我常常會覺得有些人很奇怪,會開快車衝去機場還一邊講著手機,結果坐上飛機後卻開始祈禱著不會墜機。難道他們不知道想要安全抵達目的地,自己也承擔部分的責任嗎?
趨勢科技在討論新支付卡產業資料安全標準(PCI DSS)雲端運算準則的網路研討會中提醒到,雖然雲端服務可以有效地轉移掉資料中心的負擔,但不代表你的安全責任也是。(錯過這和Amazon和Accuvant一起的熱門網路研討會?點入這裡看重播)。
當組織在自己的資料中心內管理應用程式,他們控制也負責實體、網路和應用程式的安全。當組織將應用程式放入雲端環境時,他們也不能完全免除對自己應用程式安全性的責任,想要兩手一攤的說:「放到雲端服務上了,雲端服務供應商要負責。」因此就有了「責任分擔」或「風險分擔」的概念出現。公共雲供應商和雲端用戶需要共同對雲端應用程式的安全負責。
AWS(亞馬遜網路服務系統)詳述了雲端供應商和客戶所必須負的責任。
公共雲供應商(如AWS),通常會提供下列服務:
- 防護外圍網路和資料中心
- 外圍網路防火牆
- 備援和高可用性儲存裝置(S3),資料庫和網路基礎設施
- 故障轉移(亞馬遜主機可用區域(Amazon availability zones))
你(雲端用戶)要負責:
- 身份管理和存取控制。AWS用戶可以利用AWS基於角色的存取控制來確保存取AWS虛擬主機的人只擁有符合自己角色的權限。例如,管理者可以獲得存取AWS虛擬主機的所有權限,稽核人員可能只有查看設定或日誌檔的權限。此外,使用者要保管好用來連線到AWS虛擬主機的AWS存取和秘密金鑰,只有被允許存取虛擬主機的使用者擁有適當的金鑰。
- 加密運輸過程和磁碟上的敏感資訊。客戶需要用SSL加密所有通訊,並且加密AWS卷宗/磁碟。這可以確保任何網路通信被截獲或卷宗/磁碟被未經授權者存取時,資料是安全的,不能被讀取。
- 在AWS虛擬主機上的入侵偵測和防火牆。客戶應該在AWS虛擬主機上安裝防火牆和入侵偵測。客戶可以控制防火牆和入侵偵測規則。這些規則甚至可以依照AWS虛擬主機上所安裝的作業系統和應用程式來加以自動佈署。
- 確保應用程式和作業系統都安裝了修補程式並且更新到最新。雖然大多數應用程式和作業系統都有自動更新服務,但往往都會造成停機時間,讓使用者和服務產生中斷。為了減少這樣的干擾,同時減少資料外洩,入侵偵測系統可以防禦想要攻擊軟體漏洞的駭客攻擊。
為了幫助實行這些準則,我們已經開始詳細介紹如何確保你AWS雲端部署的最佳實作。你可以參考我們第一篇和第二篇介紹AWS秘訣的文章,也敬請期待更多新的系列文章。
如果你想要更輕鬆地防護你的AWS EC2應用程式,可以試用趨勢科技新提供給像是亞馬遜EC2雲端伺服器的Deep Security on Demand服務。它目前還處於測試階段,我們希望你能夠對這項讓你快速為所有EC2虛擬主機加入入侵偵測、防毒、虛擬修補程式的新服務提出使用意見。
@原文出處:The Cloud’s Shared Risk Model
◎延伸閱讀
< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
