毫無疑問，安全一直是云服務(wù)的敏感話題之一，當你使用AWS或者其他IaaS云時，一定要遵從一些最佳實踐，以保證自己的業(yè)務(wù)不被攻擊。本文將為您列出七種方法，讓你的AWS更加安全。

 

　　啟用雙因素或多因素認證

 

　　為了讓黑客更加難以進入你的AWS賬號，一定要啟動雙因素認證(2FA)或者多因素認證。簡單來說，雙因素身份認證就是通過你所知道再加上你所能擁有的這二個要素組合到一起才能發(fā)揮作用的身份認證系統(tǒng)。比如，在登陸系統(tǒng)時，你需要輸入已知的密碼以及一個動態(tài)產(chǎn)生的代碼。AWS提供了一個免費的多因素認證服務(wù)(點擊這里了解更多)。

 

　　除了雙因素認證外，你也可以通過其他措施來保護你的秘鑰。AWS提供了多種選擇，比如HSM(硬件安全模塊)。通過AWS CloudHSM服務(wù)，你可以在HSM內(nèi)保護你的加密密鑰，HSM依據(jù)安全密鑰管理的政府標準進行設(shè)計并經(jīng)過驗證。你可以安全地生成、存儲和管理用于數(shù)據(jù)加密的加密密鑰，使其只能由你訪問。

 

　　實時監(jiān)控可疑的云活動

 

　　雖然通過一系列的安全措施，可以讓黑客很難進入你的系統(tǒng)，但如果你真的想確保未經(jīng)授權(quán)的用戶訪問，那么你可能需要實時監(jiān)測你的AWS使用情況。在這方面，亞馬遜提供了一些免費的監(jiān)測工具和多種服務(wù)，你可以在AWS商城購買。

 

　　AWS中有一個工具叫CloudTrial。CloudTrail是一種記錄賬戶的AWS API調(diào)用，并向你發(fā)送日志文件的Web服務(wù)。記錄的信息包括API調(diào)用者的身份、API調(diào)用的時間、API調(diào)用者的源IP地址、請求參數(shù)以及AWS服務(wù)返回的響應(yīng)元素。

 

　　利用CloudTrail，你可以獲得關(guān)于賬戶的AWS API調(diào)用的歷史記錄，包括通過AWS管理控制臺、AWS軟件開發(fā)工具包、命令行工具和更高級別的AWS服務(wù)(例如AWS CloudFormation)進行的API調(diào)用。由CloudTrail生成的AWS API調(diào)用歷史記錄可用于安全分析、資源變更追蹤以及合規(guī)性審計。

 

　　此外，你還可以通過一些工具來檢測云中的異常行為。比如Skyfence，它是一個基于代理的檢測系統(tǒng)，可以幫助你監(jiān)控AWS活動并及時提醒你一些有危險的訪問行為。

 

　　防止黑客造成大規(guī)模破壞

 

　　如果黑客已經(jīng)入侵了你的AWS賬戶，該如何將損失降到最低?Skyfence這塊工具也可以幫到你。通過Skyfence的代理系統(tǒng)，你可以關(guān)閉未經(jīng)授權(quán)的AWS賬戶，并通過管理控制臺添加身份憑證。在Code Spaces事件中，這種方法或許能阻止黑客刪除其在云上的數(shù)據(jù)。

 

　　加密

 

　　除了使用Skyfence，你還可以通過加密的方法，來防止黑客刪除數(shù)據(jù)。最簡單的方法是，通過AWS提供的工具，將自己存儲在云上的數(shù)據(jù)進行加密—SafeNet和Vormetric就提供各種加密服務(wù)，你可以在AWS商城中找到。但需要注意的是，這些工具僅僅提供了一些基本的加密存儲服務(wù)。

 

　　Web應(yīng)用程序防火墻

 

　　在Code Spaces事件中，黑客是通過DDoS攻擊從而入侵了該公司的AWS賬戶，而防止DDoS攻擊的一個方法就是Web應(yīng)用程序防火墻。同樣，在AWS市場中也有不少這樣的應(yīng)用，比如Barracuda和Alert Logic，這些工具可以幫助你監(jiān)控流量、識別一些異常行為等，如果出現(xiàn)類似于DDoS攻擊，Web應(yīng)用程序防火墻可以有效的阻止它們。

 

　　備份

 

　　保證安全的最佳實踐就是備份。很多人對云服務(wù)存在一種誤解，既數(shù)據(jù)存在云端會自動備份，事實并非如此。就拿AWS來說，如果使用其彈性存儲服務(wù)，數(shù)據(jù)并不會丟失，因為其可以進行自動備份，但EC2虛擬機實例并不是。此外，作為使用者，你還要評估自己想要備份的數(shù)據(jù)。例如，有些企業(yè)需要備份一切數(shù)據(jù)，而有些企業(yè)只需要備份關(guān)鍵數(shù)據(jù);有些企業(yè)需要隨時備份，而有些企業(yè)只需要定時備份即可。

 

　　AWS同樣提供了多種備份選項，包括存儲和數(shù)據(jù)庫產(chǎn)品，例如S3、EBS和DynamoDB。此外，AWS也提供了“cold storage”服務(wù)，該存儲服務(wù)特點是成本低、高容錯，但在數(shù)據(jù)檢索的相應(yīng)時間上比較慢。當然，除了存儲在云端，也有企業(yè)會選擇把數(shù)據(jù)備份在本地。

 

　　更新的應(yīng)用程序

 

　　除了備份，“更新的應(yīng)用程序”是另外一個對于云服務(wù)理解的誤區(qū)。云中的應(yīng)用程序總是被更新的嗎?在SaaS環(huán)境中，但IaaS環(huán)境并非這樣。AWS提供了基礎(chǔ)設(shè)施來保證應(yīng)用程序的運行，而用戶在虛擬機中來控制它們的應(yīng)用程序，有些企業(yè)認為，只要經(jīng)常更新軟件的漏洞和安全特性，就可以保證應(yīng)用程序的安全，大錯特錯!如果你并沒有將應(yīng)用升級到最新版本，那么以上所做的都將是無用功。

 

　　通過以上方法， 筆者并不能保證完全避免Code Spaces似的悲劇，但如果你不這樣做，后果不堪設(shè)想。云服務(wù)可以幫助企業(yè)降低成本、便于管理、隨時訪問，但保證安全是使用云服務(wù)最基本的前提。

 

　　作者：王曉東編譯