讓我們從了解你在雲端做些什麼開始。你會部署處理敏感資料的應用程式？你想要測試新的網頁應用程式？你會跟內部環境傳輸交換資料？你會提供應用程式給客戶、合作夥伴、甚至是全球各地的員工？你的應用程式必須24 × 7無休的運作？

哪裡有風險，哪裡就需要被加以管理和控制，以確保你有保護好你的資料、應用程式和系統以對付攻擊，不管你所用的是什麼樣的環境 – 雲端，你自己的資料中心或介於兩者之間。

正如之前的文章裡提過，AWS已經設立高標準來確保落實適當的控制以保護實體基礎設施和虛擬機管理程式。然而，你所部署在這環境內的資料、應用程式和虛擬機器 – 以AWS的觀點 – 是你自己的責任。你需要確保你有實施適當的控制。這是什麼意思呢 – 你需要什麼樣的控制？

讓我們從你的主機和網路開始…

當部署虛擬機器時，建議要利用所提供的工具，像是AWS安全群組來做基本的安全功能，之後再加入額外的控制。

對於你的主機和網路，我們建議你落實控制以：

• 限制進出你環境的通訊連線，只允許必要連線進行
• 確保你對於漏洞攻擊有不間斷的保護，即使是在你的修補程式部署週期之間
• 當系統組件改變時加以識別，判斷是否有意義
• 保護對抗惡意軟體和惡意網址

為了能夠涵蓋這些要求，你需要部署一些安全控制：

• 通訊控制：限制進出你環境的通訊連線，針對虛擬機器來實施鎖好你的防火牆策略，只在必要時才開啟，同時也防止進出的通訊連線。尋找有提供記錄和警報功能的防火牆，可以更加容易地進行故障排除和管理。
• 一致的系統防護：隨著組織要求關鍵企業應用程式要持續的改變，往往讓已知系統漏洞的修補工作很難跟上。這也是為什麼可以對抗可能漏洞攻擊的入侵防禦功能很重要了。一個很重要的入侵防禦功能是可以自動地確保正確的保護被實施，甚至在你有機會修補之前。
• 系統變化偵測：系統組件變化的原因可能有很多 – 許多都不是因為你的系統被攻擊而造成。話雖如此，監視這些系統變化也對你的安全控制變得越來越關鍵。它不僅可以提供問題的早期跡象，事實上也是各種合規標準，如PCI DSS所要求的。
• 惡意軟體防護：最後，包含網頁信譽評比技術的防毒軟體不僅可以對抗病毒，也會對已知惡意網址加以偵測和防護。 繼續閱讀