如果想要确保AWS的安全性，那么第一步就是要知道应避免犯哪些错误。所以，如果想要迈出正确的一步，那么就应从常见的AWS安全性失误前车之鉴中学得一二。

云计算和软件即服务（SaaS）已经改变了IT安全领域，但并不是所有运行AWS环境的人员都能够在第一时间了解到这一点的。

这是一位参加在上周波士顿召开的AWS Meetup的云咨询顾问以及一众参加会议并在确保AWS环境安全性方面拥有大量经验的与会者发出的声音。

随着云计算和软件即服务的逐渐普及，近期内深刻撼动IT安全领域的最显著变化之一就是像联邦贸易委员会（FTC）和美国证券交易监督委员会这样的监管部门都变得活跃起来了，stackArmor公司的平台架构与安全DevOps策略师兼云经纪人Gaurav Pal说，stackArmor公司是一家总部设在马里兰州Potomac的云咨询公司，该公司还是AWS的合作伙伴。

去年，FTC赢得了温德姆集团一案的胜利，从而第一次在数据安全领域行使了其管辖权。在2016年1月，FTC向亨利施恩公司（一家总部位于纽约州Melville的牙科诊所软件供应商）发出了一张高达二十五万美元的罚单，FTC指控该公司使用虚假广告的加密水平来保护患者数据。

由此看来，监管部门的步伐正在赶上云计算发展的速度，而现在“缺乏安全感就必须付出代价，”Pal在他发表的演讲中说。

与此同时，当云用户——尤其是众多的SaaS初创企业——也希望在开发运营（DevOps）中的“开发”部分变得更强而在“运营”上相对弱化时，网络和SaaS产品已经改变了确保IT环境安全性的方法。

亟待解决的AWS安全性首要问题

避免犯AWS安全性错误只是成功了一半。请仔细阅读，看看专家认为应如何确保您的AWS环境的安全性，其中包括：

• 使用固定API
• 应用最小特权原则
• 将使用的工具

从根本上了解我们是如何确保AWS环境安全性的。

“十年前，应用程序的发布还只是通过一张CD光盘，而现在SaaS模式要求供应商使用Ops的方式，”Pal说。

传统的计算机科学教育项目并没有非常关注安全性，他们只是以纯粹编程的方式来对学生进行这方面的训练，RBM科技公司的IT总经理Jason Dunkerley在Meetup会议后接受SearchAWS的单独采访时说，RBM科技是一家总部位于波士顿的商品零售SaaS供应商。

鉴于云和SaaS行业仍处于各自的起步阶段，还没有像国家职业工程师协会（NSPE）那样成立核心软件工程师专业群体，Dunkerley指出。但是，在云时代，开发人员可以快速地进行产品开发，他们拥有一次为成千上万用户提供服务且无需做出巨额前期投资的能力。

“这一点确实让人感到兴奋，但这也是非常危险的，”Dunkerley说。“你可能会重点关注产品的水准提升和更新换代，以便于让你的产品能够实现客户的需求，但是你却对保护你的运营方面毫不留意。”

避免犯常见的AWS安全性错误

在云计算的西部拓荒时期，一方面是令人信服的业务流程，而另一方面则是运营经验的缺乏，两者的结合就意味着企业要陷入如Pal演讲中的那种负面例子中。在Pal的介绍中，一家数据仓库公司在其云费用达到2000美元/天时就求助于咨询师了。

当他们发现其高昂的费用是与一家境外企业试图从其后端数据库中拉取企业数据有关时，这次财务分析就迅速演变成了一次安全运行分析。

“技术正在发生改变，但我们对改变带来的安全方面的影响还不清楚，”Pal说。

事实是，AWS平台为在云中部署资源提供了很大的选择范围，这对于灵活性是非常重要的，但是当涉及保护IT环境时它可能就是一根让新入门用户勒死自己的要命绳，Dunkerley说。

“你没有多少手段，你不应该这样做，”Dunkerley说。

虽然这一切都太容易了，但是AWS新用户应该做的最后一件事是忽视亚马逊的建议，是使用虚拟私有云（VPC）、身份与访问管理（IAM）角色和IAM身份等工具来确保IT环境的安全性。

“如果你以他们推荐的方式来进行这项工作，那么你已经遥遥领先了，”Dunkerley说。“如果一开始你就没有朝那个方向发展……那么就真的很难纠正过来了。”

遵循AWS最佳实践

之后，用户就会开始需要专家来参与其中并帮助他们整合之前的运行方式和亚马逊设置安全措施的方式，Dunkerley说。

例如，如果用户没有真正花时间理解安全性、服务器配置以及服务器锁定以便只允许某些特定访问，那么他可能会暂时地开放系统，但之后就会忘了并一直保持系统的开放状态，Dunkerley说。

用户需要找出所需的端口，指定必须发生数据交换的入口和出口并对之进行限制，以便于遵循AWS最佳实践，只有某些端口能够跨越某些VPC进行互相会话，Dunkerley说。如果他们没有遵照执行最佳实践，那么对外开放实例和访问将如同向黑客们发出了邀请函。

在建立AWS环境时，缺乏强大的安全行动计划也是用户最常犯的错误之一，Pal指出。这就要求用户建立起一套深思熟虑用于打补丁、软件更新以及关键漏洞监控的程序。

设置防火墙和访问管理

“用户应予以更多关注的其他方面是用于边界防护的网络应用程序防火墙，”Pal说。“甚至围绕特权用户使用虚拟专用网络（VPN）来访问环境也有着一些解决方案，然后就是通用的防火墙。”

这可能是一个最佳实践，Pal说，但是VPN的安装与维护是非常繁琐的，有时候用户会觉得使用上有所不习惯。

“你会很惊讶地看到有如此多的SaaS企业（尤其是那些规模较少的公司）在特权用户访问他们的云计算环境时是不使用VPN的，”Pal说。

其他常见的安全漏洞包括为身份和访问管理用户创建不必要的访问密钥；Pal表示，控制台用户是不需要密钥的。相反，用户应当提供IAM角色以供实例访问时作临时凭证。

IAM角色

还应提供可实现职责分离的IAM角色功能，Pal说。很多时候，缺乏对生产实例访问的限制会允许任何用户对其执行操作。