新钛云服已为您服务1282
云基础设施越来越容易受到威胁,因此我们研究如何使用最佳实践和云原生 AWS 服务来改善安全状况。

据 Sophos 称,在 2020 年,超过70% 的将其工作负载托管在云上的组织面临安全事件。随着威胁数量的不断增加,云安全对于各种规模的组织来说变得更加重要,以确保其数据安全。 
通过利用云原生 AWS 服务通过自上而下的领导实施来增强您企业的整体安全基础设施,这些威胁是可以避免的。但是,在我们转向 AWS 安全服务之前,让我们首先了解与云相关的风险以及缓解或预防实践。
十大 AWS 云安全风险
尽管 AWS 提供了一系列安全选项,但不利用可用解决方案的综合特性的组织可能会面临各种漏洞;这里是其中的一些:
1
缺乏可见性
云资源的生命周期通常较短,组织很难跟踪其云基础架构上托管的所有内容。因此,由于分散的可见性使威胁检测变得困难,因此出现了许多挑战。
2
过多的S3存储桶权限
通过不在粒度级别限制对 S3 存储桶的访问,管理员可以允许过多未经授权的用户访问。当这些用户将他们的私人数据上传到这些公共存储桶时,会出现许多安全问题。

此外,用户可以使用 AWS 控制台覆盖访问选项,除非管理员还对此类资产实施最低特权的权限。
3
暴露对 Root 帐户的访问权限
攻击者经常使用 root 帐户未经授权访问您的云服务。如果未正确禁用根 API 访问,则会出现此类情况。黑客经常将其用作获取 root 用户访问系统的网关。

4
未更改的 IAM 访问密钥
 长时间不轮换 IAM 访问密钥会使用户的账户和组容易受到攻击。因此,攻击者有更多时间获取这些密钥并未经授权访问 root 帐户。
5
糟糕的认证实践
攻击者经常使用网络钓鱼和其他社会工程技术来窃取帐户凭据。攻击者使用这些凭据未经授权访问公共云环境,无需对用户进行任何验证即可轻松访问这些环境。 

6
弱加密
弱加密通常会使网络流量不安全。弱加密允许入侵者访问敏感数据,例如存储阵列中的数据。为了完整的数据安全,网络必须加密其薄弱环节。

7
不必要的特权
如果未正确部署 AWS IAM 来管理用户账户和授予其他用户的访问权限,则会发生这种情况。此外,一些管理员为用户提供了过多的访问权限,这会因敏感帐户的凭据被盗而导致问题。

8
公共 AMI 
AMI(亚马逊机器映像)充当模板,其中包含软件配置,例如操作系统、应用程序服务器和与启动的实例一起使用的应用程序。公共 AMI 通常会将敏感数据暴露给其他用户,这可能很危险。

9
安全组的广泛 IP 范围
安全组充当防火墙来过滤和控制任何 AWS 环境中的流量。管理员通常会为不必要的安全组分配范围广泛的 IP。 

10
 缺乏审计
云安全审计经常被忽视,然而,安全审计对于跟踪访问权限、内部威胁和其他潜在风险非常有帮助。不幸的是,没有对网络上的用户活动进行适当的检查和平衡。 

AWS 云安全实践
只需遵循以下定义的一些安全实践,就可以增强 AWS 云安全性:

使用安全解决方案提高可见性
实施 AWS 安全可见性解决方案来监控所有资源,包括虚拟机、负载均衡器、安全组和用户。此外,了解您的 AWS 环境以实施更好的可见性策略也很重要。
限制根帐户访问
Root 帐户应仅限于组织内部的少数非常授权的用户。为每个 root 帐户放置一个多因素身份验证系统,以防止任何未经授权的访问。
轮换 IAM 访问密钥
至少每 90 天轮换一次 IAM 访问密钥,以最大限度地降低未经授权访问的风险,即使黑客获得了任何旧的 IAM 访问密钥。此外,具有必要权限的用户可以自行轮换 IAM 密钥。
强身份验证策略
建立适当的身份验证策略,所有管理员和用户都对其帐户实施多因素身份验证。Amazon AWS 强烈建议在所有启用了控制台的账户上启用 MFA。如果攻击者泄露了凭据,由于强大的身份验证过程,他们将无法登录敏感帐户。
最小特权原则
任何云环境中的 IAM 配置都应遵循最小权限原则,以防止因权限过多而导致未经授权的访问。用户和组应该只被授予所需的权限,而没有任何过多的特权。
限制 IP 范围
限制安全组 IP 范围以确保网络顺畅运行,没有任何可能被攻击者利用的不必要的开放网关。 
有审计历史
AWS CloudTrail 提供与您的 AWS 账户关联的活动的历史记录,包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。CloudTrail 简化了对资源更改和故障排除的监控。
使用 AWS 进行云安全态势管理
仔细管理云资产以防止漏洞和漏洞,从而增强整体安全态势。在云环境中,AWS 和用户都有责任保护他们的云基础设施和应用程序。
AWS 负责保护整个云基础设施的安全,但用户也负有保护内部操作以防止任何重大威胁渗透到环境中的巨大责任。
有两种主要方法可以加强云的安全基础设施:
· 通过利用 AWS 安全服务 
· 通过利用托管安全服务
AWS 安全服务
AWS 使用战略安全方法来保护云环境免受各种威胁。该过程可分为预防、检测、响应和补救四个步骤。
AWS 为应用程序、云基础设施安全、云安全状况管理、端点安全、身份和访问管理等提供集成安全解决方案。 
托管安全服务
这包括 AWS Marketplace 上提供的所有云安全状态管理 (CSPM) 工具。这些工具包括Pervasio、CrowdStrike、Sophos 和 CloudGuard 等。
其中一些工具带有内置漏洞扫描程序,而其他工具(例如 Sophos)会检查您的云环境是否存在重大威胁,以确保使用所有最佳实践。
Rapid7等其他第三方解决方案允许自动修复所有云错误配置。Netskope是另一家隶属于 AWS 的托管服务提供商,可在云环境中工作时提供实时数据和威胁防护。  
总结:从所有云安全风险来看,很明显,组织需要确保在依赖任何类型的安全解决方案之前使用最佳安全实践,而不管其提供商。
云基础设施容易受到威胁,因此加强企业基础设施的整体安全状况是任何成功公司的首要任务。
原文:https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services
了解新钛云服
新钛云服荣膺第四届FMCG零售消费品行业CIO年会「年度数字化服务最值得信赖品牌奖」
新钛云服三周岁,公司月营收超600万元,定下百年新钛的发展目标
当IPFS遇见云服务|新钛云服与冰河分布式实验室达成战略协议
新钛云服正式获批工信部ISP/IDC(含互联网资源协作)牌照
深耕专业,矗立鳌头,新钛云服获千万Pre-A轮融资
新钛云服,打造最专业的Cloud MSP+,做企业业务和云之间的桥梁
新钛云服一周年,完成两轮融资,服务五十多家客户
上海某仓储物流电子商务公司混合云解决方案
往期技术干货
Kubernetes扩容到7,500节点的历程
低代码开发,全民开发,淘汰职业程序员!
国内主流公有云VPC使用对比及总结
万字长文:云架构设计原则|附PDF下载
刚刚,OpenStack 第 19 个版本来了,附28项特性详细解读!
Ceph OSD故障排除|万字经验总结
七个用于Docker和Kubernetes防护的安全工具
运维人的终身成长,从清单管理开始|万字长文!
OpenStack与ZStack深度对比:架构、部署、计算存储与网络、运维监控等
什么是云原生?
IT混合云战略:是什么、为什么,如何构建?
点👇分享
戳👇在看
继续阅读
阅读原文
关键词
资源
新钛云服
权限
工具
云安全