Распространенные ошибки AWS, которых следует избегать

Опубликовано: 6 Марта, 2023
Распространенные ошибки AWS, которых следует избегать

Облачные вычисления полностью изменили ландшафт ИТ-услуг. Это изменило то, как организации ведут бизнес и как ИТ-специалисты выполняют свою работу. С самого начала, когда оно воспринималось в основном как система для хранения данных, облако превратилось в многогранную цифровую экосистему, затрагивающую большие и малые компании.

Amazon Web Services (AWS) — ведущий мировой поставщик услуг облачных вычислений. AWS предоставляет услуги ИТ-инфраструктуры для веб-сайтов, клиентских приложений и различных других предприятий в форме облачных вычислений.

AWS предлагает длинный список услуг в области ИТ, включая сети, вычисления, контент, базы данных, аналитику, развертывание, управление и безопасность. Благодаря преимуществам облачных вычислений и растущим потребностям и спросу на облачные сервисы предприятия устремились к AWS, который занимает значительную долю рынка по сравнению с ближайшими конкурентами Microsoft, IBM и Google.

Хотя использование сервисов AWS может повысить производительность и решить ряд проблем, связанных с бизнесом, реальное использование AWS не всегда дает благоприятную картину. Даже небольшая человеческая ошибка или неправильная конфигурация могут иметь смертельные последствия для компании, ее бизнеса и конфиденциальности.

Имея все это в виду, вот некоторые из наиболее распространенных ошибок и неправильных конфигураций в AWS, которых следует избегать:

Управление инфраструктурой вручную

Самая распространенная ошибка AWS — управление инфраструктурой вручную. Часто разработчики настраивают AWS, используя веб-консоль управления для ручного создания ресурсов. Самая большая проблема с этим подходом заключается в том, что все действия, выполняемые таким образом, не воспроизводимы, что очень затрудняет отслеживание поврежденных или неисправных ресурсов в случае возникновения проблемы. Документация — еще один важный аспект управления инфраструктурой AWS, который может привести к нескольким ошибкам, если делать это вручную.

AWS CloudFormation — одна из лучших альтернатив для ручного обслуживания инфраструктуры, которая может решить большинство проблем бесплатно. CloudFormation предоставляет клиентам весь необходимый набор инструментов для автоматического управления инфраструктурой. Вместо того, чтобы каждый раз вручную создавать ресурсы, такие как экземпляры EC2, моментальные снимки, группы безопасности и подсети, вам просто нужно описать их в шаблоне. Шаблон в AWS представляет собой нотацию объекта JavaScript, известную как файл JSON, который необходимо создать только один раз.

Когда шаблон (файл JSON) отправляется в сервис AWS, CloudFormation автоматически создает все необходимые ресурсы в учетной записи клиента, создавая работающий экземпляр шаблона. Этот работающий экземпляр в AWS называется стеком. CloudFormation также позволяет вам вносить изменения в шаблон, чтобы вносить изменения в любой работающий стек. Благодаря шаблонам сценариев CloudFormation позволяет очень легко отследить проблему, если что-то пойдет не так в работающем стеке.

AWS CloudFormation поддерживает широкий спектр ресурсов AWS и имеет простой в использовании интерфейс перетаскивания. Мы рекомендуем отказаться от ручного управления инфраструктурой и начать использовать автоматизированные сервисы.

Отсутствие безопасности

Пользователи AWS иногда неправильно настраивают инфраструктуру своей системы, оставляя в ней несколько недостатков безопасности и уязвимостей. Эти недостатки конфигурации приводят к появлению различных лазеек в системе, вызывающих различные угрозы безопасности.

Жесткое кодирование учетных данных в исходном коде приложений — еще одна распространенная ошибка безопасности в AWS. Жестко запрограммированные ключи AWS выставляются на всеобщее обозрение в течение нескольких лет. Все ключи безопасности AWS, учетные данные пользователей и пароли необходимо регулярно менять, чтобы ограничить доступ злоумышленников к вашей системе и защитить ваши данные AWS.

Кроме того, некоторые организации упускают из виду необходимость включения шифрования в своих инфраструктурах AWS. Шифрование необходимо при создании экземпляров службы реляционной базы данных (RDS), эластичного блочного хранилища (EBS) и всех данных в S3. Для обеспечения безопасности ваших систем необходимо настроить надлежащие стандарты шифрования. На самом деле неправильно настроенное шифрование может быть столь же катастрофическим, как и отсутствие шифрования.

Предоставление ненужных более высоких привилегий

Управление ключами доступа и правами пользователей играет жизненно важную роль в AWS и его безопасности. Часто разработчикам и аналитикам дают права администратора, чтобы уменьшить работу административного отдела. Но настоятельно рекомендуется избегать предоставления ненужных более широких ролей и более высоких привилегий большинству сотрудников.

Системные администраторы должны быть ограничены определенным числом в зависимости от организации. Не всем нужны права администратора. Системные администраторы обязаны поддерживать целостность системы и применять надлежащие политики для снижения риска атак на систему безопасности. Системные администраторы также должны регулярно проверять все привилегии пользователей.

Изображение 697 Наличие большого количества влиятельных пользователей со всеми правами администратора также может привести к нескольким конфликтам, которые могут затруднить бизнес-процесс. Чтобы избежать этих ненужных проблем, AWS запустил веб-сервис под названием AWS Identity and Access Management (IAM). IAM позволяет администраторам легко управлять ролями и разрешениями своих пользователей. Этот сервис особенно важен для предприятий, в которых несколько пользователей используют такие сервисы AWS, как EC2, консоль управления AWS и SimpleDB. Другими функциями IAM являются детализированные разрешения, общий доступ к учетным записям AWS, федерация удостоверений и согласованность в предоставлении привилегий.

Стекирование устаревших ресурсов

Будь то AWS или любой другой облачный сервис, накопление устаревших ресурсов может превратиться в один из самых страшных кошмаров для руководства. AWS взимает плату со своих пользователей в зависимости от использования ресурсов. Однако термин «использование» здесь не обязательно означает, что вы используете ресурсы. Хотя плата за тома EBS взимается в зависимости от предоставленного хранилища, даже неиспользуемые, но сохраненные тома EBS могут легко привести к увеличению счетов и проблемам с производительностью в системе. Рекомендуется сохранять только минимально необходимые объемы, которые потребуются в ближайшем будущем.

Точно так же поддержание чистоты групп безопасности EC2 устраняет риск применения несанкционированной групповой политики безопасности. Мы часто сталкивались со случаями, когда начинающие пользователи AWS по ошибке запускали инстансы EC2, используя устаревшие группы безопасности. Эти устаревшие группы безопасности очень уязвимы для атак и часто приводят к различным инцидентам. Поэтому регулярно отслеживайте и удаляйте все ненужные ресурсы и группы безопасности EC2.

Игнорирование журналов

Надлежащее ведение журнала всех выполненных действий имеет важное значение, независимо от того, какое приложение вы используете. Эта, казалось бы, незначительная мера ведения журналов может быть очень полезна при восстановлении после сбоев системы и жизненно важна для отслеживания показателей системы. Такие инструменты, как AWS CloudTrail, могут быть удобны для ведения журналов, а также для отслеживания всех вызовов API, сделанных из консоли. Хотя CloudTrail или любое другое подобное приложение для мониторинга выполняет задачу хранения всех ваших журналов, вам необходимо убедиться, что эти службы всегда включены и правильно работают в ваших системах.

Использование слишком большого количества экземпляров

Выбор правильных инстансов для вашей системы AWS — фундаментальное решение, которое необходимо принять. Сколько экземпляров выбрать? Каков правильный размер экземпляра? Как отслеживать все экземпляры? Все это основные, но жизненно важные решения, которые необходимо принять. Определенно нужны ресурсы для запуска систем, но использование чрезмерно больших или слишком большого количества инстансов или оставление ваших инстансов бездействующими может стоить вам больших денег. Так что используйте свои ресурсы с умом.

Точно так же наличие моментальных снимков EBS необходимо в процессе восстановления в случае сбоя системы. Снимки — это добавочные резервные копии, в которых хранятся блоки данных на устройстве. Но создание слишком большого количества моментальных снимков также может привести к неоправданно высоким счетам. Поэтому моментальные снимки EBS следует сохранять умеренно, чтобы избежать неожиданного увеличения стоимости хранения. Одна из лучших практик — использовать стратегию хранения моментальных снимков с использованием правил жизненного цикла Amazon S3.

Использование Amazon CloudWatch для мониторинга показателей системы и использование доверенного советника AWS для наилучших политик может оказаться весьма полезным при обслуживании систем AWS.

Теперь, когда вы знакомы с некоторыми наиболее часто совершаемыми ошибками в AWS, избегайте их. Большинство этих неправильных конфигураций исправить несложно. Но если их игнорировать, последствия могут быть смертельными для вашей организации.

Фото: Flickr/Cowboy Francis.