直播预约通道开启!2021腾讯数字生态大会邀您共探产业发展新机遇! 了解详情
写点什么

如何保护你的 AWS 基础设施?这有一份指南!

2019 年 9 月 10 日

如何保护你的AWS基础设施?这有一份指南!

云计算的核心优势,在于帮助企业将原本深度依赖于内部站点的网络服务负载交由云服务供应商打理。但是,公有云的便捷性背后也有代价——这项技术给安全保障带来新挑战。



由于云计算资源的范畴远超企业界线、甚至超越了传统定义,因此我们必须以与时俱进的眼光审视安全问题。在本文中,我们将介绍如何利用现有技术在立足云端交付目录信息服务的同时,继续保持理想的安全效果。


将关键计算基础设施组件迁移至云端,已经成为众多企业的首选解决方案。组织可能会被云服务的诸多优势所吸引,并决定将某些服务迁移至其中。


然而,对现有基础设施内各关键部分做出的任何根本性变更,都需要配合大量预先研究与分析,从而满足利益相关方的需求并确保成功完成过渡。


因此,云迁移的目标不仅应当考虑到业务便捷性,更应该在人力资源与预算水平能承受的范围内尽可能缩小攻击面。


本份指南的目标,在于帮助系统设计人员实现安全保障效果。文中将主要面向目录服务这一具体实现场景,以此为基础,概述所涉及的技术与需要解决的安全风险。



“混合云”是什么?

混合云解决方案,主要面向两大核心目标:以几乎完全等同于内部部署设施的方式集成公有云资源,同时实现与内部部署系统相当的安全级别。当然,负责对接云资源与内部网络的互联网天然具有安全隐患,这也让混合云体系下的安全保障变得更加困难。


拓扑

关于系统配置,最重要的文档之一就是网络拓扑记录。所谓网络拓扑,是指当前网络的布置方式,具体涵盖节点分布、将设备布局描绘为几何形式,同时体现其对应的连接关系等。


在计算基础设施中使用公有云计算资源时,必须在设计初就考虑到站点到站点之间的 VPN 机制。



网络拓扑中的 VPN 组件提供内部部署与非现场计算资源之间的链路。这种隧道链有助于实现网络扩展与安全性等目标。


保护与 AWS 管理相关的访问操作

以集中方式访问管理系统,无疑是对组织之内各用户计算机资源进行管控的最高效、也最安全的必要方式。幸运的是,AWS 提供身份访问管理(IAM)服务,能够很好地满足这方面需求。IAM 能够管理组织 AWS 账户当中所有用户的访问活动与控制策略。


在利用 IAM 管理指向账户的安全共享访问时,系统设计人员拥有两大选项:其一,在 IAM 当中创建用户与组;其二,也可以使用身份联动服务将现有访问管理解决方案扩展至云端。[2]本指南暂时不涉及第二种方法,虽然其同样非常有效,但超出了本文的探讨范畴。



当组织首次创建 AWS 账户时,生成的默认用户账户为“root”账户,其天然具备无法削减的最高权限。


因此,千万不要将 root 账户凭证交付给员工,让他们借此在账户上执行各种琐碎的日常操作。要解决这个问题,组织必须在 AWS IAM 当中设计并实现安全的用户层级架构。


为了建立这样一套层级架构,IAM 提供了两种机制:用户和组。用户的含义非常明确:具有一定访问级别的个人。IAM 中的组,代表着一种将多名用户聚集在一起并应用特定 AWS 安全策略的机制。


组织应当利用标准的用户层级架构确定各个组的对应权限水平,例如根据用户对于系统资源的特定需求将同一类用户整合成一组。



用户组层级


作为 IAM 为用户分配权限的基本原则,经过良好设计的 IAM 用户层级架构能够带来极佳的安全保障效果。IAM 会利用 AWS 账户策略为各用户针对各个组件分配不同的细化权限,同时亦可将各用户按权限级别进行分组。这些策略定义了用户能够访问的操作与信息,并从根本上为组织的安全保障提供基石。


因此,请确保在策略中限定每位用户只能访问其完成日常工作所需要的特定操作与信息。



IAM 未授权访问


保护指向 EC2 实例的网络访问

在确保 AWS 管理控制台的安全后,下一步工作就是保护指向云计算资源的网络访问。值得庆幸的是,AWS 同样提供了一系列开箱即用的工具,可彼此配合,为 EC2 公有云服务上的资源带来理想的安全水平。


每个 EC2 实例都通过弹性网络接口(ENI)获取网络连接能力。ENI 的功能与传统网卡非常相似,但却具有一项重要的增强功能:具有内置的有状态防火墙,且这些防火墙的访问控制列表(ACL)可通过安全组进行定义。


所有安全组都具有针对入站与出站流量的默认全删规则。因此,用户必须创建批准规则才能让流量抵达 EC2 实例。在为 EC2 实例创建安全组时,应遵循传统的防火墙设计方法。例如,应仅允许接收对于计算资源正常运行而言至关重要的流量,同时阻止所有其它不必要的流量。


由于安全组只能基于各个实例进行应用,因此 AWS 提供了 ACL 定义选项,以帮助用户对整个子网的访问方式做出调整。这些防火墙可用于保护 EC2 实例的网络访问,进而对类似子网当中的所有实例加以全面保护。在多层网络防火墙的设计中,大家应利用子网 ACL 补充实例并指定安全组。



AWS 网络 ACL 入站规则


最后,通过网络设计来实现网络安全。在 AWS 中,网络功能通过虚拟私有云(VPC)产品实现。VPC 属于彼此以逻辑形式相互隔离的虚拟网络。它们共同构成一套独立的大型专用网络,可根据需求分解为更小的单一子网。用户可利用 AWS 虚拟网络中的这种分段功能提升 EC2 实例的安全级别。


如果两个 EC2 实例之间不存在合法的通信需求,则应将其放在各自隔离的子网中。如此一来,管控实例间的通信也就降低了攻击者在系统中流窜的可能性。


以安全方式将 EC2 实例与本地网络对接

虚拟专用网络(VPN)连接是最安全的 EC2 计算资源与本地基础设施连接上午方式。为了协助完成这一对接过程,AWS 提供虚拟专用网关(VPG)产品,可引导用户轻松创建流量隧道。


VPG 专门负责将子网与 VPN 的加密隧道连接起来。要使用这项功能,用户需要为虚拟专用网关配置两条 VPN 隧道,从而将公有云与本地网络相连。AWS 要求用户使用此类配置以确保 VPN 以及公有云资源的高可用性。


一旦虚拟专用网关在公有云子网内创建完毕,接下来的任务就是在内部网络上配置 VPN 网关。该网关可由任何具备相关功能的软件或者硬件设备实现,包括多种现代商业级路由器。


例如,你可以选择安装有思科、瞻博或者 PfSense 固件的路由器。设备的选择,主要取决于你现有基础设施的状况以及 IT 预算水平。


总结

将企业 IT 基础设施迁移至云端,能够为提升传输带宽、降低灾难恢复成本以及控制硬件资本支出带来更大的灵活性。正因为具备这些优势,众多企业才积极“上云”。


但是,理想的效果源自良好的实施方案,只有符合这些要求的云计算解决方案才能真正为你带来与预期相符的回报——而这类方案,无疑应当满足本文中提出的所有要素。


与信息安全领域的其它工作一样,对计算机系统的保护极具挑战性,系统管理员必须不断寻求改进之道,才能有效抵御层出不穷的恶意威胁。


原文链接:


How to Secure your AWS Infrastructure


2019 年 9 月 10 日 14:442478

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

前端项目上传图片,压缩,拍照图片旋转解决方案

Vue js canvas axios

凭借师兄甩给我的通关秘籍,顺利拿到字节Offer

学Java关注我

Java 编程 架构 面试

阿里P7大佬!王者级讲解ConcurrentHashMap源码,码农:太透彻了

牛哄哄的java大师

Java ConcurrentHashMap

云原生下的灰度体系建设

阿里巴巴云原生

容器 运维 云原生 k8s 监控

重磅!数字人民币接入支付宝!

CECBC区块链专委会

数字人民币

工业制造业亟需数字化转型,区块链可以发挥哪些价值?

CECBC区块链专委会

区块链

FIL挖矿的GAS费怎么计算?FIL质押规则是什么?

投资矿机v:IPFS1234

FIL质押规则是什么

5月20日,GaussDB将有大事发生

华为云开发者社区

数据库 云原生 华为云 GaussDB TechWave

云原生的进一步具象化

阿里巴巴云原生

大数据 容器 云原生 监控 中间件

异步编程的几种方式,你知道几种?

xcbeyond

Java 异步编程 5月日更

消除数据孤岛,华为云DRS让一汽红旗ERP系统数据活起来

华为云开发者社区

数据库 GaussDB 数据孤岛 华为云DRS ERP

王兴的失败观

池建强

成功 王兴 创业失败启示录

FIL能涨到多少钱?FIL能超越以太坊吗?

投资矿机v:IPFS1234

FIL能涨到多少钱 FIL能超越以太坊吗

300条数据变更引发的血案-记某十亿级核心mongodb集群部分请求不可用故障踩坑记

杨亚洲(专注mongodb及高性能中间件)

数据库 mongodb 架构 MySQ 分布式数据库mongodb

被解救的代码 - 代码即服务时代来了!

Serverless Devs

阿里云 Serverless 云原生

从SPACE矩阵,看5G究竟是否在走向成功?

脑极体

Apache Hue介绍

大数据技术指南

hue 5月日更

消息队列的两种模式

五分钟学大数据

kafka 5月日更

GitHub霸屏文章!清华教授手写保姆级笔记Scala - 类,网友:太香了

牛哄哄的java大师

Java scala

来了!这份阿里P7大佬梳理的Java注解和反射精髓笔记,信息量过大

飞飞JAva

Java

高德 Serverless 平台建设及实践

Serverless Devs

阿里云 Serverless 云原生

太赞了!美团大牛强推的Spring事务笔记,上线仅1天就获赞上万

飞飞JAva

Java 事务spring

太好用了!阿里大佬离职带出的“高并发系统设计”学习笔记,成功帮我斩获3个大厂Offer

神奇小汤圆

Java 程序员 架构 计算机

差点扛不住了,阿里巴巴支付宝面试 5 轮暴击,终获 Offer

Java架构师迁哥

能让GitHub低头!这份阿里10W字内部Java字面试手册到底有多强?

马小晴

Java 编程 程序员 面试

filecoin的共识机制是什么?filecoin怎么注册挖矿?

v:IPFS456

Filecoin IPFS怎么挖矿 IPFS挖矿最新消息 filecoin的共识机制是什么 filecoin怎么注册挖矿

一千座5G工厂的花苞

脑极体

如何下载和保存YouTube上的中英双语字幕和视频

flyfk

字幕

☕【Java技术之旅】如何彻底认识AQS的原理(上篇)

李浩宇/Alex

Java AQS JVM JUC 5月日更

Nginx如何配置Http、Https、WS、WSS?

冰河

nginx 负载均衡 反向代理 https HTTP

云厂商下一块必争之地就是它了!

Serverless Devs

Serverless 云原生

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

如何保护你的AWS基础设施?这有一份指南!-InfoQ