AWS监控归根到底是工具的选择

AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

AWS CloudTrail是一个审核日志记录工具,它可记录AWS账户中每一次的API调用,其中还包括了这些调用的元数据。CloudTrail记录每个条目的信息有:用户、IP地址、服务和受影响资源等。

从安全角度来看,AWS CloudTrail是一个“必备”的工具,CloudSploit公司的创始人Matthew Fuller说,CloudSploit是一家总部设在纽约市的开源AWS产品和安全公司。该服务对于多用户环境下AWS账户监控应用尤其是必备品。“如果发生了一件安全事件,CloudTrail所提供的历史日志记录可用于事后分析以确定导致入侵的原因,恶意用户采取了什么行动以及受影响的资源等,”Fuller说。

AWS Config与AWS CloudTrail略有不同,该服务会记录AWS账户下每一个启用资源的历史状态,从而允许AWS用户查看基础设施特定部分随时间变化的变化。AWS Config还会显示未来的更新或更新将会如何影响基础设施。AWS Config可与Lambda集成,从而允许IT团队运行自定义代码以便响应资源状态变更。

AWS Config Rules则是一个附加服务,它能够让管理员定义允许资源的特定状态。“如果资源无法保持在该状态(一个可能的安全风险),那么就可以执行一个Lambda函数,”他补充说。

虽然AWS CloudTrail只是简单地提供日志,但是AWS Config是一个“更先进的概念”,总部位于加利福尼亚州Foster城的cPrime公司CEO Zubin Irani说,cPrime公司是一家专业从事敏捷培训的企业。AWS Config Rules跟踪资源在基础设施内部的使用情况、分配情况以及变更历史。“CloudTrail的目的就是保存记录,并对谁做了什么做出反应,而Config则是关于什么资源改变了以及他们看起来是如何的,”Irani说。换而言之,虽然这两个服务都有助于AWS监控,但一个是以资源为中心的,而另一个则是以用户操作为中心。

亚马逊Inspector是一个在弹性计算云实例上运行的代理,它可在服务器级跟踪潜在合规性违犯和安全风险。Inspector会整合潜在的漏洞以显示该项目是否符合。“Inspector就如同是一个分析工具,它可以对基础设施进行检查并为如何提高安全性提出建议,”Irani说。

为AWS监控选择服务

AWS Config、CloudTrail 和Inspector都有着各自不同的用途。CloudTrail是一个记录工具,它会记录对用户账户进行的每一次API调用、每一次操作以及是谁执行操作的信息。这个信息是进行后续取证和审核的必要信息。AWS Config则是记录了每一次的资源配置变更。例如,当管理员添加或删除弹性网络接口或当安全组中增加一条规则时,AWS Config会记录相关变更。它在发生变更时为环境提供了一个时间表。

同时使用CloudTrail和Config 的IT团队会在发生变更时收到一个警告,并能够看出发生变更的时间和位置。然后,他们可以使用CloudTrail来确定是谁执行了相关操作。AWS监控和保持安全配置是任何环境保护的重要组成部分;这些本地AWS监控工具可以有助于任何企业确保所有变更都是被授权的、可被跟踪的以及可被审核的 。

AWS Inspector可以查看云实例内部、对已安装软件进行扫描以及将扫描结果与AWS 维护的常见漏洞数据库进行比较。这些功能让管理人员能够确定要更新的软件包以及这些更新将如何影响安全性。Inspector可确保IT团队能够定期识别要对系统打哪些补丁。

Config、CloudTrail 和Inspector都是免费的,但是“Inspector是可选的,”Irani补充道。“三个服务中唯一需要和值得推荐的是CloudTrail。”