AWS( Amazon Web Services ) - 資安趨勢部落格

負責確保下一代資料中心安全

2014 年 01 月 02 日2013 年 12 月 24 日趨勢科技 TrendMicro

趨勢科技在拉斯維加斯的 Gartner 2013資料中心大會上談論我們對於未來防護資料中心的願景。正如你在日常的工作裡會發現，資料中心以飛快的速度在進化著，許多單位都擁抱著伺服器虛擬化，還有雲端運算都是資料中心的延伸。當然，這些改變也為IT團隊帶來許多挑戰，同時也帶來很好的機會。想要能夠正確的保護這些新的環境，資安和營運團隊必須相互合作來達成目標。這代表的意思很簡單卻也非常重要：負責這個新的環境，你可以實現比過去更好的安全性 – 更容易稽查，更易於管理，並且對於靜態安全架構有巨大的營運優勢。

今日的資料中心看起來非常不同

毫無疑問的，同質伺服器環境已經是過去式。根據 Gartner的報告，伺服器的工作負荷在2016年會達到驚人的71％虛擬化程度，企業會考慮那些宣傳所提到的各種好處，像是降低成本、提高企業效率和提高靈活度。客戶也會選擇部署到雲端環境，所以像亞馬遜網路服務（AWS）以及其他類似服務都呈現巨大的成長。目前的挑戰是，不能簡單地將傳統工具重新部署到虛擬或雲端環境，並且如預期地運作。新一代資料中心需要新的防護方式…讓我們來看看一些環繞在資訊安全的新動態。

駭客是門生意

趨勢科技一直在監視著網路地下世界，有四分之一個世紀之久，並且建立起一個我們自信相當準確的敵人資料庫。想侵入你資料中心的人都有足夠的動機，充足的資源，組織力和差異化。總之，網路犯罪已經走向商業化。繼續閱讀

十大AWS安全秘訣：第八條加密敏感資料

2013 年 05 月 14 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Mark Nunnikhoven

今天我們要討論有關加密的部分。

資料推動你的業務

你的業務是基於資料和資訊而運作的。前進公共雲最大的擔憂之一就是資料的安全性。只要做點盡職調查（due diligence），你可以讓這些擔憂消失不見。

有三個關鍵步驟可以保護你在雲端中的資料：

識別和分類你的資料
保護存放中的資料
保護移動中的資料

識別和分類

在你確認自己有哪些資料，哪些對自己和客戶有價值，它們在哪裡儲存和處理之前，你沒有辦法採取有效的措施來保護你的資料。

檢查你的網路，你儲存了什麼類型的客戶資料？哪些是讓你具備競爭優勢的知識產權？還有可存取系統的身份憑證？

開始清查你的資料。

現在開始進行盤點，試著去找出資料的優先順序。它對你的客戶有多重要？對你的業務運作？你的聲譽？你不需要找出資料的準確價值，只要有什麼對你的業務是重要的粗略想法。

一旦你有了這份清單，查出在哪裡如何的儲存這些資料，在哪裡進行處理。這些是你首要專注安全性的地方。

十大AWS安全秘訣：第九條進行弱點評估

2013 年 05 月 09 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Justin Foster

在這系列裡，Mark和我已經討論過如何去強化你的AWS資源（涵蓋虛擬機器的內外部）以及進行同步監測。最後兩個秘訣是有關如何評估你的整體安全性，讓你可以了解你的風險等級和衡量進度。

這或許是老生常談，卻再真實也不過…你不能管理無法衡量的事物。你可能設有層層防禦，但除非你進行過弱點評估，你永遠不知道真實狀況如何。

評估你的基礎設施即服務（IaaS）

進行弱點評估，會對你系統內所有區域的弱點進行確認和排定優先順序。你會先透過工具、服務和手動評估等混合方式來對弱點進行分類。接下來要排定弱點的優先順序，以及評估消除方法。

工具和服務往往有兩種形式，網路或基於本機的掃描。而這兩種形式都有主動或被動式的掃瞄器。有些弱點只能在虛擬機器上或特殊權限網路上被偵測到。

如果你正要對你的AWS虛擬機器進行網路掃描，你需要填寫AWS弱點/滲透測試申請表。這樣AWS才知道你將要進行掃描，而不會中斷你的連線。

十大AWS安全秘訣：第四條，保護客戶端作業系統

2013 年 04 月 09 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Mark Nunnikhoven

我們大約地討論了有關開發AMI的問題。現在我們要來看看如何保護運行在EC2和VPC虛擬機器上的客戶端作業系統。

AWS的建議

AWS已經發表了不少關於他們服務的文件。AWS安全最佳實作[PDF]和AWS風險與法規遵循[PDF]更是其中非常棒的安全資源。在最佳實作這份文件中，「防護你的應用程式」章節（第4頁）底下，他們提出了一些建議，歸納為以下幾點：

盡快安裝修補程式
對於作業系統和服務要使用建議的安全設定
測試，測試，再測試

這真是非常正確而有效的建議，讓我們來看看這些建議實際應用時會面臨的問題。

儘快安裝修補程式

這是IT經常會聽到的一句話。我們都知道需要更新修補程式，但這過程相當痛苦，通常這痛苦會跟測試有關。當你的應用程式放在雲端環境，你不用那麼經常去對運作中的系統更新修補程式，因為基礎AMI可以讓這事情變得更加容易些。

你可以在測試環境中部署基於你基礎AMI的虛擬機器，安裝修補程式，接著再執行所有所需的測試。如果修補程式不會影響到你的設定，就建立更新過的基礎AMI。下一步就是排定時間將新的AMI部署到作業環境上。取決於你的應用程式，甚至可能和之前的版本並行運作一段時間以消除停機時間。

使用建議的安全設定

大多數作業系統和服務都會有建議設定。仔細閱讀它們！也可以到有信譽的資料來源研究所建議的設定。整理這些建議設定，接著根據你的需求來完成設定。請記住最小權限原則，只在有絕對需要時才開啟服務或功能。

十大AWS安全祕訣：第二條，密碼策略和多因子身分認證

2013 年 03 月 12 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Mark Nunnikhoven

在介紹如何利用AWS身份和存取管理來保護資源的文章裡，Justin介紹了AWS身份存取管理（IAM）的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。

密碼策略（Password Policies）

使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度（像是包含多少個數字、特殊字元和密碼長度等），以及變更週期（像是每九十天就必須變更密碼）。

有些策略會更進一步，對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼，並且必須一年變更好幾次。

IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度，但並不能設定變更週期。

現在就開始使用密碼策略是很棒，但你需要手動要求使用者定期變更密碼，或是採取別的方法加強……或是雙管齊下！

多因子身份認證

AWS的多因子身份認證（MFA）正是我們用來加強密碼策略的方法。

那麼，到底什麼是MFA？就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子：你知道什麼東西（something you know）、你擁有什麼東西（something you have）和你的生物特徵（something you are）。

我們的使用者已經具備了一個因子，就是密碼（使用者知道的東西）。對於AWS，第二個因子是使用者擁有的東西。可能是硬體認證裝置（可向AWS購買）或用軟體認證裝置，安裝在智慧型手機或其他設備上。

這些認證裝置會顯示隨機生成的數字，必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次，以確保使用者在登錄時有認證裝置在身上。

現在想要認證成功，就必須輸入正確的帳號密碼，加上由正確認證裝置在使用者登錄當下所產生的數字。