云基礎(chǔ)設(shè)施越來越容易受到威脅，因此我們研究如何使用好實踐和云原生 AWS 服務(wù)來改善安全狀況。

據(jù) Sophos 稱，在 2020 年，超過70% 的將其工作負載托管在云上的組織面臨安全事件。隨著威脅數(shù)量的不斷增加，云安全對于各種規(guī)模的組織來說變得更加重要，以確保其數(shù)據(jù)安全。

通過利用云原生 AWS 服務(wù)通過自上而下的領(lǐng)導(dǎo)實施來增強您企業(yè)的整體安全基礎(chǔ)設(shè)施，這些威脅是可以避免的。但是，在我們轉(zhuǎn)向 AWS 安全服務(wù)之前，讓我們首先了解與云相關(guān)的風險以及緩解或預(yù)防實踐。

十大 AWS 云安全風險

盡管 AWS 提供了一系列安全選項，但不利用可用解決方案的綜合特性的組織可能會面臨各種漏洞;這里是其中的一些：

1缺乏可見性

云資源的生命周期通常較短，組織很難跟蹤其云基礎(chǔ)架構(gòu)上托管的所有內(nèi)容。因此，由于分散的可見性使威脅檢測變得困難，因此出現(xiàn)了許多挑戰(zhàn)。

2過多的S3存儲桶權(quán)限

通過不在粒度級別限制對 S3 存儲桶的訪問，管理員可以允許過多未經(jīng)授權(quán)的用戶訪問。當這些用戶將他們的私人數(shù)據(jù)上傳到這些公共存儲桶時，會出現(xiàn)許多安全問題。

此外，用戶可以使用 AWS 控制臺覆蓋訪問選項，除非管理員還對此類資產(chǎn)實施最低特權(quán)的權(quán)限。

3暴露對 Root 帳戶的訪問權(quán)限

攻擊者經(jīng)常使用 root 帳戶未經(jīng)授權(quán)訪問您的云服務(wù)。如果未正確禁用根 API 訪問，則會出現(xiàn)此類情況。黑客經(jīng)常將其用作獲取 root 用戶訪問系統(tǒng)的網(wǎng)關(guān)。

4未更改的 IAM 訪問密鑰

長時間不輪換 IAM 訪問密鑰會使用戶的賬戶和組容易受到攻擊。因此，攻擊者有更多時間獲取這些密鑰并未經(jīng)授權(quán)訪問 root 帳戶。

5糟糕的認證實踐

攻擊者經(jīng)常使用網(wǎng)絡(luò)釣魚和其他社會工程技術(shù)來竊取帳戶憑據(jù)。攻擊者使用這些憑據(jù)未經(jīng)授權(quán)訪問公共云環(huán)境，無需對用戶進行任何驗證即可輕松訪問這些環(huán)境。

6弱加密

弱加密通常會使網(wǎng)絡(luò)流量不安全。弱加密允許入侵者訪問敏感數(shù)據(jù)，例如存儲陣列中的數(shù)據(jù)。為了完整的數(shù)據(jù)安全，網(wǎng)絡(luò)必須加密其薄弱環(huán)節(jié)。

7不必要的特權(quán)

如果未正確部署 AWS IAM 來管理用戶賬戶和授予其他用戶的訪問權(quán)限，則會發(fā)生這種情況。此外，一些管理員為用戶提供了過多的訪問權(quán)限，這會因敏感帳戶的憑據(jù)被盜而導(dǎo)致問題。

8公共 AMI

AMI(亞馬遜機器映像)充當模板，其中包含軟件配置，例如操作系統(tǒng)、應(yīng)用程序服務(wù)器和與啟動的實例一起使用的應(yīng)用程序。公共 AMI 通常會將敏感數(shù)據(jù)暴露給其他用戶，這可能很危險。

9安全組的廣泛 IP 范圍

安全組充當防火墻來過濾和控制任何 AWS 環(huán)境中的流量。管理員通常會為不必要的安全組分配范圍廣泛的 IP。

10缺乏審計

云安全審計經(jīng)常被忽視，然而，安全審計對于跟蹤訪問權(quán)限、內(nèi)部威脅和其他潛在風險非常有幫助。不幸的是，沒有對網(wǎng)絡(luò)上的用戶活動進行適當?shù)臋z查和平衡。

AWS 云安全實踐

只需遵循以下定義的一些安全實踐，就可以增強 AWS 云安全性：

使用安全解決方案提高可見性

實施?AWS 安全可見性解決方案來監(jiān)控所有資源，包括虛擬機、負載均衡器、安全組和用戶。此外，了解您的 AWS 環(huán)境以實施更好的可見性策略也很重要。

限制根帳戶訪問

Root 帳戶應(yīng)僅限于組織內(nèi)部的少數(shù)非常授權(quán)的用戶。為每個 root 帳戶放置一個多因素身份驗證系統(tǒng)，以防止任何未經(jīng)授權(quán)的訪問。

輪換 IAM 訪問密鑰

至少每 90 天輪換一次 IAM 訪問密鑰，以大限度地降低未經(jīng)授權(quán)訪問的風險，即使黑客獲得了任何舊的 IAM 訪問密鑰。此外，具有必要權(quán)限的用戶可以自行輪換 IAM 密鑰。

強身份驗證策略

建立適當?shù)纳矸蒡炞C策略，所有管理員和用戶都對其帳戶實施多因素身份驗證。Amazon AWS 強烈建議在所有啟用了控制臺的賬戶上啟用 MFA。如果攻擊者泄露了憑據(jù)，由于強大的身份驗證過程，他們將無法登錄敏感帳戶。

最小特權(quán)原則

任何云環(huán)境中的 IAM 配置都應(yīng)遵循最小權(quán)限原則，以防止因權(quán)限過多而導(dǎo)致未經(jīng)授權(quán)的訪問。用戶和組應(yīng)該只被授予所需的權(quán)限，而沒有任何過多的特權(quán)。

限制 IP 范圍

限制安全組 IP 范圍以確保網(wǎng)絡(luò)順暢運行，沒有任何可能被攻擊者利用的不必要的開放網(wǎng)關(guān)。

有審計歷史

AWS CloudTrail 提供與您的 AWS 賬戶關(guān)聯(lián)的活動的歷史記錄，包括通過 AWS 管理控制臺、AWS 開發(fā)工具包、命令行工具和其他 AWS 服務(wù)執(zhí)行的操作。CloudTrail 簡化了對資源更改和故障排除的監(jiān)控。

使用 AWS 進行云安全態(tài)勢管理

仔細管理云資產(chǎn)以防止漏洞和漏洞，從而增強整體安全態(tài)勢。在云環(huán)境中，AWS 和用戶都有責任保護他們的云基礎(chǔ)設(shè)施和應(yīng)用程序。

AWS 負責保護整個云基礎(chǔ)設(shè)施的安全，但用戶也負有保護內(nèi)部操作以防止任何重大威脅滲透到環(huán)境中的巨大責任。

有兩種主要方法可以加強云的安全基礎(chǔ)設(shè)施：

通過利用 AWS 安全服務(wù) 通過利用托管安全服務(wù) AWS 安全服務(wù)

AWS 使用戰(zhàn)略安全方法來保護云環(huán)境免受各種威脅。該過程可分為預(yù)防、檢測、響應(yīng)和補救四個步驟。

AWS 為應(yīng)用程序、云基礎(chǔ)設(shè)施安全、云安全狀況管理、端點安全、身份和訪問管理等提供集成安全解決方案。

托管安全服務(wù)

這包括 AWS Marketplace 上提供的所有云安全狀態(tài)管理 (CSPM) 工具。這些工具包括Pervasio、CrowdStrike、Sophos 和 CloudGuard 等。

其中一些工具帶有內(nèi)置漏洞掃描程序，而其他工具(例如 Sophos)會檢查您的云環(huán)境是否存在重大威脅，以確保使用所有好實踐。

Rapid7等其他第三方解決方案允許自動修復(fù)所有云錯誤配置。Netskope是另一家隸屬于 AWS 的托管服務(wù)提供商，可在云環(huán)境中工作時提供實時數(shù)據(jù)和威脅防護。

總結(jié)：從所有云安全風險來看，很明顯，組織需要確保在依賴任何類型的安全解決方案之前使用好安全實踐，而不管其提供商。

云基礎(chǔ)設(shè)施容易受到威脅，因此加強企業(yè)基礎(chǔ)設(shè)施的整體安全狀況是任何成功公司的首要任務(wù)。

原文：https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services

本文題目：如何利用云原生AWS服務(wù)加強安全態(tài)勢?
鏈接地址：http://chinadenli.net/news41/203491.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、域名注冊、虛擬主機、App設(shè)計、企業(yè)網(wǎng)站制作、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)