作者:Mark Nunnikhoven
我們大約地討論了有關開發AMI的問題。現在我們要來看看如何保護運行在EC2和VPC虛擬機器上的客戶端作業系統。
AWS的建議
AWS已經發表了不少關於他們服務的文件。AWS安全最佳實作[PDF]和AWS風險與法規遵循[PDF]更是其中非常棒的安全資源。在最佳實作這份文件中,「防護你的應用程式」章節(第4頁)底下,他們提出了一些建議,歸納為以下幾點:
- 盡快安裝修補程式
- 對於作業系統和服務要使用建議的安全設定
- 測試,測試,再測試
這真是非常正確而有效的建議,讓我們來看看這些建議實際應用時會面臨的問題。
儘快安裝修補程式
這是IT經常會聽到的一句話。我們都知道需要更新修補程式,但這過程相當痛苦,通常這痛苦會跟測試有關。當你的應用程式放在雲端環境,你不用那麼經常去對運作中的系統更新修補程式,因為基礎AMI可以讓這事情變得更加容易些。
你可以在測試環境中部署基於你基礎AMI的虛擬機器,安裝修補程式,接著再執行所有所需的測試。如果修補程式不會影響到你的設定,就建立更新過的基礎AMI。下一步就是排定時間將新的AMI部署到作業環境上。取決於你的應用程式,甚至可能和之前的版本並行運作一段時間以消除停機時間。
使用建議的安全設定
大多數作業系統和服務都會有建議設定。仔細閱讀它們!也可以到有信譽的資料來源研究所建議的設定。整理這些建議設定,接著根據你的需求來完成設定。請記住最小權限原則,只在有絕對需要時才開啟服務或功能。
測試,測試,再測試
因為AWS的資源都可以透過API來調用,實在沒理由不去自動化所有的測試(或盡量達到全部)。從部署狀態,驗證修補程式到基本安全的煙霧測試(smoke test)。自動化測試可以快速且重複地執行。當你在任何時候做出改變,就應該測試所有先前的設定,以確保沒有預期之外的變化發生。
即使是像下列這樣簡單的測試:
- 伺服器A可以連到伺服器B的端口22嗎?
- 伺服器A會被禁止連到伺服器B的端口53嗎?
都將大大提高安全性並確保你的安全設定運作如預期。
重複循環
如果你有遵循AWS的建議,那麼你已經找對方法去提升部署的安全性。更重要的是,你現在有個堅實的流程可以不斷地去提升部署安全性。
採取行動,測試,採取行動,測試,只要有需求就再來一遍。
@原文出處:Top 10 AWS Security Tips: #4 Protecting Guest Operating Systems
◎延伸閱讀
< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚