移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全云安全
当前位置: 主页 > 信息安全 > 云安全 >

保障AWS云中数据安全的七大方式

时间:2014-08-28 14:42来源:TuZhiJiaMi企业信息安全专家 点击:
近日,提供Devops应用管理支持服务的公司Code Space遭遇拒绝服务攻击之后,为了阻止其连续的侵入,Code Space登录AWS云取回并删除了数据库,并停止AWS云中的数据托管服务。这个案例也让AWS云服务
Tags数据安全(840)云安全(761)AWS(3)  

  近日,提供Devops应用管理支持服务的公司Code Space遭遇拒绝服务攻击之后,为了阻止其连续的侵入,Code Space登录AWS云取回并删除了数据库,并停止AWS云中的数据托管服务。这个案例也让AWS云服务使用者思考这样一个问题:如何保障AWS云用户的安全。

  NetworkWorld 的Brandon Butler发表了博文,提出的7个建议。以下为博文译文:

  接下来介绍一下使用AWS云甚至是IaaS云时,如何保障安全的建议。

  在使用云计算的过程中,要深刻明白安全保障不会针对于所有的工作负载。AWS强调了这种模式为“安全共享”。“安全共享”仅仅为AWS的物理数据中心(虚拟机,存储甚至是安全功能)提供安全保障,而是否在AWS的基础设施上实施安全措施则取决于用户客户自己本身。

  1. 启用双因子验证或多因子验证(MFA)

  启用双因子验证(2FA)是阻止黑客入侵账户的一般方式。双因子验证是指用户在登陆系统时提供2种形式的验证。例如,用户需要输入已设定的密码和随机验证码。在AWS中免费提供了一种免费的多因子验证服务。它能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,用户登录 AWS 网站时,系统将要求他们输入用户名和密码(第一安全要素 – 用户已知),以及来自其 AWS MFA 设备的身份验证代码(第二安全要素 – 用户已有)。这些多重要素结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

  双因子认验证只是安全保护得一种方式,要想保障安全性,更重要的是要保障企业对自身关键信息的保密。AWS有许多保障关键信息的形式,包括可以安装在用户房地防火墙上HSM(硬件安全模式),其用途是帮助管理企业关键信息。

  2. 监测可疑信息

  我们不仅要增加黑客和未授权的用户进入系统的门槛,而且还要确保未授权的用户的入侵。AWS Marketplace中,提供来了一些免费的工具,这些工具可以帮助用户阻止黑客和无权限用户的入侵。

  2013 年AWS Summit大会时,发布的CloudTrail(该产品处于测试阶段)就是用于帮助用户监测可疑信息并对可以情况做出分析的。CloudTrail可以帮助用户创建API-log,主要报告用户账户的一些使用状态。

  在市场上有很多发现可疑行为的工具,Skyfence就是其中一个以监控AWS运行为主的信息代理系统。用户在发现不寻常的行为,例如,用户在可疑的时间登陆以及不寻常的IP地址时,Skyfence就会发出警告。

  3. 阻止未经授权用户的入侵

  如果你有一个检测可疑行为的工具,下一步就是检测未授权用户的入侵。Skyfence的委托系统功能可以实现在未授权用户入侵时关闭AWS账户,并对其身份进行验证后才可以访问管理控制台。在更改AWS云的数据时,必需经过授权用户的认证。在Code Spaces的案例中,这项功能可以阻止黑客删除AWS云中的数据。

  4. 加密

  还有一些其他的方法可以阻止黑客在入侵AWS账号后对系统造成破坏。例如,为AWS云中数据信息加密等。AWS 的marketplace中有许多不同的加密服务供应商,像SafeNet和Vormetric就可以提供多种多样的加密服务。AWS对简单存储服务(S3)提供加密和一些其他的服务,但这些服务只能阻止大部分入侵者而无法保证对整个系统的保护。同时,在黑客成功入侵后,加密无法阻碍黑客对数据的修改。

  5. 防火墙的应用

  DDoS的入侵使Code Space陷于危险的处境,并一步一步的吞噬Code Space的云端。使用防火墙是阻止DDoS入侵的一种有利方式。例如,在Marketplace中的Barracuda和Alert Logic,可以提供监控来防止黑客的入侵,并识别和阻止可疑行为的发生。

  6. 备份

  NSS Labs(全球最知名的独立安全研究和评测机构,总部设在美国)的Rob Ayoub在AWS的报导中写道,对数据的备份是安全保障的最佳方式。备份虽然不能防止黑客的入侵,但数据备份可以使数据库迅速恢复。

  如果数据在云中存储,它会自动备份,这是许多人对云的误解。虽然这在一些服务中可以实现,但不会在所有服务都可以实现备份。例如,AWS的弹性快存储(EBS)和S3的可靠性极高。因为,AWS的系统会对数据备份,这样可以保证数据不会丢失(用户进入管理控制台后,可对数据进行更改,使内置备份无用)。比如,EC2虚拟机实例不会自动备份。所以,在使用应用时要清楚了解各项服务会有什么样的保障。

  如果黑客侵入账户并造成破坏,用户可以通过备份恢复数据。用户需要了解自身需要备份什么类型的数据。一些企业将备份所有的数据,而另一些企业只对关键的数据进行备份。一些备份是实时更新的数据,而另一些备份可以根据用户的喜好按每日,每周,每月或者是任何时间进行数据备份。

  AWS有许多关于备份功能的选择,包括不同的存储方式和多样的数据库类型,如S3,EBS和DynamoDB。Glacier是一项称为“冷存储”的服务,其成本非常低。但是,相比于在云中备份,一些用户更加喜欢在内部环境中做备份。

  7. 应用更新

  Ayoub说,用户还有另一个误区,认为云中的应用会自动更新。在SaaS中的应用可以自动更新,但在IaaS中的应用不会自动更新。AWS提供基本的应用托管服务。这取决于用户对虚拟设备的控制。许多用户通过频繁的软件更新来修复bugs并更新安全保障,而这些功能只有在最新的版本上适用。

  我们无从而知这些措施是否可以缓解Code Space的处境。Ayoub说,现在的问题是许多企业无法运用适合的方法来保障账户的安全。虽然云有许多经济实用的优点,例如,低成本,易管理和易进入。但是,在没有确定安全问题之前,任何企业都不会随意的使用云管理其数据信息。

  原文链接:http://www.networkworld.com/article/2365828/cloud-computing/7-tips-for-protecting-your-aws-cloud.html

------分隔线----------------------------

推荐内容