Casa Finanza personale Considerando i problemi di sicurezza AWS - dummies

Considerando i problemi di sicurezza AWS - dummies

Sommario:

Video: The laws that sex workers really want | Juno Mac 2025

Video: The laws that sex workers really want | Juno Mac 2025
Anonim

Tutti i servizi Web hanno problemi di sicurezza, incluso AWS. Il computer più sicuro al mondo non ha ingressi di sorta. Ovviamente, questo computer super sicuro non ha uno scopo reale perché i computer senza input sono inutili.

Un computer ad uso singolo, uno senza connessioni a qualsiasi altro computer, è il prossimo tipo più sicuro. Un computer le cui connessioni esistono solo all'interno di un gruppo di lavoro viene in seguito, e così via. Il computer meno sicuro è quello con connessioni esterne. Per utilizzare AWS, è necessario mettere a rischio la sicurezza del tuo computer. Gli sviluppatori possono impazzire rapidamente cercando di mantenere sicuri questi computer interconnessi, ma questo fa parte della descrizione del lavoro.

Ottenere la visione della sicurezza di Amazon

Dato che anche gli sforzi migliori da parte di qualsiasi fornitore forniranno probabilmente solo una moderata sicurezza, il venditore dovrebbe mantenere un atteggiamento proattivo sulla sicurezza. Sebbene Amazon impieghi molto tempo a cercare e tenere traccia dei noti problemi di sicurezza con le sue API, si rende conto anche che è probabile che alcune vulnerabilità sfuggano alla notifica, che è il punto in cui entri in gioco. Amazon ha una politica dichiarata di incoraggiare il tuo input su eventuali vulnerabilità che trovi.

Assicurati di leggere il processo di valutazione di Amazon. Il processo lascia spazio ad Amazon per passare la colpa di un problema a una terza parte, o non fare nulla. Anche se Amazon è proattivo, è necessario rendersi conto che si possono ancora trovare vulnerabilità che Amazon non fa nulla per risolvere. Di conseguenza, la sicurezza di AWS sarà sempre meno perfetta, il che significa che devi anche mantenere una posizione di sicurezza forte e proattiva e non dipendere da Amazon per fare tutto.

La cosa più importante che puoi fare quando lavori con un fornitore di servizi cloud come Amazon è continuare a monitorare i tuoi sistemi per qualsiasi segno di attività inaspettata.

Ottenere la visione da esperto di sicurezza

Mentre lavori sul piano per l'utilizzo di AWS per supportare le esigenze IT della tua organizzazione, devi leggere più della vista Amazon di problemi come la sicurezza. Aspettarsi che Amazon ti racconti di ogni potenziale problema di sicurezza non è irragionevole, è solo che Amazon richiede prove prima di affrontare un problema. Per ottenere la versione completa della sicurezza, è necessario affidarsi a esperti di terze parti, il che significa che è necessario dedicare del tempo alla ricerca di queste informazioni online. (Una visita a questo blog aiuterà in questo senso perché vengono discussi gli aggiornamenti per problemi di sicurezza).

Una recente storia serve per illustrare che Amazon non è affatto imminente su ogni problema di sicurezza.In questo caso, hacker white-hat (tester della sicurezza) sono riusciti a incidere l'istanza EC2 di una terza parte da un'altra istanza. Dopo aver ottenuto l'accesso all'istanza di terze parti, i ricercatori sono stati in grado di rubare le chiavi di sicurezza per quell'istanza. È improbabile che Amazon vi parli di questo tipo di ricerca, quindi è necessario scoprirlo da soli.

Il problema di molte di queste storie è che la stampa specializzata tende a sensazionalizzarle, facendole apparire peggiori di quanto non siano in realtà. Devi bilanciare ciò che sai sulla configurazione della tua organizzazione, ciò che Amazon ha effettivamente segnalato sui noti problemi di sicurezza e ciò che la stampa specializzata ha pubblicato sui presunti problemi di sicurezza nel determinare i rischi per la sicurezza dell'utilizzo di AWS come soluzione cloud. Come parte del processo di pianificazione, è inoltre necessario considerare ciò che altri fornitori di cloud forniscono in termini di sicurezza. La linea di fondo è che l'uso del cloud non sarà mai così sicuro come mantenere il proprio IT in casa perché più connessioni invocano sempre più opportunità per qualcuno di hackerare la propria configurazione.

La realtà della sicurezza Amazon

Ciò che Amazon è disposto ad ammettere quando si tratta di sicurezza e ciò che i ricercatori stanno cercando di convincerti è lo stato di sicurezza effettivo di AWS sono due punti di vista fondamentali per il tuo processo di pianificazione. Devi anche considerare le esperienze del mondo reale come parte del mix. I ricercatori di sicurezza del Worcester Polytechnic Institute hanno creato una condizione in base alla quale AWS poteva fallire. Tuttavia, in realtà non ha fallito in questo modo nel mondo reale. Il modo in cui AWS ha effettivamente fallito è con le sue soluzioni di backup.

Questa storia racconta di un'azienda che non è più operativa. Ha fallito quando qualcuno ha compromesso la sua istanza EC2. Questo non è un esperimento inventato; in realtà è successo, e gli hacker coinvolti hanno fatto danni reali. Quindi questo è il tipo di storia per dare maggiore credibilità quando pianifichi il tuo utilizzo di AWS.

Un'altra storia riguarda il modo in cui dump di dati inaspettati su AWS rendono disponibili le informazioni di terze parti. In questo caso, i dati includevano informazioni personali raccolte da rapporti di infortunio della polizia, test antidroga, note dettagliate di visite mediche e numeri di previdenza sociale. Date le implicazioni di questa violazione dei dati, le organizzazioni coinvolte potrebbero essere responsabili sia delle accuse penali che civili. Quando lavori con AWS, devi moderare la necessità di risparmiare denaro ora con la necessità di spendere più denaro per difenderti da una causa.

Utilizzo delle best practice di sicurezza AWS

Amazon offre una serie di best practice sulla sicurezza ed è una buona idea leggere il white paper associato come parte del processo di pianificazione della sicurezza. Le informazioni che ottieni ti aiuteranno a capire come configurare la configurazione per massimizzare la sicurezza dal punto di vista di Amazon, ma anche una grande configurazione potrebbe non essere sufficiente per proteggere i tuoi dati. Sì, dovresti assicurarti che la tua configurazione segua le best practice di Amazon, ma devi anche predisporre piani per l'inevitabile violazione dei dati.Questa affermazione può sembrare negativa, ma quando si tratta di sicurezza, è necessario assumere sempre lo scenario peggiore e preparare le strategie per gestirlo.

Utilizzo di IAM Policy Simulator per controllare l'accesso

Vi è una vasta gamma di strumenti che è possibile utilizzare come sviluppatore per ridurre i rischi quando si lavora con AWS. (L'accesso alla maggior parte di questi strumenti richiede l'accesso al tuo account AWS.) Tuttavia, uno degli strumenti più interessanti di cui hai bisogno di sapere ora è IAM Policy Simulator, che ti può dire dei diritti che un utente, un gruppo, o il ruolo deve alle risorse AWS. Conoscere questi diritti può aiutarti a creare applicazioni migliori e bloccare la sicurezza in modo che gli utenti possano fare affidamento sulle tue applicazioni per lavorare, ma in un ambiente sicuro.

Utilizza il simulatore di criteri IAM per scoprire come funziona la sicurezza AWS.

Per utilizzare questo simulatore, selezionare un utente, un gruppo o un ruolo nel riquadro di sinistra. È possibile selezionare una o più politiche per quell'utente, gruppo o ruolo e persino visualizzare il codice JSON (JavaScript Object Notation) per tale politica. Ad esempio, la norma AdministratorAccess ha il seguente aspetto:

{

"Versione": "2012-10-17",

"Istruzione": [

{

"Effetto": "Consenti ",

" Azione ":" * ",

" Risorsa ":" * "

}

]

}

In sostanza, questo criterio stabilisce che l'utente può eseguire qualsiasi azione utilizzando qualsiasi risorsa. Il campo Effetto può contenere Consenti o Nega per consentire o negare un'azione. Il campo Azione contiene un asterisco (*) per mostrare che tutte le azioni entrano in gioco. Infine, il campo Risorsa contiene * per mostrare che questa politica influisce su ogni risorsa AWS.

Per eseguire una simulazione su un particolare utente, gruppo, ruolo o criterio, è necessario scegliere un servizio, come Amazon Elastic File System. È quindi possibile selezionare le azioni che si desidera controllare o fare clic su Seleziona tutto per selezionare tutte le azioni associate al servizio. Fare clic su Esegui simulazione per completare il test.

Gli amministratori hanno naturalmente pieno accesso a tutte le risorse.

Considerando i problemi di sicurezza AWS - dummies

Scelta dell'editore

Tasti di scelta rapida per Microsoft Office 2007 - dummies

Tasti di scelta rapida per Microsoft Office 2007 - dummies

Microsoft Office 2007 è pieno di scorciatoie da tastiera per risparmiare tempo. Comprimi i componenti di Office 2007 - Word, Excel, Outlook, PowerPoint e Access - utilizzando i tasti di scelta rapida utili della seguente tabella. Con poco sforzo, puoi aprire file, trovare contenuti, modificare quel contenuto e altro! Funzione Ctrl Copia Ctrl + C Taglia Ctrl + X Trova Ctrl + F Vai ...

Vantaggi di Lync Online - dummies

Vantaggi di Lync Online - dummies

Lync Online è disponibile sia in ambito professionale sia in piccole imprese (P) e aziendali (E ) piani in Office 365. Le funzionalità includono messaggistica istantanea (IM), chiamate audio e video, presenza, riunioni online, presentazioni online e la possibilità di connettersi con i contatti di Windows Live Messenger e altri utenti esterni che eseguono Lync. La tecnologia è integrata in tutto ...

Come avviare una conversazione con Lync Online - dummies

Come avviare una conversazione con Lync Online - dummies

La scheda di contatto di Lync Online è un ottimo modo per avviare una conversazione con un collega o i membri del tuo team. Oltre alle note personali, alla presenza e alla posizione, vengono visualizzate anche le informazioni sulla tua organizzazione come il titolo e i numeri di telefono. Per visualizzare la scheda di contatto, passa con il mouse sopra l'immagine di una persona e fai clic sul gallone ...

Scelta dell'editore

Come scegliere un'immagine di sfondo Twitter per Visual Social Marketing - dummies

Come scegliere un'immagine di sfondo Twitter per Visual Social Marketing - dummies

Quando si imposta su un account Twitter per il social marketing visivo, un tipo di immagine che è richiesto per il tuo profilo è l'immagine di sfondo - viene visualizzata dietro il profilo Twitter. Nella parte superiore della schermata Impostazioni disegno, Twitter ti consente di scegliere tra una serie di temi premade. Un tema premade applica un ...

Come scegliere un buon nome utente Twitter - dummy

Come scegliere un buon nome utente Twitter - dummy

Su Twitter, il tuo nome utente, o handle, è il tuo identità. Se puoi, iscriviti a Twitter usando il tuo nome o una variante di esso come nome utente (supponendo che qualcun altro non lo stia già utilizzando). Ad esempio, se il tuo nome è John Ira, potresti scegliere un nome utente Twitter come @johnira o ...

Come personalizzare il tuo profilo Twitter - dummies

Come personalizzare il tuo profilo Twitter - dummies

La tua pagina pubblica su Twitter, noto anche come profilo, è la prima impressione che gli altri utenti di Twitter hanno di te, e può fare una grande differenza nel decidere se seguirti. Personalizzare la tua pagina del profilo Twitter in modo che rifletta te o la tua azienda fa la differenza quando si tratta di persone ...

Scelta dell'editore

Perché avresti bisogno di più profili utente per Dragon Professional Individuale - manichini

Perché avresti bisogno di più profili utente per Dragon Professional Individuale - manichini

Drago Individuo professionale capisce solo quelli che si sono presentati ufficialmente come utenti e hanno creato un profilo utente. Ecco quattro motivi per cui potresti voler creare più di un profilo utente: usi diversi vocabolari o stili di scrittura per compiti diversi. Si utilizzano diversi microfoni per compiti diversi. Volete ...

Lavorare con fogli di calcolo Usare NaturallySpeaking - dummies

Lavorare con fogli di calcolo Usare NaturallySpeaking - dummies

Utilizzando fogli di calcolo con versioni precedenti di NaturallySpeaking era difficile perché non si poteva indirizzare direttamente i nomi delle celle. Volevi dire qualcosa come "Cella A5" o "Seleziona Colonna C." Ma (sospiro), niente dado. Il tuo assistente non aveva idea di cosa stavi parlando. Bene, il tuo assistente ha "up-leveled" le sue abilità! Ora è possibile ...

Su Evernote's Passcode Lock - dummies

Su Evernote's Passcode Lock - dummies

Abbonati premium e business che utilizzano determinati dispositivi ora possono bloccare l'app Evernote con un blocco Passcode . Ogni volta che torni all'app, ti viene chiesto di inserire il tuo codice. Un blocco passcode è un'ottima opzione se condividi il tuo telefono o tablet con altre persone e vuoi impedire loro di accedere a ...