AWS安全实践.doc

AWS安全实践 目录 AWS安全最佳实践#1：禁用root API 访问密钥 2 AWS安全最佳实践#2：在任何时候开启MFA令牌 5 AWS安全最佳实践#3：通过Admin权限减少IAM用户的数量 7 AWS安全最佳实践#4：利用EC2的Roles功能 9 AWS安全最佳实践#5：最小化权限 13 标签：安全,Amazon Web Services,应用,aws AWS安全最佳实践#1：禁用root API 访问密钥 从本文起，我们开始撰写一系列博文来总结AWS安全相关的十大最佳实践，这些经验总结来自安全工作者和AWS工作人员的大规模AWS部署实践。其中大部分操作起来都非常简单，但却影响着AWS实践的成败。在AWS的说明中，“root”用户是用来建立AWS账户的登录凭证。曾今，在连接AWS服务的许多地方都必须使用“root”用户。然而，时至今日，“root”用户在AWS基础设施运维中已经可有可无。 在这里，我们推荐禁用这个用户，甚至是删除AWS root API 访问密钥。使用root用户登录Security Credentials page，删除或者禁止任何你可以看到的访问秘钥。 进入Credentials页面时收到的AWS控制台警告 在禁用AWS访问密钥之前，你还需要一些准备工作。 1. 通过管理策略建立至少2个（不超过3个）IAM用户 需要注意的是，你肯定不期望将每个IAM用户都设置为管理员用户！Evident Security Platform（ESP）可以帮助你完成这个设置，并在管理员权限设置不足或者太多时进行提醒。 当设置太多管理员用户时ESP会进行提醒 2. 在实例需要访问其他AWS服务时为其配置IAM Roles 常见用例是存储或者检索S3 bucket、SQS、SNS等服务中的对象，更多信息可访问这里。在这个系列后续的博文中，我们将详细阐述EC2的Roles。 3. 在你的账户中开启Billing和Recovery相关功能 同样是登入root user的前提下，进入 My Account并填写以下几个信息：Alternate Contacts、Security Challenge Questions和IAM User Access to Billing Information。 在移除root 账户和 API访问秘钥之前，一个新的AWS账户需要完整填写上述信息 首先，你的内部邮件分发列表将能够分别从AWS收到与账户相关的支持、账单及安全提醒，当然这个邮件列表是你注册到AWS时所设定的。 其次，最重要的是，当你丢失root账户凭证或者更糟糕的状况发生时，你可以恢复你的账户，如果你为root账户或者IAM凭证做了相关折中设置。 最后，通过IAM用户你可以设置和获得账单分析数据，这样你就可以搭配使用类似Cloudability的第三方花费管理平台。 本文章属于AWS安全最佳实践的第二篇。在上篇禁用root API访问秘钥的文章中，我们推荐建立至少2个（不超过3个）的IAM用户来代替root AWS用户。之所以建立2个是为了避免单点故障（Single Point of Failure），而不超过3个则是为了更好的掌控（这一点我们将在后续的博文中详述）。这篇文章我们将深入探讨Multi-Factor Authentication（MFA），讲述你需要它的原因和需要使用它的地方，同时我们还将分析为什么缺少它基础设施就会存在安全隐患。 在任何时候开启MFA令牌 如果你已经完成了本系列第一篇文章中的操作，那么你现在已经使用IAM替代了原有的root账户，现在我们来谈谈Multi-Factor Authentication（MFA）。首先，什么是MFA？我们不妨看看AWS MFA 页面中的一段介绍：“一个简单的最佳实践，它会在username和password上添加一个额外的安全层”。在这个页面中，你可以获得配置MFA的详细信息，那么它究竟是什么？简单的说，它是一个安全层，多于一种类型的身份验证。因此，你的密码可以是一种类型的身份验证，它可以喝其他类型的认证一起组成一个MFA。安全，就是这么简单。 MFA通常通过添加一个与用户名和密码独立的物理或者虚拟设备实现。这些设备会产生随机值来补充用户名和密码组合，从而更好地验证用户身份。在技术公司蓬勃发展的当下，使用物理令牌来补充密钥已经非常常见，使用移动设备上的App也非常常见（可能这种方式更容易被人们接受，同时也不容易丢失）。作为对字母数字的补充，生物识别技术也愈来愈普遍，设备通过扫描人体的不同部分进行身份验证，比如视网膜、指纹等。 那么，我们为什么需要添加一个额外的安全层？在现实世界中，你看电影的时候不可能永远坐在最后一排，你偶尔也会看到前方的人为了订购一杯拿铁在App上