将现有的企业应用程序迁移到亚马逊网络服务(AWS)云可以为您的组织提供一些有用的安全优势。但云安全绝对是一个团队运动 - 一个与AWS密切合作的团队运动,并保持通知和订婚,可以提出危重差异。
在过去的十年中,对公共云环境安全的态度很大。今天,IT决策者现在在很大程度上接受了这一级数AWS等公共云提供商维护IT安全专业知识和能力,即少数企业会 - 或者可以尝试匹配。
该专业知识应告知您的组织云移民举措的基本安全战略:依靠实际指导;从规划阶段向前建立安全考虑因素;并理解并遵循供应商的最佳实践建议。
“首先,云提供商是安全的专家。使用他们提供和建议的工具和流程以促进高度安全的环境,“云架构高级总监Lee Atchison说新遗物。“这些可能与您在本地使用的最佳实践不同,但没关系。AWS是AWS平台上的安全专家。使用这种专业知识。“
让我们检查AWS环境的其他一些安全提示和工具。虽然我们的重点是涉及遗产的迁移项目,但在部署云环境的现代应用程序时通常适用相同的原则。
云迁移的安全见解
许多组织继续依靠“升级”迁移,旨在将现有应用程序移动到现有应用程序,从内部内部环境到AWS等公共云平台。电梯和换档项目可以是一种快速而廉价的方式来启动逐步的长期云策略,但他们也提出了一些重要的安全问题。
“将现有的工作量升级为AWS是一种快速启动到公共云的快速方法 - 但是这样做并不是没有风险,”乔纳森海滩州长使命,AWS托管服务提供商。他说,减轻风险,可以涉及从遗留环境中携带的一些安全工具和最佳实践中的选择,符合AWC云环境所独有的一些安全工具和最佳实践。
1。考虑使用AWS虚拟私有云(VPC)
“在远程环境传统上使用网络分段,网络设备,本地防火墙和其他此类机制来实现和实施安全性。在进行升力时,通常会复制现有工作负载的网络拓扑亚马逊VPC为了缓解这种过渡,“Lacour说。
新的遗物的阿斯基森指出,使用亚马逊VPC为软件团队提供粒度控制。“当您利用Amazon VPC时,您可以获得一个非常详细的管理虚拟网络内流量的能力,”Atchison解释说。“您有数据包过滤,L2防火墙,L4防火墙和L7防火墙。充分利用这些工具。“
2。了解在哪里以及如何在不重构的情况下应用AWS安全功能
Lacour指出,迁移现有的应用程序不仅仅是关于复制您的旧安全账单;它是关于利用本机工具和处理AWS优惠。
“AWS提供了一个完全新的原语,以利用所有层次的安全性,”Lacour说。“一旦完成了升力,我建议工作负载快速应用这些新的基元,应用主机级和网络级边界,利用安全组,通过IAM实现细粒度的访问控制,以及加密在运输中的数据在休息。“
虽然一些AWS安全功能可能要求您重构您的应用程序,但是Lacour指出,许多人可以立即使用升降机工作负载:“升力......仍然可以应用许多最佳实践和安全功能重构以在额外的图层应用安全性。“
3.在迁移期间和之后,不要忽视关键安全基本面
根据阿施蒂森,在移民期间和之后,三个基本实践尤为重要:
- 最重要的特权:最重要的特权原则可以广泛应用,但是在完成云迁移后,它应该是您的安全策略的驱动力。“始终在网络的所有方面都在网络中使用最小特权方法,”阿斯彻森说。“这适用于数据包路由等的内容 - 仅允许所需的数据包通过,而不是允许所有但是不良数据包才能通过。但它也适用于权限管理;只允许一项服务来做它需要做的事情,而且没有。
在该静脉中,Atchison推荐为每个服务分配自己的独特凭据,从不共享那些凭据,而且只提供他们实际需要的访问。这包括完全撤销一个特权。
“在适当的网络中,有不他说,真正的人类应该需要在生产网络中获得深入了解的原因。““需要使用适当凭据的自动化工具,而不是登录到安全计算机。登录生产服务器是一个否。“
- L.ogging:日志记录很重要,而Atchison则表示这应该包括一切 - 所有成功的访问尝试和不成功的东西。他补充说,应该将日志发送到并存储在不同的安全环境中,例如单独的VPC。
- L.艾尔斯:“分层安全流程和程序在云中最好地工作,“阿瑟森说。“通常可以为在预境中说同样的,但在云中尤其如此。”
例如,您可以使用多个VPC,Atchison表示,取决于您想要进入您的应用程序的深度。前端服务的前端服务是最不安全的,而最重要的VPC将是最安全的,并且您的数据存储和其他安全信息将存在。
云现代化的安全见解
当人们指的是现代化一个应用程序,他们通常会引用重新处理它(包括重写代码)以更好地在AWS这样的云环境中运行。这个流行的术语是重构。它还可以指云本机开发,意思是专门用于利用云和相关技术(如容器)的应用程序。
就像初始云迁移一样,这有其自己的安全考虑因素:
1.准备好处理复杂性
“随着您的现代化应用程序,组件的数量将大小从根本上增加,而每个组件的大小将减小大小,”Atchison表示,这是指微服务架构的增长作为云本地开发方法。“这在您的应用程序部分之间提供了更多的分离 - 从安全性的角度来看,这是良好的 - 但这意味着您的云安全控件将获得更多复杂,因为有更多的交叉连接组件。拥有规范这些安全方面的计划和战略是重要的。“
根据Atchison,自动化成为难题的越来越重要的拼图,如可重复的过程;限制了将错误引入越来越复杂的云系统的机会。
2.利用AWS批评的框架
当涉及到现代化云的应用程序 - 无论是重构现有的应用程序还是建立一个专门在AWS中运行的新应用程序 - 很多专业知识都被收集在一个地方:AWS批评框架。这是跨越五大支柱的AWS的最佳实践的纲要,包括一个安全柱子。
“在现代化AWS申请时,我建议使用良好的安全保安支柱作为指导变革的一个有效的蓝图,”Lacour说。“该框架概述了云中安全性的七个设计原则,包括实施强有力的身份基础,在所有层,自动化安全最佳实践和保护中的安全性和休息中的数据应用安全。”
Lacour补充说,该框架包括实用提示以及设计最佳实践。“示例包括使用IAM,集中管理和执行具有AWS组织的策略的原则,通过捕获和分析日志来应用侦探控件,并建立具有Amazon VPC安全组的状态主机级防火墙。“
3.选择启用并扩展可见性的工具
一些团队可能会展望第三方工具,也可以在他们的云脚印增长时吸收他们的安全姿势。随着IT环境变得更加分布和可扩展,可见性成为越来越多的问题。更具体地说,Atchison指出,必须测量和监测甚至熟悉的安全过程,以确保其持续的疗效。在此上下文中,保持云应用程序的性能和健康的关闭标签,包括资源消耗和使用模式,具有可观察性平台,如新的遗物一体可能尤为重要。
“你知道你的系统如何运作内部的功能越多,你就越放心,你可以安全地运行,”阿斯彻森说。“新遗物可以让您了解您的应用程序或服务实际执行的方式,这可能与您认为的表现不同。区别可能意味着安全和非安全系统的差异。“
