读到一篇很好的文章 AWS Security Primer, 总结了 AWS 安全相关的方方面面, 很好的知识结构.
AWS Security Primer
大体来说, 包含几个大方面:
- AWS API: AWS 官方的的 REST API
- Service API: AWS 提供的其他 Service 的 API, 比如 RDS MySQL 提供的是 MySQL 的 Athentication 和 Authorization
- Network: 网络相关, 可以通过 ACL, Security Group 控制权限
- VPC 相关的有 Security Group, Route Table, ACL
- DDoS 相关的, 靠 AWS 去年发布的 AWS Shield 服务
- 还有 WAF, CloudFront 等, 不过中国区貌似至今未上线该服务.
- Data Encryption: 数据加密相关, AWS 也提供 KMS 等服务
- Governance: 治理. 治理方面, AWS 也提供了几个服务:
- Trusted Advisor: 基于规则, 给一些 Security/Cost optimization 方面的建议
- Cloudtrail: 记录一些 AWS API 的调用日志, 供后续追查.
- AWS Config: 记录历史 AWS 资源的相关信息, 供后续分析. AWS Config + Cloudtrail 甚至可以用来做故障恢复, 比如查到有人误操作导致删除了某些资源, 可以从 AWS Config 中将历史资源的信息找出来, 手动恢复.
- VPÇ Flow Logs: 记录网络相关的结构化日志, 后续导入数据仓库就可以直接分析资源间的网络通信.
总结
安全无小事, 随便说几点都相信都可以命中一些人, 比如你家的程序是不是使用 IAM role 而不是写死 AWS Secret 访问 AWS API的. 给几条简单的建议吧:
- AWS Governance 相关的所有服务都必须开启. 相比 AWS 其他服务而言, 这些服务都便宜到不值一提, 但不开启总有交学费的一天. 这是事后追查原因, 故障恢复的神器.
- Service API 相关的 Best Practice 靠自身修炼. 比如 RDS MySQL 的安全如何保障, AWS 官方仅仅负责 RDS 服务本身的可用性, 管不到你的程序用
root用户, 密码123还暴露外网端口, 然后程序员手抖还把代码 push 到了 github...
安全靠修炼, 你我皆凡人.
