如何利用云原生AWS服务加强安全态势?

作者： 乔冰诚 翻译 2021-10-14 06:51:55

云计算

云原生 云基础设施越来越容易受到威胁，因此我们研究如何使用最佳实践和云原生 AWS 服务来改善安全状况。

[[428809]]

本文转载自微信公众号「新钛云服」，作者乔冰诚 翻译 。转载本文请联系新钛云服公众号。

云基础设施越来越容易受到威胁，因此我们研究如何使用最佳实践和云原生 AWS 服务来改善安全状况。

据 Sophos 称，在 2020 年，超过70% 的将其工作负载托管在云上的组织面临安全事件。随着威胁数量的不断增加，云安全对于各种规模的组织来说变得更加重要，以确保其数据安全。

通过利用云原生 AWS 服务通过自上而下的领导实施来增强您企业的整体安全基础设施，这些威胁是可以避免的。但是，在我们转向 AWS 安全服务之前，让我们首先了解与云相关的风险以及缓解或预防实践。

十大 AWS 云安全风险

尽管 AWS 提供了一系列安全选项，但不利用可用解决方案的综合特性的组织可能会面临各种漏洞;这里是其中的一些：

1缺乏可见性

云资源的生命周期通常较短，组织很难跟踪其云基础架构上托管的所有内容。因此，由于分散的可见性使威胁检测变得困难，因此出现了许多挑战。

2过多的S3存储桶权限

通过不在粒度级别限制对 S3 存储桶的访问，管理员可以允许过多未经授权的用户访问。当这些用户将他们的私人数据上传到这些公共存储桶时，会出现许多安全问题。

此外，用户可以使用 AWS 控制台覆盖访问选项，除非管理员还对此类资产实施最低特权的权限。

3暴露对 Root 帐户的访问权限

攻击者经常使用 root 帐户未经授权访问您的云服务。如果未正确禁用根 API 访问，则会出现此类情况。黑客经常将其用作获取 root 用户访问系统的网关。

4未更改的 IAM 访问密钥

长时间不轮换 IAM 访问密钥会使用户的账户和组容易受到攻击。因此，攻击者有更多时间获取这些密钥并未经授权访问 root 帐户。

5糟糕的认证实践

攻击者经常使用网络钓鱼和其他社会工程技术来窃取帐户凭据。攻击者使用这些凭据未经授权访问公共云环境，无需对用户进行任何验证即可轻松访问这些环境。

6弱加密

弱加密通常会使网络流量不安全。弱加密允许入侵者访问敏感数据，例如存储阵列中的数据。为了完整的数据安全，网络必须加密其薄弱环节。

7不必要的特权

如果未正确部署 AWS IAM 来管理用户账户和授予其他用户的访问权限，则会发生这种情况。此外，一些管理员为用户提供了过多的访问权限，这会因敏感帐户的凭据被盗而导致问题。

8公共 AMI

AMI(亚马逊机器映像)充当模板，其中包含软件配置，例如操作系统、应用程序服务器和与启动的实例一起使用的应用程序。公共 AMI 通常会将敏感数据暴露给其他用户，这可能很危险。

9安全组的广泛 IP 范围

安全组充当防火墙来过滤和控制任何 AWS 环境中的流量。管理员通常会为不必要的安全组分配范围广泛的 IP。

10缺乏审计

云安全审计经常被忽视，然而，安全审计对于跟踪访问权限、内部威胁和其他潜在风险非常有帮助。不幸的是，没有对网络上的用户活动进行适当的检查和平衡。

AWS 云安全实践

只需遵循以下定义的一些安全实践，就可以增强 AWS 云安全性：

使用安全解决方案提高可见性

实施?AWS 安全可见性解决方案来监控所有资源，包括虚拟机、负载均衡器、安全组和用户。此外，了解您的 AWS 环境以实施更好的可见性策略也很重要。

限制根帐户访问

Root 帐户应仅限于组织内部的少数非常授权的用户。为每个 root 帐户放置一个多因素身份验证系统，以防止任何未经授权的访问。

轮换 IAM 访问密钥

至少每 90 天轮换一次 IAM 访问密钥，以最大限度地降低未经授权访问的风险，即使黑客获得了任何旧的 IAM 访问密钥。此外，具有必要权限的用户可以自行轮换 IAM 密钥。

强身份验证策略

建立适当的身份验证策略，所有管理员和用户都对其帐户实施多因素身份验证。Amazon AWS 强烈建议在所有启用了控制台的账户上启用 MFA。如果攻击者泄露了凭据，由于强大的身份验证过程，他们将无法登录敏感帐户。

最小特权原则

任何云环境中的 IAM 配置都应遵循最小权限原则，以防止因权限过多而导致未经授权的访问。用户和组应该只被授予所需的权限，而没有任何过多的特权。

限制 IP 范围

限制安全组 IP 范围以确保网络顺畅运行，没有任何可能被攻击者利用的不必要的开放网关。

有审计历史

AWS CloudTrail 提供与您的 AWS 账户关联的活动的历史记录，包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。CloudTrail 简化了对资源更改和故障排除的监控。

使用 AWS 进行云安全态势管理

仔细管理云资产以防止漏洞和漏洞，从而增强整体安全态势。在云环境中，AWS 和用户都有责任保护他们的云基础设施和应用程序。

AWS 负责保护整个云基础设施的安全，但用户也负有保护内部操作以防止任何重大威胁渗透到环境中的巨大责任。

有两种主要方法可以加强云的安全基础设施：

• 通过利用 AWS 安全服务
• 通过利用托管安全服务

AWS 安全服务

AWS 使用战略安全方法来保护云环境免受各种威胁。该过程可分为预防、检测、响应和补救四个步骤。

AWS 为应用程序、云基础设施安全、云安全状况管理、端点安全、身份和访问管理等提供集成安全解决方案。

托管安全服务

这包括 AWS Marketplace 上提供的所有云安全状态管理 (CSPM) 工具。这些工具包括Pervasio、CrowdStrike、Sophos 和 CloudGuard 等。

其中一些工具带有内置漏洞扫描程序，而其他工具(例如 Sophos)会检查您的云环境是否存在重大威胁，以确保使用所有最佳实践。

Rapid7等其他第三方解决方案允许自动修复所有云错误配置。Netskope是另一家隶属于 AWS 的托管服务提供商，可在云环境中工作时提供实时数据和威胁防护。

总结：从所有云安全风险来看，很明显，组织需要确保在依赖任何类型的安全解决方案之前使用最佳安全实践，而不管其提供商。

云基础设施容易受到威胁，因此加强企业基础设施的整体安全状况是任何成功公司的首要任务。

原文：https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services