亚马逊AWS官方博客

AWS 精英:让 AWS 安全服务为您服务

本博文由 AWS 社区精英 Mark Nunnikhoven 特约发表。Mark 是长期 APN 高级技术合作伙伴 Trend Micro 的云研究副总裁。除了在 AWS 社区宣传现代安全和隐私之外,他还带领 Trend Micro 提供大多数 AWS 安全服务的发布日支持,并参加了每一次 AWS re:Invent!

安全性是 AWS 架构完善的框架的支柱。它对任何工作负载的成功至关重要。但它也经常被误解。谈论到安全性时,行话满篇,威胁和恐惧论盛行。这导致“谈安全性色变”。它通常被认为是一个障碍,一个人们需要忍受的东西。

然而这些都不靠谱。

从本质上讲,网络安全很简单。它是一组流程和控制,用于确保构建的任何内容都按预期工作,并且只按预期工作。如何在 AWS 云中实现这一目标?

责任共担

一切都始于责任共担模式。该模式定义了日常运营的责任从 AWS 转移到我(用户)的界限。AWS 提供云安全性,而我负责在云操作时的安全性。对于每种类型的服务,我的责任越来越多地转移到了 AWS。

如果我不说每个人都需要验证 AWS 是否履行责任(专业提示:他们确实履行责任,并且以世界级的水平执行),那我就不是妄想狂了。而这就是 AWS Artifact 的用武之地。这是一种下载可证明 AWS 在该模式下履行其责任的证据的简单方法。

但是在该模式下,我的责任是什么呢? AWS 通过安全、身份和合规类别下的各种服务提供帮助。

安全服务

诀窍是了解所有这些安全服务如何结合在一起,以帮助我履行自己的责任。根据我在世界各地进行的对话以及在各个 AWS 峰会上帮助教授这些服务的经验,我发现将它们分为五个子类别有助于理清思路:授权、受保护的存储、身份验证、执行和可见性。

其中一些类别已经得到很好的了解。

  • 身份验证服务可以帮助我识别用户。
  • 授权服务允许我确定允许它们和其他服务做什么,以及在什么条件下进行。
  • 受保护的存储允许我加密敏感数据并管理对它的访问。

还有两个子类别(执行和可见性)尚未能得到同等程度的了解。我在安全实践中每天使用这些类别的服务,这对于确保我的应用程序按预期工作至关重要。

执行

团队在如何充分利用执行控制方面遇到困难,而且很难将这些控制整合到一个可行的安全实践中。这些控制中的大多数都可以检测问题,在发现问题时发出提示。为了保护我的部署,我需要处理这些检测的流程。

将确保构建的任何内容按预期工作并且只按预期工作作为目标牢记在心,我可以更好地确定每种服务可以为我提供什么帮助。

AWS CloudTrail 几乎记录了账户中的每一个 API 操作,但要通过这些日志挖掘出可疑的活动很是困难。进入 Amazon GuardDuty。它持续搜索 CloudTrail 日志以及 Amazon VPC 流日志和 DNS 日志,以寻找 AWS 账户级别的威胁和可疑活动。

Amazon EC2 实例存在安全问题的可能性最大,因为它们运行的​​是完整操作系统和由各第三方编写的应用程序。去年,所有这些复杂性造成了报告的漏洞累计超过 13,000 个Amazon Inspector 对实例进行按需评估,提出与操作系统和已安装应用程序相关的发现,并在其中包含建议的缓解措施。

尽管从锁定状态开始使用,但团队经常会犯错,并且有时会意外泄露 Amazon S3 存储桶中的敏感数据。Amazon Macie 持续扫描目标存储桶,查找敏感信息和错误配置。这带来了额外的保护,例如 S3 Block 公共访问Trusted Advisor 检查

AWS WAFAWS ShieldAWS 边缘站点上工作,并主动阻止检测到的攻击。AWS Shield 针对 DDoS 活动,AWS WAF 针对第七层或网络攻击。

这些服务中的每一项都为团队强化配置和编写高质量代码提供支持。它们旨在帮助挑出需要关注和采取行动的地方。而困难的地方在于对这些行动划分优先级。

可见性

划分优先级是可见性服务发挥作用的地方。如前所述,AWS Artifact 在责任共担模式下提供对 AWS 活动的可见性。新的 AWS Security Hub 帮助我了解其他 AWS 安全、身份和合规服务生成的数据,以及主要 APN 合作伙伴解决方案生成的数据。

AWS Security Hub 的目标是成为任何安全活动的第一站。发送到 Hub 的所有数据都按照 Amazon Finding Format 进行标准化,其中包括标准化的严重程度评级。这为每个发现提供了背景信息,并可帮助我确定应首先采取的行动。

有了这个划分了优先级的发现列表,就可以着手进行一系列的响应。一开始,这些可能是手动响应,但与 AWS 云中的任何内容一样,自动化是成功的关键

使用 AWS Lambda 来响应 AWS Security Hub 的发现是一种非常有效且简单的实现安全保护现代化的方法。这个自动化工作流程位于安全控制金字塔的顶端:

• 底层有核心 AWS 安全服务和 APN 合作伙伴解决方案
• AWS Security Hub 在中间提供可见性
• 自动化作为皇冠上的明珠

那么接下来呢?

在这篇文章中,我宏观地描述了我如何在 AWS 云中实现安全性。这直接呼应了 AWS 架构完善的框架和成千上万的客户成功案例。当您了解责任共担模式和每项服务的价值时,您就可以在 AWS 云中实现更好的安全性和更好地进行构建。