掌握这五点,轻松提升 Amazon Web Services 云服务器安全性能

发布于: Nov 30, 2022

【概要】如何提升 Amazon Web Services 云服务器安全度,是不少使用者格外关心的问题,今天我们就从以下五个方面来谈一谈如何提升 Amazon Web Services 账户安全性能。

如何提升 Amazon Web Services 云服务器安全度,是不少使用者格外关心的问题,今天我们就从以下五个方面来谈一谈如何提升 Amazon Web Services 账户安全性能。

 

1. 集中管理 CloudTrail 日志

日志记录与监控,永远是强大安全计划中的重要组成部分。只有及时调查环境中的意外变更并配合活动分析,才能真正在数据访问层面实现安全状况监控与迭代升级。Amazon Web Services 建议大家将日志(特别是 Amazon CloudTrail 日志)写入仅用于日志记录的 Amazon Web Services 账户(日志归档)S3 存储桶内。存储桶还应使用正确权限,防止日志被删除并对静态数据进行加密。日志集中整理完成后,您可以进一步与集成 SIEM 解决方案或者通过 Amazon Web Services 服务进行日志内容分析。点击此处,了解如何使用 Amazon Web Services 服务实现 Amazon CloudTrail 日志可视化。将 CloudTrail 日志集中化之后,您还可以使用同一 Log Archive 帐户来集中来自其他来源(如 CloudWatch Logs 和 Amazon Web Services 负载均衡器)的日志。

 

2. 验证 IAM 角色

当您使用 Amazon Web Services 账户进行迭代和构建功能时,您最终可能会创建出多个 IAM 角色,其中某些角色将随时间推移而不再必要。这时,可以使用 Amazon IAM Access Analyzer 查看对内部 Amazon Web Services 资源的访问活动,并确定您在 Amazon Web Services 账户之外共享访问的位置。还可以定期使用 Security Hub 或 Prowler 等开源产品定期重新评估 Amazon IAM 角色和权限,从而获得必要的可见性,用以验证当前治理、风险与合规性(GRC)策略的合规性。如果您已经完成了这些步骤,并创建出多个角色,则可以搜索未经使用的 IAM 角色并将其删除。

 

3. 设计发现结果的自动响应(不只是 GuardDuty)

Amazon Security Hub、Amazon GuardDuty 以及 Amazon Identity and Access Management Access Analyzer 都属于托管型 Amazon Web Services 服务,可为您的 Amazon Web Services 账户当中提供具备可行的发现结果。您可以轻松启用相应功能,并实现跨多账户集成。当然,启用只是第一步,接下来大家还需要根据发现结果采取相应行动,具体操作由您的事件响应策略决定。对于每个发现,请确保您已确定所需采取的应对措施。

我们当然可以通知相关人员执行响应操作,但随着大家在 Amazon Web Services 服务应用方面的经验日渐丰富,建议您尽可能自动响应由 Security Hub 或者 GuardDuty 生成的发现结果。大家可以点击此处,了解如何根据 Security Hub 发现结果自动执行响应与修复操作。

 

4. 密钥轮换

Security Hub 提供的一项重要功能,就是通过 CIS Benchmarks 查看您 Amazon Web Services 账户的当前合规状况。其间,该工具会查找密钥使用周期超过 90 天的 IAM 用户。如果您实际需要的是访问密钥而非权限角色,则应定期执行密钥轮换。您可以点击此处,了解管理 Amazon Web Services 访问密钥的最佳实践。如果您的用户通过联动验证访问 Amazon Web Services,则无需为这部分用户发放 Amazon Web Services 访问密钥。用户将向 IdP 进行身份验证,并在目标 Amazon Web Services 账户中获取相应的 IAM 角色。如此一来,您不需要不长期凭证,并且您的用户将具有与 IAM 角色关联的短期凭证。

 

5 安全嵌入到开发周期

之前的九项要点,基本都集中在实际实施的技术配置层面。最后一条则与“参与开发周期”的人员有关,也可以概括为“提高组织内的安全文化”。人员应立足所在的各个组织部门,帮助企业更安全地启动解决方案。只要安全意识深入人心,我们就可以根据特定场景引导并培训员工,帮助他们了解自己需要采取哪些举措以提高所构建产品的安全性水平。从本质角度讲,安全是每一个人的工作——而非仅仅由那些职位中包括“安全”二字的员工负责。

每个组织内安全专职人员的主要工作是通过改变流程引导员工以最简单、最可行的方式保障安全。例如,每个团队不应建立只属于自己的独立身份联动或日志记录解决方案。只有协同配合,企业的整体安全态势才会更上一层楼,并在云时代下继续保持可靠的保障能力。安全工作的目的在于降低安全参与门槛,帮助同事们与安全团队顺畅对话,及时为普通员工提供引导与支持。关于建立卓越安全团队的更多详细信息,请参阅培养安全领导力。

这就是我们今天要分享的云安全保障要求,希望这些能够在实践当中为大家提供支持,在安全的基础之上打造出更灵活的创造空间。

 

相关文章

如何快速上手One Zone存储类