低代码到底是不是行业毒瘤?一线大厂怎么做的?戳此了解>>> 了解详情
写点什么

AWS 精英:让 AWS 安全服务为您服务

2019 年 10 月 08 日

AWS 精英:让 AWS 安全服务为您服务

本博文由 AWS 社区精英 Mark Nunnikhoven 特约发表。Mark 是长期 APN 高级技术合作伙伴 Trend Micro 的云研究副总裁。除了在 AWS 社区宣传现代安全和隐私之外,他还带领 Trend Micro 提供大多数 AWS 安全服务的发布日支持,并参加了每一次 AWS re:Invent!


安全性是 AWS 架构完善的框架的支柱。它对任何工作负载的成功至关重要。但它也经常被误解。谈论到安全性时,行话满篇,威胁和恐惧论盛行。这导致“谈安全性色变”。它通常被认为是一个障碍,一个人们需要忍受的东西。


然而这些都不靠谱。


从本质上讲,网络安全很简单。它是一组流程和控制,用于确保构建的任何内容都按预期工作,并且只按预期工作。如何在 AWS 云中实现这一目标?


责任共担


一切都始于责任共担模式。该模式定义了日常运营的责任从 AWS 转移到我(用户)的界限。AWS 提供云的安全性,而我负责在云中操作时的安全性。对于每种类型的服务,我的责任越来越多地转移到了 AWS。



如果我不说每个人都需要验证 AWS 是否履行责任(专业提示:他们确实履行责任,并且以世界级的水平执行),那我就不是妄想狂了。而这就是 AWS Artifact 的用武之地。这是一种下载可证明 AWS 在该模式下履行其责任的证据的简单方法。


但是在该模式下,我的责任是什么呢? AWS 通过安全、身份和合规类别下的各种服务提供帮助。


安全服务


诀窍是了解所有这些安全服务如何结合在一起,以帮助我履行自己的责任。根据我在世界各地进行的对话以及在各个 AWS 峰会上帮助教授这些服务的经验,我发现将它们分为五个子类别有助于理清思路:授权、受保护的存储、身份验证、执行和可见性。



其中一些类别已经得到很好的了解。


  • 身份验证服务可以帮助我识别用户。

  • 授权服务允许我确定允许它们和其他服务做什么,以及在什么条件下进行。

  • 受保护的存储允许我加密敏感数据并管理对它的访问。

  • 还有两个子类别(执行和可见性)尚未能得到同等程度的了解。我在安全实践中每天使用这些类别的服务,这对于确保我的应用程序按预期工作至关重要。


执行


团队在如何充分利用执行控制方面遇到困难,而且很难将这些控制整合到一个可行的安全实践中。这些控制中的大多数都可以检测问题,在发现问题时发出提示。为了保护我的部署,我需要处理这些检测的流程。



将确保构建的任何内容按预期工作并且只按预期工作作为目标牢记在心,我可以更好地确定每种服务可以为我提供什么帮助。


AWS CloudTrail 几乎记录了账户中的每一个 API 操作,但要通过这些日志挖掘出可疑的活动很是困难。进入 Amazon GuardDuty。它持续搜索 CloudTrail 日志以及 Amazon VPC 流日志和 DNS 日志,以寻找 AWS 账户级别的威胁和可疑活动。


Amazon EC2 实例存在安全问题的可能性最大,因为它们运行的​​是完整操作系统和由各第三方编写的应用程序。去年,所有这些复杂性造成了报告的漏洞累计超过 13,000 个。Amazon Inspector 对实例进行按需评估,提出与操作系统和已安装应用程序相关的发现,并在其中包含建议的缓解措施。


尽管从锁定状态开始使用,但团队经常会犯错,并且有时会意外泄露 Amazon S3 存储桶中的敏感数据。Amazon Macie 持续扫描目标存储桶,查找敏感信息和错误配置。这带来了额外的保护,例如 S3 Block 公共访问和 Trusted Advisor 检查。


AWS WAF 和 AWS Shield 在 AWS 边缘站点上工作,并主动阻止检测到的攻击。AWS Shield 针对 DDoS 活动,AWS WAF 针对第七层或网络攻击。


这些服务中的每一项都为团队强化配置和编写高质量代码提供支持。它们旨在帮助挑出需要关注和采取行动的地方。而困难的地方在于对这些行动划分优先级。


可见性


划分优先级是可见性服务发挥作用的地方。如前所述,AWS Artifact 在责任共担模式下提供对 AWS 活动的可见性。新的 AWS Security Hub 帮助我了解其他 AWS 安全、身份和合规服务生成的数据,以及主要 APN 合作伙伴解决方案生成的数据。


AWS Security Hub 的目标是成为任何安全活动的第一站。发送到 Hub 的所有数据都按照 Amazon Finding Format 进行标准化,其中包括标准化的严重程度评级。这为每个发现提供了背景信息,并可帮助我确定应首先采取的行动。



有了这个划分了优先级的发现列表,就可以着手进行一系列的响应。一开始,这些可能是手动响应,但与 AWS 云中的任何内容一样,自动化是成功的关键。


使用 AWS Lambda 来响应 AWS Security Hub 的发现是一种非常有效且简单的实现安全保护现代化的方法。这个自动化工作流程位于安全控制金字塔的顶端:


• 底层有核心 AWS 安全服务和 APN 合作伙伴解决方案


• AWS Security Hub 在中间提供可见性


• 自动化作为皇冠上的明珠


那么接下来呢?


在这篇文章中,我宏观地描述了我如何在 AWS 云中实现安全性。这直接呼应了 AWS 架构完善的框架和成千上万的客户成功案例。当您了解责任共担模式和每项服务的价值时,您就可以在 AWS 云中实现更好的安全性和更好地进行构建。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-heroes-putting-aws-security-services-to-work-for-you/


2019 年 10 月 08 日 14:11208
用户头像

发布了 1249 篇内容, 共 33.1 次阅读, 收获喜欢 34 次。

关注

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

Lesson 3 设计模式 心得笔记

edd

架构师训练营week03作业

小高

作业-组合模式和单例模式

蒜泥精英

了解概率知识,概率作为机器学习的底层逻辑

奈学教育

概率

区块链+医疗,能否有效避免问题疫苗?

CECBC区块链专委会

区块链技术 溯源 疫苗

使用了 iOS 14 发布的翻译工具,觉得还差点儿意思

神经星星

apple 机器翻译 翻译软件 WWDC2020 语音识别

第三周·作业一·命题作业

刘璐

创业白皮书 - 开场篇留给情怀

阿甜

创业 重新理解创业 创业心态 创业者

聊聊设计模式——上篇

Jerry Tse

随笔 极客大学架构师训练营 作业 23种设计模式

程序员的晚餐 | 6 月 24 日 微甜的毛豆

清远

美食

架构师训练营 - 学习笔记 - 第三周

小遵

模式和重构-学习心得

蒜泥精英

设计模式总结(golang版)

2流程序员

架构师训练营-第三章-作业

而立

极客大学架构师训练营

设计模式学习实践

倪惠华

面向对象编程

Arthur

架构师训练营第三周作业

Jerry Tse

极客大学架构师训练营 作业

第三周学习总结

CP

第三周作业

冯凯

第三周作业

倪惠华

单例与组合模式代码实现

Lane

极客大学架构师训练营

第三周学习总结

冯凯

架构师训练营第三周总结

Geek_2dfa9a

面向对象设计模式课程作业

行下一首歌

极客大学架构师训练营

架构师训练营 第三周作业

孙有能希

极客大学架构师训练营 组合模式

架构师训练营--第三周作业

_MISSYOURLOVE

极客大学架构师训练营 第三周

构架师训练营-第3周命题作业

Dawn

设计模式 极客大学架构师训练营

架构师训练营第三章作业

饶军

第三周设计模式命题作业

石刻掌纹

第三周设计模式总结

石刻掌纹

架构师训练营第3周作业

aoeiuvzcs

2021 ThoughtWorks 技术雷达峰会

2021 ThoughtWorks 技术雷达峰会

AWS 精英:让 AWS 安全服务为您服务-InfoQ