Xem xét các vấn đề bảo mật AWS - những con dao

Tất cả các dịch vụ web đều có vấn đề bảo mật, bao gồm cả AWS. Máy tính an toàn nhất trên thế giới không có đầu vào nào. Tất nhiên, máy tính siêu an toàn này cũng không có mục đích thực tế vì các máy tính không có đầu vào là vô dụng.

Máy tính cá nhân sử dụng, một máy không có kết nối với bất kỳ máy tính nào khác, là loại bảo mật an toàn tiếp theo. Một máy tính có kết nối chỉ tồn tại bên trong một nhóm làm việc được đưa ra tiếp theo, vân vân. Máy tính an toàn ít nhất là máy tính có kết nối bên ngoài. Để sử dụng AWS, bạn phải đảm bảo an toàn cho máy tính của mình một cách chính. Các nhà phát triển có thể nhanh chóng lái xe điên để giữ cho những máy tính kết nối này an toàn, nhưng đó là một phần của bản mô tả công việc.

Mặc dù những nỗ lực tốt nhất của bất kỳ nhà cung cấp nào sẽ chỉ cung cấp mức an ninh vừa phải, nhà cung cấp nên duy trì quan điểm chủ động về an ninh. Mặc dù Amazon đã dành rất nhiều thời gian để theo dõi và sửa các vấn đề bảo mật đã biết với các API của mình nhưng nó cũng nhận ra rằng một số lỗ hổng có thể sẽ thoát khỏi thông báo, đó là nơi bạn bắt đầu chơi. Amazon có chính sách tuyên bố khuyến khích đóng góp của bạn vào bất kỳ lỗ hổng nào bạn tìm thấy.

Hãy chắc chắn đọc quá trình đánh giá của Amazon. Quá trình này để lại cho Amazon để vượt qua lỗi cho một vấn đề lên bên thứ ba, hoặc không làm gì cả. Mặc dù Amazon là chủ động, bạn cần phải nhận ra rằng bạn vẫn có thể tìm thấy lỗ hổng mà Amazon không có gì để sửa chữa. Kết quả là, bảo mật cho AWS sẽ luôn luôn chứng minh là không hoàn hảo, có nghĩa là bạn cũng cần phải duy trì một lập trường bảo mật mạnh mẽ, chủ động và không phụ thuộc vào Amazon để làm tất cả.

Điều quan trọng nhất bạn có thể làm khi làm việc với một nhà cung cấp dịch vụ đám mây như Amazon là tiếp tục theo dõi hệ thống của bạn vì bất kỳ dấu hiệu nào của hoạt động bất ngờ.

Nhận chuyên gia về an ninh

Khi bạn làm việc thông qua kế hoạch sử dụng AWS để hỗ trợ nhu cầu CNTT của tổ chức bạn, bạn cần phải đọc nhiều hơn cả quan điểm của Amazon về các vấn đề như bảo mật. Mong Amazon cho bạn biết về mọi vấn đề bảo mật tiềm ẩn không phải là không hợp lý - chỉ Amazon yêu cầu bằng chứng trước khi giải quyết vấn đề. Để có được câu chuyện bảo mật đầy đủ, bạn phải dựa vào các chuyên gia bên thứ ba, có nghĩa là bạn phải dành thời gian để tìm thông tin này trực tuyến. (Một lượt truy cập vào blog này sẽ giúp đỡ trong vấn đề này vì các bản cập nhật cho các vấn đề bảo mật được thảo luận).

Một câu chuyện gần đây giúp ta minh họa rằng Amazon ít hơn là sắp tới về mọi vấn đề an ninh.Trong trường hợp này, các hacker mũ trắng (kiểm tra an ninh) đã đột nhập vào trường hợp EC2 của bên thứ ba từ một trường hợp khác. Sau khi truy cập vào ví dụ bên thứ ba, các nhà nghiên cứu đã có thể ăn cắp các khóa bảo mật cho trường hợp đó. Amazon có thể không cho bạn biết về loại nghiên cứu này, vì vậy bạn cần tự khám phá nó.

Vấn đề với nhiều câu chuyện này là báo chí thương mại có khuynh hướng làm họ giật mình, làm cho họ xuất hiện tồi tệ hơn họ thực sự. Bạn cần phải cân bằng những gì bạn biết về thiết lập tổ chức của bạn, những gì Amazon đã thực sự báo cáo về các vấn đề bảo mật đã biết và những gì báo chí thương mại đã xuất bản về các vấn đề bảo mật đáng ngờ khi xác định các nguy cơ bảo mật khi sử dụng AWS làm giải pháp đám mây của bạn. Là một phần của quy trình lập kế hoạch của bạn, bạn cũng cần xem xét những gì các nhà cung cấp đám mây khác cung cấp trong cách thức bảo mật. Điểm mấu chốt là sử dụng đám mây sẽ không bao giờ được an toàn như giữ cho CNTT của bạn trong nhà bởi vì nhiều kết nối luôn luôn đánh vần nhiều cơ hội hơn cho ai đó để hack thiết lập của bạn.

Thực tế của bảo mật Amazon

Amazon sẵn sàng chấp nhận những gì về an ninh và những gì các nhà nghiên cứu đang cố thuyết phục bạn là tình trạng an toàn thực sự của AWS là hai quan điểm rất quan trọng đối với quy trình lập kế hoạch của bạn. Bạn cũng cần phải xem xét những trải nghiệm thế giới thực như là một phần của sự pha trộn. Các nhà nghiên cứu bảo mật tại Học viện Bách khoa Worcester tạo ra một điều kiện AWS có thể thất bại. Tuy nhiên, nó đã không thực sự thất bại theo cách này trong thế giới thực. Cách AWS

có thực sự thất bại là với các giải pháp sao lưu của nó. Câu chuyện kể về một công ty không còn hoạt động. Nó đã thất bại khi một ai đó làm hại đến trường hợp EC2 của nó. Đây không phải là một thử nghiệm ngẫu nhiên; nó thực sự xảy ra, và tin tặc tham gia đã thiệt hại thực sự. Vì vậy, đây là một loại câu chuyện để cho sự tin tưởng lớn hơn khi bạn lên kế hoạch sử dụng AWS của mình.

Câu chuyện khác liên quan đến cách dữ liệu bất ngờ trên AWS đã cung cấp thông tin của bên thứ ba. Trong trường hợp này, dữ liệu bao gồm thông tin cá nhân thu thập được từ các báo cáo về thương tích của cảnh sát, các bài kiểm tra về ma túy, các ghi chú thăm khám chi tiết, và số an sinh xã hội. Với những ảnh hưởng của sự vi phạm dữ liệu này, các tổ chức có liên quan có thể phải chịu trách nhiệm về tội hình sự và hình sự. Khi làm việc với AWS, bạn phải kiềm chế sự cần thiết phải tiết kiệm tiền ngay bây giờ với sự cần thiết phải chi nhiều tiền hơn sau đó bảo vệ mình chống lại vụ kiện.

Áp dụng các phương pháp hay nhất về bảo mật của AWS

Amazon cung cấp cho bạn một loạt các phương pháp hay nhất về bảo mật và bạn nên đọc quyển sách trắng liên quan như một phần của quá trình lập kế hoạch bảo mật. Thông tin bạn nhận được sẽ giúp bạn hiểu làm thế nào để cấu hình thiết lập của bạn để tối đa hóa bảo mật từ quan điểm của Amazon, nhưng ngay cả một cấu hình tuyệt vời có thể không đủ để bảo vệ dữ liệu của bạn. Vâng, bạn nên đảm bảo rằng thiết lập của mình tuân theo thực tiễn tốt nhất của Amazon, nhưng bạn cũng cần phải có kế hoạch cho sự vi phạm dữ liệu không tránh khỏi.Câu này có thể có vẻ tiêu cực, nhưng khi nói đến vấn đề bảo mật, bạn phải luôn luôn giả sử kịch bản xấu nhất và chuẩn bị các chiến lược để xử lý nó.

Sử dụng Trình mô phỏng Chính sách IAM để kiểm tra quyền truy cập

Có rất nhiều công cụ bạn có thể sử dụng làm nhà phát triển để giảm nguy cơ khi làm việc với AWS. (Truy cập hầu hết các công cụ này sẽ yêu cầu bạn đăng nhập vào tài khoản AWS của bạn) Tuy nhiên, một trong những công cụ thú vị mà bạn cần biết bây giờ là IAM Policy Simulator, có thể cho bạn biết về các quyền mà người dùng, hoặc vai trò có đối với tài nguyên của AWS. Việc biết các quyền này có thể giúp bạn tạo ra các ứng dụng tốt hơn cũng như khóa bảo mật để người dùng có thể dựa vào các ứng dụng của bạn để làm việc, nhưng trong một môi trường an toàn.

Sử dụng Trình mô phỏng chính sách IAM để khám phá cách AWS bảo mật hoạt động.

Để sử dụng trình mô phỏng này, chọn người dùng, nhóm hoặc vai trò trong ngăn bên trái. Bạn có thể chọn một hoặc nhiều chính sách cho người dùng, nhóm hoặc vai trò đó và thậm chí xem Mã Mã đối tượng JavaScript (JSON) cho chính sách đó. Ví dụ: chính sách AdministratorAccess sẽ như sau:

{

"Phiên bản": "2012-10-17",

"Báo cáo": [

{

"Hiệu ứng": "Cho phép "" Tài nguyên ":" * "

}

}

Về cơ bản, chính sách này quy định rằng người dùng được phép thực hiện bất kỳ hành động nào sử dụng bất kỳ tài nguyên nào. Trường Hiệu ứng có thể chứa Cho phép hoặc Từ chối cho phép hoặc từ chối một hành động. Trường Tác vụ chứa dấu hoa thị (*) để hiển thị tất cả các hành động đi vào hoạt động. Cuối cùng, trường Tài nguyên chứa * để cho thấy rằng chính sách này ảnh hưởng đến tất cả các tài nguyên AWS.

Để chạy mô phỏng đối với người dùng, nhóm, vai trò hoặc chính sách cụ thể, bạn cần chọn một dịch vụ, chẳng hạn như Hệ thống tệp Elastic của Amazon. Sau đó, bạn có thể chọn hành động bạn muốn kiểm tra hoặc nhấp vào Chọn Tất cả để chọn tất cả các hành động liên quan đến dịch vụ. Nhấp vào Chạy Mô phỏng để hoàn tất kiểm tra.

Quản trị viên tự nhiên có quyền truy cập đầy đủ vào mọi tài nguyên.