IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因，但是亚马逊的一系列安全选项为这些疑惑给出了答案。

没有一种单一的方式可以保护你在公有云中的资源、文件和数据。使用亚马逊Web服务的企业可以依赖各种本地工具来保护他们的云，但最佳方式在于对数据积极主动的维护。

公有云怀疑论者的数量正在减少，但是剩下的那些坚决不采纳公有云的将安全引述为最大的原因。许多公司已经认定亚马逊Web服务（AWS）是安全的存储和非关键任务的计算资源及应用，但是对于安全漏洞的担忧并不完全是无中生有。下面让我们来分析下常见的安全障碍以及如何解决。

AWS云安全可能发生的最坏情况？

以Code Spaces为例，一家位于英格兰的代码托管公司，整个公司被一名黑客彻底击垮。在2014年6月，一名入侵者获取了该公司AWS弹性计算云（EC2）控制台的访问权限。在试图勒索钱财失败之后，黑客删除了该公司非常重要的数据、备份、实例以及其他的AWS资源，让其业务无法得以继续运作。

这次致命的攻击在IT业界产生了很大的反响并从此关闭了Code Spaces的大门，尽管该攻击原本可以通过异地备份和服务分隔来防止。企业必须在了解和巩固他们潜在的漏洞上做出努力。

如何监控我们的安全进程？

企业想要监控谁在他们的云里做什么，可以使用亚马逊的CloudTrail来监控行为并发送警报。该Web服务收集各种API的调用，允许管理员识别提交请求参数的人，时间和地点。日志文件被自动传送到Amazon S3的存储容器中保护起来防止未经授权的访问和操作。

CloudTrail还便于资源的管理和合规性报告，满足各种内部和外部监管的参数。

AWS如何保护公有云？

Amazon为全球范围内的客户提供相同的安全标准，小企业和AWS的最大Web规模客户一样享有对同样安全工具的访问。Amazon对其基础设施和设备的有力保护，下至其员工管理的各种严格规定。 AWS还提供了无数的网络和安全监控系统，包括客户接入点、内置防火墙、虚拟私有云（VPC）的专用子网和数据存储加密。

VPC维护网络安全，允许管理员管理多层应用服务器整合到严格控制的子网。然后Amazon会提供用户可以创建安全组来管理入站和出站的网络流量的能力。

AWS用户应该定期评估他们的安全需求并且，理想的情况是，每周投入人力资源到新的安全研究上。DevOps的团队应该实施定期安全检测，如果最坏的情况出现，企业应该列出安全漏洞事件发生时的对策纲要。

企业如何限制对云端数据的访问？

AWS身份和访问管理（IAM）包含了多种控制来管理和监控对AWS云的访问。要使用IAM，管理员必须为实例分配不同的角色以保护AWS管理控制台和API访问密钥的完整性。

定期更新角色，以满足不断变化的工作头衔势在必行，但企业也应限制对其根AWS配置文件的使用，绝不共享访问。相反，只授予用户完成他们的工作所需的访问权限，遵循最低权限的原则，以防一个新用户犯错或者某个账户被攻破。

管理员还可以要求14个或更多字符组成的密码短语，实现多因素认证或者对资源进行IP限制，只对预先批准的位置给与访问。

有哪些第三方的云安全工具？

AWS的Marketplace提供了很多第三方的产品，因为Amazon鼓励用户在公有云的努力上互相协作。这些第三方的安全工具可以帮助管理员了解各种丰富的配置并对数据进行审计追踪。

Cloudnexa的vNOC 云管理平台是一个将数据分组成快照来帮助用户评估AWS的情境性能的软件即服务选项。RightScale和ServiceMesh提供更多的EC2实例管理功能。AWS Marketplace的安全工具非常丰富，因此保持告知是管理员的任务。知道何时要坚持原生的Amazon协议还是使用第三方软件是IT专业人士对云安全需求进行评估时的另一个挑战。