时间:2021-07-15 | 标签: | 作者:Q8 | 来源:51CTO网络
小提示:您能找到这篇{避免构建时常见的这五个AWS配置不当}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的避免构建时常见的这五个AWS配置不当内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
< ">基础架构即代码(IaC)使云资源配置更快速、更简单、更具扩展性。它还使我们有机会进行比较简单的更改,从而对我们的云安全状况产生持久影响。 < ">为了表明这一点,我们分析了实际环境中的IaC模块最常见的亚马逊网络服务(AWS)安全错误。我们在本文中剖析了最常见的不合规AWS策略以及相关的风险。我们还将介绍解决每个错误所需的简单的构建时Terraform配置。 < ">确保存储在S3存储桶中的所有数据安全地静态加密 < ">S3支持使用AES-256加密标准进行简单的免费加密。众所周知,有人可能访问存储您数据的硬盘,而S3存储桶静态加密对于防止数据暴露在这些人的面前很重要。 < ">为了符合该策略——PCI-DSS和NIST-800要求这样,需要默认情况下对相关存储桶设置加密。这将使保存到该S3存储桶的所有后续项目都被自动加密。 < ">将以下块添加到Terraform S3资源以添加AES-256加密: < ">server_side_encryption_configuration{ < ">rule{ < ">apply_server_side_encryption_by_default{ < ">sse_algorithm="AES256" < ">} < ">} < ">} < ">确保存储在Launch Configuration EBS中的所有数据已安全加密 < ">亚马逊弹性块存储(EBS)卷支持内置加密,但默认情况下不加密。EBS Launch Configurations指定了可被Auto Scaling组用来配置Amazon EC2实例的Amazon EC2 Auto Scaling启动配置。 < ">加密整个EBS卷后,静态存储在卷上的数据、磁盘I/O、从该卷创建的快照以及EBS和EC2之间的传输中数据都将被加密。 < ">让您的数据保持静态加密可确保未经授权的人无法访问。PCI-DSS也要求遵守该策略。为防止Terraform模块中出现该AWS错误,确保为EBS Launch Configurations启用了加密: < ">resource"aws_launch_confi企业的危机公关有哪些方面guration""as_conf"{ < ">name_prefix="terraform-lc-example-" < ">image_id=data.aws_ami.ubuntu.id < ">instance_type="t2.micro" < ">+encrypted=enabled < ">确保对客户创建的CMK进行轮换已启用 < ">AWS密钥管理服务(KMS)允许客户轮换备用密钥。密钥材料存储在KMS中,并与客户主密钥(CMK)的密钥ID绑定在一起。备用密钥用于执行加密操作,比如加密和解密。密钥自动轮换目前保留所有先前的备用密钥,以便透明地进行加密数据解密。 < ">密钥未轮换的时间越长,使用它加密的数据就越多,被危及的可能性就越大。泄露这种密钥会泄露使用该密钥加密的所有国内外危机公关案例数据,因此强烈建议每年轮换一次加密密钥。 < ">默认情况下,CMK自动轮换未启用,但是建议启用以帮助减小密钥泄漏的潜在影响。还需要启用它,以符合PCI-DSS、CSI和ISO27001。 < ">想解决Terraform中的这个错误配置,启用密钥轮换: < ">resource"aws_kms_key""kms_key_1"{ < ">description="kms_key_1" < ">deletion_window_in_days=10 < ">key_usage="ENCRYPT_DECRYPT" < ">is_enabled=true < ">+enable_key_rotation=true < ">} < ">确保DynamoDB时间点恢复(备份)已启用 < ">Amazon DynamoDB的时间点恢复(PITR)让您只需点击一下即可恢复DynamoDB表数据。您在深入研究数据泄露和数据损坏攻击时,这提供了故障保护,这也是PIC-DSS、CIS和ISO27001所要求的。 < ">然而要创建和访问DynamoDB备份,您需要启用PITR,PITR提供了可使用各种编程参数来控制的持续备份。 < ">通过在DynamoDB表上配置point_in_time配置,解决该错误配置: < ">resource"aws_dynamodb_table""basic-dynamodb-table"{ < ">name="GameScores" < ">billing_mode="PROVISIONED" < ">read_capacity=20 < ">write_capacity=20 < ">hash_key="UserId" < ">range_key="GameTitle" < ">+point_in_time-recovery=enabled < ">确保推送时进行ECR图像扫描已启用 < ">Amazon ECR支持使用“常见漏洞和披露”(CVE)数据库来扫描容器镜像中的漏洞。建议您在每次推送时启用ECR,帮助识别不良镜像以及将漏洞引入到镜像中的特定标签。 < ">ISO27001要求,必须在每次推送时启用ECR扫描。要修复构建时资源,请将scan_on_push设置为true: < ">resource"aws_ecr_repository""foo"{ < ">name="bar" < ">image_tag_mutability="MUTABLE" < ">image_scanning_configuration{ < ">+scan_on_push=true < ">} < ">} < ">确保存储在SQS队列中的所有数据已加密 < ">Amazon简单队列服务(Amazon SQS)允许对通过每个队列发送的消息进行加密。通过基于消息的加密来拒绝访问特定数据,这实现了另一级别的有什么危机公关数据访问管理,并通过进行加密来保护敏感数据。 < ">如果您置身于受监管的市场,比如要遵守医疗界的HIPAA、金融界的PCI DSS和政府界的FedRAMP,需要确保用服务传递的敏感数据消息是静态加密的。 < ">可通过指定SQS用来加密SQS配置块上数据的KMS密钥,避免这种错误配置。 < ">在Terraform中,设置时间长度(以秒为单位),在该时间长度内Amazon SQS可在再次调用AWS KMS之前重复使用数据密钥来加密或解密消息。 < ">resource"aws_sqs_queue""terraform_queue"{ < ">name="terraform-example-queue" < ">+kms_master_key_id="alias/aws/sqs" < ">+kms_data_key_reuse_period_seconds=300 < ">} < ">结论 < ">如您所见,修复IaC错误配置常常需要向已经存在的块添加简单的缺少的配置参数,或者将不正确的值改为合规状态。然而,进行这些小的更改可能产生重大影响,因为它们将为将来的部署提供信息。 < ">通过构建时在IaC模板和模块中实施常见的安全策略,您可以解决现有问题,防止新的错误配置被部署。这也是一个好方法,可以节省这方面的时间:新的基础架构启用后,揪出生产环境中一再出现的问题。这就是为什么我们认为IaC对于日益关注云的组织而言必不可少。 |
上一篇:昕锐社:苹果Search Ads如何高效获取流量?
下一篇:腾讯云防火墙的8大核心优势
基于对传统行业渠道的理解,对互联网行业的渠道我们可以下这样一个定义:一切...
小米应用商店的后台操作和苹果是比较相似的,因为都能填写100字符关键词,允许...
小米的规则目前是在变更中的,但是根据经验小米的搜索排名评分的高低是个很重...
为了恰饭,有时候是要接入一些广告的,所以FB也专门有一个广告的SDK,这就是A...
在 2018 年于旧金山举行的游戏开发者大会上,Amazon Web Services (AWS) 曾宣布,目前世...
关于Facebook Audience Network如何收款的问题,其实官方已经给了详细的步骤。本文主要...
本文介绍了Audience Network对广告载体的质量检查,以及它重点广告形式需要注意的问...
随着iOS开发,作为开发者或公司需要针对iOS App开发涉及的方方面面作出对应的信息...
Facebook和谷歌对出海企业广告渠道都很熟悉,但事实上,在国外还有一些渠道也很...
卖家从做号的第1分钟开始,就一定要想好变现路径是什么?一定要以变现为目的去...
小提示:您应该对本页介绍的“避免构建时常见的这五个AWS配置不当”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通避免构建时常见的这五个AWS配置不当的相关事宜。
关键词:避免构建时常见的这五个