AWS中有一个工具叫CloudTrial。CloudTrail是一种记录账户的AWS API调用，并向你发送日志文件的Web服务。记录的信息包括API调用者的身份、API调用的时间、API调用者的源IP地址、请求参数以及AWS服务返回的响应元素。

利用CloudTrail，你可以获得关于账户的AWS API调用的历史记录，包括通过AWS管理控制台、AWS软件开发工具包、命令行工具和更高级别的AWS服务(例如AWS CloudFormation)进行的API调用。由CloudTrail生成的AWS API调用历史记录可用于安全分析、资源变更追踪以及合规性审计。

此外，你还可以通过一些工具来检测云中的异常行为。比如Skyfence，它是一个基于代理的检测系统，可以帮助你监控AWS活动并及时提醒你一些有危险的访问行为。

防止黑客造成大规模破坏

如果黑客已经入侵了你的AWS账户，该如何将损失降到最低?Skyfence这块工具也可以帮到你。通过Skyfence的代理系统，你可以关闭未经授权的AWS账户，并通过管理控制台添加身份凭证。在Code Spaces事件中，这种方法或许能阻止黑客删除其在云上的数据。

加密

除了使用Skyfence，你还可以通过加密的方法，来防止黑客删除数据。最简单的方法是，通过AWS提供的工具，将自己存储在云上的数据进行加密——SafeNet和Vormetric就提供各种加密服务，你可以在AWS商城中找到。但需要注意的是，这些工具仅仅提供了一些基本的加密存储服务。

Web应用程序防火墙

在Code Spaces事件中，黑客是通过DDoS攻击从而入侵了该公司的AWS账户，而防止DDoS攻击的一个方法就是Web应用程序防火墙。同样，在AWS市场中也有不少这样的应用，比如Barracuda和Alert Logic，这些工具可以帮助你监控流量、识别一些异常行为等，如果出现类似于DDoS攻击，Web应用程序防火墙可以有效的阻止它们。

备份

保证安全的最佳实践就是备份。很多人对云服务存在一种误解，既数据存在云端会自动备份，事实并非如此。就拿AWS来说，如果使用其弹性存储服务，数据并不会丢失，因为其可以进行自动备份，但EC2虚拟机实例并不是。此外，作为使用者，你还要评估自己想要备份的数据。例如，有些企业需要备份一切数据，而有些企业只需要备份关键数据;有些企业需要随时备份，而有些企业只需要定时备份即可。

AWS同样提供了多种备份选项，包括存储和数据库产品，例如S3、EBS和DynamoDB。此外，AWS也提供了“cold storage”服务，该存储服务特点是成本低、高容错，但在数据检索的相应时间上比较慢。当然，除了存储在云端，也有企业会选择把数据备份在本地。

更新的应用程序

除了备份，“更新的应用程序”是另外一个对于云服务理解的误区。云中的应用程序总是被更新的吗?在SaaS环境中，但IaaS环境并非这样。AWS提供了基础设施来保证应用程序的运行，而用户在虚拟机中来控制它们的应用程序，有些企业认为，只要经常更新软件的漏洞和安全特性，就可以保证应用程序的安全，大错特错!如果你并没有将应用升级到最新版本，那么以上所做的都将是无用功。

通过以上方法， 笔者并不能保证完全避免Code Spaces似的悲剧，但如果你不这样做，后果不堪设想。云服务可以帮助企业降低成本、便于管理、随时访问，但保证安全是使用云服务最基本的前提。

(责任编辑：)