AWS專(zhuān)業(yè)服務(wù)免注冊免綁卡代充值美金：AWS服務(wù)器使用起來(lái)怎么才能安全加固防御呢？
聚搜云（www.4526.cn）是上海聚搜信息技術(shù)有限公司旗下品牌，坐落于魔都上海，服務(wù)于全球、2019年成為阿里云代理商生態(tài)合作伙伴。與阿里云代理商、騰訊云、華為云、西部數碼、美橙互聯(lián)、谷歌云、AWS亞馬遜云國際站代理商、聚搜云,長(cháng)期戰略合作的計劃！阿里云國際站代理商專(zhuān)業(yè)的云服務(wù)商！
AWS 在許多方面讓我們的生活更輕松。但是，正如經(jīng)常發(fā)生的那樣，為了解決所有可能的需求，它最終帶來(lái)了太多功能而無(wú)法關(guān)注。沒(méi)有專(zhuān)門(mén)的 AWS 管理員的新手或小型團隊可能會(huì )迷路或花費太多時(shí)間來(lái)管理和配置它。
在我們的新系列中，我們希望幫助每個(gè)人完全從頭開(kāi)始設置 AWS 賬戶(hù)。
我們會(huì )經(jīng)常將您發(fā)送到 AWS 文檔。我們編寫(xiě)這個(gè)博客系列的目標是在一個(gè)地方為您提供所有有用的鏈接，并指出您之前可能忽略的事實(shí)。
我們從安全開(kāi)始。
AWS 安全必備
遵循一般和基于 AWS 的最佳安全標準，我們將引導您完成以下設置：
創(chuàng )建 IAM 用戶(hù)。
多因素身份驗證 (MFA)。
安全密碼策略。
基于角色的訪(fǎng)問(wèn)控制 (RBAC) 或基于屬性的訪(fǎng)問(wèn)控制 (ABAC)。
安全瀏覽具有只讀訪(fǎng)問(wèn)權限的 AWS 實(shí)例。
使用日志監控您的 AWS 賬戶(hù)中的活動(dòng)。
數據備份。
在我們開(kāi)始之前，您可能想要獲取 AWS CLI 控制臺。它可以用來(lái)管理某些事情，代碼迷會(huì )喜歡它作為 GUI 的替代品。
必備一：創(chuàng )建 IAM 用戶(hù)
創(chuàng )建 AWS 賬戶(hù)非常簡(jiǎn)單。它只需要您注冊并添加身份和訪(fǎng)問(wèn)管理 (IAM) 用戶(hù)。從理論上講，后者仍然是可選的，但出于安全原因，我們強烈推薦它——AWS 也這樣做——這在A(yíng)WS文檔中以及用于創(chuàng )建賬戶(hù)的兩個(gè)步驟中進(jìn)行了解釋。此外，它是我們在本文后面提出的一些安全措施的必要前提。
您可以將IAM鏈接保存在瀏覽器的某處，例如將其添加到書(shū)簽窗格。這對于快速登錄您的 AWS 賬戶(hù)非常方便。
現在，我們已準備好處理您的 AWS 賬戶(hù)安全問(wèn)題。
必備 2：激活和執行 2FA
目的和選項
激活的 MFA 使您的用戶(hù)除了輸入他們的 AWS/IAM 憑證外，還可以使用另一種身份驗證方法。AWS 為您提供以下選擇：
生成基于時(shí)間的一次性密碼 (TOTP) 的軟件。它可以安裝在您的智能手機、平板電腦甚至 PC/Mac 上。包括最流行的身份驗證器，例如 Google。
來(lái)自少數選定第三方提供商的硬件密鑰，例如 USB 設備或卡。
其他硬件 MFA 設備。
顯然，最后兩種方法意味著(zhù)額外的成本。此外，您需要確保主用戶(hù)設備與硬件密鑰兼容。
執行 MFA
在 AWS 中，您不能為其他用戶(hù)設置 MFA 方法。他們只能自己做。但您可以強制他們添加 MFA 設備。
本文介紹了這些步驟。配置 MFA 策略后，用戶(hù)在激活 MFA 之前無(wú)法執行大部分操作。
激活 MFA
每個(gè)用戶(hù)都從 IAM 控制臺激活和管理他們的 MFA 設備，可通過(guò)您之前保存的鏈接進(jìn)行訪(fǎng)問(wèn)。
MFA 也可用于 root 用戶(hù)。為此，您需要登錄到您的根用戶(hù)帳戶(hù)。
必備 3：創(chuàng )建穩健的密碼策略
我們依靠 [American] National Institute of Standards and Technology (NIST) 提供的密碼指南，也稱(chēng)為NIST Special Publication 800-63B。
NIST 為您的密碼策略提出了兩個(gè)與 AWS 安全相關(guān)的主要目標：
通過(guò)簡(jiǎn)化密碼創(chuàng )建來(lái)激勵用戶(hù)創(chuàng )建唯一密碼。
不要太頻繁地強迫他們的創(chuàng )造力。
這些目標的實(shí)現掌握在您的手中。
流暢的用戶(hù)體驗以獲得更好的密碼
簡(jiǎn)而言之，NIST 建議您不要使用復雜的密碼，而是使用長(cháng)而人性化的密碼。例如，"monkeys-draw-silver-cars"比"!k§jd"好。用戶(hù)更容易記住，這意味著(zhù)他們不會(huì )為不同的帳戶(hù)重復使用密碼。當密碼泄露時(shí)，只有一個(gè)系統受到影響。
沒(méi)有密碼過(guò)期
重置密碼的必要性經(jīng)常導致密碼重復使用或使用某些模式創(chuàng )建的密碼，例如姓名和出生年份的串聯(lián)，這很容易被黑客破解。
但是，我們建議強制用戶(hù)在首次登錄時(shí)更改密碼。
如何
可以使用 GUI、CLI 甚至 API 為 IAM 用戶(hù)設置密碼策略。
必備 4：RBAC 和 ABAC
精細的訪(fǎng)問(wèn)控制是一個(gè)重要的安全先決條件。只有當您知道誰(shuí)可以做什么以及在哪里可以（希望）避免數據泄漏時(shí)。
RBAC 與 ABAC
一方面，AWS 權限概念是以服務(wù)為中心的。您授予或限制對某些服務(wù)的訪(fǎng)問(wèn)。
另一方面，AWS 還提供以實(shí)例為中心的 ABAC 模型，允許您僅授予跨所有服務(wù)或僅在一項服務(wù)內的某些實(shí)例的訪(fǎng)問(wèn)權限。
然后，權利和限制被“聚合”成策略，這些策略可以進(jìn)一步“聚合”并一個(gè)一個(gè)或一個(gè)組合地分配給一個(gè)角色。然后將角色分配給用戶(hù)或用戶(hù)組。
事實(shí)上，這些模型的最大力量在于它們的協(xié)同作用。
實(shí)施前
RBAC 和 ABAC 模型的實(shí)現都是從安全矩陣開(kāi)始的。
安全矩陣將所有用戶(hù)分成幾個(gè)組，每個(gè)組具有一定范圍的訪(fǎng)問(wèn)權限。一方面是可以做幾乎所有事情的管理員，另一方面通常是只讀用戶(hù)。在這兩者之間，您可以放置??只能訪(fǎng)問(wèn)某些資源或只能以某種方式（讀取或寫(xiě)入它們）的用戶(hù)。
矩陣至少需要有兩個(gè)維度：服務(wù)和實(shí)例。
最小權限規則
您如何決定授予哪些權限？
我們建議堅持最低權限規則：只要沒(méi)有明確需要，就不要授予權限。換句話(huà)說(shuō)，不要“以防萬(wàn)一”授予任何權限。請記住，這與您對同事的個(gè)人信任無(wú)關(guān)。這是關(guān)于您的任何同事被黑客入侵以及他們的 AWS 憑證落入壞人之手的危險。您的團隊成員擁有的訪(fǎng)問(wèn)權限越少，黑客成功的機會(huì )就越低！
使用 ABAC 模型的先決條件
在您可以在其中一個(gè)實(shí)施步驟中使用此模型之前，您需要標記您的 AWS 實(shí)例。
如何
請參閱我們即將發(fā)布的關(guān)于實(shí)施 RBAC/ABAC 的教程。
必備 5：安全瀏覽的只讀訪(fǎng)問(wèn)權限
除了將某些用戶(hù)限制為只讀訪(fǎng)問(wèn)之外，那些可以更改任何資源的人可能希望堅持這種安全措施：以只讀訪(fǎng)問(wèn)權限瀏覽。通過(guò)這樣做，您可以減少當某人必須在壓力下工作或可能是團隊新手或一般經(jīng)驗不足時(shí)總是發(fā)生的人為錯誤。
AWS 允許用戶(hù)切換 IAM 角色并獲得/失去權限，具體取決于所承擔的角色。只要用戶(hù)不打算更改 AWS 實(shí)例中的任何內容，就可以安全地在其中移動(dòng)并擔任受限角色。
您需要創(chuàng )建一個(gè)用戶(hù)組并為其附加一個(gè)預定義的策略。將用戶(hù)添加到該組并允許他們。
使用 GUI、CLI 和 API 時(shí)可能會(huì )發(fā)生切換。
必備 6：獲取活動(dòng)日志
在許多情況下，數據泄露的發(fā)生是因為惡意代理獲得了 AWS 賬戶(hù)憑證。因此，監控 AWS 用戶(hù)活動(dòng)非常重要。最佳實(shí)踐是通過(guò)編程來(lái)檢測可疑模式。但是，第一步是開(kāi)始為每個(gè)用戶(hù)和任何類(lèi)型的訪(fǎng)問(wèn)生成日志，無(wú)論是通過(guò) GUI、CLI、SDK 還是 API。
AWS 甚至為此提供了一個(gè)本地服務(wù)，稱(chēng)為CloudTrail。實(shí)際的日志可以存儲在 S3 中。
必備 7：數據備份
無(wú)論導致數據泄露的原因是什么，您的數據不僅會(huì )暴露，而且還會(huì )丟失。
AWS 備份可用于任何 AWS 原生服務(wù)和一些選定的第三方服務(wù)，包括 EC2 和 S3。
結論
我們希望對 AWS 安全必備項有所了解。
如您所見(jiàn)，完整的帳戶(hù)安全配置需要您付出相當大的努力。我們目前正在編寫(xiě)一些教程，這些教程將幫助您在 AWS 實(shí)例中實(shí)現這些必備功能。