Stephen Coty：初創企業雲安全使用者指南

【編者按】作為雲服務解決方案，Alert Logic集成了先進的全天候監控安全工具來抵禦威脅和解決合規性，同時還是AWS先進技術合作夥伴和安全供應商。 本文來自于Alert Logic的首席安全專員Stephen Coty，他在文中分享了雲安全最佳實踐。 以下為Stephen Coty分享的譯文：

許多年前，我懷揣巨大的夢想和很少的資金創建了一個安全和發展公司。 然而，在我開始建設必要的基礎設施和開發平臺的時候，我很快意識到了成本問題。 當然，這發生在21世紀初期，當時並沒有雲計算基礎設施，所以要想有基礎設施，就必須自己建立，緊接著還有人力資源、運營、財務、銷售、和行銷，所以最後我搭建了公司需要的基礎設施以及維護基礎設施的團隊。

作為一個初創企業，在搭建雲計算的時候需要有基本工作清單。 當今的雲帶有各種自助設施和服務，使得很多工變得更容易。 但即便如此，安全往往是事後才考慮到的。 然而，重要的是要記住雲計算是商業網絡的拓展，不論是否知道它的存在。 安全性漏洞不僅危及使用者的內部網路，也會把客戶的資料置於危險之中。

雖然公共雲帶來巨大的經濟利益，但也像任何其他基礎設施一樣有共用威脅。 多年來，攻擊頻率和多種惡意軟體的使用都是呈上升趨勢。 隨著雲事件相關漏洞掃描、web應用程式、以及暴力攻擊的增加，使用者關鍵需要理解影響雲的威脅類型，這樣就可以建立一個合適的深度安全性原則來保護環境免受惡意攻擊。

在公共雲中，保證安全的關鍵在於理解使用者和服務供應商之間共用的安全模型，如公有雲服務供應商亞馬遜AWS。 沒有這一點，可以假設當使用者負責特定安全功能時，服務供應商正在保護使用者。

例如，服務供應商負責全部的基礎服務，如計算能力、存儲、資料庫和網路服務。 在網路層，服務供應商負責網路分段、周邊服務、一些DDOS和欺騙。

但是，你——最終使用者是要負責網路威脅檢測，報告和任何事件回應。 在主機層面，使用者負責訪問管理、補丁管理、配置硬化、安全監視、以及日誌分析。 應用程式元件百分之百是使用者的責任。 下圖展示了使用者和服務供應商之間的職責分類：

瞭解使用者和雲供應商各自的角色不僅能説明使用者做出最好的關於雲基礎設施的決定，還將確保一旦實施網路安全性原則將高效且低成本從雲威脅中保護你的資料。

保護代碼百分百是使用者的責任。 首先，確保安全是軟體發展週期(SDLC)的一部分。 為此，列出清單如下：

•  驗證代碼是否持續更新以及任何外掛程式是否有最新補丁；

•  將延時添加到代碼來防止成為僵屍網路的受害者；

•  使用加密；

•  測試所有的庫和協力廠商依賴項；

•  關注正在使用的產品的漏洞消息；

•  最後，做出任何更改後不斷掃描代碼。

首先，確定所有的資產有哪些。 一旦確定清單，明確角色和職責所需訪問的資產。 如果可能集中認證，並使用一種優先順序模式來實現身份驗證。 AWS為身份驗證管理提供了許多選項。

再次，考慮開發一個重要程式清單：

•  搞清楚所有的資產清單；

•  盡可能確定標準化計畫；

•  研究可能會有影響的漏洞，分類基於脆弱性和可能性的風險；

•  如果可能的話，在補丁發佈之進行測試；

•  建立一個定期修補計畫，包括需要手動更新的協力廠商產品。

日誌現在有益於遠超合規性；已經成為一個強大的安全工具。 使用者可以使用日誌資料來監控惡意行為和事故調查。 使日誌成為一個有效的安全工具的技巧是需要全天候監控異常行為。

AWS CloudTrail在這方面有一個開創性提議。 使用CloudTrail，使用者的安全供應商可以從亞馬遜的管理環境中監控雲實例訪問。 每個人都傾向于從網上關注和監控保護他們的環境，他們很少想從後端監控活動。 這就是CloudTrail的創新並為客戶提供一個與AWS API交互管理的透明度水準。

使用者需要把雲當作商業網路。 實施涵蓋了所有職責的深度防護策略。 執行IP表、web應用防火牆、殺毒軟體、入侵偵測、加密和日誌管理。 探索安全選項，並確保對業務有正確的解決方案。

使用者必須對自己環境中可能有的漏洞保持瞭解，這裡列出一些世界頂尖的研究網站。 這將説明使用者獲得漏洞、開發、和傳播性攻擊最新的消息：

•  HTTP://www.securityfocus.com

•  HTTP://www.exploit-db.com

•  HTTP://seclists.org/fulldisclosure/

•  HTTP://www.securitybloggersnetwork.com/

•  HTTP://www.sans.org/

•  HTTP://www.nist.gov/

最後，使用者需要瞭解與其分擔安全責任的安全供應商和安全產品。 確保安全性原則是有效的並能通過不斷測試有效實施。

本文作者介紹：Stephen Coty，Alert Logic的首席安全專員和ISSA、Infragard和HTCIA的成員。

原文連結：HTTPs://medium.com/aws-activate-startup-blog/a-users-guide-to-cloud-security-for-startups-3ec0c83df9f4

如您需要瞭解AWS最新資訊或是技術文檔可訪問AWS中文技術社區；如您有更多的疑問請在AWS技術論壇提出，稍後會有專家進行答疑。

訂閱「AWS中文技術社區」微信公眾號，即時掌握AWS技術及產品消息！

AWS中文技術社區為廣大開發者提供了一個Amazon Web Service技術交流平臺，推送AWS最新資訊、技術視頻、技術文檔、精彩技術博文等相關精彩內容，更有AWS社區專家與您直接溝通交流！ 快加入AWS中文技術社區，更快更好的瞭解AWS雲計算技術。

（譯者/王揚帆 責編/王玉平）