鸟哥谈云安全系列-AWS安全月度总结(5月)

发表评论 / 技术 / 作者: / 2019-07-28
打印 .PDF 电子书

# 再次声明,此篇文章纯属个人观点!

一、AWS对外PR以及峰会

Security Best Practices Workshop – AWS Summit Sydney

AWS之前宣传云安全架构的方法论是分成了五大块,五大块分别是标识(AWS IAM、AWS Organizations等)、检测控制(GuardDuty、、VPC Flows等)、基础设施安全(AWS WAF、AWS VPC等)、数据保护(AWS HSM、AWS KMS、Macie等)、应急响应(AWS Config Rule、Lambda)这套体系,而本次悉尼峰会,AWS再此基础上又进行了一次抽象,分成了Preventative(预防)、Detective(检测)、Corrective(纠正)。AWS的五大块和PDC的关系分别是:标识对应P预防、检测控制对应到D检测、基础设施安全对应PD预防和检测、数据安全对应到PD预防和检测、响应对应到C纠正;可以看出AWS在不停的完善和总结和迭代自身的防御体系思考;

image.png

Finding all the threats: AWS threat detection and remediation – SEC303 – Chicago AWS Summit

AWS的输入源包括了AWS CloudTrail(用来跟踪用户活动和API的使用)、Flow Logs(在VPC内部的网络接口的进出流量Flows)、Amazon CloudWatch(监控类产品)、DNS(VPC内部使用DNS解析器解析的DNS),这些数据源涵盖了云产品API的用户调用、VPC内的Flow Logs、VPC的DNS日志等,从整体上来看还缺少系统层的数据、VPC流量的数据(Azure支持);也就是说从目前的角度来看,AWS还是存在着一些检测的盲区,例如针对Hadoop、Redis、Mongodb等的入侵分析检测模块。
image.png

下面这张图比较完整的针对AWS GuardDuty的检测能力进行了详细的分析,GuardDuty检测的模式包括RDP暴力破解(网络检测模型、恶意IP地址)、RAT安装(连接黑名单站点、异常基线端口)、数据提取(DNS通道)、使用凭证访问云平台(临时凭证关闭实例等异常、调用方检测)、尝试获取账号(挖矿、新建实例);做好云上的威胁检测,一定要对云上的资产绘制资产地图,从资产地图来反推威胁,根据威胁来做对应的检测规则的模式,让云上安全要更贴近云上用户的真实场景;
image.png

Delivering applications securely with AWS – SVC303 – Chicago AWS Summit

AWS在推广Private Links方案,目前接入的产品有22+(EC2、API Gateway、SNS、ELB API)等;通过PrivateLink方案可以很好的把API的访问收敛到VPC内部,这样的话快速收敛攻击面,目前竞品涵盖的包括Google VPC Service Control,VPC访问控制也是Google首先推出来的;
image.png

Deep dive on security in Amazon S3 – STG304 – Chicago AWS Summit

一张图讲清楚了S3提供给客户的安全Features,让客户快速能理解和选择适合自己的防护控制,S3主要是数据存储类服务,S3的安全Features罗列的逻辑主要是从CIA角度,机密性、完整性、可用性角度再加上身份认证维度来讲的,通过一个产品的安全Features罗列出来所有背后跟这个产品相关的能力,让客户从全局视角能看到云产品的价值。
image.png

S3的最佳安全事件包括账号层面(锁定默认Public访问)、默认加密策略(默认开启SSM-KMS)、Bucket策略开启TLS链路加密、网络层面(开启VPC Endpoint访问)、合规需求(Object防止删除策略);
image.png

Using automation to drive continuous-compliance best practices – SVC309 – Chicago AWS Summit

AWS使用自动化来做合规的最佳实践检查,这个也从侧面证明了AWS内部也会具有这个能力,通过自动化驱动合规检查、不安全的配置项的自动化回滚等,例如有人修改了默认基线就会通知Lambda来进行自动化的回滚操作,保证合规保持在一定比较安全的水位;
image.png

Safeguarding the integrity of your code for fast, secure deployments – SVC301 – Chicago AWS Summit

AWS使用这张图来讲清楚了IPDRR对应安全域的保护能力,把IPDRR和安全域防御进行了整合,一目了然的清楚安全域属于标识、预防、检测、响应、恢复的哪个阶段;
image.png

二、AWS本月新增产品Features

1、Amazon Aurora with PostgreSQL Compatibility Supports Database Activity Streams For Real-time Monitoring

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-aurora-with-postgresql-compatibility-supports-database-activity-streams/

说明:

具有PostgreSQL兼容性的Amazon Aurora的数据库活动流提供关系数据库中数据库活动的近实时数据流,以帮助客户监视数据库活动。与第三方数据库活动监视工具集成时,Database Activity Streams可以监视和审计数据库活动,为客户的数据库提供安全保护,并帮助满足合规性和法规要求。构建在Database Activity Streams之上的解决方案可以通过监视对数据库的访问来保护客户的数据库免受内部和外部威胁。数据库活动的收集,传输,存储和后续处理在数据库外部进行管理,提供独立于数据库用户的访问控制。客户的数据库活动将推送到代表您的Aurora群集配置的Amazon Kinesis数据流。Amazon RDS与IBM的Security Guardium和McAfee的数据中心安全套件(均在AWS Marketplace中提供)建立了合作关系,以便与为Aurora Cluster配置的Kinesis流无缝集成。这些合作伙伴应用程序可以使用数据库活动流信息生成警报,并提供有关Amazon Aurora数据库上所有活动的审核。

观察:

PostgreSQL开放了数据库的实时数据流开放给客户,并且跟第三方生态合作伙伴(在AWS Marketplace中即可购买)IBM和McAfee进行集成,快速提供给客户数据异常活动监控、合规等安全需求;

2、Announcing Tag-Based Access Control for AWS CloudFormation

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/announcing-tag-based-access-control-for-aws-cloudformation/

说明:

AWS客户可以使用可以更细粒度的方式定义和控制对CloudFormation管理资源的访问。 例如,客户现在可以拒绝某些用户删除或更新具有“生产”标记值的堆栈的权限,同时允许更改具有“开发”标记值的堆栈。

观察:

AWS的访问控制力度越来越细,给客户在权限上更多的细粒度访问控制能力;

3、Enable EC2 Hibernation Without Specifying Encryption Intent at Every Instance Launch

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/enable-ec2-hibernation-without-specifying-encryption-intent/
https://aws.amazon.com/about-aws/whats-new/2019/05/enable-hibernation-on-ec2-instances-when-launching-with-an-ami-without-an-encrypted-ebs-snapshot/
https://aws.amazon.com/about-aws/whats-new/2019/05/with-a-single-setting-you-can-encrypt-all-new-amazon-ebs-volumes/

说明:

AWS新推出了EC2的HIbernation(休眠模式),通过休眠模式可以快速让实例进行启动;另外可以通过简单的设置让新建的EBS Volumes进行加密;休眠模式下必须要让EBS Volumes开启加密,为的是保证RAM内存中的安全;

观察:

AWS在EC2上做了非常多的一些创新,包括默认EBS进行加密,默认加密成为了各个云逐步发展的重要安全趋势;

4、AWS Glue now enables continuous logging for Spark ETL jobs

地址:
https://aws.amazon.com/about-aws/whats-new/2019/05/aws-glue-now-enables-continuous-logging-for-spark-etl-jobs/

说明:

AWS Glue现在提供连续日志,以跟踪在ETL作业中执行Apache Spark阶段的实时进度。 客户可以在Amazon CloudWatch中访问Apache Spark驱动程序和执行程序的不同日志流,并过滤掉高度详细的Apache Spark日志消息,从而更轻松地监视和调试ETL作业。

观察:

默认实时的日志输出,在加上生态合作伙伴进行深度分析;

5、Amazon DynamoDB supports FIPS 140-2 validated endpoints in the Canada (Central) Region

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-dynamodb-supports-fips-140-2-validated-endpoints-in-the-canada-central-region/

说明:

Amazon DynamoDB现在支持加拿大(中部)区域的联邦信息处理标准(FIPS)140-2验证端点,使客户可以将DynamoDB用于受监管的工作负载。 这些端点使用FIPS 140-2验证的加密软件模块终止TLS会话。 有关更多信息,请参阅区域和端点。

观察:

AWS数据类API使用FIPS 140-2验证过的加密模块来终止TLS会话,保证链路的安全性,让更多的数据敏感的客户可以上云;

6、Amazon RDS for SQL Server now Supports SQL Server Audit

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-rds-for-sql-server-supports-sql-server-audit/

说明:

Amazon RDS for SQL Server现在支持SQL Server Audit! SQL Server Audit允许您创建服务器审核,其中包含服务器级事件的服务器审核规范和数据库级事件的数据库审核规范。

观察:

AWS除了给客户SQL日志的审计之外,也开放了服务器的部分日志审计功能,这个是在增强客户的安全感,让客户可以针对SQL服务器上的日志进行审计;

7、AWS Encryption SDK for C is now available

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-encryption-sdk-for-c-now-available/

说明:

适用于C的AWS加密SDK现在可用于在C和C ++应用程序中加密和解密数据。 您还可以将其用作其他语言绑定的基础。 适用于C的AWS加密SDK具有高度高性能,可与Java,Python和CLI实施完全互操作。
适用于C的AWS加密SDK引入了密钥环,可帮助您在多个包装密钥(包括不同AWS区域中的密钥)下加密数据。 然后,当需要解密时,客户可以指定加密数据的哪些密钥可用于解密它。

观察:

SDK的涵盖的语言越来越多;

8、Amazon API Gateway Now Supports Tag-Based Access Control and Tags on Additional Resources

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-api-gateway-now-supports-tag-based-access-control-tags-additional-resources/

说明:

Amazon API Gateway现在使用AWS身份和访问管理(IAM)策略提供基于标签的访问控制,允许客户为所有API网关资源设置更细粒度的访问控制。标签是简单的键值对,客户可以在API网关资源上对其进行定义,以按目的,所有者或其他条件对其进行分类。

观察:

IAM+ABAC是AWS目前正在横向推动的重要事情;

9、Amazon DocumentDB (with MongoDB compatibility) is now SOC 1, 2, and 3 compliant

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-documentdb-now-soc-1-2-3-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-neptune-is-now-soc-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-fsx-for-windows-file-server-is-now-soc-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-fsx-for-lustre-is-now-soc-compliant/

说明:

Amazon DocumentDB现在符合SOC 1,2和3标准,使客户可以深入了解保护客户数据的安全流程和控制。 这些报告通常被各种行业所利用,例如技术,医疗保健,银行和金融服务,并用于萨班斯 – 奥克斯利法案(SOX)。

观察:

产品合规也正在逐步的推广,每个合规项来涵盖更多的产品;

10、Use AWS Secrets Manager to help maintain SOC compliance in the AWS cloud

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/Use-AWS-Secrets-Manager-to-help-maintain-SOC-compliance-in-the-AWS-cloud/

说明:

客户现在可以使用AWS Secrets Manager来管理受系统和组织控制(SOC)合规性要求约束的应用程序的机密信息。 此外,AWS Secrets Manager还符合2018年宣布的美国健康保险流通与责任法案(HIPAA),支付卡行业数据安全标准(PCI DSS)和国际标准化组织(ISO)要求。

观察:

安全产品也在横向推动,每个合规项来涵盖更多的产品;

11、Amazon GuardDuty Adds Two New Threat Detections

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-guardduty-adds-two-new-threat-detections/

说明:

Recon:EC2 / PortProbeEMRUnprotectedPort查找类型表示Amazon EC2实例上与EMR相关的敏感端口未被安全组,访问控制列表或主机防火墙阻止,并且Internet上的已知扫描程序正在主动探测它。 可以触发此发现的端口(例如端口8088(YARN Web UI端口))可能用于远程代码执行。 这是一种高严重性的发现类型。

PrivilegeEscalation:PrivilegeEscalation:IAMUser/AdministrativePermissions用来发现新创建特权管理员账号的行为检测;

观察:

AWS开始向云上资产的风险涵盖,这些都是其他云厂商欠缺的,需要增强;

12、Amazon RDS for MySQL Supports Password Validation

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-rds-for-mysql-supports-password-validation/

说明:

客户现在可以使用MySQL validate_password插件在Amazon RDS for MySQL数据库中强制实施密码策略。 这通过定义最小密码长度,所需字符和其他规则来提高数据库的安全性。

观察:

满足合规和安全对MySQL密码复杂度的要求,合规中经常有这种检查;

13、AWS AppSync Now Supports Configuring Multiple Authorization Types for GraphQL APIs

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-appsync-now-supports-configuring-multiple-authorization-type/

说明:

AppSync支持OICD、Amazon Cognito User Pools and/or AWS Identity and Access Management (IAM)认证方式;

观察:

上云过程中的安全也是一个重要考虑的事,而身份认证是上云间比较重要的防护手段;

14、AWS IoT Device Defender supports monitoring behavior of unregistered devices

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-iot-device-defender-supports-monitoring-behavior-of-unregistered-devices/

说明:

现在,AWS IoT Device Defender还支持识别未在AWS IoT Core注册表中注册的设备的异常行为。 要使用此新功能,首先要附加针对未注册设备的安全配置文件。 然后,AWS IoT Device Defender可以检测未注册设备的云指标中的异常,例如授权失败次数,连接尝试次数,断开连接,消息大小,发送的消息数或收到的消息数以及源IP。 客户现在还可以监控未注册设备的设备端指标,例如字节输入/输出,数据包输入/输出,侦听TCP / UDP端口数量以及设备连接的目标IP。

观察:

AWS IoT Device Defender做IoT安全的方式还是比较轻量级的,使用基于行为的检测,做的比较轻量级;

三、AWS本月更新

1、New whitepaper available: Architecting for PCI DSS Segmentation and Scoping on AWS

https://aws.amazon.com/blogs/security/new-whitepaper-available-architecting-for-pci-dss-segmentation-and-scoping-on-aws/
解读:云上PCI-DSS合规在VPC环境下是如何进行合规的,主要是利用安全组网络上的隔离措施;

2、Spring 2019 SOC 2 Type 1 Privacy report now available

https://aws.amazon.com/blogs/security/spring-2019-soc-2-type-1-privacy-report-now-available/
下载地址(由于有保密要求,需要的可以直接联系我给PDF版):
https://aws.amazon.com/artifact/

3、Spring 2019 SOC reports now available with 104 services in scope

https://aws.amazon.com/blogs/security/spring-2019-soc-reports-now-available-with-104-services-in-scope/
解读:目前SOC支持104个云产品的合规;

四、本月观察观点

1、AWS的访问控制力度越来越细;目前AWS正在横向推动IAM+ABAC的访问控制策略,提供更细粒度的控制;

2、AWS在数据库层面开始逐步放开数据库的实时活动数据流,之前都是客户下载备份文件进行数据库的合规检查,现在结合自身安全生态快速的满足客户的安全和合规需求,同时也增加了相关的收入;

3、AWS本月的对外宣传上有更新了IPDRR+PDC的模型,让传统线下用户可以更加了解云上安全防御对应线下的哪些能力,这块是需要增强线下客户的宣导能力,让客户理解云上的安全防护能力和线下有哪些相同的点和不同的点,让客户快速对云环境有个认同感;

4、包括默认EBS进行加密、默认存储加密等;默认加密成为了各个云逐步发展的重要安全趋势;

5、从本月观察来看,默认实时的日志输出也成为了AWS的一个重要的推广战略,另外实时输出之后结合CloudWatch+第三方的安全生态厂商进行安全分析;

6、在合规上,AWS又进行了深入的研究,例如针对数据库类的API进行FIPS 140-2的TLS卸载会话,让合规涵盖到了API这个层面,让更多的HIPAA用户可以放心的上云,说服这些高敏感数据的用户迁移上来,拥有高敏感数据的客户如何让他们上云放心,也是一个重要的安全体系不断持续的灌输客户,是一个安全感的体现;

7、AWS除了给客户SQL日志的审计之外,也开放了服务器的部分日志审计功能,这个是在增强客户的安全感,让客户可以针对SQL服务器上的日志进行审计,安全感的方法就是让高安全等级客户看见更多,当然对技术能力要求要提出了更高的挑战;

8、上云过程中的安全也是一个重要考虑的事,而身份认证是上云间比较重要的防护手段;

9、AWS正在横向推动SOC的合规的云产品;

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注