在接下來的幾個星期,我們將會探討如何防護AWS(亞馬遜網路服務)環境的最佳做法。在我們深入到防護你的虛擬機器、應用程式和資料之前,讓我們從最頂端開始。
作為AWS共享責任安全模型的一部分,AWS消費者防護好自己的服務可以發揮重要的作用。早在二〇一二年十一月的AWS re:invent大會上,Max Ramsay就將AWS與CSIS廿個關鍵安全控制對應,作為進一步了解AWS和客戶端(你)之間共同責任的框架。關鍵控制的第十二項是控制管理權限使用,負起保護責任是身為AWS用戶的你所必須加以正視的。在接下來的幾個星期,我們會聚焦在你所需要負起責任的關鍵控制。
在虛擬化或雲端世界,管理權限就好比是作業系統上的管理者帳號。不過,現在你有更多組強大的身份需要管理,好存取AWS控制台和API。
收起你的AWS管理者(root)帳號,利用IAM(身份存取管理)來啟動存取權限
當你開始使用AWS,你會獲得一組帳號和密碼。這個帳號擁有存取你所有AWS資源和帳務資訊的權限。不要跟任何人分享!我知道有某個經理跟他的團隊共享帳號,他們很快就發現可以用經理的信用卡在Amazon.com上買東西!
確認該帳號安全後,接著進到控制台上的IAM 選項,開始定義群組和使用者。
一般情況下,你會需要兩種類型的使用者:
- 需要帳號密碼存取AWS控制台的人
- 使用存取密鑰帳號(Access Key Id)和秘密存取金鑰(Secret Access Key)來存取API的程式
在這兩種情況中,你會想透過群組來分配所需的最低權限給使用者。AWS會幫你提供一些策略範本。例如,你可能會想提供操作人員「Power User Access」權限,而給開發人員「EC2 Full Access」權限。
當你建立使用者後,你會得到一個特殊網址,稱為IAM使用者登錄網址。將這網址以及你所建立的帳號密碼提供給使用者。他們不能使用主要登錄網址。
最低權限原則在建立用來讓程式存取AWS API的帳號時也同樣重要。如果你正開發一個應用程式將資料從你的資料中心送到S3,你可能會用策略產生工具在客製策略中允許S3「Put」動作。這樣如果金鑰被偷,所產生的傷害也有限。
建立特定帳號可以幫你控管存取AWS的人和程式的權限,並且讓你在需要時可以獨立撤銷。比方說,當你提供第三方程式或服務存取金鑰時,如果有適當命名的帳號,就很容易可以去撤銷它。
想知道更多關於使用IAM的資訊,請參考AWS IAM最佳實作。
適當控制對AWS的存取是第一步。之後我們將討論其他對管理權限的控制,包括增加多因子身份認證、AWS角色以及控制管理權限存取作業系統。
如果你有興趣保護你的EC2(彈性雲端運算)或VPC(虛擬私有雲端運算服務)虛擬機器,可以試試我們提供給雲端伺服器的新服務 – Deep Security資訊安全解決方案
@原文出處:Top 10 AWS Security Tips: #1 Using IAM To Protect Your Resources作者:Justin Foster
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo