保障AWS云中數(shù)據(jù)安全的七大方式

保障AWS云中數(shù)據(jù)安全的七大方式

在使用

云計(jì)算的過程中，要深刻明白安全保障不會(huì)針對(duì)于所有的工作負(fù)載。AWS強(qiáng)調(diào)了這種模式為“安全共享”?！鞍踩蚕怼眱H僅為AWS的物理數(shù)據(jù)中心（虛擬機(jī)，存儲(chǔ)甚至是安全功能）提供安全保障，而是否在AWS的基礎(chǔ)設(shè)施上實(shí)施安全措施則取決于用戶客戶自己本身。

1.啟用雙因子驗(yàn)證或多因子驗(yàn)證（MFA）

啟用雙因子驗(yàn)證（2FA）是阻止黑客入侵賬戶的一般方式。雙因子驗(yàn)證是指用戶在登陸系統(tǒng)時(shí)提供2種形式的驗(yàn)證。例如，用戶需要輸入已設(shè)定的密碼和隨機(jī)驗(yàn)證碼。在AWS中免費(fèi)提供了一種免費(fèi)的多因子驗(yàn)證服務(wù)。它能夠在用戶名稱和密碼之外再額外增加一層保護(hù)。啟用MFA后，用戶登錄AWS網(wǎng)站時(shí)，系統(tǒng)將要求他們輸入用戶名和密碼（第一安全要素 用戶已知），以及來自其AWS MFA設(shè)備的身份驗(yàn)證代碼（第二安全要素 用戶已有）。這些多重要素結(jié)合起來將為您的AWS賬戶設(shè)置和資源提供更高的安全保護(hù)。

雙因子認(rèn)驗(yàn)證只是安全保護(hù)得一種方式，要想保障安全性，更重要的是要保障企業(yè)對(duì)自身關(guān)鍵信息的保密。AWS有許多保障關(guān)鍵信息的形式，包括可以安裝在用戶房地防火墻上HSM（硬件安全模式），其用途是幫助管理企業(yè)關(guān)鍵信息。

2.監(jiān)測(cè)可疑信息

我們不僅要增加黑客和未授權(quán)的用戶進(jìn)入系統(tǒng)的門檻，而且還要確保未授權(quán)的用戶的入侵。AWS Marketplace中，提供來了一些免費(fèi)的工具，這些工具可以幫助用戶阻止黑客和無(wú)權(quán)限用戶的入侵。

2013年AWS Summit大會(huì)時(shí)，發(fā)布的CloudTrail(該產(chǎn)品處于測(cè)試階段)就是用于幫助用戶監(jiān)測(cè)可疑信息并對(duì)可以情況做出分析的。CloudTrail可以幫助用戶創(chuàng)建API-log，主要報(bào)告用戶賬戶的一些使用狀態(tài)e。

在市場(chǎng)上有很多發(fā)現(xiàn)可疑行為的工具，Skyfence就是其中一個(gè)以監(jiān)控AWS運(yùn)行為主的信息代理系統(tǒng)。用戶在發(fā)現(xiàn)不尋常的行為，例如，用戶在可疑的時(shí)間登陸以及不尋常的IP地址時(shí)，Skyfence就會(huì)發(fā)出警告。

3.阻止未經(jīng)授權(quán)用戶的入侵

如果你有一個(gè)檢測(cè)可疑行為的工具，下一步就是檢測(cè)未授權(quán)用戶的入侵。Skyfence的委托系統(tǒng)功能可以實(shí)現(xiàn)在未授權(quán)用戶入侵時(shí)關(guān)閉AWS賬戶，并對(duì)其身份進(jìn)行驗(yàn)證后才可以訪問管理控制臺(tái)。在更改AWS云的數(shù)據(jù)時(shí)，必需經(jīng)過授權(quán)用戶的認(rèn)證。在Code Spaces的案例中，這項(xiàng)功能可以阻止黑客刪除AWS云中的數(shù)據(jù)。

4.加密

還有一些其他的方法可以阻止黑客在入侵AWS賬號(hào)后對(duì)系統(tǒng)造成破壞。例如，為AWS云中數(shù)據(jù)信息加密等。AWS的marketplace中有許多不同的加密服務(wù)供應(yīng)商，像SafeNet和Vormetric就可以提供多種多樣的加密服務(wù)。AWS對(duì)簡(jiǎn)單存儲(chǔ)服務(wù)（S3）提供加密和一些其他的服務(wù)，但這些服務(wù)只能阻止大部分入侵者而無(wú)法保證對(duì)整個(gè)系統(tǒng)的保護(hù)。同時(shí)，在黑客成功入侵后，加密無(wú)法阻礙黑客對(duì)數(shù)據(jù)的修改。

5.防火墻的應(yīng)用

DDoS的入侵使Code Space陷于危險(xiǎn)的處境，并一步一步的吞噬Code Space的云端。使用防火墻是阻止DDoS ?入侵的一種有利方式。例如，在Marketplace中的Barracuda和Alert Logic，可以提供監(jiān)控來防止黑客的入侵，并識(shí)別和阻止可疑行為的發(fā)生。

6.備份

NSS Labs（全球最知名的獨(dú)立安全研究和評(píng)測(cè)機(jī)構(gòu)，總部設(shè)在美國(guó)）的Rob Ayoub在AWS的報(bào)導(dǎo)中寫道，對(duì)數(shù)據(jù)的備份是安全保障的最佳方式。備份雖然不能防止黑客的入侵，但數(shù)據(jù)備份可以使數(shù)據(jù)庫(kù)迅速恢復(fù)。

如果數(shù)據(jù)在云中存儲(chǔ)，它會(huì)自動(dòng)備份，這是許多人對(duì)云的誤解。雖然這在一些服務(wù)中可以實(shí)現(xiàn)，但不會(huì)在所有服務(wù)都可以實(shí)現(xiàn)備份。例如，AWS的彈性快存儲(chǔ)（EBS）和S3的可靠性極高。因?yàn)?，AWS的系統(tǒng)會(huì)對(duì)數(shù)據(jù)備份，這樣可以保證數(shù)據(jù)不會(huì)丟失（用戶進(jìn)入管理控制臺(tái)后，可對(duì)數(shù)據(jù)進(jìn)行更改，使內(nèi)置備份無(wú)用）。比如，EC2虛擬機(jī)實(shí)例不會(huì)自動(dòng)備份。所以，在使用應(yīng)用時(shí)要清楚了解各項(xiàng)服務(wù)會(huì)有什么樣的保障。

如果黑客侵入賬戶并造成破壞，用戶可以通過備份恢復(fù)數(shù)據(jù)。用戶需要了解自身需要備份什么類型的數(shù)據(jù)。一些企業(yè)將備份所有的數(shù)據(jù)，而另一些企業(yè)只對(duì)關(guān)鍵的數(shù)據(jù)進(jìn)行備份。一些備份是實(shí)時(shí)更新的數(shù)據(jù)，而另一些備份可以根據(jù)用戶的喜好按每日，每周，每月或者是任何時(shí)間進(jìn)行數(shù)據(jù)備份。

AWS有許多關(guān)于備份功能的選擇，包括不同的存儲(chǔ)方式和多樣的數(shù)據(jù)庫(kù)類型，如S3，EBS和DynamoDB。Glacier是一項(xiàng)稱為“冷存儲(chǔ)”的服務(wù)，其成本非常低。但是，相比于在云中備份，一些用戶更加喜歡在內(nèi)部環(huán)境中做備份。

7.應(yīng)用更新

用戶還有另一個(gè)誤區(qū)，認(rèn)為云中的應(yīng)用會(huì)自動(dòng)更新。在SaaS中的應(yīng)用可以自動(dòng)更新，但在IaaS中的應(yīng)用不會(huì)自動(dòng)更新。AWS提供基本的應(yīng)用托管服務(wù)。這取決于用戶對(duì)虛擬設(shè)備的控制。許多用戶通過頻繁的軟件更新來修復(fù)bugs并更新安全保障，而這些功能只有在最新的版本上適用。

我們無(wú)從而知這些措施是否可以緩解Code Space的處境?，F(xiàn)在的問題是許多企業(yè)無(wú)法運(yùn)用適合的方法來保障賬戶的安全。雖然云有許多經(jīng)濟(jì)實(shí)用的優(yōu)點(diǎn)，例如，低成本，易管理和易進(jìn)入。但是，在沒有確定安全問題之前，任何企業(yè)都不會(huì)隨意的使用云管理其數(shù)據(jù)信息。

（馬漢）