序言

一直以来,公有云安满是横亘在广阔用户面前的一道距离。云安全(Cloud Security)是指用于操控云核算的安全性、合规性和其他运用危险的进程、机制和服务。公有云供给商们都着重安满是其最高优先级作业,动辄就发布上百页的云上安全最佳实践白皮书,举行几百几千人安全大会,发布几十乃至上百个安全服务。但与此一起,用户们对云上安全的忧虑一直挥之不去。在福布斯(Forbes)2019年的一份报告中,66%的 IT 从业人员认为安满是他们运用公有云服务最大的忧虑。Gartner 预测到2020年,至少50%的企业用户会在不知情或误操作地将一 些IAAS 存储服务、网络、运用或API直接露出到互联网上,而到2023年,至少99%的云上安全问题都是用户的错误引起的。

正文

那究竟是什么造成了这条距离呢?笔者认为原因首要有三:一是用户不知道自己该为云中安全承当什么职责,二是用户不知道云中安全服务的用处和用法,三是用户不知道要为自己的运用挑选哪些安全服务。只有对症下药,从清晰自己的职责开始,在了解云中的安全服务后,再挑选适宜的安全服务,才能跨过距离,敞开云中安全之旅。

榜首步:明晰职责 – 搞清楚你要为云中安全承当的职责

要实施成功的云安全,榜首要务是辨明云供给商和作为用户的你的职责。公有云中的安全性和本地数据中心中的安全性有所不同。在传统数据中心安全模型中,你要为全部的安全性担任,包含机房、物理网络、物理服务器、虚拟机、运用等等。当负载被迁移到了公有云上后,一部分安全职责由公有云供给商承当了,但企业安全团队依然需求承当部分安全职责。此刻,安全模型变成了安全职责共担模型,也就是说你和公有云供给商一起来为你在他们云中的运用的安全担任。

Amazon Web Service 是全球最大公有云供给商。其安全职责共担模型(Shared Responsibility Model)清晰指出,亚马逊云科技担任供给安全的基础设施和服务,而客户担任维护操作体系、渠道和数据。

走好这三步,不再掉进云上安全的沟里!

图1:亚马逊云科技安全职责共担模型(基础设施服务)

在亚马逊云科技安全共担模型中,亚马逊云科技担任保证云“的”安全性,这是亚马逊云科技的榜首职责。以可用区(Availability Zone,AZ)为例,这是亚马逊云基础设施的一部分,亚马逊云科技担任为数百万活泼客户供给安全的可用区。亚马逊云的每个可用区由两个或以上的相互阻隔的数据中心构成,数据中心之间有足够的阻隔距离,每个数据中心有独立的电力供应,数据中心选用冗余高速网络互连等等。

走好这三步,不再掉进云上安全的沟里!

图2:亚马逊云科技可用区设计

亚马逊云科技有一整套安全制度来保证每个数据中心的安全平稳运转。比方每个数据中心内部都选用视频监控,结合亚马逊云科技的 Kinesis Video Stream、S3 以及人工智能等服务,来对视频做实时传输、存储和剖析,实时发现或许存在的问题。

走好这三步,不再掉进云上安全的沟里!

图3:亚马逊云科技对其机房实时视频监控

而你,作为亚马逊云的一用户,则需为云“中”的安全性担任,这包含以下五个部分:

身份和拜访操控:担任云中的身份和拜访办理,包含身份认证和授权机制、单点登录(SSO)、多因子认证(MFA)、拜访密钥、证书、暗码等。

基础设施维护:担任对网络、虚拟机实例和容器实例等基础设施进行安全维护。在网络方面,比方运用 VPC 来创立一个私有的、安全的和可扩展的网络环境,创立网络分层,在每一层上进行安全操控,主动地进行网络检测和防护,敞开网络拜访日志等;在主机方面,比方运用主机安全东西来扫描虚拟机和运用的安全状况,运用代码扫描东西来发现代码中的安全漏洞,对操作体系进行主动补丁晋级和加固,运用安全通道拜访虚拟机,运用安全的装备东西对虚拟机进行装备等。

数据维护:担任你数据的安全,包含数据分类、加密、拜访操控等,由于数据是云用户的财物,云供货商对其没有拜访权限。

安全检测:担任选用各种安全服务和东西,不管是云供货商供给的仍是第三方的抑或是自己开发的,检测潜在的安全危险和安全问题。

事情呼应:担任在出现安全问题后做出呼应,消除安全危险,康复数据和事务。

第二步:了解东西 – 搞清楚云服务商供给了哪些安全服务

亚马逊云科技首席信息安全官史蒂芬施密特曾经说过:“客户常常跟我们说,帮他们保持安全最好的方式,就是交给他们更智能的东西,让他们能够更容易地搞定安全。”为了协助用户完成上述五大安全职责,到目前为止,亚马逊云科技供给超过200种身份认证、安全及合规服务。下表中列出了亚马逊云科技首要安全服务。

走好这三步,不再掉进云上安全的沟里!

表1:亚马逊云科技首要安全服务

亚马逊云科技一切这些安全服务,构成了一个多层次的完好维护机制,为你在亚马逊云中的运用保驾护航。

走好这三步,不再掉进云上安全的沟里!

图4:亚马逊云科技分层安全维护机制

除了安全服务外,亚马逊云科技还在 Amazon Architecture Center(亚马逊云科技架构中心)网站上供给了最佳参考架构计划、东西、训练和试验,涵盖敏捷性、安全性、可靠性、高功能和本钱等多个方面。并且,在 Amazon Marketplace 中,还有几百家安全合作伙伴,在运用安全、数据维护、合规、主机安全、身份和拜访操控、日志和要挟检测等供给众多东西和计划。

了解每种安全服务的用处、运用场景、作业流程乃至计费方式等十分重要。下面就深化介绍下 Security Hub和GuardDuty 这两种安全服务。

(一)Amazon GuardDuty 服务

在亚马逊云科技环境中,对网络活动和账户行为进行继续监控十分重要。启用 CloudTrail后,亚马逊云科技账户内简直一切 API 调用活动都会记载下来,但从海量日志中发现可疑活动会十分困难。VPC 流日志服务担任记载的 VPC 内的网络活动也是如此。为了解决这些困难,亚马逊云科技发布了 Amazon GuardDuty 服务,它经过剖析多个日志数据源(包含VPC流日志、Amazon CloudTrail 事情日志和 DNS 查询日志),继续监测亚马逊云科技账号、VPC 网络和负载的运转状况,运用要挟情报源和机器学习来标识亚马逊云科技环境中可疑的和未经授权的歹意活动,并且还可运用 Amazon CloudWatch 事情和 Amazon Lambda 来履行主动化的告诉和修正操作。

走好这三步,不再掉进云上安全的沟里!

图5:Amazon GuardDuty 产品架构

Amazon GuardDuty 会运用由亚马逊云科技安全团队担任维护和不断改进的算法来进行日志检测。首要检测类别包含不合法勘探、实例盗用和账号盗用等,并且还在继续添加中。

走好这三步,不再掉进云上安全的沟里!

图6:不断添加中的 GuardDuty 能发现的安全危险类型数

然后,它将剖析成果依照三个等级 (低、中和高) 之一出现出来,并附有具体的依据和修正主张。

走好这三步,不再掉进云上安全的沟里!

图7:Amazon GuardDuty 截图

这些成果可作为事情输入到 Amazon CloudWatch 之中,再运用 Amazon Lambda 函数来主动告诉乃至修正特定类型的问题。在下图所示的例子中,GuardDuty搜集日志里的数据进行剖析并将成果存放在 S3 中,一起经过 CloudWatch Events 收集特定的安全事情或危险等级事情。关于中等危险,经过 Amazon SNS 服务邮件告诉办理员,关于高危险则经过 Amazon Connect 结合 Amazon Lambda 电话告诉办理员。

走好这三步,不再掉进云上安全的沟里!

图8:根据 Amazon GuardDuty 要挟等级的主动化告诉

(二)Amazon Security Hub

完成云上安全的一大应战是可视性(Visibility)。你或许会用到多种安全东西,每种东西都会供给安全维护并产生很多数据,这使得你得每天在这些东西之间来回切换,处理数百乃至数千个安全警报。

为了解决此问题,亚马逊云科技发布了 Security Hub 服务,它可让你在一个可视化渠道上就能检查亚马逊云科技账户中的一切安全警报与合规性状况。它对来自多个亚马逊云科技服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及亚马逊云科技合作伙伴(比方 Splunk, Qualys, Crowdstrike, Alert Logic 等)的解决计划的安全警报或检测成果进行聚合、组织和设置优先级,然后在具有可操作图形和表格的集成操控面板上对一切检测成果进行直观汇总。

走好这三步,不再掉进云上安全的沟里!

图9:Amazon Security Hub 产品架构

GuardDuty 从 VPC 流日志、Amazon CloudTrail 事情日志和 DNS 日志中发现亚马逊云科技账户、VPC 网络和负载中的安全问题,Macie 则运用人工智能算法从被监控的S3存储桶中发现安全问题,Inspector 从 EC2 实例中发现操作体系和运用的安全问题。一切安全问题都汇总到 Security Hub 后,它处理数据并进行关联性剖析,以确认终究检测成果的优先级,然后在集成的操控面板大将一切安全检测成果汇总起来,展示出当时的安全性与合规性状况。

走好这三步,不再掉进云上安全的沟里!

图10:Amazon Security Hub 产品界面截图

类似 GuardDuty,Security Hub 也支撑经过 CloudWatch Events 与 Lambda 以及 Step Functions 集成。首要你在 Security Hub 装备数据来源以及呼应方式,然后安全检测成果条目会被以事情(Event)方式发送到 CloudWatch 中,CloudWatch 中的规矩(Rule)被触发,然后事情信息会被推送到各种告诉和事情办理或处理体系中。

走好这三步,不再掉进云上安全的沟里!

图11:Amazon Security Hub 主动呼应示例

第三步:合理挑选 – 搞清楚要挑选哪些安全服务为你所用

要搞清楚需为你在亚马逊云科技上的运用挑选哪些安全服务,仍是得从你所挑选的云功用服务入手。下图显示了针对一个典型三层 Web 运用布置架构所挑选的首要安全服务。

走好这三步,不再掉进云上安全的沟里!

图12:一典型 Web 运用布置架构中用到的安全服务

  1. 默许启用 Amazon IAM、CloudTrail、Config、VPC Flow Logs、VPC DNS Logs 等服务或功用。IAM 担任创立子账户以及分配对账户和资源的拜访权限;CloudTrail 会记载你亚马逊云科技账号内简直一切 API 调用;Config 会记载你账户内一切的装备变化;VPC Flow Logs 则会记载 VPC 内的一切网络流日志;VPC DNS Logs 会记载 VPC 内一切 DNS 查询日志。一切这些日志都是进行后续安全检测的首要数据来源。
  2. Amazon EC2 是一基础设施类服务,供给虚拟机服务。你需将 EC2 实例创立在 VPC 中以完成网络阻隔,运用安全组操控网络拜访,运用 IAM 操控用户、运用或服务对它的拜访权限,运用 SSH 或 Amazon Systems Manager Session Manager 安全地长途拜访它,运用 Amazon Systems Manager Run Command 对 EC2 实例进行装备,运用 Amazon Inspector 对EC2实例和运用进行安全检查,手艺或运用 Amazon Systems Manager Patch Manager 主动地进行补丁晋级和更新,运用EBS云盘加密功用来维护其静态数据安全等,运用 Amazon EC2 Auto Scaling 来提高其高可用性等。
  3. Amazon S3是一保管类服务,供给目标存储服务。亚马逊云科技担任保证其11个9的数据可靠性和4个9的服务可用性,以及操作体系及软件补丁晋级、防火墙装备及灾难康复等。你可运用 SSL/TLS 拜访它,选用客户端数据加密,启用服务器端数据加密,按需装备拜访权限,启用 MFA Delete 功用以避免存储桶误删,敞开拜访日志和监控,启用目标版本,对特定目标加锁以避免目标误删,运用 CCR(跨区域拜访)来满意某些合规要求;还可启用 Amazon Macie 服务,它会运用人工智能算法对 S3 存储桶中的数据进行剖析,发现潜在的安全危险,维护敏感数据。
  4. Amazon RDS 是一保管类服务,供给联系数据库服务。它向用户供给多个安全功用,包含支撑在 VPC 中创立实例、DB 安全组、权限操控、SSL 衔接、实例和快照加密、主动备份和快照、多可用区布置、操作体系和数据库软件主动补丁晋级、日志、监控及事情告诉等,可根据需求运用这些功用。
  5. Amazon ElastiCache 是一保管服务,供给内存型缓存服务。它也供给了一系列安全功用,包含支撑在VPC中创立实例、支撑经过 Cache 安全组操控网络拜访权限、IAM 策略、SSL 衔接、数据加密、多可用区布置、操作体系和软件主动补丁晋级、故障勘探和康复、支撑多实例、备份和康复、主动快照、日志、监控及事情告诉等。
  6. Amazon Elastic Load Balancing是一基础设施类型服务,担任接纳客户端请求并将其分发给后端 EC2 实例。它需被创立在VPC中,主张将其分布在多个可用区中以保证可靠性,运用安全(HTTPS/TLS)监听器以保证客户端和其之间的通讯安全,装备安全组以只接纳特定客户端的请求,运用 Amazon Certificate Manager 来办理其服务器证书,挑选适宜的负载均衡器安全策略和监听器安全策略等。
  7. 在网络边界,Amazon Shield 基础版或高级版可认为 ELB、CloudFront 发布、Route 53 保管区域等供给基础性和高级 DDoS 防护;启用 Amazon WAF,用于监控和操控对 Web 运用的不合法拜访;需求的话还能够启用 Amazon Firewall Manager 服务,用于跨账户一致办理Amazon WAF 拜访规矩、Amazon Shield Advanced 防护规矩和 VPC 安全组等安全规矩。
  8. 启用 GuardDuty,将数据源装备为 Macie、VPC Flow Logs 和 DNS Logs,它会担任对 VPC 内的网络活动和账户行为进行继续监控;再启用 Security Hub 来作为你的亚马逊云上一致安全与合规中心,将其数据源装备为 GuardDuty、Macie 和 Inspector,它会让你在一个操控面板上就能检查你亚马逊云科技账户中的一切安全警报与合规性状况。
  9. 还能够启用 Trusted Advisor 服务,它可根据亚马逊云科技布置架构最佳实践,剖析你的运用布置架构,从本钱、功能、安全、容错、容量等方面给出评价成果和改进主张,指导你进一步完善这个布置架构。

小结

需求指出的是,完好的云上安全办理流程包含识别(Identity)、维护(Protect)、检测(Detect)、呼应(Respond)、康复(Recover)等五大环节。因此,文中介绍的这三步 – 明晰职责、了解东西、合理挑选,只是云上安全旅程的前几步罢了,但走好这几步,你就能顺利敞开你的云上安全之旅了。

走好这三步,不再掉进云上安全的沟里!

图13:亚马逊云科技完好安全办理流程

现在就动身,敞开你的云上安全之旅吧!

本篇作者

走好这三步,不再掉进云上安全的沟里!

刘世民

云核算技能专家,曾就职于华为、IBM、海航等公司,专注于云核算。曾在海航集团易航科技担任云服务事业群总经理一职,担任 IDC、云渠道、体系运维、信息安全以及用户服务等事务。维护有“世民谈云核算”技能博客和微信大众号。《OpenShift云原生架构原理与实践》作者之一、《Ceph Cookbook中文版》《精通OpenStack》、《机器学习即服务:将Python机器学习创意快速转变为云端Web运用程序》译者之一。

走好这三步,不再掉进云上安全的沟里!

阅读原文:dev.amazoncloud.cn/column/arti…