亚马逊AWS官方博客

利用技术手段实现对业务运行环境的持续安全合规检测

企业在数据化转型的过程中,特别是在业务全球化的阶段,应特别重视安全合规的问题。挑战通常包括各个国家和地区都相继出台了各自的合规要求,例如GDPR,合规的覆盖度按行业实现了高度细分,例如针对支付行业的PCI-DSS,针对汽车行业信息安全的TISAX,企业内部的敏感数据随着业务的发展而快速增长。安全合规不应该以拿到一页通过证明为最终目的,而是应该将安全合规贯彻到日常的业务当中去,以合规的标准来设计,以合规的标准来检测,如果出现异常还要以合规的标准来快速纠正和修复。
AWS Security Hub可以帮助用户利用技术手段实现对业务运行环境的持续安全合规检测。常用的安全工具包括防火墙,端点保护,漏洞和合规性扫描程序,数据加密等,日常的安全运维工作总是千头万绪,四处扑火,安全工程师每天需要处理数百甚至数千个安全警报。借助 Security Hub,用户可以对来自多个 AWS 服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级,这些检测结果可在控制面板上形成图表。

除了对来自于AWS其他服务和第三方合作伙伴的安全发现进行汇总分析之外,AWS Security Hub可以通过运行自动化持续性的规则检查来产生自己的安全发现,而这种规则是来源于对一系列的安全标准的汇总归纳和抽象,目前支持的安全标准包括,互联网安全中心基准(CIS Benchmark),支付卡行业数据安全标准PCI-DSS以及AWS安全最佳实践标准。
本文以PCI-DSS为例,来说明SecurityHub如何结合行业标准去做持续性的合规检测,通常建议对所有处理,存储以及传送持卡人信息的系统资源进行检测。AWS SecurityHub会把不同的标准转换先转换为Controls ,再将Controls 转为AWS Config rules,为了提高整个检测的准确度和全面性,建议用户AWS Config界面将以下资源打开。

• Amazon ES domain
• Auto Scaling group
• CloudTrail trail
• CodeBuild project
• Amazon EC2 Elastic IP address
• Amazon EC2 security group
• Amazon EC2 volume
• IAM user
• AWS KMS key
• IAM policy
• Lambda function
• Amazon RDS DB instance
• Amazon RDS snapshot
• Amazon Redshift cluster
• S3 bucket
• Systems Manager patch compliance

AWS SecurityHub包含了不同种类的PCI-DSS Controls,每个Controls 包含事件级别,涉及资源 ,对应的Config rules,参照的PCI-DSS的标注要求,以及推荐的改进措施。其中一条就是应使用AWS KMS对CloudTrail日志进行加密,这个级别是中,对应的资源是AWS CloudTrail, 对应的规则是cloud-trail-encryption-enabled,参照的PCI-DSS的标准是PCI DSS 3.4(相关的卡信息不可以直接读取),改进措施是CloudTrail日志启动加密,具体如下:
1. 打开 CloudTrail console https://console.aws.amazon.com/cloudtrail/;
2. 选择Trails;
3. 点击进入Trail log location;
4. 根据需要选择不同的加密方式,例如服务端加密,或者自定义一个CMK进行加密;

目前包括的PCI-DSS的Controls 包括以下:



在对系统资源执行以上的检测后,AWS SecurityHub会根据结果进行打分,并以图片的形式进行展示。用户可以根据得分情况进行查缺补漏,该服务还推荐了改进措施以便快速进行修复。

本篇作者

江学森

Sr. GCR Security GTMS , AWS GCR Busines Dev Platform.