Isi kandungan:
- Mendapatkan pandangan Amazon keselamatan
- Mendapat pandangan pakar keselamatan
- Kenyataan keselamatan Amazon
- Menggunakan amalan terbaik keselamatan AWS
- Menggunakan Simulator Dasar IAM untuk memeriksa akses
Video: Microsoft on Trust, Privacy and the GDPR 2024
Semua perkhidmatan web mempunyai masalah keselamatan, termasuk AWS. Komputer yang paling selamat di dunia tidak mempunyai sebarang input. Sudah tentu, komputer yang sangat selamat ini juga tidak mempunyai tujuan dunia sebenar kerana komputer tanpa input tidak berguna.
Komputer menggunakan individu, tanpa sambungan ke komputer lain, adalah jenis paling selamat yang seterusnya. Komputer yang sambungannya hanya ada dalam kumpulan kerja yang akan datang, dan sebagainya. Komputer yang paling kurang selamat adalah yang mempunyai sambungan luar. Untuk menggunakan AWS, anda mesti mengambil risiko keselamatan komputer anda dengan cara yang utama. Pemaju boleh dengan cepat mendorong diri mereka sendiri yang gila untuk memastikan komputer yang saling berkaitan ini selamat, tetapi itu sebahagian daripada perihal kerja.
Mendapatkan pandangan Amazon keselamatan
Memandangkan usaha terbaik di pihak mana-mana vendor kemungkinan akan menyediakan hanya sekuriti yang sederhana, vendor harus mengekalkan sikap proaktif pada keselamatan. Walaupun Amazon menghabiskan banyak masa untuk menjejaki dan memperbaiki masalah keselamatan yang diketahui dengan APInya, ia juga menyedari bahawa beberapa kelemahan mungkin dapat melarikan diri dari notis, di mana anda bermain. Amazon mempunyai dasar yang menggalakkan input anda mengenai sebarang kelemahan yang anda dapati.
Pastikan anda membaca proses penilaian Amazon. Proses meninggalkan ruang bagi Amazon untuk menyalahkan masalah untuk pihak ketiga, atau tidak melakukan apa-apa. Walaupun Amazon proaktif, anda perlu menyedari bahawa anda masih boleh menemui kelemahan yang tidak dilakukan oleh Amazon. Akibatnya, keselamatan untuk AWS akan sentiasa membuktikan kurang sempurna, yang bermaksud anda juga perlu mengekalkan kedudukan keselamatan yang proaktif dan tidak bergantung kepada Amazon untuk melakukan semuanya.
Perkara yang paling penting yang boleh anda lakukan apabila bekerja dengan penjual perkhidmatan awan seperti Amazon adalah untuk terus memantau sistem anda sendiri untuk sebarang tanda aktiviti yang tidak dijangka.
Mendapat pandangan pakar keselamatan
Semasa anda bekerja melalui pelan anda untuk menggunakan AWS untuk menyokong keperluan IT organisasi anda, anda perlu membaca lebih banyak daripada pandangan Amazon isu-isu seperti keselamatan. Mengharapkan Amazon untuk memberitahu anda mengenai setiap isu keselamatan yang berpotensi tidak munasabah - hanya Amazon yang memerlukan bukti sebelum ia menangani masalah. Untuk mendapatkan kisah keselamatan penuh, anda harus bergantung kepada pakar pihak ketiga, yang bermaksud bahawa anda perlu meluangkan masa mencari maklumat ini secara dalam talian. (Lawatan ke blog ini akan membantu dalam hal ini kerana kemas kini untuk isu keselamatan dibincangkan).
Kisah baru-baru ini berfungsi untuk menggambarkan bahawa Amazon kurang daripada akan datang mengenai setiap isu keselamatan.Dalam kes ini, penggodam topi putih (penguji keselamatan) telah berjaya menggodam contoh EC2 pihak ketiga dari contoh lain. Selepas mendapat akses kepada contoh pihak ketiga, para penyelidik dapat mencuri kunci keselamatan untuk contoh itu. Amazon tidak mungkin memberitahu anda tentang penyelidikan semacam ini, jadi anda perlu mengetahui sendiri.
Masalah dengan banyak kisah ini adalah bahawa akhbar perdagangan cenderung sensasi mereka, menjadikannya kelihatan lebih buruk daripada yang sebenarnya. Anda perlu mengimbangi apa yang anda tahu mengenai persediaan organisasi anda, apa yang sebenarnya telah dilaporkan oleh Amazon mengenai isu keselamatan yang diketahui, dan apa yang diterbitkan oleh akhbar perdagangan tentang isu-isu keselamatan yang disyaki ketika menentukan risiko keselamatan menggunakan AWS sebagai penyelesaian awan anda. Sebagai sebahagian daripada proses perancangan anda, anda juga perlu mempertimbangkan vendor awan lain yang menyediakan keselamatan. Intinya adalah dengan menggunakan awan tidak akan menjadi selamat seperti menjaga IT anda di rumah kerana lebih banyak sambungan selalu mengeja lebih banyak peluang bagi seseorang untuk menggodam persediaan anda.
Kenyataan keselamatan Amazon
Apa yang Amazon bersedia untuk mengakui apabila ia berkaitan dengan keselamatan dan apa yang penyelidik cuba meyakinkan anda adalah keadaan keselamatan sebenar untuk AWS adalah dua pandangan yang penting untuk proses perancangan anda. Anda juga perlu mempertimbangkan pengalaman dunia sebenar sebagai sebahagian daripada campuran. Para penyelidik keselamatan di Worcester Polytechnic Institute mencipta keadaan di mana AWS dapat gagal. Walau bagaimanapun, ia tidak benar-benar gagal dalam cara ini di dunia nyata. Cara AWS telah benar-benar gagal adalah dengan penyelesaian sandarannya.
Kisah ini menceritakan sebuah syarikat yang tidak lagi beroperasi. Ia gagal apabila seseorang berkompromi dengan contoh EC2nya. Ini bukan percubaan yang dibuat; ia sebenarnya berlaku, dan penggodam yang terlibat melakukan kerosakan sebenar. Oleh itu inilah kisah untuk memberi kepercayaan yang lebih besar apabila anda merancang penggunaan AWS anda.
Kisah lain menceritakan betapa dump data yang tidak dijangka pada AWS dibuat maklumat pihak ketiga yang tersedia. Dalam kes ini, data termasuk maklumat peribadi yang diperoleh daripada laporan kecederaan polis, ujian dadah, nota lawatan doktor terperinci, dan nombor keselamatan sosial. Memandangkan implikasi pelanggaran data ini, pertubuhan-pertubuhan yang terlibat boleh dikenakan caj jenayah dan sivil. Apabila bekerja dengan AWS, anda harus sabar untuk keperluan untuk menjimatkan wang sekarang dengan keperluan untuk membelanjakan lebih banyak wang kemudian membela diri terhadap tuntutan mahkamah.
Menggunakan amalan terbaik keselamatan AWS
Amazon memberikan anda satu set amalan terbaik keselamatan, dan ini adalah idea yang baik untuk anda membaca kertas putih bersekutu sebagai sebahagian daripada proses perancangan keselamatan anda. Maklumat yang anda dapat akan membantu anda memahami cara mengkonfigurasi persediaan anda untuk memaksimumkan keselamatan dari perspektif Amazon, tetapi konfigurasi yang hebat mungkin tidak cukup untuk melindungi data anda. Ya, anda harus memastikan bahawa persediaan anda mengikuti amalan terbaik Amazon, tetapi anda juga perlu membuat rencana untuk pelanggaran data yang tidak dapat dielakkan.Pernyataan ini mungkin kelihatan negatif, tetapi apabila ia berkaitan dengan keselamatan, anda mesti selalu menganggap senario terburuk dan menyediakan strategi untuk mengendalikannya.
Menggunakan Simulator Dasar IAM untuk memeriksa akses
Terdapat banyak alat yang boleh anda gunakan sebagai pemaju untuk mengurangkan risiko anda ketika bekerja dengan AWS. (Mengakses kebanyakan alat ini memerlukan anda masuk ke akaun AWS anda.) Walau bagaimanapun, salah satu alat yang lebih menarik yang perlu anda ketahui sekarang ialah Simulator Dasar IAM, yang dapat memberi tahu anda tentang hak pengguna, kumpulan, atau berperanan mempunyai sumber AWS. Mengetahui hak-hak ini boleh membantu anda membuat aplikasi yang lebih baik serta mengunci keselamatan supaya pengguna boleh bergantung kepada aplikasi anda untuk berfungsi, tetapi dalam persekitaran yang selamat.
Untuk menggunakan simulator ini, pilih pengguna, kumpulan, atau peranan dalam anak tetingkap kiri. Anda boleh memilih satu atau lebih dasar untuk pengguna, kumpulan, atau peranan itu dan juga melihat kod Penjelasan Objek JavaScript (JSON) untuk dasar itu. Sebagai contoh, dasar PentadbirAksesif kelihatan seperti ini:
{
"Versi": "2012-10-17",
"Penyataan": [
{
"Kesan": "Benarkan "999" "Tindakan": "*",
"Sumber": "*"
}
]
}
apa-apa tindakan menggunakan apa-apa sumber. Medan Kesan boleh mengandungi Allow or Deny untuk membenarkan atau menolak tindakan. Bidang Tindakan mengandungi asterisk (*) untuk menunjukkan bahawa semua tindakan akan dimainkan. Akhirnya, medan sumber mengandungi * untuk menunjukkan bahawa dasar ini memberi kesan kepada setiap sumber AWS.
Untuk menjalankan simulasi terhadap pengguna, kumpulan, peranan, atau dasar tertentu, anda perlu memilih perkhidmatan, seperti Sistem Fail Elastik Amazon. Anda kemudian boleh memilih tindakan yang ingin anda semak atau klik Pilih Semua untuk memilih semua tindakan yang berkaitan dengan perkhidmatan tersebut. Klik Run Simulation untuk menyelesaikan ujian.
Administrator secara semula jadi mempunyai akses penuh kepada setiap sumber.
