趨勢科技這次榮幸贊助 2015 年加拿大 FIFA 女子世界盃足球賽。您或許會說:「很好啊!但足球和網路安全有什麼關係?」嗯,那您要怎樣才能在足球場上獲勝?沒錯,要踢進最多球,但除此之外,您還需要堅強的防守。這就是為何接下來的幾個禮拜我們將在部落格上探討您如何「保護您的網路」(包括您的資料、應用程式以及雲端部署),並且防範所有試圖入侵您企業的威脅和漏洞攻擊。
在「保護您的網路」這一系列文章當中,我們將討論軟體定義資料中心和雲端所帶來的機會和挑戰,以及我們如何協助您企業建構一套有效的防禦。這問題您不妨從這個角度切入:不論您的企業規模多大,網路安全就像足球賽一樣,良好的防禦才是您獲勝的基礎。這句話套在雲端和虛擬化環境,真是再貼切不過了。 繼續閱讀
在過去的15年裡,我替發明資料中心代管模式的公司撰寫了第一份的服務層級協議(SLA),而且我帶領兩家使用傳統企業許可條款的公開上市IT軟體和硬體公司遷移到基於用量的定價模式。過去的經驗讓我非常瞭解大型企業如何看待IT採購,以及雲端服務供應商如何看待服務提供。
很遺憾,這是一個沒有太多重疊部位的范氏圖。當大型企業考慮遷移到Amazon網路服務(Amazon Web Services~AWS),這裡有三件你需要記住的事情。
1. 你的法務部門不會得到所想要的東西。
在雲端運算初期,服務層級協議曾經是可以討價還價的東西。雲端服務供應商重複提供完全相同的服務才能夠獲利,提供每個客戶不同的服務層級是無法重複或擴展的模式。
因為服務層級協議在大型IT的外包合約裡一直是可以商量,大多數大型企業的法務部門認為有空間來和AWS制訂和協商SLA。但其實並不行,這種要求只會減緩你的AWS部署,除了挫折感外並無法得到任何結果。
與其只是碰釘子,不如去研究AWS所提供的額外支援服務。這些可以解決許多相同的問題,不過在標準套件中可能只需要一個點擊。
2. 你的採購部門不會幫上忙。
在大型企業中,採購部門通常會加入探判。這在大型企業裡運作得很好,因為探判專家往往比IT主管來得專業。除非是跟牆壁對談,在這種情況下,採購部門的談判專家只會拖慢專案的進行。
AWS的價格透明公開且標準化。有傳聞堅持某些非常大的公司成功地協商出好價格,但我相信這些都只出現在AWS的最早期階段,在今日並沒有出現在很多公司…如果真的有的話。即使你喜歡AWS產品,你的採購部門可能會拉住你,要你考慮別的產品,這樣談判專家才有事情可做。
只是要記住,AWS有定期更新定價的習慣,而且當它更新時,通常會朝向一個方向…往下!事實上,自2006年以來,AWS已經出現過38次的降價…當你考慮其他產品時,要記得這一點。
3. 你的財務長會窒息。
大型企業的ERP和財務系統通常假設你會購買伺服器並在資料中心的某處租用空間。這些要不是資本支出就是每月固定的長期運作成本。可預測的數字對財務主管來說比較令人放鬆。
不可預知且基於用量的定價模式往往打破了靜態的業務流程,讓財務主管緊張的咬指甲。不幸的是,雲端服務供應商在這裡幫不上忙。企業會越來越習慣不可預期且基於用量的定價會佔IT預算裡越來越高的比例。
記得要有耐心的與你的財務團隊合作。遷移到雲端環境是種對IT的調整,它會讓財務方式完全改變。同心協力最終可以提供給大家一個更好的工作環境…並且讓挫折感降到最低。
@原文出處:Three things large enterprises should know about getting started with Amazon Web Services
作者:Mark Nunnikhoven(趨勢科技首席工程師)
所有的影片都已經上傳到YouTube,有一大堆精彩的內容等著你去看。也正因為這樣,想看完全部幾乎是不可能的任務。
但別怕,我在這些講座裡潛水了好一段時間,選出了我最喜歡的幾段。下面是我心目中的前五名,加上我覺得你會感興趣的原因:
1. 由一到多:進化的VPC設計
VPC是個很大的題目。有許多種可能的設定。看看來自AWS的Robert Alexander介紹幾個真實環境的設計,從簡單到非常複雜都包含在內。這場講座是400等級(ARC401),可以預期有相當高的技術程度。
通過VPC服務來了解可用選項是成功部署的關鍵。學習到有哪些可能性,以及更重要的,現實世界裡有什麼可以幫你成功的跳到雲端部署。
最起碼要看完簡報資料。不過幫自己一個忙,花一個小時的時間來看看這段影片。
2. 利用Chef部署「英雄聯盟」資料流
這場架構主題區內的講座(ARC205)介紹Riot Games如何利用Chef來打造它們遊戲「英雄聯盟(LOL)」背後的資料流。裡面詳實的討論了他們為了達到目標而所做的一些決定。
3. 介紹Amazon Kinesis:即時串流處理
這場30分鐘的談話很好的介紹了Amazon Kinesis背後的概念和動力。這是場平易近人的講座(因此是100等級,BDT103)。
還有更多關於Amazon Kinesis的談話,但如果你想知道它到底是什麼,先從這影片或簡報資料開始。
順帶一提,我已經將Amazon Kinesis放在我的新手演出裡。Amazon Workspaces很棒(很快更多相關介紹),還有Amazon AppStream也是。兩者大幅超前同領域裡原本的解決方案,但是Amazon Kinesis將這類型的處理方式帶給全新的對象。
4. 掌握存取控制政策
通常沒有比要求花一個小時來觀看一場關於存取控制政策談話更快讓人睡著的方法了。但是Jeff Wierer在SEC302改變了這個狀況。這場關鍵的講座裡藉由清晰的談話提供了大量的資訊。
到處都是重點,可以說這份簡報資料裡藏著許多寶藏等待發掘。如果你正利用AWS做些什麼,花點時間看看Jeff的談話。
5. 搬遷企業應用程式到AWS:最佳實踐與技巧
在這300級(ENT303)的講座裡,來自AWS的Abdul Sathar Sait和Tom Laszewski詳細介紹了將傳統企業應用程式部署到AWS雲端環境所會面臨的挑戰。
這裡面包含了許多很棒的資料,不僅可以幫你瞭解該如何做,還有為什麼。你應該要來看看將「典型」企業工作負載搬遷到AWS上。
過去幾週內,趨勢科技一直都在檢視如何防護運行在Amazon Web Services虛擬機器的十大建議。我們探討了AWS共享安全模型的關鍵控制。如同這些建議裡所提到的,基於主機的安全功能,像是入侵偵測和防禦、防毒、完整性監控等,對於保護你的應用程式和資料非常重要。
部分建議跟設定和調整AWS本身有關,有些需要使用第三方工具。所以在尋找防護你雲端計劃的候選時,有五個問題必須要問這些可能的廠商:
作者:Mark Nunnikhoven
我們大約地討論了有關開發AMI的問題。現在我們要來看看如何保護運行在EC2和VPC虛擬機器上的客戶端作業系統。
AWS的建議
AWS已經發表了不少關於他們服務的文件。AWS安全最佳實作[PDF]和AWS風險與法規遵循[PDF]更是其中非常棒的安全資源。在最佳實作這份文件中,「防護你的應用程式」章節(第4頁)底下,他們提出了一些建議,歸納為以下幾點:
這真是非常正確而有效的建議,讓我們來看看這些建議實際應用時會面臨的問題。
儘快安裝修補程式
這是IT經常會聽到的一句話。我們都知道需要更新修補程式,但這過程相當痛苦,通常這痛苦會跟測試有關。當你的應用程式放在雲端環境,你不用那麼經常去對運作中的系統更新修補程式,因為基礎AMI可以讓這事情變得更加容易些。
你可以在測試環境中部署基於你基礎AMI的虛擬機器,安裝修補程式,接著再執行所有所需的測試。如果修補程式不會影響到你的設定,就建立更新過的基礎AMI。下一步就是排定時間將新的AMI部署到作業環境上。取決於你的應用程式,甚至可能和之前的版本並行運作一段時間以消除停機時間。
使用建議的安全設定
大多數作業系統和服務都會有建議設定。仔細閱讀它們!也可以到有信譽的資料來源研究所建議的設定。整理這些建議設定,接著根據你的需求來完成設定。請記住最小權限原則,只在有絕對需要時才開啟服務或功能。