云基礎(chǔ)設(shè)施越來越容易受到威脅，因此我們研究如何使用好實(shí)踐和云原生 AWS 服務(wù)來改善安全狀況。

據(jù) Sophos 稱，在 2020 年，超過70% 的將其工作負(fù)載托管在云上的組織面臨安全事件。隨著威脅數(shù)量的不斷增加，云安全對于各種規(guī)模的組織來說變得更加重要，以確保其數(shù)據(jù)安全。

通過利用云原生 AWS 服務(wù)通過自上而下的領(lǐng)導(dǎo)實(shí)施來增強(qiáng)您企業(yè)的整體安全基礎(chǔ)設(shè)施，這些威脅是可以避免的。但是，在我們轉(zhuǎn)向 AWS 安全服務(wù)之前，讓我們首先了解與云相關(guān)的風(fēng)險以及緩解或預(yù)防實(shí)踐。

十大 AWS 云安全風(fēng)險

盡管 AWS 提供了一系列安全選項，但不利用可用解決方案的綜合特性的組織可能會面臨各種漏洞;這里是其中的一些：

1缺乏可見性

云資源的生命周期通常較短，組織很難跟蹤其云基礎(chǔ)架構(gòu)上托管的所有內(nèi)容。因此，由于分散的可見性使威脅檢測變得困難，因此出現(xiàn)了許多挑戰(zhàn)。

2過多的S3存儲桶權(quán)限

通過不在粒度級別限制對 S3 存儲桶的訪問，管理員可以允許過多未經(jīng)授權(quán)的用戶訪問。當(dāng)這些用戶將他們的私人數(shù)據(jù)上傳到這些公共存儲桶時，會出現(xiàn)許多安全問題。

此外，用戶可以使用 AWS 控制臺覆蓋訪問選項，除非管理員還對此類資產(chǎn)實(shí)施最低特權(quán)的權(quán)限。

3暴露對 Root 帳戶的訪問權(quán)限

攻擊者經(jīng)常使用 root 帳戶未經(jīng)授權(quán)訪問您的云服務(wù)。如果未正確禁用根 API 訪問，則會出現(xiàn)此類情況。黑客經(jīng)常將其用作獲取 root 用戶訪問系統(tǒng)的網(wǎng)關(guān)。

4未更改的 IAM 訪問密鑰

長時間不輪換 IAM 訪問密鑰會使用戶的賬戶和組容易受到攻擊。因此，攻擊者有更多時間獲取這些密鑰并未經(jīng)授權(quán)訪問 root 帳戶。

5糟糕的認(rèn)證實(shí)踐

攻擊者經(jīng)常使用網(wǎng)絡(luò)釣魚和其他社會工程技術(shù)來竊取帳戶憑據(jù)。攻擊者使用這些憑據(jù)未經(jīng)授權(quán)訪問公共云環(huán)境，無需對用戶進(jìn)行任何驗證即可輕松訪問這些環(huán)境。

6弱加密

弱加密通常會使網(wǎng)絡(luò)流量不安全。弱加密允許入侵者訪問敏感數(shù)據(jù)，例如存儲陣列中的數(shù)據(jù)。為了完整的數(shù)據(jù)安全，網(wǎng)絡(luò)必須加密其薄弱環(huán)節(jié)。

7不必要的特權(quán)

如果未正確部署 AWS IAM 來管理用戶賬戶和授予其他用戶的訪問權(quán)限，則會發(fā)生這種情況。此外，一些管理員為用戶提供了過多的訪問權(quán)限，這會因敏感帳戶的憑據(jù)被盜而導(dǎo)致問題。

8公共 AMI

AMI(亞馬遜機(jī)器映像)充當(dāng)模板，其中包含軟件配置，例如操作系統(tǒng)、應(yīng)用程序服務(wù)器和與啟動的實(shí)例一起使用的應(yīng)用程序。公共 AMI 通常會將敏感數(shù)據(jù)暴露給其他用戶，這可能很危險。

9安全組的廣泛 IP 范圍

安全組充當(dāng)防火墻來過濾和控制任何 AWS 環(huán)境中的流量。管理員通常會為不必要的安全組分配范圍廣泛的 IP。

10缺乏審計

云安全審計經(jīng)常被忽視，然而，安全審計對于跟蹤訪問權(quán)限、內(nèi)部威脅和其他潛在風(fēng)險非常有幫助。不幸的是，沒有對網(wǎng)絡(luò)上的用戶活動進(jìn)行適當(dāng)?shù)臋z查和平衡。

AWS 云安全實(shí)踐

只需遵循以下定義的一些安全實(shí)踐，就可以增強(qiáng) AWS 云安全性：

使用安全解決方案提高可見性

實(shí)施?AWS 安全可見性解決方案來監(jiān)控所有資源，包括虛擬機(jī)、負(fù)載均衡器、安全組和用戶。此外，了解您的 AWS 環(huán)境以實(shí)施更好的可見性策略也很重要。

限制根帳戶訪問

Root 帳戶應(yīng)僅限于組織內(nèi)部的少數(shù)非常授權(quán)的用戶。為每個 root 帳戶放置一個多因素身份驗證系統(tǒng)，以防止任何未經(jīng)授權(quán)的訪問。

輪換 IAM 訪問密鑰

至少每 90 天輪換一次 IAM 訪問密鑰，以大限度地降低未經(jīng)授權(quán)訪問的風(fēng)險，即使黑客獲得了任何舊的 IAM 訪問密鑰。此外，具有必要權(quán)限的用戶可以自行輪換 IAM 密鑰。

強(qiáng)身份驗證策略

建立適當(dāng)?shù)纳矸蒡炞C策略，所有管理員和用戶都對其帳戶實(shí)施多因素身份驗證。Amazon AWS 強(qiáng)烈建議在所有啟用了控制臺的賬戶上啟用 MFA。如果攻擊者泄露了憑據(jù)，由于強(qiáng)大的身份驗證過程，他們將無法登錄敏感帳戶。

最小特權(quán)原則

任何云環(huán)境中的 IAM 配置都應(yīng)遵循最小權(quán)限原則，以防止因權(quán)限過多而導(dǎo)致未經(jīng)授權(quán)的訪問。用戶和組應(yīng)該只被授予所需的權(quán)限，而沒有任何過多的特權(quán)。

限制 IP 范圍

限制安全組 IP 范圍以確保網(wǎng)絡(luò)順暢運(yùn)行，沒有任何可能被攻擊者利用的不必要的開放網(wǎng)關(guān)。

有審計歷史

AWS CloudTrail 提供與您的 AWS 賬戶關(guān)聯(lián)的活動的歷史記錄，包括通過 AWS 管理控制臺、AWS 開發(fā)工具包、命令行工具和其他 AWS 服務(wù)執(zhí)行的操作。CloudTrail 簡化了對資源更改和故障排除的監(jiān)控。

使用 AWS 進(jìn)行云安全態(tài)勢管理

仔細(xì)管理云資產(chǎn)以防止漏洞和漏洞，從而增強(qiáng)整體安全態(tài)勢。在云環(huán)境中，AWS 和用戶都有責(zé)任保護(hù)他們的云基礎(chǔ)設(shè)施和應(yīng)用程序。

AWS 負(fù)責(zé)保護(hù)整個云基礎(chǔ)設(shè)施的安全，但用戶也負(fù)有保護(hù)內(nèi)部操作以防止任何重大威脅滲透到環(huán)境中的巨大責(zé)任。

有兩種主要方法可以加強(qiáng)云的安全基礎(chǔ)設(shè)施：

通過利用 AWS 安全服務(wù) 通過利用托管安全服務(wù) AWS 安全服務(wù)

AWS 使用戰(zhàn)略安全方法來保護(hù)云環(huán)境免受各種威脅。該過程可分為預(yù)防、檢測、響應(yīng)和補(bǔ)救四個步驟。

AWS 為應(yīng)用程序、云基礎(chǔ)設(shè)施安全、云安全狀況管理、端點(diǎn)安全、身份和訪問管理等提供集成安全解決方案。

托管安全服務(wù)

這包括 AWS Marketplace 上提供的所有云安全狀態(tài)管理 (CSPM) 工具。這些工具包括Pervasio、CrowdStrike、Sophos 和 CloudGuard 等。

其中一些工具帶有內(nèi)置漏洞掃描程序，而其他工具(例如 Sophos)會檢查您的云環(huán)境是否存在重大威脅，以確保使用所有好實(shí)踐。

Rapid7等其他第三方解決方案允許自動修復(fù)所有云錯誤配置。Netskope是另一家隸屬于 AWS 的托管服務(wù)提供商，可在云環(huán)境中工作時提供實(shí)時數(shù)據(jù)和威脅防護(hù)。

總結(jié)：從所有云安全風(fēng)險來看，很明顯，組織需要確保在依賴任何類型的安全解決方案之前使用好安全實(shí)踐，而不管其提供商。

云基礎(chǔ)設(shè)施容易受到威脅，因此加強(qiáng)企業(yè)基礎(chǔ)設(shè)施的整體安全狀況是任何成功公司的首要任務(wù)。

原文：https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services

本文題目：如何利用云原生AWS服務(wù)加強(qiáng)安全態(tài)勢?
鏈接地址：http://www.rwnh.cn/news41/203491.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、域名注冊、虛擬主機(jī)、App設(shè)計、企業(yè)網(wǎng)站制作、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)