随着AWS服务日趋稳定的更新与增强机制,或许您会错过一些关于安全增强机制方面的重要更新。在本文中,您将了解到AWS在最近针对安全方面做出的一系列强化,或许有部分内容是您尚未了解的,这些令人振奋的强化机制您将不容错过。
AWS Trusted Advisor会对您的AWS环境进行检测,帮助您节约成本,改善系统性能与可靠性,并有助于您弥补一些安全漏洞。最近,Trusted Advisor面对所有AWS用户推出了四项非常受欢迎的检查项目,而其中有三项检查涉及安全层面:
- Specific Ports Unrestricted这项检查能够提醒您过于宽松地(未经过严格设定控制权限)访问Amazon Elastic Compute Cloud(简称Amazon EC2)实例,从而帮助您避免恶意行为——例如黑客活动、分布式拒绝服务攻击以及数据丢失等。
- IAM Use这项检查旨在检测大家是否遵循官方推荐的实践方式使用IAM来创建和管理AWS用户、群组以及角色,从而安全的控制用户对亚马逊AWS服务和资源的访问权限,而不是使用您的账号凭证。
- MFA这项检查旨在检测当您使用管理员权限密码的时候是否启用了多重身份验证(简称MFA)的机制进入管理员控制台。
对于拥有业务或者企业级客户而言,还有更多额外检查项目供其使用。更多详情您可以在AWS博客或者AWS官方网站上查看。
Amazon S3最近刚刚新增了一项通过客户提供的Key值(SSE-C)对服务端进行加密。当您使用这项功能时,Amazon S3会根据您提供的加密密钥对存储对象进行加密,您可以在使用这种加密密钥方式中获益,因为在您不需要在管理自己加密代码方面投入成本。更多详情请点击这里查看Amazon S3的说明文档。
Amazon Cognito现在同时面向移动端应用与基于Web端应用提供身份验证及同步服务。Amazon Cognito能够为移动端访问AWS带来诸多好处,包括跨设备的用户身份验证、数据同步,未经身份验证的用户支持以及在无需保存凭证的前提下允许应用程序接入AWS。这些不容错过的特性在AWS SDK中已经可以正式使用了,支持Web端开发。包括AWS SDK for JavaScript(浏览器和node.js)、AWS SDK for Java、AWS SDK for .Net以及AWS SDK for PHP。更多详情请点击这里查看Stefan Buliani在AWS移动开发方面发布的博客。
Amazon WorkSpaces添加了多重身份验证(简称MFA)的机制,MFA是一种非常简便的最佳实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,用户登录 AWS 网站时,系统将要求他们输入用户名和密码(第一安全要素 - 用户已知),以及来自其 AWS MFA 设备的身份验证代码(第二安全要素 - 用户已有)。这些多重要素结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。当MFA得到启用时,用户必须在输入用户名与密码之外、另行提供来自MFA设备的一次性密码(简称OTP)。Amazon WorkSpaces中的MFA需要与您本地网络中的RADIUS服务相对接,更多详情请点击这里查看Amazon WorkSpaces的说明文档。
Elastic Transcoder现在在IAM策略中支持指定的个人资源。管理员控制访问不仅仅是操作,还可以对该操作所指向的相关资源加以控制。举例来说,大家可以允许一部分用户执行所有操作,同时限定另一部分用户只能通过特定通道或特定工作(jobs)访问。更多详情请点击这里查看Elastic Transcoder的说明文档。
除此之外,AWS在安全方面的增强机制还有很多,这里只提到了以上几点,更多详情请查看《Amazon CloudSearch中的细化域权限》、《AWS CloudTrail追踪控制台登录事件》以及《AWS IAM中的强化密码管理与凭证报告》等相关博文。
当然,如果您对上述功能或者AWS服务本身仍然存在疑问或不解,请点击这里访问AWS论坛,相信能够找到令人满意的解答。
注册/登录 InfoQ 发表评论