作者:Mark Nunnikhoven
我們大約地討論了有關開發AMI的問題。現在我們要來看看如何保護運行在EC2和VPC虛擬機器上的客戶端作業系統。
AWS的建議
AWS已經發表了不少關於他們服務的文件。AWS安全最佳實作[PDF]和AWS風險與法規遵循[PDF]更是其中非常棒的安全資源。在最佳實作這份文件中,「防護你的應用程式」章節(第4頁)底下,他們提出了一些建議,歸納為以下幾點:
- 盡快安裝修補程式
- 對於作業系統和服務要使用建議的安全設定
- 測試,測試,再測試
這真是非常正確而有效的建議,讓我們來看看這些建議實際應用時會面臨的問題。
儘快安裝修補程式
這是IT經常會聽到的一句話。我們都知道需要更新修補程式,但這過程相當痛苦,通常這痛苦會跟測試有關。當你的應用程式放在雲端環境,你不用那麼經常去對運作中的系統更新修補程式,因為基礎AMI可以讓這事情變得更加容易些。
你可以在測試環境中部署基於你基礎AMI的虛擬機器,安裝修補程式,接著再執行所有所需的測試。如果修補程式不會影響到你的設定,就建立更新過的基礎AMI。下一步就是排定時間將新的AMI部署到作業環境上。取決於你的應用程式,甚至可能和之前的版本並行運作一段時間以消除停機時間。
使用建議的安全設定
大多數作業系統和服務都會有建議設定。仔細閱讀它們!也可以到有信譽的資料來源研究所建議的設定。整理這些建議設定,接著根據你的需求來完成設定。請記住最小權限原則,只在有絕對需要時才開啟服務或功能。
