毫无疑问,AmazonWebServices已经成为一个极其强大和安全的云服务平台,可以用来交付各种软件应用程序。AWS还提供具有可扩展性、可靠性和广泛的灵活服务选项的结构化系统,以满足您独特的开发需求。然而,面对云环境的全面来临,我们在安全方面往往会感到有些力不从心。下面,我们将探讨三种实际可以实现这一目标的方法,希望为您提供一个可操作的起点。CloudTrailCloudTrail可以为我们的账号收集API调用相关的各种信息(如调用程序、时间、调用IP地址、API调用相关的请求和响应信息),存储在S3存储桶中,用于后续的安全跟踪、事件响应和合规审计。顺便说一下,CloudTrail默认加密所有数据。基于提供一组免费的CloudTrail层级,Amazon允许您查询每个服务区域最近7天的事件。以下示例显示如何在威胁堆栈中使用CloudTrail。当Route53DNS在生产中更改时,我们将弹出警告。虽然可能计划更改DNS,但CloudTrail会捕获相关数据并且ThreatStack会迅速提醒我们。EBS加密EBS全称为ElasticBlockStore,即弹性块存储服务,用于为EC2实例存储高持久化数据。您可以将其视为连接到EC2实例的磁盘驱动器。EBS和S3的区别是前者只能和EC2一起使用。使用EBS加密机制的最大优势是您可以随时启用它而不会影响性能。此外,它的启用非常简单——只需单击一个复选框即可。如果有人获得了对您之前使用过的卷的访问权限,加密机制将使您无法查看其中的任何实际数据。IAMIAM的意思是使用STS进行身份和访问管理,STS是亚马逊的安全令牌服务。STS的基本作用是允许您为用户请求临时和有限权限的IAM凭证。虽然这个功能比前两个更难设置,但它的效果绝对物超所值。借助STS,您可以通过双因素身份验证保护用户的访问密钥和秘密ID。用户现在不再向用户提供具有长期权限的访问密钥,而是通过AmazonIAMAPI提交自己的密钥和双因素设备信息来完成验证。接下来,IAMAPI将在接下来的一个小时内为用户提供一组密钥,密钥在到期后会自动作废。IAM还支持过期时间较短的密钥;最短为15分钟,最长(默认)为1小时。虽然这不足以解决所有丢失访问密钥的问题,但它仍然可以显着提高您控制访问密钥泄露的能力,同时确保访问操作在特定时间范围内由双因素设备协调。总结在考虑为您的AWS账户添加安全因素时,这些因素的复杂性往往让人难以抗拒。我希望今天文章中提到的示例可以帮助您降低复杂程度并更轻松地提高AWS云环境的安全性。
