隨著雲端運算技術的不斷發展和廣泛應用,越來越多的企業和開發者選擇將其工作負載遷移到雲端平台中,AWS(Amazon Web Services)成為了最受歡迎的雲端服務供應商之一。然而,雲端環境的安全問題也隨之而來,特別是對帳戶和資源的保護,成為了確保雲端環境穩定運作的關鍵。 AWS提供了多種強大的安全工具和最佳實踐,幫助使用者在雲端中保持資料安全。本文將介紹10個AWS安全最佳實踐,協助您增強對AWS資源的防護,確保您的雲端環境免受潛在威脅。
1.創造強大、安全的密碼
始終使用隨機產生的強密碼,密碼至少包含24-30 個字元、符號、大寫字母和數字。
2.無所不在的多重身分驗證
AWS 允許對根帳戶(不可或缺)和其他帳戶進行多因素身份驗證。如果您不希望自己的帳戶被駭客入侵盡可能始終如一地執行MFA。
3.從根帳戶中刪除憑證
根帳戶只能用於註冊AWS,不得用於其他任何用途,因為它可以存取您環境中的所有內容。第一步是從中刪除編程存取權限。
建立一個IAM 使用者並僅授予該使用者您計劃呼叫的API 所需的權限。
4.啟用CloudTrail 日誌記錄,將追蹤儲存到單獨的帳戶中
使用CloudTrail 記錄AWS 環境中發生的所有事情,以便偵測和調查安全漏洞。
以下最佳實踐是一般準則:根據需要對其進行調整。
- 將追蹤套用到所有AWS 區域:確保記錄AWS 帳戶中發生的所有事件。
- 啟用CloudTrail 日誌檔案完整性:讓您知道日誌檔案是否已被刪除或更改。
- 始終將日誌儲存在單獨的帳戶中:實施嚴格的安全控制、存取和職責分離。
- 使用AWS KMS 管理金鑰而不是標準S3-SSE:提供直接可管理的安全層。
5.使用IAM 使用者、群組和角色進行操作
不要在日常工作中使用root 使用者。相反,引用AWS:堅持僅使用根用戶創建您的第一個IAM 用戶的最佳實踐。然後就可以安全地儲存存取和秘密憑證。除非有特定任務時需要它們。
IAM 用戶代表能夠對AWS 資源執行操作的IAM 身分。使用者群組是被視為一個單位的IAM 使用者的集合。最後,角色直接附加到資源並允許其對其他資源執行操作。
6.在IAM 策略中應用最小權限原則
避免使用管理員權限存取一切的政策從「拒絕所有」權限開始,然後慢慢加入完成任務所需的特定服務的權限:這樣將遵守最小特權原則。
7.使用AWS Organizations 設定您的專案帳戶
AWS Organizations 是一項帳戶管理服務,可實現多個帳戶的集中管理。您可以定義組織結構,以便透過組織單位更好地對帳戶使用情況進行分類和界定。
此外,AWS Organizations 還包括合併帳單,以查看費用的整體明細。這可以幫助您更快地發現異常。
如果您的組織中啟用了AWS Single Sign-On,則可以透過Leapp 以程式設計方式存取您的合格角色。
AWS 組織出於安全目的使用服務控制策略,該策略在所有帳戶的IAM 策略之上起作用,限制其最大可用權限。應用於組織單位有助於定義不同公司領域的權限邊界。
8.啟用AWS Config 規則和帳單警報
AWS 擁有驗證AWS 資源是否被篡改或不當使用的工具。
AWS Config 提供您帳號中AWS 資源配置的詳細檢視。這包括它們彼此之間的關係以及它們過去的配置方式。 AWS Config 讓我們能夠了解它們隨時間的變化。
帳單警報和帳單閾值是另一種很好的通知方式,如果您的帳戶出現問題,您會收到通知。
9.在所有層上套用安全性
使用AWS 建置專案時,請始終努力保護應用程式和環境的所有層:
- 應用HTTPS 作為協定;您可以使用API 網關、CloudFront、LoadBalancers 等服務,甚至使用普通的EC2 實例來實現;如果您正在開發B2B 應用程序,還要記住相互TLS 身份驗證。
- 將安全群組套用到您的資源,以仔細管理哪些CIDR、特定IP 位址和連接埠可以在您的環境內外進行通訊。
- 嘗試應用良好的網路設計,將所有不需要直接存取Internet 的資源隔離在私有VPC 中,從而減少對易於監控的選定網關的入口。
- 盡可能始終在傳輸和靜止時應用加密。請記住,AWS 提供S3 中的直接加密、用於金鑰管理的KMS 以及直接加密EBS 磁碟區的功能。
10.使用臨時產生的憑證
憑證和.aws 資料夾是惡意攻擊的可能載體。
為了保護所有憑證並消除透過IAM 簡單令牌服務建立臨時憑證的麻煩,建議使用開源專案Leapp。
其部分特點一覽:
- 一鍵生成雲憑證
- 資料以本機加密方式儲存在OS System Vault 中
- 多種雲端存取支援策略
- 自動短期憑證輪換
- 透過AWS Single Sign-on自動設定會話
- 友善流暢的使用者介面:)
結論
在雲端環境中,安全性是每個使用者都必須重視的核心問題。透過實施本文介紹的10個最佳實踐—從建立強密碼、啟用多因素認證到應用最小權限原則,再到啟用安全監控和日誌記錄等措施,您可以大幅降低帳戶和資源遭受攻擊的風險。此外,使用AWS Organizations和臨時憑證等工具可以進一步強化安全防護,確保系統始終處於受控和可追溯的狀態。無論您的AWS環境規模如何,這些安全最佳實踐都能為您的雲端資源提供強有力的保障,幫助您安心地進行工作。
Oncloud AI身為AWS代理商,提供亞馬遜雲端服務,支援亞馬遜雲端伺服器AWS代付、AWS遷移、AWS維運託管等服務,如有相關需求可聯繫Oncloud AI。
