本月观点
1、细粒度的削减攻击面措施:除了网络上的限制(VPC Endpoint)之外,身份认证也是一个重要的攻击面削减手段,在身份认证的基础上使用STS临时Token更增加了黑客的利用难度,可以看出AWS在层层的增加攻击成本,削减攻击面;
2、提供不收费的云原生默认安全能力:AWS CSO在Re:Inforce 2019会议上讲到,AWS会推出越来越多的不会收费的基础的云原生默认安全,提升客户的安全水平,形成比较独特的安全竞争力;
3、默认加密能力:AWS提出了EBS默认加密的两个优势,一个是实现非常难,第二个加密性能和延迟可以比未加密的性能消耗极小;另外更多的产品现在开始支持默认加密的选项
4、AWS为合作伙伴赋能,让合作伙伴了解AWS的相关架构,为合作伙伴的解决方案提供完善的培训,目前AWS的生态合作伙伴规模是比较大的,具体的数字可以看出来AWS云市场有23万个用户,39个分类、4800个产品、1400家ISV、安全占比10%左右,但是实际的购买效果目前来看还是非常一般的,上面的评论不是很多,所以AWS的战略开始扩大云安全生态合作伙伴的生态和赋能;
5、AWS持续完善多用户管理体系:AWS对于账号的布局,是先进行账号的跨用户管理,库用户管理完成之后开始持续关注用户的合规情况;
6、身份安全持续创新:IAM对于云用户来说是一个重要的保护对象,IAM的账号、AK被泄露,导致的风险将会是巨大的,所以AWS在身份认证上推出了IAM Access Advisor功能;
7、AWS在抢占云市场上的安全产品能力:目前AWS针对各个数据库提供了日志导入到CloudWatch等,用户既可以选择云市场安全生态的第三方数据库审计产品,也可以通过CloudWatch等进行实时分析;CloudWatch一旦慢慢完善自身的能力,会慢慢的影响用户,让用户选择AWS自身的数据库分析产品;
8、提升客户认知感:提供2个小时的基础课程,让客户快速了解整个AWS上的云安全体系、安全产品、理念等;
9、横向扩展CIS能力:AWS本月支持了Amazon Linux 2的CIS检测;
10、KMS+HSM+BYOK+BYOHSM将会是发展的重要趋势;
AWS对外PR以及峰会(AWS RE:Inforce 2019)
AWS CSO Steve Schmidt Keynote重磅发布
Steve Schmidt提出来了云上的Cloud Resilience的概念,主要就是系统受攻击时保持有定义的运行状态,包括降级,以及遭遇攻击时快速恢复的能力,使用AZ来创建健壮的网络,看来客户的稳定性是他们重点关注的;目前国内华为也提出了Resilience的概念,由于华为是ICT(信息与通信技术)制造商,所以Resilience也比较适合华为的。
Steve Schmidt这次全新的发布了构建云上安全体系的方法论,包含了数据保护、身份管理、检测、网络和基础设施。体系框架上并没有太多的创新,还是介绍了自身的一些安全产品和安全能力。值得说的一点就是他们的一句话产品介绍,可以快速让大家理解这个产品大概是做什么用的,解决哪方面的问题,对客户来说是否有用;笔者觉得还是有必要一一介绍一下:
一、数据保护
1、KMS(控制、创建密钥管理)
2、Certificate manager(提供、管理、部署SSL/TLS证书)
3、ACM Private CA(提供权威证书)
4、CloudHSM(基于硬件的密钥存储)
5、Server-Side Encrytion(灵活选择数据加密方式,包括EBS卷加密和加密Boot)
6、Macie(发现、分类和保护数据)
二、身份管理
1、IAM(管理用户访问以及密钥访问)
2、Single Sign-On(AWS账号和业务应用的云单点登录系统)
3、Directory Service(管理Windows活动目录)
4、Organizations(多账号管理)
5、Resource Access Manager(跨账号的共享资源管理)
6、Secrets Manage(回滚、管理以及回收密钥)
7、Cognito(Apps身份管理)
三、检测
1、Security Hub(中心化告警管理/自动化合规检查)
2、GuardDuty(持续化威胁检测和监控)
3、Service Catalog(创建和使用标准化产品)
4、Launch Templates(跨资源的标准化部署)
5、Config(跟踪盘点资产和变更)
6、CloudTrail(跟踪用户活动和API使用)
7、CloudWatch(资源和应用监控)
8、Inspector(应用安全分析)
9、Artifact(自助AWS合规报告服务)
四、网络和基础设施
1、Virtual Private Cloud(隔离云资源并提供VPC Flow Logs)
2、Web Application Firewall(过滤恶意WEB流量)
3、Shield(DDoS保护)
4、Firewall Manager(跨账号的WAF规则管理)
5、PrivateLink(在AWS安全的访问服务)
IoT Device Defender检测能力总结下来分成了四个部分,审计(确认IoT配置是否安全)、检测(基于设备行为的异常检测)、告警(什么时间和调查什么异常)、削减(问题削减),整体上来看AWS的IoT安全解决方案还是基于IoT Core上的SDK来收集一些相关的信息,包括日志记录关闭、注销的证书依然被使用、设备证书过期、共享设备标识、共享设备证书等场景;目前从竞品角度来看AWS的IoT安全体系做的还是比较浅的,仅仅能满足一些合规要求;
随后AWS介绍了一个重要的理念就是Restricting Human Access(限制人员访问),AWS提出这个概念的原因也是因为企业员工容易出现各种各样的错误,导致出现运维故障以及安全风险。在AWS内部是没有SoC的,80%的采用自动化的方式,其余20%非自动化的工作包括手工的漏洞挖掘、渗透测试以及红蓝军对抗等工作;
AWS在Nitro上也发布了融合FireCracker的Serverless技术,业务价值就是让客户可以基于容器+Nitro构建微服务架构。Firecracker的安全性也是非常高的, 它有如下的技术特点
简单访客模型 – Firecracker 访客将获得非常简单的虚拟化设备模型,以最大限度地缩减攻击面:网络设备、块 I/O 设备、可编程的间隔定时器、KVM 时钟、串行控制台和部分键盘(刚好足以允许 VM 重置);
进程监禁 – Firecracker 进程使用 cgroups 和 seccomp BPF 进行监禁,而且可以访问一小部分受到严密控制的系统调用;
静态链接 – Firecracker 进程以静态形式链接,可以通过 jailer 启动,以尽可能确保托管环境安全干净;
从AWS CSO公开的数据看,目前AWS当前有117个服务跟KMS进行了集成;通过KMS集成快速提升数据安全能力,笔者猜测未来KMS+HSM+BYOK+BYOHSM将会是发展的重要趋势,目前国外金融客户已经提出来了要做独立的HSM,也就是BYOHSM,用户自己拥有的HSM,通过VPC Peer建立网络隧道,通过AWS的网络来把密钥安全的传递到自己的HSM中;
目前AWS在大力发展生态安全,目前可以从下面的数字看出端倪:AWS云市场有23万个用户,39个分类、4800个产品、1400家ISV、安全占比10%左右;而且AWS云市场还要继续开放生态;
AWS定义了自动化合规在云上落地的实践,不管是PCIDSS、MTCS等标准都会有对应的Checklist的选项,自动化合规就是通过配置检查项,在碰到改变合规状态的情况下快速的恢复到默认合规的水平;自动化合规是AWS的新的竞争力;
AWS本月新增产品Features
1、AWS Elemental MediaConnect Now Supports SPEKE for Conditional Access
地址:
说明:
云端影片传输系统AWS Elemental MediaConnect增加了与SPEKE的集成,以便与条件访问系统(CAS)合作伙伴进行密钥交换。 SPEKE代表Secure Packager和Encoder Key Exchange,是一个开放的API规范,简化了CAS系统与MediaConnect的集成方式。使用此功能,客户可以加密使用权利共享的实时视频,并完全控制分发合作伙伴的内容的权限。这使您能够使用更细粒度和更复杂的条件权限管理来构建复杂的分发工作流,包括基于时间的访问,许多其他基于规则的要求。
观察:
在视频流播放的流程中,加密引擎与DRM平台密钥提供者之间请求内容密钥,内容密钥非常敏感,也需要保护,从这点上来看AWS更关注端到端的安全,每一个环节的保护都考虑,从客户需求角度来满足客户的一些高安全等级的需求;做云安全还是要细致到位,每一点上的安全都做到极致;
2、AWS Security Hub now available in AWS Europe (Stockholm) Region,AWS Backup Is Now Available in Six Additional Regions
地址:
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-security-hub-now-available-in-aws-europe-stockholm-region/
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-backup-is-now-available-in-six-additional-regions/
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-security-hub-now-generally-available/
https://aws.amazon.com/about-aws/whats-new/2019/06/AWS-Secrets-Manager-is-now-available-in-the-AWS-GovCloud-US-West-region/
说明:
AWS Security Hub在AWS Europe Region区域客户可用;AWS Security Hub全球可用,客户可以全面了解AWS账户中的高优先级安全警报和合规性状态。 借助Security Hub,客户现在可以在聚合,组织和优先处理来自多个AWS服务(如Amazon GuardDuty,Amazon Inspector和Amazon Macie)以及AWS Partner解决方案的安全警报或发现。
AWS Backup备份在Asia Pacific (Tokyo), Asia Pacific (Singapore), Asia Pacific (Seoul), EU (London), Canada (Central), and US West (Northern California)六个区域客户可用;
观察:
AWS安全产品以及备份产品等目前在横向推广到各个Region,让各个Region的客户都可以享受到中心化管理服务、备份服务等;推广产品的Region涵盖率估计也会是AWS的一个重要KPI;
3、Amazon ECS now supports additional resource-level permissions and tag-based access controls
地址:
说明:
Amazon ECS客户现在可以使用其他选项来控制对ECS资源的API访问。 通过服务和任务集的资源级权限(RLP),客户可以创建允许或拒绝创建,更新,删除或描述特定服务和任务集的IAM策略。通过基于标签的访问控制(TBAC)服务,客户可以创建IAM策略,根据应用于这些服务的标记,允许或拒绝服务上的ECS API操作;
观察
基于标签的访问控制(TBAC)可以给客户很灵活的访问控制,让客户可以创建对应的标签,通过标签来进行访问;基于TBAC的访问控制笔者猜测也是一个对应的KPI,来提升访问控制的灵活性;
4、AWS Security Token Service Now Supports AWS PrivateLink in US East (Virginia), US East (Ohio), EU (Ireland), Asia Pacific (Tokyo)
地址:
说明
AWS Security Token Service是一种Web服务,使客户在访问AWS资源的临时,使用有限权限凭据。 通过将安全令牌服务与Amazon VPC端点结合使用,客户可以在AWS网络中保留与凭据相关的加密通信,并帮助满足合规性和法规要求,从而限制公共互联网连接。 客户还可以使用VPC端点策略来控制对网络中安全令牌服务资源的访问。
观察
除了网络上的限制(VPC Endpoint)之外,身份认证也是一个重要的攻击面削减手段,在身份认证的基础上使用STS临时Token更增加了黑客的利用难度,可以看出AWS在层层的增加攻击成本,削减攻击面;
5、AWS Security Token Service Now Supports AWS PrivateLink in US East (Virginia), US East (Ohio), EU (Ireland), Asia Pacific (Tokyo)
地址:
https://aws.amazon.com/about-aws/whats-new/2019/06/encryption-new-ebs-volumes-default-account-within-region-aws-china-beijing-ningxia/
https://aws.amazon.com/about-aws/whats-new/2019/06/launching-encrypted-ebs-backed-ec2-instances-from-unencrypted-amis-now-available-aws-china-beijing-ningxia/
https://aws.amazon.com/about-aws/whats-new/2019/06/encrypted-amazon-machine-images-sharing-across-accounts-available-aws-china-beijing-sinnet-ningxia-nwcd/
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-storage-gateway-now-supports-amazon-vpc-endpoints-aws-privatelink/
说明
对于由Sinnet运营的AWS中国(北京)地区以及由NWCD运营的AWS中国(宁夏)地区的帐户内创建的所有新EBS卷采用默认加密。
观察
AWS提出了默认加密的两个优势,一个是实现非常难,第二个加密性能和延迟可以比未加密的性能消耗极小;
6、Introducing the new APN Navigate Security Track
地址:
https://aws.amazon.com/about-aws/whats-new/2019/06/apn-navigate-security-track/
说明
在AWS云安全性是最高的优先级,APN合作伙伴提供数百种行业领先的产品,这些产品与本地环境中的现有产品进行集成。 APN Security Navigate为在AWS上构建云安全解决方案专业知识的APN合作伙伴提供规范性的培训体系;
观察
为合作伙伴赋能,让合作伙伴了解AWS的相关架构,为合作伙伴的解决方案提供完善的培训;
7、AWS Control Tower is now generally available
地址:
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-control-tower-is-now-generally-available/
说明
借助AWS Control Tower,云管理员可以了解其组织中的帐户是否符合既定策略,使用AWS Control Tower,云管理员可以设置Automated Landing Zone,该区域采用最佳实践蓝图,例如使用AWS Organizations配置多帐户结构,使用AWS Single Sign-on管理用户身份和联合访问,通过AWS Service启用帐户配置使用AWS CloudTrail和AWS Config创建目录,并创建集中式日志存档。 AWS Control Tower的仪表板提供对其AWS环境的集中可视性,包括配置的帐户,帐户的合规性状态。
观察
AWS目前已经完成了多用户的管理,例如Organizations来管理组织内部不同的账号,而完成这些账号管理之后的步骤就是账号的合规性管理了,通过这个点可以看出AWS对于账号的布局;
8、File Gateway adds options to enforce encryption and signing for SMB shares
地址:
说明
File Gateway支持强制加密客户端选项,客户可以选择强制开启SMB V3默认加密选项,也可以选择默认签名选项;在2019年6月20日之前的默认选项是客户端协商选项,2019年6月20日之后默认级别是强制开启加密;
观察
AWS目前开始在各个层面推动默认加密,包括EBS、FIle Gateway链路加密等;
9、Use IAM access advisor with AWS Organizations to set permission guardrails confidently
地址:
https://aws.amazon.com/about-aws/whats-new/2019/06/now-use-iam-access-advisor-with-aws-organizations-to-set-permission-guardrails-confidently/
https://aws.amazon.com/about-aws/whats-new/2019/06/amazon-quickSight-now-supports-fine-grained-access-control-over-amazon-S3-and-amazon-athena/
https://aws.amazon.com/about-aws/whats-new/2019/06/amazon-api-gateway-adds-configurable-transport-layer-security-version-custom-domains/
https://aws.amazon.com/about-aws/whats-new/2019/06/amazon_sqs_server_side_encryption/
https://aws.amazon.com/about-aws/whats-new/2019/06/aws-organizations-now-supports-tagging-and-untagging-of-aws-acco/
https://aws.amazon.com/about-aws/whats-new/2019/06/amazon-api-gateway-supports-vpc-endpoint-policies/
说明
客户可以查看有关 IAM 实体(用户或角色)上次尝试访问服务的报告,就是上次访问的服务相关数据。客户可以使用此信息优化策略以仅允许访问实体使用的服务;
观察
IAM细粒度的访问控制是比较重要的,IAM账号被攻破或者AK泄露导致的风险是巨大的,AWS一直在提出一些IAM产品上的创新来解决账号安全问题;
10、You can now publish Amazon Neptune Audit Logs to CloudWatch
地址:
说明
AWS Neptune数据库审计日志推送到CloudWatch,将这些日志发布到CloudWatch Logs可以让客户持续了解Amazon Neptune数据库中的数据库活动。 例如,客户可以为为记录的审核日志事件设置CloudWatch警报,以警告对数据库所做的不必要的更改。CloudWatch Logs提供持久的归档。 客户可以指定CloudWatch保留日志的时间。 借助CloudWatch Logs,可以跨多个日志执行实时搜索。 此功能对审计和日志分析特别有用。
观察
目前AWS在逐步完善CloudWatch收集数据库审计的能力,未来CloudWatch会慢慢完善数据库审计的相关规则,而且CloudWatch收集的日志也越来越多;
11、New Version of AWS Security Fundamentals Digital Course Now Available
地址:
说明
AWS安全专家讲解解决AWS云中的安全责任以及可用的不同安全性服务。 包括基本的AWS云安全概念,包括AWS访问控制,数据加密方法以及如何保护对AWS基础架构的网络访问;
观察
AWS更新了课程体系,两个小时的免费安全课程,让客户快速了解云上的安全体系,内容包括DDoS、IAM、检测、基础设施保护、数据保护、应急响应,给客户一个整体的安全感;
12、Amazon Inspector adds CIS Benchmark support for Amazon Linux 2
地址:
说明
Amazon Inspector扩展了Internet安全中心对Amazon Linux 2的CIS基准测试支持。客户现在可以在Amazon Linux 2发行版上运行Inspector CIS评估,以根据CIS开发的安全配置最佳实践检查Amazon EC2实例的配置。
观察
CIS作为基线加固的标准,可以提升云上实例的默认安全,目前AWS在横向推动CIS能力;
AWS本月更新
1、How to set up an outbound VPC proxy with domain whitelisting and content filtering
https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/
解读:在攻防领域域名白名单是一个非常重要的防护点,此篇文档通过Squid来搭建域名白名单和内容过滤系统;对于内部外出的实例DNS请求,全部经过Squid的访问控制,类似实现了NGFW的白名单过滤功能;
2、Introducing the AWS Security Incident Response Whitepaper
https://aws.amazon.com/blogs/security/introducing-the-aws-security-incident-response-whitepaper/
解读:AWS推出了云上客户应急响应指南,顶层框架是教育(培训有关云安全的知识和云平台的知识)、准备(使用检测工具来检测异常)、进行模拟云环境中的各种意外情况、迭代(扩大应急响应的规模,持续性迭代,减少延迟增加应急响应效果);云上应急响应需要一套非常成熟的框架来帮助客户针对异常、入侵等事件进行响应,这块是目前国内云厂商比较欠缺的,而且AWS也提供了非常多的开源工具来做应急响应,构建了一个较完善的开源社区和生态;
3、New! Set permission guardrails confidently by using IAM access advisor to analyze service-last-accessed information for accounts in your AWS organization
https://aws.amazon.com/blogs/security/set-permission-guardrails-using-iam-access-advisor-analyze-service-last-accessed-information-aws-organization/
解读:AWS IAM开始精细化的分析,通过分析对应服务的最后一次访问信息来增强云产品的默认访问策略;目前来看AWS是从细粒度的授权IAM+基于标签的访问控制+IAM的精细化访问分析;
4、How to host and manage an entire private certificate infrastructure in AWS
https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/
解读:AWS提供了私有CA证书架构,私有证书为了满足合规要求存放在HSM中;确实保证CA的安全性;KMS+HSM+CA是一套比较完善的证书体系;
5、How to securely provide database credentials to Lambda functions by using AWS Secrets Manager
https://aws.amazon.com/blogs/security/how-to-securely-provide-database-credentials-to-lambda-functions-by-using-aws-secrets-manager/
解读:密钥管理是比较大的风险,包括数据库密码明文配置、AccessID、AccessKey明文保存在应用,AWS除了推出密钥管理之外,还可以自动化的使用Lambda来回滚、生成密钥;密钥管理是国内云厂商比较欠缺的点,需要快速增强能力,目前Azure、AWS、Google都已经提供了密钥管理服务;
AWS安全KPI猜测(仅仅作为参考,如有雷同纯属巧合)
1、KMS涵盖产品的覆盖度;
2、安全合规涵盖产品的覆盖度;
3、Private Link涵盖产品的覆盖度;
4、默认加密(存储加密、默认加密)在产品的覆盖度;
5、CIS涵盖支持的主机的覆盖度;