聚搜云(www.4526.cn)是上海聚搜信息技术有限公司旗下品牌,坐落于魔都上海,服务于全球、2019年成为阿里云代理商生态合作伙伴。与阿里云代理商、腾讯云、华为云、西部数码、美橙互联、谷歌云、AWS亚马逊云国际站代理商、聚搜云,长期战略合作的计划!阿里云国际站代理商专业的云服务商!
AWS 在许多方面让我们的生活更轻松。但是,正如经常发生的那样,为了解决所有可能的需求,它最终带来了太多功能而无法关注。没有专门的 AWS 管理员的新手或小型团队可能会迷路或花费太多时间来管理和配置它。
在我们的新系列中,我们希望帮助每个人完全从头开始设置 AWS 账户。
我们会经常将您发送到 AWS 文档。我们编写这个博客系列的目标是在一个地方为您提供所有有用的链接,并指出您之前可能忽略的事实。
AWS 安全必备
遵循一般和基于 AWS 的最佳安全标准,我们将引导您完成以下设置:
创建 IAM 用户。
多因素身份验证 (MFA)。
安全密码策略。
基于角色的访问控制 (RBAC) 或基于属性的访问控制 (ABAC)。
安全浏览具有只读访问权限的 AWS 实例。
使用日志监控您的 AWS 账户中的活动。
数据备份。
在我们开始之前,您可能想要获取 AWS CLI 控制台。它可以用来管理某些事情,代码迷会喜欢它作为 GUI 的替代品。
必备一:创建 IAM 用户
创建 AWS 账户非常简单。它只需要您注册并添加身份和访问管理 (IAM) 用户。从理论上讲,后者仍然是可选的,但出于安全原因,我们强烈推荐它——AWS 也这样做——这在AWS文档中以及用于创建账户的两个步骤中进行了解释。此外,它是我们在本文后面提出的一些安全措施的必要前提。
您可以将IAM链接保存在浏览器的某处,例如将其添加到书签窗格。这对于快速登录您的 AWS 账户非常方便。
现在,我们已准备好处理您的 AWS 账户安全问题。
必备 2:激活和执行 2FA
目的和选项
激活的 MFA 使您的用户除了输入他们的 AWS/IAM 凭证外,还可以使用另一种身份验证方法。AWS 为您提供以下选择:
生成基于时间的一次性密码 (TOTP) 的软件。它可以安装在您的智能手机、平板电脑甚至 PC/Mac 上。包括最流行的身份验证器,例如 Google。
来自少数选定第三方提供商的硬件密钥,例如 USB 设备或卡。
其他硬件 MFA 设备。
显然,最后两种方法意味着额外的成本。此外,您需要确保主用户设备与硬件密钥兼容。
执行 MFA
在 AWS 中,您不能为其他用户设置 MFA 方法。他们只能自己做。但您可以强制他们添加 MFA 设备。
本文介绍了这些步骤。配置 MFA 策略后,用户在激活 MFA 之前无法执行大部分操作。
激活 MFA
每个用户都从 IAM 控制台激活和管理他们的 MFA 设备,可通过您之前保存的链接进行访问。
MFA 也可用于 root 用户。为此,您需要登录到您的根用户帐户。
必备 3:创建稳健的密码策略
我们依靠 [American] National Institute of Standards and Technology (NIST) 提供的密码指南,也称为NIST Special Publication 800-63B。
NIST 为您的密码策略提出了两个与 AWS 安全相关的主要目标:
通过简化密码创建来激励用户创建唯一密码。
不要太频繁地强迫他们的创造力。
这些目标的实现掌握在您的手中。
流畅的用户体验以获得更好的密码
简而言之,NIST 建议您不要使用复杂的密码,而是使用长而人性化的密码。例如,"monkeys-draw-silver-cars"比"!k§jd"好。用户更容易记住,这意味着他们不会为不同的帐户重复使用密码。当密码泄露时,只有一个系统受到影响。
没有密码过期
重置密码的必要性经常导致密码重复使用或使用某些模式创建的密码,例如姓名和出生年份的串联,这很容易被黑客破解。
但是,我们建议强制用户在首次登录时更改密码。
如何
可以使用 GUI、CLI 甚至 API 为 IAM 用户设置密码策略。
必备 4:RBAC 和 ABAC
精细的访问控制是一个重要的安全先决条件。只有当您知道谁可以做什么以及在哪里可以(希望)避免数据泄漏时。
RBAC 与 ABAC
一方面,AWS 权限概念是以服务为中心的。您授予或限制对某些服务的访问。
另一方面,AWS 还提供以实例为中心的 ABAC 模型,允许您仅授予跨所有服务或仅在一项服务内的某些实例的访问权限。
然后,权利和限制被“聚合”成策略,这些策略可以进一步“聚合”并一个一个或一个组合地分配给一个角色。然后将角色分配给用户或用户组。
事实上,这些模型的最大力量在于它们的协同作用。
实施前
RBAC 和 ABAC 模型的实现都是从安全矩阵开始的。
安全矩阵将所有用户分成几个组,每个组具有一定范围的访问权限。一方面是可以做几乎所有事情的管理员,另一方面通常是只读用户。在这两者之间,您可以放置??只能访问某些资源或只能以某种方式(读取或写入它们)的用户。
矩阵至少需要有两个维度:服务和实例。
最小权限规则
您如何决定授予哪些权限?
我们建议坚持最低权限规则:只要没有明确需要,就不要授予权限。换句话说,不要“以防万一”授予任何权限。请记住,这与您对同事的个人信任无关。这是关于您的任何同事被黑客入侵以及他们的 AWS 凭证落入坏人之手的危险。您的团队成员拥有的访问权限越少,黑客成功的机会就越低!
使用 ABAC 模型的先决条件
在您可以在其中一个实施步骤中使用此模型之前,您需要标记您的 AWS 实例。
如何
请参阅我们即将发布的关于实施 RBAC/ABAC 的教程。
必备 5:安全浏览的只读访问权限
除了将某些用户限制为只读访问之外,那些可以更改任何资源的人可能希望坚持这种安全措施:以只读访问权限浏览。通过这样做,您可以减少当某人必须在压力下工作或可能是团队新手或一般经验不足时总是发生的人为错误。
AWS 允许用户切换 IAM 角色并获得/失去权限,具体取决于所承担的角色。只要用户不打算更改 AWS 实例中的任何内容,就可以安全地在其中移动并担任受限角色。
您需要创建一个用户组并为其附加一个预定义的策略。将用户添加到该组并允许他们。
使用 GUI、CLI 和 API 时可能会发生切换。
必备 6:获取活动日志
在许多情况下,数据泄露的发生是因为恶意代理获得了 AWS 账户凭证。因此,监控 AWS 用户活动非常重要。最佳实践是通过编程来检测可疑模式。但是,第一步是开始为每个用户和任何类型的访问生成日志,无论是通过 GUI、CLI、SDK 还是 API。
AWS 甚至为此提供了一个本地服务,称为CloudTrail。实际的日志可以存储在 S3 中。
必备 7:数据备份
无论导致数据泄露的原因是什么,您的数据不仅会暴露,而且还会丢失。
AWS 备份可用于任何 AWS 原生服务和一些选定的第三方服务,包括 EC2 和 S3。
结论
我们希望对 AWS 安全必备项有所了解。
如您所见,完整的帐户安全配置需要您付出相当大的努力。我们目前正在编写一些教程,这些教程将帮助您在 AWS 实例中实现这些必备功能。