亚马逊云安全20条规则

文章来源：http://www.wosign.com/news/Cloud_SSL.html

(译自 Twenty Rules for Amazon Cloud Security)

 

1.      加密所有网络通信；

2.      只使用加密的文件系统；

3.      高强度加密您放在S3上所有文件；

4.      绝对不能让解密的密钥进入云，除非用于解密进程；

5.      除了用于解密文件系统的密钥外，绝对不能在AMI中放置用户的认证证书；

6.      在实例启动时解密用户的文件系统；

7.      Shell访问时绝对永远不能使用简单的用户名/密码认证方式；

8.      Sudo访问时不需要密码；

9.      设计你的系统，使你的应用程序不依赖于特定的AMI结构；

10.   定期把你的数据从亚马逊云中完整备份出来，并且在其他地方安全保管；

11.   每个EC2实例只运行一个服务；

12.   只打开实例中的服务所需的最少的端口；

13.   设置你的实例时指定源IP地址；仅对HTTP / HTTPS等开放全局访问；

14.   把敏感数据和非敏感数据存放在不同的数据库中，并且在不同的安全组中；

15.   自动化安全的尴尬—不可靠，但有时还得用；

16.   安装基于主机的入侵检测系统，如OSSEC；

17.   充分利用系统强化工具，如巴士底狱Linux；

18.   如果你怀疑被黑客入侵，则赶紧备份根文件系统、快照块卷，并关闭该实例。您可以稍后在一个没有被入侵的系统上取证研究；

19.   设计一个程序可以给AMI打安全补丁，只需简单地重启你的实例；

20.   最重要的是：编写安全的Web应用程序。

 

关于SSL证书的参考文章：

SSL工作原理

什么是 SSL 证书？如何检查网站是否部署了 SSL 证书？