保障AWS云中數據安全的七大方式

保障AWS云中數據安全的七大方式

在使用

云計算的過程中，要深刻明白安全保障不會針對于所有的工作負載。AWS強調了這種模式為“安全共享”。“安全共享”僅僅為AWS的物理數據中心（虛擬機，存儲甚至是安全功能）提供安全保障，而是否在AWS的基礎設施上實施安全措施則取決于用戶客戶自己本身。

1.啟用雙因子驗證或多因子驗證（MFA）

啟用雙因子驗證（2FA）是阻止黑客入侵賬戶的一般方式。雙因子驗證是指用戶在登陸系統時提供2種形式的驗證。例如，用戶需要輸入已設定的密碼和隨機驗證碼。在AWS中免費提供了一種免費的多因子驗證服務。它能夠在用戶名稱和密碼之外再額外增加一層保護。啟用MFA后，用戶登錄AWS網站時，系統將要求他們輸入用戶名和密碼（第一安全要素 用戶已知），以及來自其AWS MFA設備的身份驗證代碼（第二安全要素 用戶已有）。這些多重要素結合起來將為您的AWS賬戶設置和資源提供更高的安全保護。

雙因子認驗證只是安全保護得一種方式，要想保障安全性，更重要的是要保障企業對自身關鍵信息的保密。AWS有許多保障關鍵信息的形式，包括可以安裝在用戶房地防火墻上HSM（硬件安全模式），其用途是幫助管理企業關鍵信息。

2.監測可疑信息

我們不僅要增加黑客和未授權的用戶進入系統的門檻，而且還要確保未授權的用戶的入侵。AWS Marketplace中，提供來了一些免費的工具，這些工具可以幫助用戶阻止黑客和無權限用戶的入侵。

2013年AWS Summit大會時，發布的CloudTrail(該產品處于測試階段)就是用于幫助用戶監測可疑信息并對可以情況做出分析的。CloudTrail可以幫助用戶創建API-log，主要報告用戶賬戶的一些使用狀態e。

在市場上有很多發現可疑行為的工具，Skyfence就是其中一個以監控AWS運行為主的信息代理系統。用戶在發現不尋常的行為，例如，用戶在可疑的時間登陸以及不尋常的IP地址時，Skyfence就會發出警告。

3.阻止未經授權用戶的入侵

如果你有一個檢測可疑行為的工具，下一步就是檢測未授權用戶的入侵。Skyfence的委托系統功能可以實現在未授權用戶入侵時關閉AWS賬戶，并對其身份進行驗證后才可以訪問管理控制臺。在更改AWS云的數據時，必需經過授權用戶的認證。在Code Spaces的案例中，這項功能可以阻止黑客刪除AWS云中的數據。

4.加密

還有一些其他的方法可以阻止黑客在入侵AWS賬號后對系統造成破壞。例如，為AWS云中數據信息加密等。AWS的marketplace中有許多不同的加密服務供應商，像SafeNet和Vormetric就可以提供多種多樣的加密服務。AWS對簡單存儲服務（S3）提供加密和一些其他的服務，但這些服務只能阻止大部分入侵者而無法保證對整個系統的保護。同時，在黑客成功入侵后，加密無法阻礙黑客對數據的修改。

5.防火墻的應用

DDoS的入侵使Code Space陷于危險的處境，并一步一步的吞噬Code Space的云端。使用防火墻是阻止DDoS ?入侵的一種有利方式。例如，在Marketplace中的Barracuda和Alert Logic，可以提供監控來防止黑客的入侵，并識別和阻止可疑行為的發生。

6.備份

NSS Labs（全球最知名的獨立安全研究和評測機構，總部設在美國）的Rob Ayoub在AWS的報導中寫道，對數據的備份是安全保障的最佳方式。備份雖然不能防止黑客的入侵，但數據備份可以使數據庫迅速恢復。

如果數據在云中存儲，它會自動備份，這是許多人對云的誤解。雖然這在一些服務中可以實現，但不會在所有服務都可以實現備份。例如，AWS的彈性快存儲（EBS）和S3的可靠性極高。因為，AWS的系統會對數據備份，這樣可以保證數據不會丟失（用戶進入管理控制臺后，可對數據進行更改，使內置備份無用）。比如，EC2虛擬機實例不會自動備份。所以，在使用應用時要清楚了解各項服務會有什么樣的保障。

如果黑客侵入賬戶并造成破壞，用戶可以通過備份恢復數據。用戶需要了解自身需要備份什么類型的數據。一些企業將備份所有的數據，而另一些企業只對關鍵的數據進行備份。一些備份是實時更新的數據，而另一些備份可以根據用戶的喜好按每日，每周，每月或者是任何時間進行數據備份。

AWS有許多關于備份功能的選擇，包括不同的存儲方式和多樣的數據庫類型，如S3，EBS和DynamoDB。Glacier是一項稱為“冷存儲”的服務，其成本非常低。但是，相比于在云中備份，一些用戶更加喜歡在內部環境中做備份。

7.應用更新

用戶還有另一個誤區，認為云中的應用會自動更新。在SaaS中的應用可以自動更新，但在IaaS中的應用不會自動更新。AWS提供基本的應用托管服務。這取決于用戶對虛擬設備的控制。許多用戶通過頻繁的軟件更新來修復bugs并更新安全保障，而這些功能只有在最新的版本上適用。

我們無從而知這些措施是否可以緩解Code Space的處境。現在的問題是許多企業無法運用適合的方法來保障賬戶的安全。雖然云有許多經濟實用的優點，例如，低成本，易管理和易進入。但是，在沒有確定安全問題之前，任何企業都不會隨意的使用云管理其數據信息。

（馬漢）