【Cloud】云端通用安全指南
前言在公共云中设置公共服务的那一刻,你就会受到来自世界各地差别地方的攻击。 如果你在不知情的环境下利用公共服务,不知不觉中,数据就会被窃取或被植入恶意软件,导致安全变乱。
为了最大限度地发挥利用云盘算的优势,我们需要相识最新的威胁,相识自己的环境,并始终将其保持在得当的状态,正如孙子兵法所说:”知彼知己,百战不殆“。
总结了云端上需要采取的十一点安全措施,个人认为这些措施是必须服从的安全策略,但并不仅仅范围于这些。
安全指南
认证
[*] 以安全的方式存储验证密钥
[*]引入多因素身份验证/双因素身份验证 (MFA)(如 PKI 身份验证的私人密钥密码等)
[*]尽可能避免 "持有 "验证密钥(利用 ESO(企业登录),Federation 等))
[*]验证密钥不与他人共享
[*]不要将验证密钥放在他人能看到的地方(EC2/GitHub/云存储等)
[*]密钥定期轮换
[*] 设置密码策略
[*]请勿利用默认密码策略
[*]密码长度至少应为 12 个字符
[*]至少应利用大写字母、小写字母、数字和符号中的三种类型
[*]定期更新密码(如每 75 天更新一次)
访问控制
[*]设置得当的访问控制
[*]设置权限,只有获得访问权限的人才气利用对象和数据
[*]授予对象和数据最低的访问权限
[*]明白区分管理员用户和非管理员用户(责任分工)
[*]限定通讯线路,使只有少数特定用户可以访问
[*]利用角色和组进行授权(不要将策略直接附加到用户)
网络
[*] 尽量减少面向互联网的公开
[*]应尽可能消除与互联网之间的通讯需求。纵然不可能,也应尽量减少/局部化。
[*]云服务的“公开访问”应设置为 Off
[*]虚拟机和数据库等对象应包含在虚拟网络中
[*]用于与互联网的通讯,应当
[*]利用云威胁服务检测威胁。
[*]在发现威胁时,定期审查通知的得当接收方。
[*] 只允许须要的流量
[*]对于源 IP 和端口严禁利用 0.0.0.0/0
[*]对于从 AWS 到外部(包括互联网)的通讯,严禁将目标 IP 和端口设置为 0.0.0.0/0
[*]为互联网之间的传输而开放的端口应符合 FASM 矩阵
[*]如果必须打开,则要确定打开的服务并抵抗攻击
日志
[*]确保日志取得
[*]确保可在云中捕获的全部日志都会被捕获,例如:
[*]云控制台利用日志
[*]网络通讯日志
[*]网络访问/登录日志
[*]利用体系日志(信息/安全/审计等)
[*]确保变乱发生时可追溯/获取证迹
监控
[*] 确保允许对资源利用进行审计
[*]将云中的全部利用记录为跟踪记录
[*]记录资源变更,以便对其进行跟踪
[*]定期检查审计日志,防止未经授权的访问和篡改
[*]确保在变乱发生时可进行后续跟进/跟踪
[*] 确保能检测到威胁
[*]利用云威胁服务检测威胁
[*]安装安全工具
[*]在发现威胁时,定期审查通知的得当接收方
加密
[*] 存储的数据必须加密
[*]虚拟机和数据库的数据存储区域(如磁盘)是加密的
[*]加密密钥由云供应商提供的密钥管理服务创建和管理
[*]特别是,日志存储区域(如 S3 和 CloudWatch 日志)应利用管理员用户的权限进行加密和授权,以便非管理员用户无法读取或删除它们
[*] 在传输过程中加密数据
[*]确保互联网上的通讯是加密的(TLS 1.2)
[*]加密连接到云端的通讯(特别是连接到 Windows EC2 的远程桌面连接(RDP (TCP/3389),需要通过 VPN 连接)
[*]连接数据库(RDS/ElastiCache 等)的通讯应加密
安全运维
[*]始终保持利用体系和内核的最新状态
[*]注意其中包含的软件包(在某些环境下,如果利用体系版本升级,软件包将无法利用)
结语
在处理爆炸物和毒药等伤害材料的历史上,各种规则的制定和实行使人类得以在日常生活中安全地利用这些材料。
今天,公共云正处于雷同“没有既定的规则,许多地方因利用不当,而导致硝化甘油发生爆炸变乱的黎明期”这种局面。
让我们以史为鉴,让公共云成为一个可以安全的利用世界!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]