AWS有一系列專為其公有云可以或許變得更易于打點(diǎn)而開拓的擴(kuò)展成果和特性。AWS config、AWS CloudTrail和亞馬遜Inspector是可以或許輔佐打點(diǎn)人員處理懲罰監(jiān)控AWS安詳和資源設(shè)置的三個(gè)相關(guān)處事。

AWS CloudTrail是一個(gè)審核日志記錄東西，它可記錄AWS賬戶中每一次的API挪用，個(gè)中還包羅了這些挪用的元數(shù)據(jù)。CloudTrail記錄每個(gè)條目標(biāo)信息有：用戶、IP地點(diǎn)、處事和受影響資源等。

從安詳角度來(lái)看，AWS CloudTrail是一個(gè)“必備”的東西，CloudSploit公司的首創(chuàng)人Matthew Fuller說(shuō)，CloudSploit是一家總部設(shè)在紐約市的開源AWS產(chǎn)物和安詳公司。該處事對(duì)付多用戶情況下AWS賬戶監(jiān)控應(yīng)用尤其是必備品。“假如產(chǎn)生了一件安詳事件，CloudTrail所提供的汗青日志記錄可用于過后闡明以確定導(dǎo)致入侵的原因，惡意用戶采納了什么動(dòng)作以及受影響的資源等，”Fuller說(shuō)。

AWS Config與AWS CloudTrail略有差異，該處事會(huì)記錄AWS賬戶下每一個(gè)啟用資源的汗青狀態(tài)，從而答允AWS用戶查察基本設(shè)施特定部門隨時(shí)間變革的變革。AWS Config還會(huì)顯示將來(lái)的更新或更新將會(huì)如何影響基本設(shè)施。AWS Config可與Lambda集成，從而答允IT團(tuán)隊(duì)運(yùn)行自界說(shuō)代碼以便響應(yīng)資源狀態(tài)改觀。

AWS Config Rules則是一個(gè)附加處事，它可以或許讓打點(diǎn)員界說(shuō)答允資源的特定狀態(tài)。“假如資源無(wú)法保持在該狀態(tài)（一個(gè)大概的安詳風(fēng)險(xiǎn)），那么就可以執(zhí)行一個(gè)Lambda函數(shù)，”他增補(bǔ)說(shuō)。

固然AWS CloudTrail只是簡(jiǎn)樸地提供日志，可是AWS Config是一個(gè)“更先進(jìn)的觀念”，總部位于加利福尼亞州Foster城的cPrime公司CEO Zubin Irani說(shuō)，cPrime公司是一家專業(yè)從事火速培訓(xùn)的企業(yè)。AWS Config Rules跟蹤資源在基本設(shè)施內(nèi)部的利用環(huán)境、分派環(huán)境以及改觀汗青。“CloudTrail的目標(biāo)就是生存記錄，并對(duì)誰(shuí)做了什么做出回響，而Config則是關(guān)于什么資源改變了以及他們看起來(lái)是如何的，”Irani說(shuō)。換而言之，固然這兩個(gè)處事都有助于AWS監(jiān)控，但一個(gè)是以資源為中心的，而另一個(gè)則是以用戶操縱為中心。

亞馬遜Inspector是一個(gè)在彈性計(jì)較云實(shí)例上運(yùn)行的署理，它可在處事器級(jí)跟蹤潛在合規(guī)性違犯和安詳風(fēng)險(xiǎn)。Inspector會(huì)整合潛在的裂痕以顯示該項(xiàng)目是否切合。“Inspector就如同是一個(gè)闡明東西，它可以對(duì)基本設(shè)施舉辦查抄并為如何提高安詳性提出發(fā)起，”Irani說(shuō)。

為AWS監(jiān)控選擇處事

AWS Config、CloudTrail 和Inspector都有著各自差異的用途。CloudTrail是一個(gè)記錄東西，它會(huì)記錄對(duì)用戶賬戶舉辦的每一次API挪用、每一次操縱以及是誰(shuí)執(zhí)行操縱的信息。這個(gè)信息是舉辦后續(xù)取證和審核的須要信息。AWS Config則是記錄了每一次的資源設(shè)置改觀。譬喻，當(dāng)打點(diǎn)員添加或刪除彈性網(wǎng)絡(luò)接口或當(dāng)安詳組中增加一條法則時(shí)，AWS Config會(huì)記錄相關(guān)改觀。它在產(chǎn)生改觀時(shí)為情況提供了一個(gè)時(shí)間表。

同時(shí)利用CloudTrail和Config 的IT團(tuán)隊(duì)會(huì)在產(chǎn)生改觀時(shí)收到一個(gè)告誡，并可以或許看出產(chǎn)生改觀的時(shí)間和位置。然后，他們可以利用CloudTrail來(lái)確定是誰(shuí)執(zhí)行了相關(guān)操縱。AWS監(jiān)控和保持安詳設(shè)置是任何情況掩護(hù)的重要構(gòu)成部門；這些當(dāng)?shù)谹WS監(jiān)控東西可以有助于任何企業(yè)確保所有改觀都是被授權(quán)的、可被跟蹤的以及可被審核的 。

AWS Inspector可以查察云實(shí)例內(nèi)部、對(duì)已安裝軟件舉辦掃描以及將掃描功效與AWS 維護(hù)的常見裂痕數(shù)據(jù)庫(kù)舉辦較量。這些成果讓打點(diǎn)人員可以或許確定要更新的軟件包以及這些更新將如何影響安詳性。Inspector可確保IT團(tuán)隊(duì)可以或許按期識(shí)別要對(duì)系統(tǒng)打哪些補(bǔ)丁。

Config、CloudTrail 和Inspector都是免費(fèi)的，可是“Inspector是可選的，深圳論壇空間 香港主機(jī)，”Irani增補(bǔ)道。“三個(gè)處事中獨(dú)一需要和值得推薦的是CloudTrail。”