如何利用云原生AWS服務(wù)加強安全態(tài)勢?

云基礎設施越來(lái)越容易受到威脅，因此我們研究如何使用最佳實(shí)踐和云原生 AWS 服務(wù)來(lái)改善安全狀況。

云基礎設施越來(lái)越容易受到威脅，因此我們研究如何使用最佳實(shí)踐和 服務(wù)來(lái)改善狀況。

據 Sophos 稱(chēng)，在 2020 年，超過(guò)70% 的將其工作負載托管在云上的組織面臨安全事件。隨著(zhù)威脅數量的不斷增加，云安全對于各種規模的組織來(lái)說(shuō)變得更加重要，以確保其數據安全。

通過(guò)利用云原生 AWS 服務(wù)通過(guò)自上而下的領(lǐng)導實(shí)施來(lái)增強您企業(yè)的整體安全基礎設施，這些威脅是可以避免的。但是，在我們轉向 AWS 安全服務(wù)之前，讓我們首先了解與云相關(guān)的風(fēng)險以及緩解或預防實(shí)踐。

十大 AWS 云安全風(fēng)險

盡管 AWS 提供了一系列安全選項，但不利用可用解決方案的綜合特性的組織可能會(huì )面臨各種漏洞;這里是其中的一些：

1缺乏可見(jiàn)性

云資源的生命周期通常較短，組織很難跟蹤其云基礎架構上托管的所有內容。因此，由于分散的可見(jiàn)性使威脅檢測變得困難，因此出現了許多挑戰。

2過(guò)多的S3存儲桶權限

通過(guò)不在粒度級別限制對 S3 存儲桶的訪(fǎng)問(wèn)，管理員可以允許過(guò)多未經(jīng)授權的用戶(hù)訪(fǎng)問(wèn)。當這些用戶(hù)將他們的私人數據上傳到這些公共存儲桶時(shí)，會(huì )出現許多安全問(wèn)題。

此外，用戶(hù)可以使用 AWS 控制臺覆蓋訪(fǎng)問(wèn)選項，除非管理員還對此類(lèi)資產(chǎn)實(shí)施最低特權的權限。

3暴露對 Root 帳戶(hù)的訪(fǎng)問(wèn)權限

攻擊者經(jīng)常使用 root 帳戶(hù)未經(jīng)授權訪(fǎng)問(wèn)您的云服務(wù)。如果未正確禁用根 API 訪(fǎng)問(wèn)，則會(huì )出現此類(lèi)情況。黑客經(jīng)常將其用作獲取 root 用戶(hù)訪(fǎng)問(wèn)系統的網(wǎng)關(guān)。

4未更改的 IAM 訪(fǎng)問(wèn)密鑰

長(cháng)時(shí)間不輪換 IAM 訪(fǎng)問(wèn)密鑰會(huì )使用戶(hù)的賬戶(hù)和組容易受到攻擊。因此，攻擊者有更多時(shí)間獲取這些密鑰并未經(jīng)授權訪(fǎng)問(wèn) root 帳戶(hù)。

5糟糕的認證實(shí)踐

攻擊者經(jīng)常使用網(wǎng)絡(luò )釣魚(yú)和其他社會(huì )工程技術(shù)來(lái)竊取帳戶(hù)憑據。攻擊者使用這些憑據未經(jīng)授權訪(fǎng)問(wèn)公共云環(huán)境，無(wú)需對用戶(hù)進(jìn)行任何驗證即可輕松訪(fǎng)問(wèn)這些環(huán)境。

6弱加密

弱加密通常會(huì )使網(wǎng)絡(luò )流量不安全。弱加密允許入侵者訪(fǎng)問(wèn)敏感數據，例如存儲陣列中的數據。為了完整的數據安全，網(wǎng)絡(luò )必須加密其薄弱環(huán)節。

7不必要的特權

如果未正確部署 AWS IAM 來(lái)管理用戶(hù)賬戶(hù)和授予其他用戶(hù)的訪(fǎng)問(wèn)權限，則會(huì )發(fā)生這種情況。此外，一些管理員為用戶(hù)提供了過(guò)多的訪(fǎng)問(wèn)權限，這會(huì )因敏感帳戶(hù)的憑據被盜而導致問(wèn)題。

8公共 AMI

AMI(亞馬遜機器映像)充當模板，其中包含軟件配置，例如操作系統、應用程序服務(wù)器和與啟動(dòng)的實(shí)例一起使用的應用程序。公共 AMI 通常會(huì )將敏感數據暴露給其他用戶(hù)，這可能很危險。

9安全組的廣泛 IP 范圍

安全組充當防火墻來(lái)過(guò)濾和控制任何 AWS 環(huán)境中的流量。管理員通常會(huì )為不必要的安全組分配范圍廣泛的 IP。

10缺乏審計

云安全審計經(jīng)常被忽視，然而，安全審計對于跟蹤訪(fǎng)問(wèn)權限、內部威脅和其他潛在風(fēng)險非常有幫助。不幸的是，沒(méi)有對網(wǎng)絡(luò )上的用戶(hù)活動(dòng)進(jìn)行適當的檢查和平衡。

AWS 云安全實(shí)踐

只需遵循以下定義的一些安全實(shí)踐，就可以增強 AWS 云安全性：

使用安全解決方案提高可見(jiàn)性

實(shí)施?AWS 安全可見(jiàn)性解決方案來(lái)監控所有資源，包括虛擬機、負載均衡器、安全組和用戶(hù)。此外，了解您的 AWS 環(huán)境以實(shí)施更好的可見(jiàn)性策略也很重要。

限制根帳戶(hù)訪(fǎng)問(wèn)

Root 帳戶(hù)應僅限于組織內部的少數非常授權的用戶(hù)。為每個(gè) root 帳戶(hù)放置一個(gè)多因素身份驗證系統，以防止任何未經(jīng)授權的訪(fǎng)問(wèn)。

輪換 IAM 訪(fǎng)問(wèn)密鑰

至少每 90 天輪換一次 IAM 訪(fǎng)問(wèn)密鑰，以最大限度地降低未經(jīng)授權訪(fǎng)問(wèn)的風(fēng)險，即使黑客獲得了任何舊的 IAM 訪(fǎng)問(wèn)密鑰。此外，具有必要權限的用戶(hù)可以自行輪換 IAM 密鑰。

強身份驗證策略

建立適當的身份驗證策略，所有管理員和用戶(hù)都對其帳戶(hù)實(shí)施多因素身份驗證。Amazon AWS 強烈建議在所有啟用了控制臺的賬戶(hù)上啟用 MFA。如果攻擊者泄露了憑據，由于強大的身份驗證過(guò)程，他們將無(wú)法登錄敏感帳戶(hù)。

最小特權原則

任何云環(huán)境中的 IAM 配置都應遵循最小權限原則，以防止因權限過(guò)多而導致未經(jīng)授權的訪(fǎng)問(wèn)。用戶(hù)和組應該只被授予所需的權限，而沒(méi)有任何過(guò)多的特權。

限制 IP 范圍

限制安全組 IP 范圍以確保網(wǎng)絡(luò )順暢運行，沒(méi)有任何可能被攻擊者利用的不必要的開(kāi)放網(wǎng)關(guān)。

有審計歷史

AWS CloudTrail 提供與您的 AWS 賬戶(hù)關(guān)聯(lián)的活動(dòng)的歷史記錄，包括通過(guò) AWS 管理控制臺、AWS 開(kāi)發(fā)工具包、命令行工具和其他 AWS 服務(wù)執行的操作。CloudTrail 簡(jiǎn)化了對資源更改和故障排除的監控。

使用 AWS 進(jìn)行云安全態(tài)勢管理

仔細管理云資產(chǎn)以防止漏洞和漏洞，從而增強整體安全態(tài)勢。在云環(huán)境中，AWS 和用戶(hù)都有責任保護他們的云基礎設施和應用程序。

AWS 負責保護整個(gè)云基礎設施的安全，但用戶(hù)也負有保護內部操作以防止任何重大威脅滲透到環(huán)境中的巨大責任。

有兩種主要方法可以加強云的安全基礎設施：

• 通過(guò)利用 AWS 安全服務(wù)
• 通過(guò)利用托管安全服務(wù)

AWS 安全服務(wù)

AWS 使用戰略安全方法來(lái)保護云環(huán)境免受各種威脅。該過(guò)程可分為預防、檢測、響應和補救四個(gè)步驟。

AWS 為應用程序、云基礎設施安全、云安全狀況管理、端點(diǎn)安全、身份和訪(fǎng)問(wèn)管理等提供集成安全解決方案。

托管安全服務(wù)

這包括 AWS Marketplace 上提供的所有云安全狀態(tài)管理 (CSPM) 工具。這些工具包括Pervasio、CrowdStrike、Sophos 和 CloudGuard 等。

其中一些工具帶有內置漏洞掃描程序，而其他工具(例如 Sophos)會(huì )檢查您的云環(huán)境是否存在重大威脅，以確保使用所有最佳實(shí)踐。

Rapid7等其他第三方解決方案允許自動(dòng)修復所有云錯誤配置。Netskope是另一家隸屬于 AWS 的托管服務(wù)提供商，可在云環(huán)境中工作時(shí)提供實(shí)時(shí)數據和威脅防護。

總結：從所有云安全風(fēng)險來(lái)看，很明顯，組織需要確保在依賴(lài)任何類(lèi)型的安全解決方案之前使用最佳安全實(shí)踐，而不管其提供商。

云基礎設施容易受到威脅，因此加強企業(yè)基礎設施的整體安全狀況是任何成功公司的首要任務(wù)。

原文：https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services