[[175367]]

當(dāng)確保公共云數(shù)據(jù)與資源安全性時(shí)，不理解基本的安全概念或不知道如何使用特定的AWS安全特性將是弊大于利的。

成本和安全性已成為眾多企業(yè)使用公共云的障礙。企業(yè)用戶往往不會(huì)選擇由公共云供應(yīng)商所管理的陌生IT環(huán)境，他們一般更趨向于投資內(nèi)部IT團(tuán)隊(duì)以求能夠?qū)崿F(xiàn)內(nèi)部控制的本地資源。但是，時(shí)間以及業(yè)界人士對(duì)于公共云的態(tài)度都已經(jīng)發(fā)生了改變。

雖然諸如AWS這樣的公共云供應(yīng)商已經(jīng)花大力氣解決這些應(yīng)用障礙來幫助提高用戶使用公共云的信心，為將資源遷入云提供方法，但還是存在著一些安全性方面的錯(cuò)誤。漫不經(jīng)心的安全性方法會(huì)帶來漏洞，而這些漏洞是任何管理服務(wù)或安全工具都無法填補(bǔ)的。

只要企業(yè)IT專業(yè)人士們能夠克服與工具相關(guān)的學(xué)習(xí)曲線并正確使用這些工具，那么AWS的安全服務(wù)套件就可用于保護(hù)云中的數(shù)據(jù)和資源。對(duì)于某些企業(yè)用戶來說，AWS中的共享安全模式是難以使用的，而可用的托管工具將進(jìn)一步讓確保資源安全性的方法變得更為復(fù)雜。以下四個(gè)開發(fā)人員在AWS安全性方面易犯的特定錯(cuò)誤是值得用戶密切關(guān)注其云運(yùn)行的。

避免分擔(dān)責(zé)任

雖然AWS經(jīng)常宣揚(yáng)責(zé)任分擔(dān)的概念，但這并不意味著所有的AWS客戶都能夠理解這一理念。

本地和主機(jī)托管安全配置涉及不同水平的實(shí)踐工作。IT團(tuán)隊(duì)承擔(dān)了確保數(shù)據(jù)與工作負(fù)載安全性中絕大多數(shù)或全部的責(zé)任。所以，當(dāng)企業(yè)選擇使用AWS時(shí)，其中一些IT專業(yè)人士會(huì)誤以為是由云供應(yīng)商來負(fù)責(zé)AWS中的所有安全性方面問題。這一誤解可能會(huì)導(dǎo)致遷移后針對(duì)滿足和維護(hù)客戶嚴(yán)格合規(guī)性需求的爭(zhēng)論。

“從風(fēng)險(xiǎn)管理策略的角度來看，很多客戶都沒有很仔細(xì)地審查他們的體系架構(gòu)，他們都習(xí)慣性地持著一種‘確保系統(tǒng)安全性應(yīng)當(dāng)是供應(yīng)商責(zé)任’的態(tài)度，”云安全聯(lián)盟CEO Jim Reavis在一封電子郵件中如是寫道。“這個(gè)問題在很多方面都有所體現(xiàn)，其中包括…忽視容錯(cuò)和冗余功能，例如使用多個(gè)可用區(qū)域。”

不正確配置角色和AWS安全組

AWS的身份和訪問管理(IAM)控制著用戶對(duì)服務(wù)和資源的訪問。AWS安全性工具是集成整套服務(wù)和工具的基礎(chǔ)，但是這并不意味著所有的開發(fā)人員都能夠正確地進(jìn)行集成操作。

首先，企業(yè)用戶可能無法真正地遵循最小權(quán)限的授權(quán)原則，在實(shí)際工作中往往是授權(quán)用戶對(duì)過多資源的過多訪問。

“安全組應(yīng)當(dāng)被認(rèn)為是一個(gè)防火墻，他們應(yīng)該秉承一個(gè)‘除非明確說明否則否認(rèn)一切’的原則，”Reavis說。

此外，IT團(tuán)隊(duì)通常會(huì)設(shè)置IAM角色和AWS安全組以滿足企業(yè)自身需求，然后放松對(duì)這些訪問控制的執(zhí)行和更新。尤其是AWS安全組被證明是難以管理的——即便企業(yè)安排必要的人員和資源來解決這個(gè)問題，亦是如此。這有可能會(huì)導(dǎo)致跨整個(gè)云部署的漏洞。

企業(yè)需要建立一個(gè)合適的內(nèi)部框架來對(duì)安全組和IAM策略進(jìn)行定期評(píng)估。

日志功能的低效使用

日志記錄工具通常可以幫助管理人員確定何時(shí)何地發(fā)生何種問題以及具體牽涉到哪一位用戶;很多IT團(tuán)隊(duì)都能夠依靠這些工具作為AWS中的安全性組件。但是，開發(fā)人員很可能會(huì)不習(xí)慣使用這樣一些日志記錄功能。

亞馬遜CloudWatch日志服務(wù)會(huì)從彈性計(jì)算云實(shí)例和AWS CloudTrail事件中采集數(shù)據(jù)，這個(gè)服務(wù)讓開發(fā)人員能夠更深入地了解從應(yīng)用運(yùn)行性能到API調(diào)用的所有信息。CloudWatch日志服務(wù)為云部署提供了豐富的信息，而這些信息可用于在應(yīng)對(duì)潛在問題中設(shè)置自定義警報(bào)或觸發(fā)AWS Lambda函數(shù)的其他服務(wù)。

一些客戶會(huì)使用一個(gè)記錄API調(diào)用日志的服務(wù)—— CloudTrail。“對(duì)于記錄所有AWS API調(diào)用來說，CloudTrail是一個(gè)非常有用的服務(wù)，”Reavis說。“它可以幫助企業(yè)用戶的管理人員積極主動(dòng)地排查各種各樣的安全問題，它還有助于進(jìn)行取證。但是很多客戶都不使用這個(gè)服務(wù)。”

缺乏加密

數(shù)據(jù)加密已成為一個(gè)業(yè)界內(nèi)普遍性的話題。使用任何類型智能設(shè)備的最終用戶都可以使用加密功能來實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的保護(hù)。

雖然企業(yè)用戶可以使用AWS中類似的加密功能，但并不是所有的客戶都愿意或習(xí)慣使用這類功能。AWS客戶可以轉(zhuǎn)而選擇使用AWS密鑰管理服務(wù)，或使用簡(jiǎn)單存儲(chǔ)服務(wù)或彈性塊存儲(chǔ)中的內(nèi)置加密功能。開發(fā)人員必須認(rèn)真執(zhí)行加密密鑰的創(chuàng)建和管理流程，并將其認(rèn)為是一個(gè)不同于管理實(shí)際數(shù)據(jù)存儲(chǔ)的單獨(dú)任務(wù)。

“太多的信息要么是完全不加密，要么是加密工作做得不好，”Reavis說。“可選項(xiàng)有很多很多——其中一些是由AWS提供的，另一些則是由第三方提供。一些加密解決方案是在服務(wù)器端執(zhí)行的;而另一些則是在數(shù)據(jù)傳輸至云之前在客戶端進(jìn)行信息加密的，”他補(bǔ)充說。

AWS客戶需要考慮通盤考慮加密。“目前還沒有一個(gè)能夠適合所有應(yīng)用的全能解決方案，”Reavis指出。但是正確區(qū)分存儲(chǔ)管理和加密密鑰管理就可以更好地保護(hù)AWS工作負(fù)載。