Accueil Finances personnelles En tenant compte des problèmes de sécurité AWS - dummies

En tenant compte des problèmes de sécurité AWS - dummies

Table des matières:

Vidéo: LFTR (Liquid Fluoride Thorium Reactor) Defended by Kirk Sorensen @ ThEC2018 2025

Vidéo: LFTR (Liquid Fluoride Thorium Reactor) Defended by Kirk Sorensen @ ThEC2018 2025
Anonim

Tous les services Web présentent des problèmes de sécurité, notamment AWS. L'ordinateur le plus sécurisé au monde n'a aucune entrée. Bien sûr, cet ordinateur super sécurisé n'a pas non plus d'objectif réel, car les ordinateurs sans entrées sont inutiles.

Un ordinateur à usage individuel, sans ordinateur, est le type le plus sécurisé. Un ordinateur dont les connexions n'existent qu'au sein d'un groupe de travail arrive ensuite, et ainsi de suite. L'ordinateur le moins sécurisé est celui avec des connexions externes. Pour utiliser AWS, vous devez mettre en danger la sécurité de votre ordinateur de manière importante. Les développeurs peuvent rapidement devenir fous en essayant de garder ces ordinateurs interconnectés en sécurité, mais cela fait partie de la description du poste.

Obtenir l'avis de sécurité d'Amazon

Étant donné que même les meilleurs efforts de la part d'un fournisseur n'offriront probablement qu'une sécurité modérée, le fournisseur devrait maintenir une position proactive en matière de sécurité. Bien qu'Amazon passe beaucoup de temps à essayer de suivre et de corriger les problèmes de sécurité connus avec ses API, il se rend également compte que certaines vulnérabilités sont susceptibles d'échapper à l'attention, et c'est là que vous entrez en jeu. Amazon a pour politique d'encourager vos commentaires sur les vulnérabilités que vous trouvez.

Assurez-vous de lire le processus d'évaluation d'Amazon. Le processus laisse la place à Amazon pour passer le blâme pour un problème à un tiers, ou ne rien faire du tout. Même si Amazon est proactif, vous devez vous rendre compte que vous pouvez toujours trouver des vulnérabilités que Amazon ne fait rien pour résoudre. En conséquence, la sécurité pour AWS sera toujours moins que parfaite, ce qui signifie que vous devez également maintenir une position de sécurité forte et proactive et ne pas dépendre d'Amazon pour tout faire.

La chose la plus importante que vous pouvez faire lorsque vous travaillez avec un fournisseur de services cloud tel qu'Amazon est de continuer à surveiller vos propres systèmes pour détecter tout signe d'activité inattendue.

Obtenir l'avis d'expert sur la sécurité

Au fur et à mesure que vous utilisez AWS pour prendre en charge les besoins informatiques de votre organisation, vous devez lire davantage que la vue Amazon sur des problèmes tels que la sécurité. S'attendre à ce qu'Amazon vous parle de tous les problèmes de sécurité potentiels n'est pas déraisonnable - c'est juste que Amazon exige des preuves avant de traiter un problème. Pour obtenir l'histoire complète de la sécurité, vous devez compter sur des experts tiers, ce qui signifie que vous devez passer du temps à trouver cette information en ligne. (Une visite à ce blog aidera à cet égard parce que les mises à jour pour les questions de sécurité sont discutées).

Une histoire récente sert à illustrer le fait qu'Amazon n'est pas très au courant de tous les problèmes de sécurité.Dans ce cas, les pirates informatiques (testeurs de sécurité) ont réussi à pirater l'instance EC2 d'un tiers à partir d'une autre instance. Après avoir obtenu l'accès à l'instance tierce, les chercheurs ont pu voler les clés de sécurité pour cette instance. Amazon est peu susceptible de vous parler de ce type de recherche, vous devez donc le découvrir vous-même.

Le problème avec beaucoup de ces histoires est que la presse spécialisée tend à les rendre sensationnalistes, en les faisant paraître plus mauvaises qu'elles ne le sont en réalité. Vous devez équilibrer ce que vous savez de la configuration de votre organisation, ce qu'Amazon a rapporté sur les problèmes de sécurité connus et ce que la presse spécialisée a publié sur les problèmes de sécurité suspects lors de la détermination des risques de sécurité d'utiliser AWS comme solution cloud. Dans le cadre de votre processus de planification, vous devez également prendre en compte ce que les autres fournisseurs de cloud fournissent en termes de sécurité. L'essentiel est que l'utilisation du cloud ne sera jamais aussi sûre que de garder votre informatique à l'interne parce que plus de connexions permettent toujours à quelqu'un de pirater votre configuration.

La réalité de la sécurité d'Amazon

Ce que Amazon est prêt à admettre en matière de sécurité et ce que les chercheurs tentent de vous convaincre, c'est que l'état actuel de la sécurité d'AWS est essentiel à votre processus de planification. Vous devez également considérer les expériences du monde réel comme faisant partie du mélange. Les chercheurs en sécurité de l'Institut Polytechnique de Worcester ont créé une condition dans laquelle AWS pourrait échouer. Cependant, il n'a pas réellement échoué de cette manière dans le monde réel. La façon dont AWS a a effectivement échoué avec ses solutions de sauvegarde.

Cette histoire parle d'une entreprise qui n'est plus opérationnelle. Il a échoué lorsque quelqu'un a compromis son instance EC2. Ce n'est pas une expérience artificielle; cela s'est réellement passé, et les pirates impliqués ont fait de vrais dégâts. C'est donc le genre d'histoire à donner plus de crédibilité lorsque vous planifiez votre utilisation d'AWS.

Une autre histoire raconte comment des vidages de données inattendus sur AWS ont rendu disponibles des informations tierces. Dans ce cas, les données comprenaient des renseignements personnels recueillis à partir des rapports de blessures de la police, des tests de dépistage de drogues, des notes de visite détaillées du médecin et des numéros de sécurité sociale. Compte tenu des implications de cette violation de données, les organisations impliquées pourraient être tenues responsables des accusations criminelles et civiles. Lorsque vous travaillez avec AWS, vous devez tempérer le besoin d'économiser de l'argent maintenant avec le besoin de dépenser plus d'argent plus tard, vous défendre contre une action en justice.

Utilisation des meilleures pratiques de sécurité AWS

Amazon met à votre disposition un ensemble de pratiques recommandées en matière de sécurité. Il est recommandé de lire le livre blanc associé dans le cadre de votre processus de planification de la sécurité. Les informations que vous obtenez vous aideront à comprendre comment configurer votre configuration pour optimiser la sécurité de la perspective Amazon, mais même une excellente configuration peut ne pas suffire à protéger vos données. Oui, vous devez vous assurer que votre configuration respecte les meilleures pratiques d'Amazon, mais vous devez également mettre en place des plans pour l'inévitable faille de données.Cette affirmation peut sembler négative, mais quand il s'agit de sécurité, vous devez toujours supposer le pire scénario et préparer des stratégies pour le gérer.

Utilisation de IAM Policy Simulator pour vérifier l'accès

Il existe une multitude d'outils que vous pouvez utiliser en tant que développeur pour réduire les risques liés à l'utilisation d'AWS. (L'accès à la plupart de ces outils nécessite que vous vous connectiez à votre compte AWS.) Toutefois, l'un des outils les plus intéressants dont vous avez besoin est le simulateur de stratégie IAM, qui peut vous informer des droits d'un utilisateur, d'un groupe, ou le rôle a des ressources AWS. Connaître ces droits peut vous aider à créer de meilleures applications et à verrouiller la sécurité afin que les utilisateurs puissent compter sur vos applications pour fonctionner, mais dans un environnement sécurisé.

Utilisez le simulateur de stratégie IAM pour découvrir le fonctionnement de la sécurité AWS.

Pour utiliser ce simulateur, sélectionnez un utilisateur, un groupe ou un rôle dans le volet de gauche. Vous pouvez sélectionner une ou plusieurs stratégies pour cet utilisateur, groupe ou rôle et même voir le code JSON (JavaScript Object Notation) pour cette stratégie. Par exemple, la stratégie AdministratorAccess ressemble à ceci:

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Autoriser ",

" Action ":" * ",

" Resource ":" * "

}

]

}

Essentiellement, cette politique stipule que l'utilisateur est autorisé à effectuer toute action utilisant une ressource. Le champ Effet peut contenir Autoriser ou Refuser pour autoriser ou refuser une action. Le champ Action contient un astérisque (*) pour montrer que toutes les actions entrent en jeu. Enfin, le champ Ressource contient * pour indiquer que cette stratégie affecte toutes les ressources AWS.

Pour exécuter une simulation sur un utilisateur, un groupe, un rôle ou une stratégie particulier, vous devez choisir un service, tel que Amazon Elastic File System. Vous pouvez ensuite sélectionner les actions que vous souhaitez vérifier ou cliquer sur Sélectionner tout pour sélectionner toutes les actions associées au service. Cliquez sur Exécuter la simulation pour terminer le test.

Les administrateurs ont naturellement un accès complet à toutes les ressources.

En tenant compte des problèmes de sécurité AWS - dummies

Le choix des éditeurs

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Pour approfondir votre conscience consciente, vous devez pratiquer une méditation de pleine conscience sur une base quotidienne. Familiarisez-vous avec certaines des médiations suivantes. Avec le temps, vous deviendrez plus conscient de votre vie quotidienne. Body Meditation Meditation - Cette méditation implique de passer environ une demi-heure, en prenant conscience de ...

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Les Templiers sont presque aussi fictifs dans Dan Brown Le code Da Vinci comme les chevaliers Jedi sont dans Star Wars. Bien que le héros Robert Langdon hésite d'abord à élever les Templiers dans ses cours, parce que la mention même d'eux fait ressortir les amants du complot, Brown n'a aucun problème à les faire participer ...

Démystification des mythes communs sur la franc-maçonnerie - mannequins

Démystification des mythes communs sur la franc-maçonnerie - mannequins

La franc-maçonnerie moderne existe depuis 1717. Les premières contre-vérités concoctées sur l'Ordre sont apparues en impression à peu près en même temps. Les États-Unis étaient consumés par l'hystérie anti-maçonnique à la fin des années 1820, et l'Europe a fait de Mason-bashing un sport populaire pendant deux siècles, le liant souvent à la propagande antisémite. Internet n'a que ...

Le choix des éditeurs

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

Dans la boîte de dialogue Configurer l'affichage dans PowerPoint, cliquez sur le bouton Configurer l'affichage dans l'onglet Diaporama du ruban Office 2011 pour Mac, ou choisissez Diaporama → Configurer l'affichage dans la barre de menus. Dans les deux cas, la boîte de dialogue Configurer l'affichage polyvalent apparaît. Choisir un type de spectacle dans PowerPoint 2011 pour Mac ...

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement d'un fichier sur lequel vous travaillez dans Office 2011 pour Mac est aussi simple que de cliquer sur le bouton Enregistrer dans la barre d'outils Standard, en appuyant sur Commande-S ou en choisissant Fichier → Enregistrer. Si votre fichier a été enregistré précédemment, l'enregistrement du fichier remplace la copie existante du fichier par votre version mise à jour. Si votre fichier n'a pas ...

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Dans Office 2011 pour Mac, l'ajout d'une nouvelle présentation de diapositive à une diapositive dans la vue Diapositive maître de PowerPoint 2011 est une tâche assez simple à effectuer. Suivez ces étapes pour commencer: Assurez-vous que vous êtes en mode Masque des diapositives. Choisissez Affichage → Maître → Masque de diapositives dans la barre de menus. Cliquez sur l'onglet Masque des diapositives du ruban, ...

Le choix des éditeurs

Sélectionnez PowerPoint 2007 Objects - dummies

Sélectionnez PowerPoint 2007 Objects - dummies

Avant de pouvoir modifier un objet PowerPoint 2007 sur une diapositive, vous devez le sélectionner. Dans les présentations PowerPoint, les objets peuvent être du texte, des graphiques, des images clipart, des formes, etc. Voici quelques instructions pour sélectionner les objets PowerPoint 2007: Objets texte: Pour sélectionner un objet texte PowerPoint 2007, déplacez le point d'insertion sur le texte qui ...

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Le contrôle shapePoint de powerPoint vous permet style des objets de ligne ou la bordure pour les objets de forme solide sur vos diapositives PowerPoint. Le contrôle Shape Outline se trouve dans le groupe Styles de formes de l'onglet Outils de dessin. Vous pouvez modifier les paramètres suivants pour le contour: Couleur: Définit la couleur utilisée pour ...

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 est le logiciel de présentation le plus puissant disponible pour créer et éditer la diapositive montrer des présentations pour le travail, la maison ou l'école. PowerPoint 2016 offre un certain nombre de raccourcis clavier utiles pour effectuer des tâches rapidement. Voici quelques raccourcis pour le formatage PowerPoint commun, l'édition et les tâches de fichiers et de documents. De plus, après avoir créé votre chef-d'œuvre, vous ...