IT管理員將安全擔憂引申為他們在遷移到云這件事上躊躇不前的原因，但是亞馬遜的一系列安全選項為這些疑惑給出了答案。

[[137872]]

沒有一種單一的方式可以保護你在公有云中的資源、文件和數據。使用亞馬遜Web服務的企業可以依賴各種本地工具來保護他們的云，但最佳方式在于對數據積極主動的維護。

公有云懷疑論者的數量正在減少，但是剩下的那些堅決不采納公有云的將安全引述為最大的原因。許多公司已經認定亞馬遜Web服務(AWS)是安全的存儲和非關鍵任務的計算資源及應用，但是對于安全漏洞的擔憂并不完全是無中生有。下面讓我們來分析下常見的安全障礙以及如何解決。

AWS云安全可能發生的最壞情況?

以Code Spaces為例，一家位于英格蘭的代碼托管公司，整個公司被一名黑客徹底擊垮。在2014年6月，一名入侵者獲取了該公司AWS彈性計算云(EC2)控制臺的訪問權限。在試圖勒索錢財失敗之后，黑客刪除了該公司非常重要的數據、備份、實例以及其他的AWS資源，讓其業務無法得以繼續運作。

這次致命的攻擊在IT業界產生了很大的反響并從此關閉了Code Spaces的大門，盡管該攻擊原本可以通過異地備份和服務分隔來防止。企業必須在了解和鞏固他們潛在的漏洞上做出努力。

如何監控我們的安全進程?

企業想要監控誰在他們的云里做什么，可以使用亞馬遜的CloudTrail來監控行為并發送警報。該Web服務收集各種API的調用，允許管理員識別提交請求參數的人，時間和地點。日志文件被自動傳送到Amazon S3的存儲容器中保護起來防止未經授權的訪問和操作。

CloudTrail還便于資源的管理和合規性報告，滿足各種內部和外部監管的參數。

AWS如何保護公有云?

Amazon為全球范圍內的客戶提供相同的安全標準，小企業和AWS的最大Web規模客戶一樣享有對同樣安全工具的訪問。Amazon對其基礎設施和設備的有力保護，下至其員工管理的各種嚴格規定。 AWS還提供了無數的網絡和安全監控系統，包括客戶接入點、內置防火墻、虛擬私有云(VPC)的專用子網和數據存儲加密。

VPC維護網絡安全，允許管理員管理多層應用服務器整合到嚴格控制的子網。然后Amazon會提供用戶可以創建安全組來管理入站和出站的網絡流量的能力。

AWS用戶應該定期評估他們的安全需求并且，理想的情況是，每周投入人力資源到新的安全研究上。DevOps的團隊應該實施定期安全檢測，如果最壞的情況出現，企業應該列出安全漏洞事件發生時的對策綱要。

企業如何限制對云端數據的訪問?

AWS身份和訪問管理(IAM)包含了多種控制來管理和監控對AWS云的訪問。要使用IAM，管理員必須為實例分配不同的角色以保護AWS管理控制臺和API訪問密鑰的完整性。

定期更新角色，以滿足不斷變化的工作頭銜勢在必行，但企業也應限制對其根AWS配置文件的使用，絕不共享訪問。相反，只授予用戶完成他們的工作所需的訪問權限，遵循最低權限的原則，以防一個新用戶犯錯或者某個賬戶被攻破。

管理員還可以要求14個或更多字符組成的密碼短語，實現多因素認證或者對資源進行IP限制，只對預先批準的位置給與訪問。

有哪些第三方的云安全工具?

AWS的Marketplace提供了很多第三方的產品，因為Amazon鼓勵用戶在公有云的努力上互相協作。這些第三方的安全工具可以幫助管理員了解各種豐富的配置并對數據進行審計追蹤。

Cloudnexa的vNOC 云管理平臺是一個將數據分組成快照來幫助用戶評估AWS的情境性能的軟件即服務選項。RightScale和ServiceMesh提供更多的EC2實例管理功能。AWS Marketplace的安全工具非常豐富，因此保持告知是管理員的任務。知道何時要堅持原生的Amazon協議還是使用第三方軟件是IT專業人士對云安全需求進行評估時的另一個挑戰。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89549.htm