確保AWS安全:避免犯常見錯誤
如果想要確保AWS的安全性,那么第一步就是要知道應避免犯哪些錯誤。所以,如果想要邁出正確的一步,那么就應從常見的AWS安全性失誤前車之鑒中學得一二。
云計算和軟件即服務(SaaS)已經改變了IT安全領域,但并不是所有運行AWS環境的人員都能夠在第一時間了解到這一點的。
這是一位參加在上周波士頓召開的AWS Meetup的云咨詢顧問以及一眾參加會議并在確保AWS環境安全性方面擁有大量經驗的與會者發出的聲音。
隨著云計算和軟件即服務的逐漸普及,近期內深刻撼動IT安全領域的最顯著變化之一就是像聯邦貿易委員會(FTC)和美國證券交易監督委員會這樣的監管部門都變得活躍起來了,stackArmor公司的平臺架構與安全DevOps策略師兼云經紀人Gaurav Pal說,stackArmor公司是一家總部設在馬里蘭州Potomac的云咨詢公司,該公司還是AWS的合作伙伴。
去年,FTC贏得了溫德姆集團一案的勝利,從而第一次在數據安全領域行使了其管轄權。在2016年1月,FTC向亨利施恩公司(一家總部位于紐約州 Melville的牙科診所軟件供應商)發出了一張高達二十五萬美元的罰單,FTC指控該公司使用虛假廣告的加密水平來保護患者數據。
由此看來,監管部門的步伐正在趕上云計算發展的速度,而現在“缺乏安全感就必須付出代價,”Pal在他發表的演講中說。
與此同時,當云用戶——尤其是眾多的SaaS初創企業——也希望在開發運營(DevOps)中的“開發”部分變得更強而在“運營”上相對弱化時,網絡和SaaS產品已經改變了確保IT環境安全性的方法。
亟待解決的AWS安全性首要問題
避免犯AWS安全性錯誤只是成功了一半。請仔細閱讀,看看專家認為應如何確保您的AWS環境的安全性,其中包括:
◆使用固定API
◆應用最小特權原則
◆將使用的工具
從根本上了解我們是如何確保AWS環境安全性的。
“十年前,應用程序的發布還只是通過一張CD光盤,而現在SaaS模式要求供應商使用Ops的方式,”Pal說。
傳統的計算機科學教育項目并沒有非常關注安全性,他們只是以純粹編程的方式來對學生進行這方面的訓練,RBM科技公司的IT總經理Jason Dunkerley在Meetup會議后接受SearchAWS的單獨采訪時說,RBM科技是一家總部位于波士頓的商品零售SaaS供應商。
鑒于云和SaaS行業仍處于各自的起步階段,還沒有像國家職業工程師協會(NSPE)那樣成立核心軟件工程師專業群體,Dunkerley指出。但是,在云時代,開發人員可以快速地進行產品開發,他們擁有一次為成千上萬用戶提供服務且無需做出巨額前期投資的能力。
“這一點確實讓人感到興奮,但這也是非常危險的,”Dunkerley說。“你可能會重點關注產品的水準提升和更新換代,以便于讓你的產品能夠實現客戶的需求,但是你卻對保護你的運營方面毫不留意。”
避免犯常見的AWS安全性錯誤
在云計算的西部拓荒時期,一方面是令人信服的業務流程,而另一方面則是運營經驗的缺乏,兩者的結合就意味著企業要陷入如Pal演講中的那種負面例子中。在Pal的介紹中,一家數據倉庫公司在其云費用達到2000美元/天時就求助于咨詢師了。
當他們發現其高昂的費用是與一家境外企業試圖從其后端數據庫中拉取企業數據有關時,這次財務分析就迅速演變成了一次安全運行分析。
“技術正在發生改變,但我們對改變帶來的安全方面的影響還不清楚,”Pal說。
事實是,AWS平臺為在云中部署資源提供了很大的選擇范圍,這對于靈活性是非常重要的,但是當涉及保護IT環境時它可能就是一根讓新入門用戶勒死自己的要命繩,Dunkerley說。
“你沒有多少手段,你不應該這樣做,”Dunkerley說。
雖然這一切都太容易了,但是AWS新用戶應該做的最后一件事是忽視亞馬遜的建議,是使用虛擬私有云(VPC)、身份與訪問管理(IAM)角色和IAM身份等工具來確保IT環境的安全性。
“如果你以他們推薦的方式來進行這項工作,那么你已經遙遙領先了,”Dunkerley說。“如果一開始你就沒有朝那個方向發展……那么就真的很難糾正過來了。”
遵循AWS最佳實踐
之后,用戶就會開始需要專家來參與其中并幫助他們整合之前的運行方式和亞馬遜設置安全措施的方式,Dunkerley說。
例如,如果用戶沒有真正花時間理解安全性、服務器配置以及服務器鎖定以便只允許某些特定訪問,那么他可能會暫時地開放系統,但之后就會忘了并一直保持系統的開放狀態,Dunkerley說。
用戶需要找出所需的端口,指定必須發生數據交換的入口和出口并對之進行限制,以便于遵循AWS最佳實踐,只有某些端口能夠跨越某些VPC進行互相會話,Dunkerley說。如果他們沒有遵照執行最佳實踐,那么對外開放實例和訪問將如同向黑客們發出了邀請函。
在建立AWS環境時,缺乏強大的安全行動計劃也是用戶最常犯的錯誤之一,Pal指出。這就要求用戶建立起一套深思熟慮用于打補丁、軟件更新以及關鍵漏洞監控的程序。
設置防火墻和訪問管理
“用戶應予以更多關注的其他方面是用于邊界防護的網絡應用程序防火墻,”Pal說。“甚至圍繞特權用戶使用虛擬專用網絡(VPN)來訪問環境也有著一些解決方案,然后就是通用的防火墻。”
這可能是一個最佳實踐,Pal說,但是VPN的安裝與維護是非常繁瑣的,有時候用戶會覺得使用上有所不習慣。
“你會很驚訝地看到有如此多的SaaS企業(尤其是那些規模較少的公司)在特權用戶訪問他們的云計算環境時是不使用VPN的,”Pal說。
其他常見的安全漏洞包括為身份和訪問管理用戶創建不必要的訪問密鑰;Pal表示,控制臺用戶是不需要密鑰的。相反,用戶應當提供IAM角色以供實例訪問時作臨時憑證。
IAM角色
還應提供可實現職責分離的IAM角色功能,Pal說。很多時候,缺乏對生產實例訪問的限制會允許任何用戶對其執行操作
