毫無(wú)疑問(wèn)，Amazon Web Services已經(jīng)成為一套極為強(qiáng)大且安全的云服務(wù)平臺(tái)，可用于交付各類軟件應(yīng)用。AWS亦提供一套具備可擴(kuò)展性、可靠性且擁有廣泛、靈活服務(wù)選項(xiàng)的結(jié)構(gòu)體系，足以滿足大家的獨(dú)特發(fā)展需求。然而，面對(duì)云環(huán)境的全面來(lái)臨，我們往往在安全保障方面感到有些無(wú)力。下面，我們將探討三種能夠切實(shí)實(shí)現(xiàn)這項(xiàng)目標(biāo)的三種方式，希望能夠?yàn)榇蠹姨峁┚邆淇刹僮餍缘钠瘘c(diǎn)。

CloudTrail

CloudTrail能夠?yàn)槲覀兊馁~戶收集與API調(diào)用相關(guān)的各類信息(例如調(diào)用程序、時(shí)間、調(diào)用IP地址以及與API調(diào)用相關(guān)的請(qǐng)求與響應(yīng)信息)，并將其存儲(chǔ)在S3存儲(chǔ)桶內(nèi)以待后續(xù)安全追蹤、事故響應(yīng)以及合規(guī)審計(jì)。順帶一提，CloudTrail默認(rèn)對(duì)全部數(shù)據(jù)進(jìn)行加密。Amazon基于提供一套CloudTrail免費(fèi)層，允許大家面向各服務(wù)區(qū)查詢最近七天內(nèi)的各項(xiàng)事件。

以下示例為如何在Threat Stack中使用CloudTrail。我們將在生產(chǎn)環(huán)境內(nèi)的Route53 DNS發(fā)生變更時(shí)彈出一條警告。盡管DNS變更也許屬于計(jì)劃內(nèi)操作，但CloudTrail仍會(huì)捕捉相關(guān)數(shù)據(jù)，并由Threat Stack向我們快速發(fā)出提醒。

EBS加密

EBS全稱為Elastic Block Store，即彈性塊存儲(chǔ)服務(wù)，用于為EC2實(shí)例存儲(chǔ)高耐久性數(shù)據(jù)。大家可以將其視為附加至EC2實(shí)例的磁盤驅(qū)動(dòng)器。EBS與S3的不同之處在于，前者只能配合EC2使用。使用EBS加密機(jī)制的***優(yōu)勢(shì)是，大家能夠隨時(shí)啟用且不會(huì)造成任何性能影響。另外，其啟用方式非常簡(jiǎn)單——只需要點(diǎn)選一個(gè)復(fù)選框即可。如果有人訪問(wèn)到您此前使用過(guò)的分卷，加密機(jī)制的存在將使其無(wú)法查看其中的任何實(shí)際數(shù)據(jù)。

配合STS啟用IAM

IAM意為身份與訪問(wèn)管理，而STS則為Amazon的安全令牌服務(wù)。STS的基本作用在于允許大家為用戶請(qǐng)求臨時(shí)性且權(quán)限受限的IAM憑證。盡管這項(xiàng)功能的設(shè)置難度較前兩者更高，但其效果絕對(duì)物有所值。利用STS，大家可以通過(guò)雙因素驗(yàn)證機(jī)制保護(hù)用戶的訪問(wèn)密鑰與秘密ID。相較于為用戶提供具備長(zhǎng)期權(quán)限的訪問(wèn)密鑰，如今用戶將通過(guò)Amazon IAM API提交自己的密鑰與雙因素設(shè)備信息，從而完成驗(yàn)證。接下來(lái)，IAM API會(huì)在未來(lái)一小時(shí)內(nèi)為用戶提供一組密鑰，到期后密鑰會(huì)自動(dòng)無(wú)效化。IAM亦支持有效周期更短的密鑰; 最短時(shí)間為15分鐘，而最長(zhǎng)(且默認(rèn))有效期為1小時(shí)。盡管這并不足以解決一切訪問(wèn)密鑰丟失問(wèn)題，但它仍能夠顯著提升大家控制訪問(wèn)密鑰泄露的能力，同時(shí)確保特定時(shí)限內(nèi)訪問(wèn)操作受到雙因素設(shè)備的配合。

總結(jié)

在考慮向AWS賬戶中添加安全性因素時(shí)，此類因素的繁雜性往往令大家感到不知所措。希望今天文章中提及的例子能夠幫助大家降低相關(guān)復(fù)雜性水平，從而更為輕松地實(shí)現(xiàn)AWS云環(huán)境安全性提升。