fā)人員可以快速地進行產(chǎn)品開發(fā)，他們擁有一次為成千上萬用戶提供服務(wù)且無需做出巨額前期投資的能力。

“這一點確實讓人感到興奮，但這也是非常危險的，”Dunkerley說。“你可能會重點關(guān)注產(chǎn)品的水準提升和更新?lián)Q代，以便于讓你的產(chǎn)品能夠?qū)崿F(xiàn)客戶的需求，但是你卻對保護你的運營方面毫不留意。”

避免犯常見的AWS安全性錯誤

在云計算的西部拓荒時期，一方面是令人信服的業(yè)務(wù)流程，而另一方面則是運營經(jīng)驗的缺乏，兩者的結(jié)合就意味著企業(yè)要陷入如Pal演講中的那種負面例子中。在Pal的介紹中，一家數(shù)據(jù)倉庫公司在其云費用達到2000美元/天時就求助于咨詢師了。

當他們發(fā)現(xiàn)其高昂的費用是與一家境外企業(yè)試圖從其后端數(shù)據(jù)庫中拉取企業(yè)數(shù)據(jù)有關(guān)時，這次財務(wù)分析就迅速演變成了一次安全運行分析。

“技術(shù)正在發(fā)生改變，但我們對改變帶來的安全方面的影響還不清楚，”Pal說。

事實是，AWS平臺為在云中部署資源提供了很大的選擇范圍，這對于靈活性是非常重要的，但是當涉及保護IT環(huán)境時它可能就是一根讓新入門用戶勒死自己的要命繩，Dunkerley說。

“你沒有多少手段，你不應(yīng)該這樣做，”Dunkerley說。

雖然這一切都太容易了，但是AWS新用戶應(yīng)該做的最后一件事是忽視亞馬遜的建議，是使用虛擬私有云(VPC)、身份與訪問管理(IAM)角色和IAM身份等工具來確保IT環(huán)境的安全性。

“如果你以他們推薦的方式來進行這項工作，那么你已經(jīng)遙遙領(lǐng)先了，”Dunkerley說。“如果一開始你就沒有朝那個方向發(fā)展……那么就真的很難糾正過來了。”

遵循AWS最佳實踐

之后，用戶就會開始需要專家來參與其中并幫助他們整合之前的運行方式和亞馬遜設(shè)置安全措施的方式，Dunkerley說。

例如，如果用戶沒有真正花時間理解安全性、服務(wù)器配置以及服務(wù)器鎖定以便只允許某些特定訪問，那么他可能會暫時地開放系統(tǒng)，但之后就會忘了并一直保持系統(tǒng)的開放狀態(tài)，Dunkerley說。

用戶需要找出所需的端口，指定必須發(fā)生數(shù)據(jù)交換的入口和出口并對之進行限制，以便于遵循AWS最佳實踐，只有某些端口能夠跨越某些VPC進行互相會話，Dunkerley說。如果他們沒有遵照執(zhí)行最佳實踐，那么對外開放實例和訪問將如同向黑客們發(fā)出了邀請函。

在建立AWS環(huán)境時，缺乏強大的安全行動計劃也是用戶最常犯的錯誤之一，Pal指出。這就要求用戶建立起一套深思熟慮用于打補丁、軟件更新以及關(guān)鍵漏洞監(jiān)控的程序。

設(shè)置防火墻和訪問管理

“用戶應(yīng)予以更多關(guān)注的其他方面是用于邊界防護的網(wǎng)絡(luò)應(yīng)用程序防火墻，”Pal說。“甚至圍繞特權(quán)用戶使用虛擬專用網(wǎng)絡(luò)(VPN)來訪問環(huán)境也有著一些解決方案，然后就是通用的防火墻。”

這可能是一個最佳實踐，Pal說，但是VPN的安裝與維護是非常繁瑣的，有時候用戶會覺得使用上有所不習慣。

“你會很驚訝地看到有如此多的SaaS企業(yè)(尤其是那些規(guī)模較少的公司)在特權(quán)用戶訪問他們的云計算環(huán)境時是不使用VPN的，”Pal說。

其他常見的安全漏洞包括為身份和訪問管理用戶創(chuàng)建不必要的訪問密鑰;Pal表示，控制臺用戶是不需要密鑰的。相反，用戶應(yīng)當提供IAM角色以供實例訪問時作臨時憑證。

IAM角色

還應(yīng)提供可實現(xiàn)職責分離的IAM角色功能，Pal說。很多時候，缺乏對生產(chǎn)實例訪問的限制會允許任何用戶對其執(zhí)行操作