19、AWS 安全最佳实践：保障云端资源安全

AWS 安全最佳实践：保障云端资源安全

1. 安全核心原则概述

在任何 IT 环境中，安全解决方案都有几个核心原则，它们紧密相连，相互影响，主要包括：
- 日志记录（Logging） ：记录系统和服务的活动信息，为后续分析和审计提供数据基础。
- 审计（Auditing） ：对系统活动进行审查，确保合规性和安全性。
- 风险（Risk） ：识别和评估可能影响系统安全的潜在威胁。
- 合规性（Compliance） ：确保系统和操作符合相关法规和标准。

在 AWS 环境中，有众多服务、工具和特性可帮助实现合规性并保持合规状态。例如，对于主要的 AWS 服务，有多种日志记录选项，并且可以通过多种方式实现日志记录的自动化。

2. AWS 日志记录与审计相关服务

以下是一些在 AWS 中用于审计、风险和合规性的重要服务：
| 服务名称 | 作用 |
| ---- | ---- |
| AWS Artifact | 提供安全和合规性报告及协议。 |
| AWS Config | 用于跟踪和评估资源配置的变化，确保符合预定义规则。 |
| AWS Trusted Advisor | 主动检查 AWS 资源的安全配置问题。 |
| AWS Service Catalog | 为用户提供合规资源的选择，设置资源使用的护栏。 |

3. AWS 安全最佳实践的重要性

AWS 致力于打造最安全的云环境之一，拥有众多内置安全特性，能消除传统 IT 基础设施中的大部分安全负担。安全是 AWS 和客户的共同责任，双方需携手实现安全目标。所有 AWS 客户无需额外付费或投入资源，即可享受以下安全优势：
- 保障数据安全
- 满足合规性要求
- 借助内置安全特性节省成本
- 在不影响安全的前提下快速扩展

4. 共享安全责任模型

了解 AWS 共享安全责任模型是首要且重要的安全最佳实践。AWS 负责云及支撑云的底层基础设施的安全，而客户则负责在 AWS 全球基础设施之上所投入和构建的一切的安全。在组织内部，必须明确这一共享责任模型的准则，具体操作如下：
1. 确定属于自身责任范围内的资源。
2. 定义需要执行的活动。
3. 向所有利益相关者公布这些活动的时间表。

5. IAM 安全最佳实践

IAM（身份与访问管理）可在 AWS 环境中实现对 AWS 资源的安全访问控制，以下是一些 IAM 安全最佳实践：
- 删除根访问密钥 ：根账户对账户内所有 AWS 资源拥有无限制访问权限，建议删除根账户的访问密钥、访问密钥 ID 和秘密访问密钥，避免被滥用。可创建具有所需权限的用户来执行任务。
- 强制使用 MFA ：为所有访问关键或敏感资源以及高影响范围 API 的特权用户强制使用多因素身份验证（MFA），增加安全层。
- 使用角色而非用户 ：角色由 AWS 管理，相比 IAM 用户更受青睐。角色的凭证由 AWS 管理，每天会多次轮换，且不会存储在本地 AWS 资源（如 EC2 实例）上。
- 定期使用访问顾问 ：定期验证所有有权访问 AWS 账户的用户是否按分配的权限使用访问特权。若通过运行访问顾问报告发现用户在规定时间内未使用其特权，应撤销该特权并删除未使用的凭证。

6. VPC 安全最佳实践

VPC（虚拟专用云）是 AWS 云中的虚拟、安全且可扩展的网络，包含 AWS 资源。以下是 VPC 安全最佳实践：

graph LR
    A[创建自定义 VPC] --> B[监控 VPC 活动]
    B --> C[使用网络地址转换（NAT）]
    C --> D[控制访问]
    D --> E[使用网络访问控制列表（NACL）]
    E --> F[实施入侵检测/预防系统（IDS/IPS）]
    F --> G[隔离 VPC]
    G --> H[保护 VPC]
    H --> I[分层安全组]

• 创建自定义 VPC ：建议创建自己的 VPC，避免使用默认 VPC，因为默认 VPC 的设置允许无限制的入站和出站流量。
• 监控 VPC 活动 ：创建 VPC 流日志，监控 VPC 中所有 IP 流量的流动，识别并限制任何不必要的活动。
• 使用网络地址转换（NAT） ：将不需要访问互联网的资源放在私有子网中，使用 NAT 设备（如 NAT 实例或 NAT 网关）为私有子网中的资源提供互联网访问。
• 控制访问 ：使用 IAM 控制对 VPC 及其资源的访问，可通过 IAM 为 VPC 中的资源创建细粒度的访问控制。
• 使用 NACL ：配置网络访问控制列表（NACL），定义通过子网允许和拒绝的流量，控制 VPC 的入站和出站流量。可通过黑名单阻止来自特定 IP 或 IP 范围的流量。
• 实施 IDS/IPS ：使用 AWS 提供的入侵检测系统（IDS）和入侵预防系统（IPS）解决方案，或在 AWS 市场上寻找 AWS 合作伙伴的相关系统来保护 VPC。
• 隔离 VPC ：根据用例创建单独的 VPC，以减少事件发生时的影响范围。例如，为开发、测试和生产环境分别创建 VPC。
• 保护 VPC ：利用 Web 应用防火墙、防火墙虚拟设备和 AWS 市场上的防火墙解决方案保护 VPC。配置站点到站点 VPN，安全地在本地数据中心和 AWS VPC 之间传输数据。使用 VPC 对等连接功能，实现同一区域内两个 VPC 之间的通信。将弹性负载均衡器（ELB）放在公共子网中，将其他 EC2 实例放在私有子网中，除非这些实例需要访问互联网。
• 分层安全组 ：为架构的不同层级使用不同的安全组。例如，为 Web 服务器和数据库服务器分别设置安全组。在配置安全组时，使用安全组来允许访问，而不是硬编码 IP 范围。

7. 数据安全最佳实践

为了保障 AWS 中的数据安全，可遵循以下最佳实践：
- 加密一切 ：对 AWS 中的所有数据进行加密，包括存储选项中的静态数据。设计加密方案时应实现自动化和全面覆盖，加密数据有助于保护隐私、完整性、可靠性和匿名性。
- 使用 KMS ：加密依赖于密钥的可用性和安全性，谁拥有密钥谁就拥有数据。因此，要使用可靠且安全的密钥管理基础设施来管理所有密钥。AWS KMS 是一个完全托管的服务，可满足所有密钥管理需求，用于管理 S3、RDS、EBS 卷等中的数据加密密钥。同时，通过 IAM 权限和策略控制对这些密钥的访问。
- 定期轮换密钥 ：确保密钥定期轮换，通常应较为频繁。密钥使用时间越长，安全风险越高。
- 数据分类 ：对数据进行分类，例如确定数据类型、是否为机密信息、数据丢失或被盗的影响、数据的敏感程度以及相关的保留策略等。根据数据分类，选择 AWS 中合适的安全控制级别和存储选项。
- 保护传输中的数据 ：为 ELB 创建安全监听器，启用客户端（如使用 SSL 或 TLS 进行安全连接）与 AWS ELB 之间的流量加密，保护在 EC2 实例上运行的应用程序的数据传输安全。对于其他 AWS 服务（如 Redshift、RDS 和所有 API 端点），也可进行类似的 TLS 终止配置。使用 VPN、VPC 对等连接和直接连接在 VPC 与其他数据源之间安全传输数据。
- S3 存储桶权限 ：确保账户中没有可被全球读取和列出的 S3 存储桶，使用 IAM、访问控制列表和存储桶策略限制对存储桶的访问。

8. 服务器安全最佳实践

在 AWS 云中保护服务器，可参考以下最佳实践：
- 为 EC2 使用 IAM 角色 ：对于在 EC2 实例上运行的应用程序，始终使用 IAM 角色而非 IAM 用户。为 EC2 实例分配角色以访问其他 AWS 服务，这样角色的凭证不会像 IAM 用户那样存储在 EC2 实例中。
- 使用 ELB ：在适用的情况下，将所有 EC2 实例置于 AWS ELB 之后，使实例免受直接来自互联网的流量，仅通过 ELB 接收流量。
- 安全组配置 ：安全组是实例的虚拟防火墙，必须进行合理配置以保护实例。避免在安全组中允许所有流量（即打开 0.0.0.0/0 CIDR 范围的所有端口），应仅允许有限范围的 IP 地址访问 EC2 实例。对于 Web 服务器，仅允许端口 80 和 443 的 HTTP 和 HTTPS 流量。
- 使用 Web 应用防火墙（WAF） ：使用 WAF 和 AWS 护盾来减轻拒绝服务（DoS）或分布式拒绝服务（DDoS）攻击的风险。WAF 可监控 Web 应用程序的流量，对所有 Web 流量进行深度数据包检查，并允许采取主动措施。可在 WAF 中设置规则，将提供不必要流量的 IP 地址列入黑名单。
- 安全访问 ：使用 IAM 配置服务器的访问权限，根据访问需求使用角色、联合访问或 IAM 用户。确保所有需要访问实例的机器上的 .pem 文件受密码保护，定期轮换访问实例所需的凭证（如访问密钥）。使用安全令牌服务（STS）授予临时凭证，而非使用 IAM 用户凭证。
- 备份和恢复 ：使用快照备份服务器上存储的所有数据和配置，为实例创建 Amazon 机器映像（AMI），以便在灾难发生时恢复实例。定期测试服务器的备份和恢复过程。
- EC2 终止保护 ：始终为关键任务的 EC2 实例启用终止保护，防止实例因 API 请求或 AWS 管理控制台操作而意外删除。

9. 应用程序安全最佳实践

为了保护在 AWS 服务器和其他资源上开发和部署的应用程序，可采取以下最佳实践：
- 使用 Web 应用防火墙 ：始终使用 WAF 检测和过滤 Web 应用程序的不必要 HTTP 和 HTTPS 流量。通过与 AWS Lambda 集成，自动化 WAF 规则以阻止此类流量。在组织中推行 DevOps 文化，确保安全不仅是运维的责任，还应融入应用程序开发过程。
- 使用 Amazon Inspector ：对 Web 应用程序和运行这些应用程序的服务器进行基于代理的安全评估，如使用 AWS Inspector。它具有内置规则包，可识别各种标准和基准下的常见漏洞。通过配置 Amazon Inspector 的 API 实现安全响应的自动化，定期运行这些评估，确保 Web 应用程序和服务器的现有配置不存在安全威胁。
- 渗透测试 ：AWS 允许对所有 EC2 实例进行漏洞和渗透测试，但在实际进行测试之前，需要提前向 AWS 控制台和支持团队提出请求。
- 利用 AWS 安全工具 ：AWS 提供了多种加密和密钥管理工具（如 KMS 和云硬件安全模块）、防火墙（如 Web 应用防火墙、AWS 护盾、安全组和 NACLs 等）。将应用程序与这些工具集成，以提供更高的安全性和威胁防护。

10. 监控、日志记录和审计最佳实践

在 AWS 中进行监控、日志记录和审计时，可遵循以下最佳实践：
- 记录一切 ：AWS 提供了 AWS CloudTrail，可记录 AWS 账户的所有 API 活动。为所有区域启用此服务，并创建跟踪以在需要时审计这些活动。利用 AWS 服务的云原生日志记录功能，收集、存储和处理基础设施（如 VPC 流日志）、AWS 服务和应用程序的日志，确保持续监控和合规性。使用 CloudWatch Logs 处理所有日志数据，使用 S3 存储日志。
- 启用 AWS CloudWatch ：使用 AWS CloudWatch 监控 AWS 中的所有资源，包括数据、服务、服务器、应用程序以及其他 AWS 原生工具和特性（如 ELB、自动扩展组等）。利用指标、仪表板、图表和警报创建安全事件的预防解决方案。
- 持续合规性 ：使用 AWS Trusted Advisor 主动检查 AWS 资源的安全配置问题。在 AWS 服务目录中为所有硬件和软件资源（包括版本和配置）设置预定义清单，为用户提供资源使用的护栏，帮助他们仅选择合规的资源用于工作负载。使用 AWS Config 实时通知用户资源配置与预定义配置的变化。

通过遵循这些 AWS 安全最佳实践，可以为 AWS 环境中的工作负载建立最低安全基线，实现对 AWS 使用和资源的可见性，并在需要时采取纠正措施。同时，这些措施还能在多个层面实现自动化，确保所有部署在 AWS 中的工作负载和使用的 AWS 资源持续监控和合规。

AWS 安全最佳实践：保障云端资源安全

11. 云采用框架（CAF）的安全视角

云采用框架（CAF）能帮助组织在云之旅中遵循标准和最佳实践。从安全角度来看，CAF 包含以下四个重要组件：
| 组件 | 描述 |
| ---- | ---- |
| 预防性（Preventive） | 采取措施防止安全事件的发生，如设置访问控制、加密数据等。 |
| 响应性（Responsive） | 在安全事件发生后，能够快速做出响应和处理，减少损失。 |
| 检测性（Detective） | 实时监测系统，及时发现潜在的安全威胁和异常活动。 |
| 指导性（Directive） | 提供安全策略和指导，确保组织的安全措施符合相关标准和法规。 |

在 AWS 环境中，结合 CAF 的安全视角，能更全面地保障云端资源的安全。组织可以根据这四个组件，构建一个多层次、全方位的安全防护体系。

12. 预防性措施的具体实施

预防性措施是保障 AWS 安全的第一道防线，以下是一些具体的实施步骤：
1. 访问控制 ：
- 使用 IAM 严格管理用户和角色的权限，遵循最小权限原则，只授予用户完成工作所需的最低权限。
- 定期审查和清理不必要的权限，防止权限滥用。
2. 数据加密 ：
- 对静态数据和传输中的数据都进行加密，使用 AWS KMS 管理加密密钥。
- 确保加密算法的安全性和可靠性，定期更新加密密钥。
3. 网络隔离 ：
- 合理规划 VPC，将不同功能的资源隔离在不同的子网中。
- 使用安全组和 NACL 限制网络流量，只允许必要的通信。

13. 响应性措施的操作流程

当安全事件发生时，响应性措施能帮助组织快速应对，减少损失。以下是响应性措施的操作流程：

graph LR
    A[事件检测] --> B[事件评估]
    B --> C[制定响应计划]
    C --> D[执行响应行动]
    D --> E[恢复与重建]
    E --> F[事后分析与改进]

1. 事件检测 ：通过 AWS CloudWatch、AWS GuardDuty 等工具实时监测系统，发现异常活动。
2. 事件评估 ：评估事件的严重程度、影响范围和潜在风险。
3. 制定响应计划 ：根据事件评估结果，制定相应的响应计划，明确责任人和行动步骤。
4. 执行响应行动 ：按照响应计划采取行动，如隔离受影响的资源、修复漏洞等。
5. 恢复与重建 ：在事件得到控制后，恢复受影响的业务和数据，确保系统正常运行。
6. 事后分析与改进 ：对事件进行深入分析，总结经验教训，改进安全策略和措施。

14. 检测性措施的实现方法

检测性措施能及时发现潜在的安全威胁，以下是一些实现方法：
- 日志监控 ：启用 AWS CloudTrail 记录所有 API 活动，使用 CloudWatch Logs 分析日志，发现异常行为。
- 入侵检测 ：使用 AWS GuardDuty 检测恶意活动和未授权访问，及时发出警报。
- 漏洞扫描 ：定期对 EC2 实例、应用程序等进行漏洞扫描，发现并修复潜在的安全漏洞。

15. 指导性措施的制定与执行

指导性措施为组织的安全工作提供了方向和标准，以下是制定和执行指导性措施的步骤：
1. 制定安全策略 ：根据组织的安全需求和法规要求，制定详细的安全策略，包括访问控制策略、数据保护策略等。
2. 培训与教育 ：对员工进行安全培训，提高他们的安全意识和技能，确保他们了解并遵守安全策略。
3. 合规性检查 ：定期进行合规性检查，确保组织的安全措施符合相关标准和法规。

16. 综合运用安全最佳实践的案例分析

假设一家企业在 AWS 上部署了一个电子商务应用程序，为了保障应用程序和数据的安全，该企业综合运用了上述安全最佳实践：
1. 共享安全责任模型 ：明确 AWS 和企业各自的安全责任，企业负责应用程序和数据的安全，AWS 负责底层基础设施的安全。
2. IAM 安全最佳实践 ：删除根访问密钥，创建具有最小权限的用户和角色，强制使用 MFA，定期审查用户权限。
3. VPC 安全最佳实践 ：创建自定义 VPC，使用 NAT 网关让私有子网中的资源访问互联网，配置安全组和 NACL 限制网络流量。
4. 数据安全最佳实践 ：对数据库和存储在 S3 中的数据进行加密，使用 KMS 管理密钥，定期轮换密钥。
5. 服务器安全最佳实践 ：为 EC2 实例使用 IAM 角色，启用 ELB 保护实例，使用 WAF 防止 DDoS 攻击。
6. 应用程序安全最佳实践 ：使用 WAF 过滤恶意流量，定期运行 Amazon Inspector 进行安全评估，进行渗透测试发现并修复漏洞。
7. 监控、日志记录和审计最佳实践 ：启用 AWS CloudTrail 和 CloudWatch Logs 记录和分析日志，使用 AWS Trusted Advisor 检查安全配置问题，使用 AWS Config 实时监控资源配置变化。
8. CAF 安全视角 ：结合预防性、响应性、检测性和指导性措施，构建多层次的安全防护体系。

通过综合运用这些安全最佳实践，该企业有效地保障了电子商务应用程序和数据的安全，减少了安全风险，提高了业务的可靠性和稳定性。

17. 总结与建议

在 AWS 环境中，安全是至关重要的。通过遵循上述安全最佳实践，包括日志记录、审计、共享安全责任模型、IAM 安全、VPC 安全、数据安全、服务器安全、应用程序安全、监控和审计等方面，以及结合 CAF 的安全视角，可以为 AWS 环境中的工作负载建立坚实的安全基础。

建议企业：
- 定期审查和更新安全策略和措施，以适应不断变化的安全威胁。
- 加强员工的安全培训，提高他们的安全意识和技能。
- 积极利用 AWS 提供的各种安全工具和服务，如 AWS GuardDuty、AWS Shield 等。
- 建立应急响应机制，确保在安全事件发生时能够快速响应和处理。

总之，保障 AWS 环境的安全需要持续的努力和投入，只有不断完善和优化安全措施，才能有效地保护云端资源和业务的安全。