关于亚马逊云科技:走好这三步不再掉进云上安全的沟里

29次阅读

共计 6117 个字符,预计需要花费 16 分钟才能阅读完成。

序言

始终以来,私有云平安是横亘在宽广用户背后的一道鸿沟。云平安(Cloud Security)是指用于管制云计算的安全性、合规性和其余应用危险的过程、机制和服务。私有云提供商们都强调平安是其最高优先级工作,动辄就公布上百页的云上平安最佳实际白皮书,举办几百几千人平安大会,公布几十甚至上百个平安服务。但与此同时,用户们对云上平安的放心始终挥之不去。在福布斯(Forbes)2019 年的一份报告中,66% 的 IT 从业人员认为平安是他们应用私有云服务最大的放心。Gartner 预测到 2020 年,至多 50% 的企业用户会在不知情或误操作地将一 些 IAAS 存储服务、网络、利用或 API 间接裸露到互联网上,而到 2023 年,至多 99% 的云上平安问题都是用户的谬误引起的。

注释

那到底是什么造成了这条鸿沟呢?笔者认为起因次要有三:一是用户不晓得本人该为云中平安承当什么责任,二是用户不晓得云中平安服务的用处和用法,三是用户不晓得要为本人的利用抉择哪些平安服务。只有隔靴搔痒,从明确本人的责任开始,在理解云中的平安服务后,再抉择适合的平安服务,能力逾越鸿沟,开启云中平安之旅。

第一步:清晰职责 – 搞清楚你要为云中平安承当的责任

要施行胜利的云平安,第一要务是分清云提供商和作为用户的你的责任。私有云中的安全性和本地数据中心中的安全性有所不同。在传统数据中心平安模型中,你要为全副的安全性负责,包含机房、物理网络、物理服务器、虚拟机、利用等等。当负载被迁徙到了私有云上后,一部分平安责任由私有云提供商承当了,但企业平安团队仍然须要承当局部平安责任。此时,平安模型变成了平安责任共担模型,也就是说你和私有云提供商一起来为你在他们云中的利用的平安负责。

Amazon Web Service 是寰球最大私有云提供商。其平安责任共担模型(Shared Responsibility Model)明确指出,亚马逊云科技负责提供平安的基础设施和服务,而客户负责爱护操作系统、平台和数据。

图 1:亚马逊云科技平安责任共担模型(基础设施服务)

在亚马逊云科技平安共担模型中,亚马逊云科技负责保障云“的”安全性,这是亚马逊云科技的第一责任。以可用区(Availability Zone,AZ)为例,这是亚马逊云基础设施的一部分,亚马逊云科技负责为数百万沉闷客户提供平安的可用区。亚马逊云的每个可用区由两个或以上的相互隔离的数据中心形成,数据中心之间有足够的隔离间隔,每个数据中心有独立的电力供应,数据中心采纳冗余高速网络互连等等。

图 2:亚马逊云科技可用区设计

亚马逊云科技有一整套平安制度来保障每个数据中心的平安安稳运行。比方每个数据中心外部都采纳视频监控,联合亚马逊云科技的 Kinesis Video Stream、S3 以及人工智能等服务,来对视频做实时传输、存储和剖析,实时发现可能存在的问题。

图 3:亚马逊云科技对其机房实时视频监控

而你,作为亚马逊云的一用户,则需为云“中”的安全性负责,这包含以下五个局部:

身份和访问控制:负责云中的身份和拜访治理,包含身份认证和受权机制、单点登录(SSO)、多因子认证(MFA)、拜访密钥、证书、明码等。

基础设施爱护:负责对网络、虚拟机实例和容器实例等基础设施进行平安爱护。在网络方面,比方应用 VPC 来创立一个公有的、平安的和可扩大的网络环境,创立网络分层,在每一层上进行安全控制,主动地进行网络检测和防护,开启网络拜访日志等;在主机方面,比方应用主机平安工具来扫描虚拟机和利用的平安状态,应用代码扫描工具来发现代码中的安全漏洞,对操作系统进行主动补丁降级和加固,应用平安通道拜访虚拟机,应用平安的配置工具对虚拟机进行配置等。

数据保护:负责你数据的平安,包含数据分类、加密、访问控制等,因为数据是云用户的资产,云供应商对其没有拜访权限。

平安检测:负责采纳各种平安服务和工具,不论是云供应商提供的还是第三方的抑或是本人开发的,检测潜在的平安危险和平安问题。

事件响应:负责在呈现平安问题后做出响应,打消平安危险,复原数据和业务。

第二步:理解工具 – 搞清楚云服务商提供了哪些平安服务

亚马逊云科技首席信息安全官史蒂芬·施密特已经说过:“客户经常跟咱们说,帮他们放弃平安最好的形式,就是交给他们更智能的工具,让他们能够更容易地搞定平安。”为了帮忙用户实现上述五大平安责任,到目前为止,亚马逊云科技提供超过 200 种身份认证、平安及合规服务。下表中列出了亚马逊云科技次要平安服务。

表 1:亚马逊云科技次要平安服务

亚马逊云科技所有这些平安服务,形成了一个多层次的残缺爱护机制,为你在亚马逊云中的利用保驾护航。

图 4:亚马逊云科技分层平安爱护机制

除了平安服务外,亚马逊云科技还在 Amazon Architecture Center(亚马逊云科技架构核心)网站上提供了最佳参考架构计划、工具、培训和试验,涵盖敏捷性、安全性、可靠性、高性能和老本等多个方面。而且,在 Amazon Marketplace 中,还有几百家平安合作伙伴,在利用平安、数据保护、合规、主机平安、身份和访问控制、日志和威逼检测等提供泛滥工具和计划。

理解每种平安服务的用处、应用场景、工作流程乃至计费形式等十分重要。上面就深刻介绍下 Security Hub 和 GuardDuty 这两种平安服务。

(一)Amazon GuardDuty 服务

在亚马逊云科技环境中,对网络流动和账户行为进行继续监控十分重要。启用 CloudTrail 后,亚马逊云科技账户内简直所有 API 调用流动都会记录下来,但从海量日志中发现可疑流动会十分艰难。VPC 流日志服务负责记录的 VPC 内的网络流动也是如此。为了解决这些艰难,亚马逊云科技公布了 Amazon GuardDuty 服务,它通过剖析多个日志数据源(包含 VPC 流日志、Amazon CloudTrail 事件日志和 DNS 查问日志),继续监测亚马逊云科技账号、VPC 网络和负载的运行状况,应用威逼情报源和机器学习来标识亚马逊云科技环境中可疑的和未经受权的歹意流动,而且还可利用 Amazon CloudWatch 事件和 Amazon Lambda 来执行自动化的告诉和修复操作。

图 5:Amazon GuardDuty 产品架构

Amazon GuardDuty 会应用由亚马逊云科技平安团队负责保护和不断改进的算法来进行日志检测。次要检测类别包含非法探测、实例盗用和账号盗用等,而且还在继续减少中。

图 6:一直减少中的 GuardDuty 能发现的平安危险类型数

而后,它将剖析后果依照三个级别 (低、中和高) 之一出现进去,并附有具体的证据和修复倡议。

图 7:Amazon GuardDuty 截图

这些后果可作为事件输出到 Amazon CloudWatch 之中,再应用 Amazon Lambda 函数来主动告诉甚至修复特定类型的问题。在下图所示的例子中,GuardDuty 收集日志里的数据进行剖析并将后果寄存在 S3 中,同时通过 CloudWatch Events 采集特定的安全事件或危险等级事件。对于中等危险,通过 Amazon SNS 服务邮件告诉管理员,对于高风险则通过 Amazon Connect 联合 Amazon Lambda 电话告诉管理员。

图 8:基于 Amazon GuardDuty 威逼级别的自动化告诉

(二)Amazon Security Hub

实现云上平安的一大挑战是可视性(Visibility)。你可能会用到多种平安工具,每种工具都会提供平安爱护并产生大量数据,这使得你得每天在这些工具之间来回切换,解决数百甚至数千个平安警报。

为了解决此问题,亚马逊云科技公布了 Security Hub 服务,它可让你在一个可视化平台上就能查看亚马逊云科技账户中的所有平安警报与合规性状态。它对来自多个亚马逊云科技服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及亚马逊云科技合作伙伴(比方 Splunk, Qualys, Crowdstrike, Alert Logic 等)的解决方案的平安警报或检测后果进行聚合、组织和设置优先级,而后在具备可操作图形和表格的集成控制面板上对所有检测后果进行直观汇总。

图 9:Amazon Security Hub 产品架构

GuardDuty 从 VPC 流日志、Amazon CloudTrail 事件日志和 DNS 日志中发现亚马逊云科技账户、VPC 网络和负载中的平安问题,Macie 则利用人工智能算法从被监控的 S3 存储桶中发现平安问题,Inspector 从 EC2 实例中发现操作系统和利用的平安问题。所有平安问题都汇总到 Security Hub 后,它解决数据并进行关联性剖析,以确定最终检测后果的优先级,而后在集成的控制面板上将所有平安检测后果汇总起来,展现出以后的安全性与合规性状态。

图 10:Amazon Security Hub 产品界面截图

相似 GuardDuty,Security Hub 也反对通过 CloudWatch Events 与 Lambda 以及 Step Functions 集成。首先你在 Security Hub 配置数据起源以及响应形式,而后平安检测后果条目会被以事件(Event)模式发送到 CloudWatch 中,CloudWatch 中的规定(Rule)被触发,而后事件信息会被推送到各种告诉和事件治理或解决零碎中。

图 11:Amazon Security Hub 主动响应示例

第三步:正当抉择 – 搞清楚要抉择哪些平安服务为你所用

要搞清楚需为你在亚马逊云科技上的利用抉择哪些平安服务,还是得从你所抉择的云性能服务动手。下图显示了针对一个典型三层 Web 利用部署架构所抉择的次要平安服务。

图 12:一典型 Web 利用部署架构中用到的平安服务

  1. 默认启用 Amazon IAM、CloudTrail、Config、VPC Flow Logs、VPC DNS Logs 等服务或性能。IAM 负责创立子账户以及调配对账户和资源的拜访权限;CloudTrail 会记录你亚马逊云科技账号内简直所有 API 调用;Config 会记录你账户内所有的配置变动;VPC Flow Logs 则会记录 VPC 内的所有网络流日志;VPC DNS Logs 会记录 VPC 内所有 DNS 查问日志。所有这些日志都是进行后续平安检测的次要数据起源。
  2. Amazon EC2 是一基础设施类服务,提供虚拟机服务。你需将 EC2 实例创立在 VPC 中以实现网络隔离,利用平安组管制网络拜访,应用 IAM 管制用户、利用或服务对它的拜访权限,应用 SSH 或 Amazon Systems Manager Session Manager 平安地近程拜访它,应用 Amazon Systems Manager Run Command 对 EC2 实例进行配置,应用 Amazon Inspector 对 EC2 实例和利用进行安全检查,手工或应用 Amazon Systems Manager Patch Manager 主动地进行补丁降级和更新,应用 EBS 云盘加密性能来爱护其静态数据平安等,应用 Amazon EC2 Auto Scaling 来晋升其高可用性等。
  3. Amazon S3 是一托管类服务,提供对象存储服务。亚马逊云科技负责保障其 11 个 9 的数据可靠性和 4 个 9 的服务可用性,以及操作系统及软件补丁降级、防火墙配置及劫难复原等。你可应用 SSL/TLS 拜访它,采纳客户端数据加密,启用服务器端数据加密,按需配置拜访权限,启用 MFA Delete 性能以避免存储桶误删,开启拜访日志和监控,启用对象版本,对特定对象加锁以避免对象误删,应用 CCR(跨区域拜访)来满足某些合规要求;还可启用 Amazon Macie 服务,它会应用人工智能算法对 S3 存储桶中的数据进行剖析,发现潜在的平安危险,爱护敏感数据。
  4. Amazon RDS 是一托管类服务,提供关系数据库服务。它向用户提供多个平安性能,包含反对在 VPC 中创立实例、DB 平安组、权限管制、SSL 连贯、实例和快照加密、主动备份和快照、多可用区部署、操作系统和数据库软件主动补丁降级、日志、监控及事件告诉等,可依据须要应用这些性能。
  5. Amazon ElastiCache 是一托管服务,提供内存型缓存服务。它也提供了一系列平安性能,包含反对在 VPC 中创立实例、反对通过 Cache 平安组管制网络拜访权限、IAM 策略、SSL 连贯、数据加密、多可用区部署、操作系统和软件主动补丁降级、故障探测和复原、反对多实例、备份和复原、主动快照、日志、监控及事件告诉等。
  6. Amazon Elastic Load Balancing 是一基础设施类型服务,负责接管客户端申请并将其分发给后端 EC2 实例。它需被创立在 VPC 中,倡议将其散布在多个可用区中以保障可靠性,应用平安(HTTPS/TLS)监听器以保障客户端和其之间的通信安全,配置平安组以只接管特定客户端的申请,应用 Amazon Certificate Manager 来治理其服务器证书,抉择适合的负载均衡器安全策略和监听器安全策略等。
  7. 在网络边界,Amazon Shield 根底版或高级版能够为 ELB、CloudFront 公布、Route 53 托管区域等提供基础性和高级 DDoS 防护;启用 Amazon WAF,用于监控和管制对 Web 利用的非法拜访;需要的话还能够启用 Amazon Firewall Manager 服务,用于跨账户对立治理 Amazon WAF 拜访规定、Amazon Shield Advanced 防护规定和 VPC 平安组等平安规定。
  8. 启用 GuardDuty,将数据源配置为 Macie、VPC Flow Logs 和 DNS Logs,它会负责对 VPC 内的网络流动和账户行为进行继续监控;再启用 Security Hub 来作为你的亚马逊云上对立平安与合规核心,将其数据源配置为 GuardDuty、Macie 和 Inspector,它会让你在一个控制面板上就能查看你亚马逊云科技账户中的所有平安警报与合规性状态。
  9. 还能够启用 Trusted Advisor 服务,它可依据亚马逊云科技部署架构最佳实际,剖析你的利用部署架构,从老本、性能、平安、容错、容量等方面给出评估后果和改良倡议,领导你进一步欠缺这个部署架构。

小结

须要指出的是,残缺的云上平安治理流程包含辨认(Identity)、爱护(Protect)、检测(Detect)、响应(Respond)、复原(Recover)等五大环节。因而,文中介绍的这三步 – 清晰责任、理解工具、正当抉择,只是云上平安旅程的前几步而已,但走好这几步,你就能顺利开启你的云上平安之旅了。

图 13:亚马逊云科技残缺平安治理流程

当初就登程,开启你的云上平安之旅吧!

本篇作者

刘世民

云计算技术专家,曾就任于华为、IBM、海航等公司,专一于云计算。曾在海航团体易航科技负责云服务事业群总经理一职,负责 IDC、云平台、零碎运维、信息安全以及用户服务等业务。保护有“世民谈云计算”技术博客和微信公众号。《OpenShift 云原生架构原理与实际》作者之一、《Ceph Cookbook 中文版》《精通 OpenStack》、《机器学习即服务: 将 Python 机器学习创意疾速转变为云端 Web 应用程序》译者之一。

浏览原文:https://dev.amazoncloud.cn/co…

正文完
 0