Innehållsförteckning:
- Få Amazonas syn på säkerhet
- Få expertens syn på säkerhet
- Amazonas säkerhetens verklighet
- Använda bästa praxis för AWS-säkerhet
- Använda IAM Policy Simulator för att kontrollera tillgången
Video: Ingves intervjuas med anledning av att Riksbanken överväger ny målvariabel 2025
Alla webbtjänster har säkerhetsproblem, inklusive AWS. Den säkraste datorn i världen har inga inslag alls. Naturligtvis har denna supersäkra dator inte något verkligt syfte eftersom datorer utan ingångar är värdelösa.
En enskild dator, en utan anslutningar till någon annan dator, är nästa säkraste typ. En dator vars anslutningar existerar bara inom en arbetsgrupp kommer in i nästa och så vidare. Den minst säkra datorn är den som har utvändiga anslutningar. För att kunna använda AWS måste du riskera datorns säkerhet på ett stort sätt. Utvecklare kan snabbt driva sig galet och försöker hålla dessa sammankopplade datorer säkra, men det är en del av arbetsbeskrivningen.
Få Amazonas syn på säkerhet
Eftersom även den bästa insatsen från någon leverantör sannolikt endast ger en måttlig säkerhet, bör säljaren behålla en proaktiv hållning på säkerheten. Även om Amazon spenderar mycket tid på att försöka spåra och åtgärda kända säkerhetsproblem med sina API, inser det också att vissa sårbarheter sannolikt kommer att släppa märke, vilket är där du kommer till spel. Amazon har en uttalad policy för att uppmuntra din insats om eventuella sårbarheter du hittar.
Var noga med att läsa Amazons utvärderingsprocess. Processen ger utrymme för Amazon att skicka skulden för ett problem på en tredje part, eller gör ingenting alls. Även om Amazon är proaktivt måste du inse att du fortfarande kan hitta sårbarheter som Amazon inte gör något för att åtgärda. Som ett resultat av detta kommer säkerheten för AWS alltid att vara mindre än perfekt, vilket innebär att du också måste behålla en stark och proaktiv säkerhetshållning och inte bero på att Amazon ska göra allt.
Det viktigaste du kan göra när du arbetar med en molnleverantör som Amazon är att fortsätta att övervaka dina egna system för eventuella tecken på oväntade aktiviteter.
Få expertens syn på säkerhet
När du arbetar med din plan för att använda AWS för att stödja organisationens IT-behov, behöver du läsa mer än Amazon-vyn av problem som säkerhet. Förväntan av Amazon att berätta om varje potentiellt säkerhetsproblem är inte orimligt - det är bara att Amazon kräver bevis innan det handlar om ett problem. För att få den fullständiga säkerhetshistoriken måste du lita på experter från tredje part, vilket innebär att du måste spendera tid på att lokalisera denna information online. (Ett besök på den här bloggen kommer att hjälpa till i det här sammanhanget eftersom uppdateringar för säkerhetsfrågor diskuteras).
En ny historia tjänar till att illustrera att Amazon är mindre än kommande om varje säkerhetsproblem.I det här fallet har white hat hackers (säkerhetstestare) lyckats hacka till en tredje parts EC2-instans från en annan instans. Efter att ha fått tillgång till tredjepartsinstansen kunde forskarna stjäla säkerhetsnycklarna för det exemplet. Amazon är osannolikt att berätta om denna typ av forskning, så du behöver upptäcka det själv.
Problemet med många av dessa berättelser är att handelspressen tenderar att sensationalisera dem, vilket gör att de verkar värre än de verkligen är. Du måste balansera vad du vet om organisationens inställning, vad Amazon har faktiskt rapporterat om kända säkerhetsproblem och vad handelspressen har publicerat om misstänkta säkerhetsproblem när du bestämmer säkerhetsriskerna för att använda AWS som din cloud-lösning. Som en del av din planeringsprocess måste du också överväga vilka andra molnleverantörer som tillhandahåller säkerheten. Grunden är att användandet av molnet aldrig kommer att vara så säkert som att hålla din IT i hus eftersom fler anslutningar alltid stavar fler möjligheter för någon att hacka din inställning.
Amazonas säkerhetens verklighet
Vilken Amazon är villig att erkänna när det gäller säkerhet och vilka forskare som försöker övertyga dig är att det faktiska säkerhetsläget för AWS är två synpunkter som är avgörande för din planeringsprocess. Du måste också överväga verkliga erfarenheter som en del av blandningen. Säkerhetsforskarna vid Worcester Polytechnic Institute skapade ett villkor för att AWS skulle kunna misslyckas. Det har emellertid inte misslyckats på det här sättet i den verkliga världen. Det sätt på vilket AWS har faktiskt misslyckats är med sina backuplösningar.
Den här berättelsen berättar om ett företag som inte längre är verksamt. Det misslyckades när någon komprometterade sin EC2-förekomst. Detta är inte ett konstruerat experiment; det hände faktiskt, och de berörda hackarna gjorde reella skador. Så det här är sorts historia som ger större trovärdighet när du planerar din användning av AWS.
En annan historia avser hur oväntade datapumpar på AWS gjorde information från tredje part tillgänglig. I det här fallet innehöll uppgifterna personlig information som erhölls från polisskada rapporter, drogtest, detaljerade läkarbesök anteckningar och sociala avgifter. Med tanke på konsekvenserna av denna överträdelse kan de berörda organisationerna vara ansvariga för både straffrättsliga och civila avgifter. När du arbetar med AWS måste du temperera behovet av att spara pengar nu med behovet av att spendera mer pengar senare försvara sig mot en rättegång.
Använda bästa praxis för AWS-säkerhet
Amazon ger dig en uppsättning säkerhetsmetoder för bästa säkerhet, och det är en bra idé att läsa det associerade vitboken som en del av din säkerhetsplaneringsprocess. Informationen du får hjälper dig att förstå hur du konfigurerar din inställning för att maximera säkerheten från Amazon-perspektivet, men även en bra konfiguration kanske inte räcker för att skydda dina data. Ja, du bör se till att din installation följer Amazons bästa praxis, men du måste också ha planer på plats för det oundvikliga dataskyddet.Detta uttalande kan verka negativt, men när det gäller säkerhet måste du alltid anta det värsta scenariot och förbereda strategier för hantering av det.
Använda IAM Policy Simulator för att kontrollera tillgången
Det finns en mängd verktyg du kan använda som utvecklare för att minska risken när du arbetar med AWS. (Åtkomst till de flesta av dessa verktyg kräver att du loggar in på ditt AWS-konto.) Ett av de mer intressanta verktygen du behöver veta om nu är IAM Policy Simulator, som kan berätta om de rättigheter som en användare, grupp, eller rollen har AWS-resurser. Att känna till dessa rättigheter kan hjälpa dig att skapa bättre applikationer samt låsa ner säkerhet så att användare kan lita på dina applikationer på jobbet, men i en säker miljö.
För att använda denna simulator, välj en användare, grupp eller roll i den vänstra rutan. Du kan välja en eller flera av policyerna för den användaren, gruppen eller rollen och till och med se JavaScript Object Notation (JSON) -koden för den politiken. Till exempel ser Administrator Access-policyen ut så här:
{
"Version": "2012-10-17",
"Uttalande": [
{
"Effekt": "Tillåt ""
}
I huvudsak anger denna policy att användaren får utföra någon åtgärd som använder någon resurs Fältet Effekt kan innehålla Tillåt eller Neka för att tillåta eller neka en åtgärd. Åtgärdsfältet innehåller en asterisk (*) för att visa att alla åtgärder kommer till spel. Slutligen innehåller Resursfältet * för att visa att denna policy påverkar varje AWS-resurs.
För att köra en simulering mot en viss användare, grupp, roll eller policy, måste du välja en tjänst, till exempel Amazon Elastic File System. Du kan sedan välja de åtgärder du vill kontrollera eller klicka på Välj alla för att välja alla åtgärder som är kopplade till tjänsten. Klicka på Kör simulering för att slutföra testet.
Administratörer har naturligtvis full tillgång till alla resurser.
