尽管需要额外的工作和精力，但开发人员可以使用预配强化的OS来更好的保护AWS里的数据。

云管理员负责确保AWS资源的安全性。使用强化的亚马逊机器镜像是一种启动安全弹性计算实例的方式，同时避免了各种耗时的与操作系统安全相关的配置任务。互联网安全中心在AWS市场提供了一些强化版的Linux操作系统。

互联网安全中心（CIS）是一个网络安全组织，定期举办安全培训讲座并发布互联网安全状态的年度报告。除此之外，该组织还发布与一个安全的OS相关的广泛配置的安全基准指南。

CIS的指南会具体到一些低级别的细节，如保护启动过程。例如，对bootloader的配置设置权限来保护启动参数和设置。配置bootloader，仅允许读和只对root用户的写权限就是一个简单的好方法，但往往很容易被忽略。

同样，CIS建议管理员要求用户身份验证——即使是在单用户模式下。要配置这个，需要为root用户设置一个密码。如果没有用户认证，黑客可以重启机器然后获得root用户的访问权限。

对于高级别的安全问题，CIS建议禁用遗留服务来保护其他的软件不被攻击。要做到这点，需要禁用软件或者整个移除。

强化一个操作系统可能花费大量的时间和精力。即便很多变更实现起来不难，但也增加了引入错误的几率。AWS市场上提供了几个强化的OS，包括GoldDisk Plus、CIS Amazon Linux和CIS Ubuntu。下面来看看每一种选项。

GoldDisk Plus。GoldDisk Plus是一个Windows 2008 R2 64位的安全版本，针对Amazon弹性计算云（EC2）和弹性块存储（EBS）实例。该OS镜像符合国防信息系统局（DISA）安全技术实施指南（STIG），并可以选择包括一个名为ConfigOS的自动修复工具。GoldDisk Plus包括一组STIG兼容的软件和其他组件，如Internet Explorer 10，一个.NET框架4v1和IIS 7.0。

GoldDisk Plus的定价取决于AWS实例的大小和区域。范围从每小时0.02美金的t1.micro实例到每小时7.842美金的i2.8xlarge实例。

CIS Amazon Linux。该选项是强化的64位Linux的Amazon机器镜像（AMI）。这是由CIS开发的操作系统，并基于它的安全基准指南来保证其安全性。同GoldDisk Plus类似，该强化的OS支持在EC2和EBS实例上使用。

CIS Amazon Linux实例的价格范围是0.033美元/小时的t2.micro镜像到6.84美元/小时的i2.8xlarge实例——在美国东部地区。

CIS Ubuntu。该CIS Ubuntu版本的强化OS使用Ubuntu 14.04 LTS x64；它符合CIS的安全基准，并支持在EC2和EBS实例上使用。

CIS Ubuntu的定价同CIS Amazon Linux一样。范围涵盖0.033美元/小时的r2.micro镜像到6.84美元/小时的i2.8xlarge实例。价格因地区而异。

尽管使用预配置的，强化的OS可以降低数据泄露或攻击的风险，但也有利弊上的权衡。有些强化的OS不包括运行在强化的服务器上的应用程序所必需依赖的一些包或库。

但是发现大部分缺少的软件包应该很容易。例如，如果一个服务器将传送数据和进行FTP，但却没有安装安全文件传输协议（SFTP），那么开发人员将会迅速的探测这一点。同样，在实例上编译应用程序的开发人员也很容易立刻检测到编译器的安装与否。然而，当执行部分的应用程序代码时，一个缺失的依赖或不正确的配置则可能发生。

请牢记，提供强化OS的厂商会随着新发现的漏洞或新的代码发布而更新AMI。如果你创建了基于强化镜像的自己的AMI，那就需要使用最新的强化镜像来重新创建那些AMI。

强化的操作系统能够帮助云管理员提高实例的安全性，但需要彻底的测试和审查来确保应用程序正常运行。