AmazonWebServices(AWS)为其自身的基础设施提供了一套强大的控制,但确保单个服务器的安全是客户的责任,而不是亚马逊,显然需要注意的是这是共同责任模式的一部分。很难理解这种不同的模式。总之,要求亚马逊提供漏洞管理可能不可行,这需要云计算提供商对每台服务器都具有管理员级别或根级别的访问权限,这样做无疑是一场巨大的数据隐私噩梦。还需要指出的是,虽然亚马逊定期对自己的基础设施进行漏洞测试,但这并不意味着用户公司控制的单个IP的安全。用户应该像对待任何其他私有或公共IP地址一样对待AWS中的IP地址,并以同样的方式对待它们,企业漏洞管理策略应该扩展到AWS托管的服务器。在本文中,我将详细讨论组织必须在责任共担模型中实施哪些AWS漏洞扫描。AWS漏洞管理管理AWS漏洞的最佳方法是直接在AWS中安装漏洞扫描设备的虚拟实例——例如Qualys或Tenable的Nessus。虽然AWS通常需要明确许可才能在AWS基础设施中的服务器上运行任何形式的漏洞评估,但在企业用户的实例上安装虚拟设施可以规避这一要求——具体取决于购买的类型。这个虚拟实现可以根据需要经常运行预定义的扫描。如果获得有效的管理员级别(Windows系统)或根级别(Unix系统)访问权限,虚拟扫描设备可以为操作系统、第三方软件甚至系统配置中的漏洞提供补丁。一般来说,虚拟漏洞扫描工具可以扫描EC2和AmazonVPC中的私有和公有IP地址,也可以扫描通过IPSecVPN连接到Amazon的私有IP地址和Internet上的公有IP地址。用户可以从AmazonMarketplace购买,Amazon将通过AmazonMachineImage(AMI)交付给用户。购买后,Amazon将从AWSEC2控制台(可通过AWS管理控制台访问)启动AMI实例。购买虚拟扫描设施通常需要订阅相关的漏洞扫描SaaS。在某些情况下,AMI作为标准SaaS订阅的一部分包含在内;在其他情况下,它是一项附加功能。运行漏洞扫描虚拟设施的成本有两个主要组成部分。一是AMI使用自己设施的成本。其次,AWS收取设施运行费用。费用包括基于实例类型(最大实例类型)的计算资源、使用的存储资源和数据传输。在漏洞扫描后运行AWS漏洞扫描只是保护系统安全的第一步。组织还需要确保他们拥有相关的技术专长来解释和分析扫描结果;虽然漏洞扫描工具是非常有用的工具,但它们也容易出现误报,并且缺乏在企业环境中对漏洞严重级别进行评分的能力。漏洞扫描应该能够在AWS中对服务器部署起到积极的作用,只要用户正确理解这项技术。原文链接:http://www.searchcloudcomputing.com.cn/showcontent_89043.htm
