36、AWS安全架构：检测控制、网络边界保护与数据加密

AWS安全架构：检测控制、网络边界保护与数据加密

1. 检测控制服务

在AWS环境中，有多种检测控制服务可帮助我们发现安全问题，以下是详细介绍：
- Amazon GuardDuty
- 功能 ：分析VPC流量日志、CloudTrail管理事件日志和Route 53 DNS查询日志，查找已知恶意IP地址、域名和潜在恶意活动。无需将日志流式传输到CloudWatch Logs即可进行分析。
- 发现类型 ：
- Backdoor ：表明EC2实例被可用于发送垃圾邮件或参与分布式拒绝服务（DDoS）攻击的恶意软件入侵。
- Behavior ：EC2实例在非通常的协议和端口上通信，或向外部主机发送异常大量的流量。
- Cryptocurrency ：EC2实例表现出作为比特币节点运行的网络活动。
- Pentest ：运行Kali Linux、Pentoo Linux或Parrot Linux的系统对AWS资源进行API调用。
- Persistence ：没有相关历史的IAM用户修改了用户或资源权限、安全组、路由或网络ACL。
- Policy ：使用了根用户凭据或禁用了S3块公共访问。
- Recon ：可能正在进行侦察攻击。
- ResourceConsumption ：没有相关历史的IAM用户启动了EC2实例。
- Stealth ：密码策略被削弱、CloudTrail日志记录被禁用或修改、CloudTrail日志被删除。
- Trojan ：EC2实例表现出可能安装了特洛伊木马的行为。
- UnauthorizedAccess ：可能存在未经授权的尝试访问AWS资源的情况。
- 处理方式 ：发现问题后，会在GuardDuty控制台显示发现结果，并将其发送到CloudWatch Events。可以配置SNS通知以发送警报或采取行动。对于恶意软件问题，可识别并移除恶意软件或终止实例并创建新实例；对于AWS凭证的不当使用，先联系凭证所有者确认活动是否合法，若为未经授权使用，立即撤销受损凭证并颁发新凭证。
- Amazon Inspector
- 功能 ：基于代理的服务，在EC2实例上查找漏洞。通过将收集的数据与一个或多个规则包进行比较，确定是否存在威胁或漏洞。
- 规则包 ：
- Common Vulnerabilities and Exposures ：针对公开发布软件（包括商业和开源软件，适用于Linux和Windows）中的常见漏洞。
- Center for Internet Security Benchmarks ：包含Linux和Windows操作系统配置的安全最佳实践。
- Security Best Practices ：是Center for Internet Security Benchmarks的子集，仅针对Linux实例，查找如通过SSH进行根访问、缺乏安全密码策略和系统目录权限不安全等问题。
- Runtime Behavior Analysis ：检测不安全的客户端和服务器协议的使用、未使用的监听TCP端口，以及在Linux系统上检测不适当的文件权限和所有权。
- Network Reachability ：检测使VPC中的资源易受攻击的网络配置。
- 发现结果分类 ：
- High ：问题应立即解决。
- Medium ：问题应在下次机会解决。
- Low ：问题可在方便时解决。
- Informational ：表示不太可能导致系统被入侵的安全配置细节，可根据组织要求处理。
- 后续操作 ：解决实例上的安全漏洞后，可以从该实例创建新的AMI，用于后续实例配置。
- Amazon Detective
- 功能 ：将VPC流量日志、CloudTrail和GuardDuty的信息放入图数据库，通过可视化图模型关联事件，帮助识别和调查针对AWS资源的可疑或有趣活动，节省手动挖掘CloudTrail日志的时间。
- 前提条件 ：需要启用GuardDuty。
- Security Hub
- 功能 ：一站式查看整个AWS环境的安全状态。收集来自Inspector、GuardDuty和Macie等各种AWS服务的安全信息，根据AWS安全最佳实践和支付卡行业数据安全标准（PCI DSS）评估账户，并在用户友好的仪表板中显示结果，便于快速识别安全相关问题的趋势。
- Amazon Fraud Detector
- 功能 ：允许创建自定义欺诈检测引擎，根据数据和风险承受能力进行定制，可检测卖家欺诈、虚假账户和在线支付欺诈等活动。
- 工作方式 ：使用机器学习根据选择的特定标准建立正常基线，评估参数并分配0到1000的分数，分数越低表示欺诈风险越低。可将此分数纳入整体欺诈检测工作流程，例如为新客户设置比现有客户更低的阈值。
- AWS Audit Manager
- 功能 ：一站式评估控制并生成审计报告。可自动将配置设置映射到常见行业标准（如PCI DSS），也可定义自定义业务要求并指示其如何映射到AWS资源配置。

2. 保护网络边界

网络是抵御攻击的第一道防线，在设计AWS基础设施时，需要考虑AWS资源之间、与外部资源以及与用户的通信方式。
- 网络访问控制列表和安全组
- 网络ACL ：定义子网允许的进出流量。
- 安全组 ：对单个资源（如实例和弹性负载均衡器监听器）的流量进行细粒度控制。应配置安全组和网络ACL，仅允许使用所需的协议和端口进行流量进出。如有需要，还可将通信限制在特定IP地址范围内。
- 资源访问考虑 ：VPC需要有互联网网关，且每个子网的路由表需要有以互联网网关为目标的默认路由，资源才能访问互联网。对于不需要互联网访问的资源（如数据库服务器），可将其放在单独的子网中，并确保该子网关联的路由表没有默认路由。
- AWS Web Application Firewall（WAF）
- 功能 ：监控对应用负载均衡器或CloudFront分发的HTTP和HTTPS请求，保护应用免受常见攻击（如拒绝服务攻击或未经授权的访问）。
- 特点 ：与仅基于源IP地址、端口和协议允许或拒绝访问的网络ACL和安全组不同，WAF可检查应用流量中的恶意活动迹象，如跨站脚本攻击中的恶意脚本注入、SQL注入攻击中的SQL语句和异常长的查询字符串，并阻止这些请求到达应用。还可根据源IP地址模式或地理位置阻止流量。可以创建Lambda函数来检查已知恶意IP地址列表并将其添加到WAF阻止列表，也可分析Web服务器日志，识别生成不良或过量请求的IP地址并添加到阻止列表。
- AWS Shield
- 功能 ：保护AWS上的面向互联网的应用免受DDoS攻击。
- 类型 ：
- AWS Shield Standard ：防御常见的第3层和第4层DDoS攻击（如SYN洪水和UDP反射攻击），所有AWS客户自动启用。
- AWS Shield Advanced ：除了提供与Shield Standard相同的保护外，还包括对第7层攻击（如HTTP洪水攻击）的保护。EC2实例需要有弹性IP地址才能获得第7层保护。还提供攻击通知、法医报告和24/7的AWS DDoS响应团队支持，且免费包含AWS WAF。
- 缓解时间 ：Shield可在5分钟或更短时间内缓解99%的攻击，对CloudFront和Route 53的攻击缓解时间不到1秒，对弹性负载均衡的攻击缓解时间不到5分钟，通常对其他攻击的缓解时间不到20分钟。
- AWS Firewall Manager
- 功能 ：一站式配置和应用跨AWS组织的一致安全规则，可管理安全组、AWS网络防火墙、DNS防火墙规则和AWS WAF规则等资源。
- 优势 ：能够全局强制执行特定安全配置，同时允许管理员根据需要进行更改。可监控和报告资源是否合规，还可选择自动修复不合规的资源。

以下是这些检测控制服务和网络边界保护服务的关系图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A(检测控制服务):::process --> B(Amazon GuardDuty):::process
    A --> C(Amazon Inspector):::process
    A --> D(Amazon Detective):::process
    A --> E(Security Hub):::process
    A --> F(Amazon Fraud Detector):::process
    A --> G(AWS Audit Manager):::process

    H(保护网络边界):::process --> I(网络访问控制列表和安全组):::process
    H --> J(AWS Web Application Firewall):::process
    H --> K(AWS Shield):::process
    H --> L(AWS Firewall Manager):::process

3. 数据加密

加密数据可确保数据的机密性，防止没有正确密钥的人解密和读取数据，同时也使加密后的数据难以被修改。数据有两种状态：静止状态（存储在EBS卷或S3存储桶等存储介质上）和传输状态（在网络中传输），不同状态的加密方式不同。
- 数据静止状态加密
- 加密方式选择 ：取决于数据的存储位置，大多数AWS服务（如S3、Elastic Block Store、Elastic File System和Relational Database Service）都与KMS集成，可选择使用自己管理的客户主密钥（CMK）或AWS管理的CMK。
- 客户管理的CMK ：可配置密钥策略，控制谁可以使用密钥进行数据加密和解密，还可旋转、禁用和撤销密钥，提供对数据的最大控制权。
- AWS管理的CMK ：每年自动旋转一次，不能禁用、旋转或撤销。可在IAM仪表板的“Encryption Keys”链接中查看现有CMK并创建新的CMK。
- 不同服务的加密选项 ：
- S3 ：
- Server - side encryption with S3 - managed keys (SSE - S3)
- Server - side encryption with KMS - managed keys (SSE - KMS)
- Server - side encryption with customer - provided keys (SSE - C)
- Client - side encryption
注意，加密是针对每个对象的，一个存储桶中的对象可以使用不同的加密选项或不加密。在存储桶级别应用默认加密不会自动加密现有对象，仅对后续创建的对象有效。
- Elastic Block Store ：可使用KMS管理的密钥加密EBS卷。创建卷时可直接加密，但不能直接加密从未加密快照或未加密AMI创建的卷，需要先创建未加密卷的快照，然后加密该快照。以下是加密现有未加密卷的步骤：
1. 从未加密快照或AMI创建EC2实例（如果已有可使用的实例也可使用）。
2. 在EC2仪表板的左侧菜单中点击“Volumes”。
3. 选择附加到实例的卷。
4. 在“Actions”菜单下，点击“Create Snapshot”，EBS将开始创建未加密的卷快照。
5. 在左侧菜单中点击“Snapshots”，等待快照完成。
6. 选择快照，在“Actions”菜单下点击“Copy”。
7. 选择“Encrypt This Snapshot”复选框。
8. 在“Master Key”下拉列表旁边，选择用于加密快照的KMS密钥（可以是自己的客户主密钥或默认的AWS/EBS密钥）。
9. 点击“Copy”按钮，EBS将开始创建加密的快照副本。加密过程的时间取决于卷的大小，大约每分钟3GB。
10. 选择加密的快照，在“Actions”菜单下点击“Create Volume”。
11. 选择卷类型、大小和可用区（可以与原始卷不同）。
12. 点击“Create Volume”按钮，新卷将使用与加密快照相同的密钥进行加密。
完成后，可将未加密的卷从实例上分离，并附加新的加密卷。复制快照时，可选择目标区域，但用于加密目标快照的密钥必须存在于目标区域。
- Elastic File System ：创建EFS文件系统时可启用加密，使用KMS客户主密钥加密文件，使用EFS管理的密钥加密文件系统元数据（如文件和目录名）。
- 数据传输状态加密
- 加密方式 ：通过使用传输层安全（TLS）证书实现。可使用Amazon Certificate Manager（ACM）生成TLS证书，并将其安装在应用负载均衡器或CloudFront分发上。
- 注意事项 ：ACM生成的TLS证书的私钥不能导出，因此不能直接安装在EC2实例或本地服务器上，但可以将现有的TLS证书和私钥导入ACM。

通过以上检测控制服务、网络边界保护措施和数据加密方法，可以构建一个安全的AWS环境，有效抵御各种安全威胁。

AWS安全架构：检测控制、网络边界保护与数据加密（续）

4. 检测控制服务总结与对比

为了更清晰地了解各个检测控制服务的特点和适用场景，我们将它们进行总结和对比，如下表所示：
| 服务名称 | 功能概述 | 主要特点 | 适用场景 |
| — | — | — | — |
| Amazon GuardDuty | 分析VPC流量日志、CloudTrail管理事件日志和Route 53 DNS查询日志，查找恶意活动 | 自动检测多种类型的安全威胁，无需流式传输日志到CloudWatch Logs | 实时监控网络流量，发现潜在的恶意活动，如恶意软件感染、异常网络通信等 |
| Amazon Inspector | 基于代理在EC2实例上查找漏洞 | 提供多种规则包进行漏洞评估，生成不同严重级别的发现结果 | 定期对EC2实例进行漏洞扫描，确保系统的安全性 |
| Amazon Detective | 将VPC流量日志、CloudTrail和GuardDuty的信息放入图数据库，关联事件 | 可视化关联事件，节省手动挖掘日志的时间 | 调查复杂的安全事件，分析事件之间的关联和影响 |
| Security Hub | 一站式查看整个AWS环境的安全状态 | 收集多种服务的安全信息，根据行业标准评估账户 | 全面了解AWS环境的安全状况，快速识别安全趋势和问题 |
| Amazon Fraud Detector | 允许创建自定义欺诈检测引擎 | 使用机器学习建立基线，分配欺诈风险分数 | 检测各种类型的欺诈活动，如卖家欺诈、虚假账户和在线支付欺诈等 |
| AWS Audit Manager | 评估控制并生成审计报告 | 可自动映射配置到行业标准，支持自定义业务要求 | 进行合规性审计，确保AWS资源配置符合行业标准和自定义要求 |

5. 网络边界保护措施的实施要点

在实施网络边界保护措施时，需要注意以下几个要点：
- 安全组和网络ACL的精细配置
- 最小权限原则 ：只允许必要的协议和端口进行流量进出，避免开放不必要的端口和服务，降低安全风险。
- IP地址限制 ：根据实际需求，将通信限制在特定的IP地址范围内，防止外部非法访问。
- 定期审查 ：定期审查安全组和网络ACL的配置，确保其仍然符合业务需求和安全策略。
- AWS WAF的有效使用
- 规则定制 ：根据应用的特点和常见攻击类型，定制适合的WAF规则，如防止SQL注入、跨站脚本攻击等。
- 实时监控和更新 ：实时监控WAF的日志和统计信息，及时发现新的攻击模式，并更新规则以应对新的威胁。
- 与其他安全服务集成 ：将WAF与其他安全服务（如Shield）集成，形成更强大的安全防护体系。
- AWS Shield的合理选择
- 业务需求评估 ：根据应用的重要性和面临的DDoS攻击风险，选择合适的Shield版本。对于关键业务应用，建议使用Shield Advanced以获得更全面的保护。
- 弹性IP地址配置 ：如果需要为EC2实例提供第7层保护，确保实例配置了弹性IP地址。

以下是一个网络边界保护措施实施的流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A(开始):::process --> B(配置安全组和网络ACL):::process
    B --> C(部署AWS WAF):::process
    C --> D(选择AWS Shield版本):::process
    D --> E(监控和维护):::process
    E --> F{是否有新的安全需求?}:::process
    F -- 是 --> B
    F -- 否 --> G(结束):::process

6. 数据加密的最佳实践

为了确保数据加密的有效性和安全性，我们可以遵循以下最佳实践：
- 数据静止状态加密
- 选择合适的加密密钥管理方式 ：根据业务需求和安全要求，选择使用客户管理的CMK或AWS管理的CMK。对于对数据控制权要求较高的场景，建议使用客户管理的CMK。
- 定期密钥轮换 ：定期轮换加密密钥，降低密钥泄露带来的风险。对于客户管理的CMK，可以手动进行密钥轮换；对于AWS管理的CMK，会自动每年轮换一次。
- 默认加密设置 ：在创建存储资源（如S3存储桶、EBS卷等）时，设置默认加密选项，确保新创建的数据自动加密。
- 数据传输状态加密
- 使用ACM生成和管理TLS证书 ：ACM提供了方便的TLS证书生成和管理功能，确保数据在传输过程中的安全性。
- 定期更新TLS证书 ：TLS证书有有效期限制，定期更新证书，避免证书过期导致的安全问题。
- 确保应用支持TLS加密 ：确保应用负载均衡器、CloudFront分发等组件支持TLS加密，并正确配置TLS证书。

7. 综合安全架构的构建

综合运用检测控制服务、网络边界保护措施和数据加密方法，可以构建一个多层次、全方位的AWS安全架构。以下是构建综合安全架构的步骤：
1. 规划阶段
- 明确业务需求和安全目标，确定需要保护的AWS资源和数据。
- 评估可能面临的安全威胁和风险，制定相应的安全策略。
2. 实施阶段
- 部署检测控制服务，如GuardDuty、Inspector等，实时监控和检测安全问题。
- 配置网络边界保护措施，包括安全组、网络ACL、WAF和Shield等，防止外部攻击。
- 实施数据加密，对静止和传输状态的数据进行加密，确保数据的机密性和完整性。
3. 监控和维护阶段
- 定期审查检测控制服务的发现结果，及时处理安全问题。
- 监控网络边界保护措施的运行状态，根据实际情况调整配置。
- 定期更新加密密钥和TLS证书，确保加密的有效性。

通过以上步骤，可以构建一个安全可靠的AWS环境，有效抵御各种安全威胁，保障业务的正常运行。

综上所述，AWS提供了丰富的安全服务和工具，通过合理运用这些服务和工具，并遵循最佳实践，可以构建一个强大的安全架构，保护AWS环境中的资源和数据免受各种安全威胁的侵害。在实际应用中，需要根据业务需求和安全要求，灵活选择和配置这些安全措施，不断优化和完善安全架构，以适应不断变化的安全形势。