近日,Code Spaces事件一石激起千層浪。Code Spaces是一家代碼托管服務商,該公司使用的是亞馬遜云服務。然而,黑客正是通過Amazon EC2服務攻擊了Code Spaces,直接導致其徹底關門。這一事件讓不少使用公有云服務的企業開始擔心,那么如何能避免類似的事件再次發生?企業如何保證自己的AWS安全?
毫無疑問,安全一直是云服務的敏感話題之一,當你使用AWS或者其他IaaS云時,一定要遵從一些最佳實踐,以保證自己的業務不被攻擊。本文將為您列出七種方法,讓你的AWS更加安全。
啟用雙因素或多因素認證
為了讓黑客更加難以進入你的AWS賬號,一定要啟動雙因素認證(2FA)或者多因素認證。簡單來說,雙因素身份認證就是通過你所知道再加上你所能擁有的這二個要素組合到一起才能發揮作用的身份認證系統。比如,在登陸系統時,你需要輸入已知的密碼以及一個動態產生的代碼。AWS提供了一個免費的多因素認證服務(點擊這里了解更多)。
除了雙因素認證外,你也可以通過其他措施來保護你的秘鑰。AWS提供了多種選擇,比如HSM(硬件安全模塊)。通過AWS CloudHSM服務,你可以在HSM內保護你的加密密鑰,HSM依據安全密鑰管理的政府標準進行設計并經過驗證。你可以安全地生成、存儲和管理用于數據加密的加密密鑰,使其只能由你訪問。
實時監控可疑的云活動
雖然通過一系列的安全措施,可以讓黑客很難進入你的系統,但如果你真的想確保未經授權的用戶訪問,那么你可能需要實時監測你的AWS使用情況。在這方面,亞馬遜提供了一些免費的監測工具和多種服務,你可以在AWS商城購買。
AWS中有一個工具叫CloudTrial。CloudTrail是一種記錄賬戶的AWS API調用,并向你發送日志文件的Web服務。記錄的信息包括API調用者的身份、API調用的時間、API調用者的源IP地址、請求參數以及AWS服務返回的響應元素。
利用CloudTrail,你可以獲得關于賬戶的AWS API調用的歷史記錄,包括通過AWS管理控制臺、AWS軟件開發工具包、命令行工具和更高級別的AWS服務(例如AWS CloudFormation)進行的API調用。由CloudTrail生成的AWS API調用歷史記錄可用于安全分析、資源變更追蹤以及合規性審計。
此外,你還可以通過一些工具來檢測云中的異常行為。比如Skyfence,它是一個基于代理的檢測系統,可以幫助你監控AWS活動并及時提醒你一些有危險的訪問行為。
防止黑客造成大規模破壞
如果黑客已經入侵了你的AWS賬戶,該如何將損失降到最低?Skyfence這塊工具也可以幫到你。通過Skyfence的代理系統,你可以關閉未經授權的AWS賬戶,并通過管理控制臺添加身份憑證。在Code Spaces事件中,這種方法或許能阻止黑客刪除其在云上的數據。
加密
除了使用Skyfence,你還可以通過加密的方法,來防止黑客刪除數據。最簡單的方法是,通過AWS提供的工具,將自己存儲在云上的數據進行加密—SafeNet和Vormetric就提供各種加密服務,你可以在AWS商城中找到。但需要注意的是,這些工具僅僅提供了一些基本的加密存儲服務。
Web應用程序防火墻
在Code Spaces事件中,黑客是通過DDoS攻擊從而入侵了該公司的AWS賬戶,而防止DDoS攻擊的一個方法就是Web應用程序防火墻。同樣,在AWS市場中也有不少這樣的應用,比如Barracuda和Alert Logic,這些工具可以幫助你監控流量、識別一些異常行為等,如果出現類似于DDoS攻擊,Web應用程序防火墻可以有效的阻止它們。
備份
保證安全的最佳實踐就是備份。很多人對云服務存在一種誤解,既數據存在云端會自動備份,事實并非如此。就拿AWS來說,如果使用其彈性存儲服務,數據并不會丟失,因為其可以進行自動備份,但EC2虛擬機實例并不是。此外,作為使用者,你還要評估自己想要備份的數據。例如,有些企業需要備份一切數據,而有些企業只需要備份關鍵數據;有些企業需要隨時備份,而有些企業只需要定時備份即可。
AWS同樣提供了多種備份選項,包括存儲和數據庫產品,例如S3、EBS和DynamoDB。此外,AWS也提供了“cold storage”服務,該存儲服務特點是成本低、高容錯,但在數據檢索的相應時間上比較慢。當然,除了存儲在云端,也有企業會選擇把數據備份在本地。
更新的應用程序
除了備份,“更新的應用程序”是另外一個對于云服務理解的誤區。云中的應用程序總是被更新的嗎?在SaaS環境中,但IaaS環境并非這樣。AWS提供了基礎設施來保證應用程序的運行,而用戶在虛擬機中來控制它們的應用程序,有些企業認為,只要經常更新軟件的漏洞和安全特性,就可以保證應用程序的安全,大錯特錯!如果你并沒有將應用升級到最新版本,那么以上所做的都將是無用功。
通過以上方法, 筆者并不能保證完全避免Code Spaces似的悲劇,但如果你不這樣做,后果不堪設想。云服務可以幫助企業降低成本、便于管理、隨時訪問,但保證安全是使用云服務最基本的前提。
作者:王曉東編譯
