亞馬遜Web服務(wù)(AWS)為其自己的基礎(chǔ)設(shè)施提供了一套強(qiáng)大的控制措施，但是確保各臺(tái)服務(wù)器的安全性是客戶的責(zé)任而不是亞馬遜的，明確這一點(diǎn)是很重要的，即這是分擔(dān)責(zé)任模式的一部分。

[[134397]]

要想了解這一個(gè)不同的模式還是有一定難度的。總之，讓亞馬遜提供漏洞管理可能是不可行的，因?yàn)槁┒垂芾硪笤朴?jì)算供應(yīng)商能夠?qū)γ恳慌_(tái)服務(wù)器都擁有管理員級(jí)別或root級(jí)別的訪問(wèn)權(quán)限，而這樣做無(wú)疑是數(shù)據(jù)隱私的一個(gè)無(wú)邊噩夢(mèng)。

同樣需特別指出的是，雖然亞馬遜對(duì)其所擁有的基礎(chǔ)設(shè)施是定期進(jìn)行漏洞測(cè)試的，但是對(duì)于用戶企業(yè)所控制單個(gè)IP這并不意味著安全性。用戶應(yīng)當(dāng)對(duì)AWS中的 IP地址、其他任何私有或公共IP地址一視同仁，并以相同的方式處理，而企業(yè)漏洞管理策略應(yīng)當(dāng)被擴(kuò)展至由AWS所托管的服務(wù)器。

在本文中，我將詳細(xì)討論一下，企業(yè)在分擔(dān)責(zé)任模式下AWS漏洞掃描在他們方面所必須實(shí)施的工作。

AWS漏洞管理

AWS中漏洞管理的最佳方法就是在AWS中直接安裝一個(gè)漏洞掃描設(shè)備的虛擬實(shí)例——例如Qualys公司的產(chǎn)品或Tenable網(wǎng)絡(luò)安全公司的 Nessus。雖然AWS通常要求得到明確的許可以便于在AWS基礎(chǔ)設(shè)施中的服務(wù)器上運(yùn)行任何形式的漏洞評(píng)估，但是在企業(yè)用戶的實(shí)例中安裝一個(gè)虛擬設(shè)施就可以規(guī)避這一要求——這主要取決于所購(gòu)買(mǎi)的類(lèi)型。該虛擬實(shí)施可根據(jù)需要以任意頻率運(yùn)行預(yù)定義的掃描。如果被賦予了有效的管理員級(jí)(Windows系統(tǒng))或 root級(jí)(Unix系統(tǒng))訪問(wèn)權(quán)限，那么虛擬掃描設(shè)備就能夠?yàn)椴僮飨到y(tǒng)、第三方軟件甚至系統(tǒng)配置中的漏洞提供補(bǔ)丁。

一般來(lái)說(shuō)，虛擬漏洞掃描設(shè)施能夠?qū)C2和亞馬遜VPC中的私有和公共IP地址進(jìn)行掃描，并能夠?qū)νㄟ^(guò)IPSec VPN與亞馬遜相連的私有IP地址以及互聯(lián)網(wǎng)上的公共IP地址進(jìn)行掃描。用戶可以從亞馬遜市場(chǎng)購(gòu)買(mǎi)，亞馬遜將通過(guò)亞馬遜機(jī)器映像(AMI)向用戶交付。一旦購(gòu)買(mǎi)成功，亞馬遜將從AWS EC2 控制臺(tái)(可通過(guò)AWS管理控制臺(tái)訪問(wèn))啟動(dòng)AMI實(shí)例。購(gòu)買(mǎi)虛擬掃描設(shè)施通常需要一個(gè)對(duì)相關(guān)漏洞掃描SaaS的現(xiàn)有訂購(gòu)。在一些情況下，AMI是作為 SaaS標(biāo)準(zhǔn)訂購(gòu)中的一部分;而在其他情況下，它是作為一個(gè)額外的功能。

運(yùn)行漏洞掃描虛擬設(shè)施的成本主要分為兩個(gè)部分。其一，就是AMI使用自有設(shè)施的成本。其二，AWS 會(huì)對(duì)運(yùn)行該設(shè)施收取費(fèi)用。該費(fèi)用涵蓋了基于實(shí)例類(lèi)型的計(jì)算資源(這是其中的大頭)、被使用的存儲(chǔ)資源以及數(shù)據(jù)的傳輸。

在漏洞掃描之后

運(yùn)行AWS漏洞掃描僅僅只是確保系統(tǒng)安全的第一步。企業(yè)還需要確保他們擁有相關(guān)的專(zhuān)業(yè)技術(shù)知識(shí)來(lái)解釋和分析掃描結(jié)果;雖然漏洞掃描設(shè)施是非常有用的工具，但是它們也很容易出現(xiàn)誤報(bào)和缺少在企業(yè)環(huán)境中對(duì)漏洞嚴(yán)重等級(jí)進(jìn)行打分的能力。只要用戶能夠正確地理解這一技術(shù)，那么漏洞掃描應(yīng)當(dāng)能夠在AWS中為服務(wù)器部署發(fā)揮積極的作用。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89043.htm