【Cloud】云端通用安全指南

前言

在公共云中设置公共服务的那一刻，你就会受到来自世界各地不同地方的攻击。 如果你在不知情的情况下使用公共服务，不知不觉中，数据就会被窃取或被植入恶意软件，导致安全事故。

为了最大限度地发挥使用云计算的优势，我们需要了解最新的威胁，了解自己的环境，并始终将其保持在适当的状态，正如孙子兵法所说：”知彼知己，百战不殆“。

总结了云端上需要采取的十一点安全措施，个人认为这些措施是必须遵守的安全策略，但并不仅仅局限于这些。

安全指南

认证

1. 以安全的方式存储验证密钥- 引入多因素身份验证/双因素身份验证 (MFA)（如 PKI 身份验证的私人密钥密码等）- 尽可能避免 "持有 "验证密钥（使用 ESO（企业登录），Federation 等））- 验证密钥不与他人共享- 不要将验证密钥放在他人能看到的地方（EC2/GitHub/云存储等）- 密钥定期轮换
2. 设置密码策略- 请勿使用默认密码策略- 密码长度至少应为 12 个字符- 至少应使用大写字母、小写字母、数字和符号中的三种类型- 定期更新密码（如每 75 天更新一次）

访问控制

1. 设置适当的访问控制 - 设置权限，只有获得访问权限的人才能操作对象和数据- 授予对象和数据最低的访问权限- 明确区分管理员用户和非管理员用户（责任分工）- 限制通信线路，使只有少数特定用户可以访问- 使用角色和组进行授权（不要将策略直接附加到用户）

网络

1. 尽量减少面向互联网的公开- 应尽可能消除与互联网之间的通信需求。即使不可能，也应尽量减少/局部化。- 云服务的“公开访问”应设置为 Off- 虚拟机和数据库等对象应包含在虚拟网络中- 用于与互联网的通信，应当 - 使用云威胁服务检测威胁。- 在发现威胁时，定期审查通知的适当接收方。
2. 只允许必要的流量- 对于源 IP 和端口严禁使用 0.0.0.0/0- 对于从 AWS 到外部（包括互联网）的通信，严禁将目标 IP 和端口设置为 0.0.0.0/0- 为互联网之间的传输而开放的端口应符合 FASM 矩阵- 如果必须打开，则要确定打开的服务并抵御攻击

日志

1. 确保日志取得 - 确保可在云中捕获的所有日志都会被捕获，例如： - 云控制台操作日志- 网络通讯日志- 网络访问/登录日志- 操作系统日志（信息/安全/审计等）- 确保事件发生时可追溯/获取证迹

监控

1. 确保允许对资源操作进行审计- 将云中的所有操作记录为跟踪记录- 记录资源变更，以便对其进行跟踪- 定期检查审计日志，防止未经授权的访问和篡改- 确保在事件发生时可进行后续跟进/跟踪
2. 确保能检测到威胁- 使用云威胁服务检测威胁- 安装安全工具- 在发现威胁时，定期审查通知的适当接收方

加密

1. 存储的数据必须加密- 虚拟机和数据库的数据存储区域（如磁盘）是加密的- 加密密钥由云供应商提供的密钥管理服务创建和管理- 特别是，日志存储区域（如 S3 和 CloudWatch 日志）应使用管理员用户的权限进行加密和授权，以便非管理员用户无法读取或删除它们
2. 在传输过程中加密数据- 确保互联网上的通信是加密的（TLS 1.2）- 加密连接到云端的通信（特别是连接到 Windows EC2 的远程桌面连接（RDP (TCP/3389)，需要通过 VPN 连接）- 连接数据库（RDS/ElastiCache 等）的通信应加密

安全运维

1. 始终保持操作系统和内核的最新状态 - 注意其中包含的软件包（在某些情况下，如果操作系统版本升级，软件包将无法使用）

结语

在处理爆炸物和毒药等危险材料的历史上，各种规则的制定和实施使人类得以在日常生活中安全地使用这些材料。

今天，公共云正处于类似“没有既定的规则，许多地方因操作不当，而导致硝化甘油发生爆炸事故的黎明期”这种局面。

让我们以史为鉴，让公共云成为一个可以安全的使用世界！