鳥哥談云安全系列-AWS安全月度總結(5月)

# 再次聲明,此篇文章純屬個人觀點!


一、AWS對外PR以及峰會

Security Best Practices Workshop – AWS Summit Sydney

AWS之前宣傳云安全架構的方法論是分成了五大塊,五大塊分別是標識(AWS IAM、AWS Organizations等)、檢測控制(GuardDuty、、VPC Flows等)、基礎設施安全(AWS WAF、AWS VPC等)、數據保護(AWS HSM、AWS KMS、Macie等)、應急響應(AWS Config Rule、Lambda)這套體系,而本次悉尼峰會,AWS再此基礎上又進行了一次抽象,分成了Preventative(預防)、Detective(檢測)、Corrective(糾正)。AWS的五大塊和PDC的關系分別是:標識對應P預防、檢測控制對應到D檢測、基礎設施安全對應PD預防和檢測、數據安全對應到PD預防和檢測、響應對應到C糾正;可以看出AWS在不停的完善和總結和迭代自身的防御體系思考;

image.png

Finding all the threats: AWS threat detection and remediation – SEC303 – Chicago AWS Summit

AWS的輸入源包括了AWS CloudTrail(用來跟蹤用戶活動和API的使用)、Flow Logs(在VPC內部的網絡接口的進出流量Flows)、Amazon CloudWatch(監控類產品)、DNS(VPC內部使用DNS解析器解析的DNS),這些數據源涵蓋了云產品API的用戶調用、VPC內的Flow Logs、VPC的DNS日志等,從整體上來看還缺少系統層的數據、VPC流量的數據(Azure支持);也就是說從目前的角度來看,AWS還是存在著一些檢測的盲區,例如針對Hadoop、Redis、Mongodb等的入侵分析檢測模塊。
image.png

下面這張圖比較完整的針對AWS GuardDuty的檢測能力進行了詳細的分析,GuardDuty檢測的模式包括RDP暴力破解(網絡檢測模型、惡意IP地址)、RAT安裝(連接黑名單站點、異常基線端口)、數據提取(DNS通道)、使用憑證訪問云平臺(臨時憑證關閉實例等異常、調用方檢測)、嘗試獲取賬號(挖礦、新建實例);做好云上的威脅檢測,一定要對云上的資產繪制資產地圖,從資產地圖來反推威脅,根據威脅來做對應的檢測規則的模式,讓云上安全要更貼近云上用戶的真實場景;
image.png

Delivering applications securely with AWS – SVC303 – Chicago AWS Summit

AWS在推廣Private Links方案,目前接入的產品有22+(EC2、API Gateway、SNS、ELB API)等;通過PrivateLink方案可以很好的把API的訪問收斂到VPC內部,這樣的話快速收斂攻擊面,目前競品涵蓋的包括Google VPC Service Control,VPC訪問控制也是Google首先推出來的;
image.png

Deep dive on security in Amazon S3 – STG304 – Chicago AWS Summit

一張圖講清楚了S3提供給客戶的安全Features,讓客戶快速能理解和選擇適合自己的防護控制,S3主要是數據存儲類服務,S3的安全Features羅列的邏輯主要是從CIA角度,機密性、完整性、可用性角度再加上身份認證維度來講的,通過一個產品的安全Features羅列出來所有背后跟這個產品相關的能力,讓客戶從全局視角能看到云產品的價值。
image.png

S3的最佳安全事件包括賬號層面(鎖定默認Public訪問)、默認加密策略(默認開啟SSM-KMS)、Bucket策略開啟TLS鏈路加密、網絡層面(開啟VPC Endpoint訪問)、合規需求(Object防止刪除策略);
image.png

Using automation to drive continuous-compliance best practices – SVC309 – Chicago AWS Summit

AWS使用自動化來做合規的最佳實踐檢查,這個也從側面證明了AWS內部也會具有這個能力,通過自動化驅動合規檢查、不安全的配置項的自動化回滾等,例如有人修改了默認基線就會通知Lambda來進行自動化的回滾操作,保證合規保持在一定比較安全的水位;
image.png

Safeguarding the integrity of your code for fast, secure deployments – SVC301 – Chicago AWS Summit

AWS使用這張圖來講清楚了IPDRR對應安全域的保護能力,把IPDRR和安全域防御進行了整合,一目了然的清楚安全域屬于標識、預防、檢測、響應、恢復的哪個階段;
image.png

二、AWS本月新增產品Features

1、Amazon Aurora with PostgreSQL Compatibility Supports Database Activity Streams For Real-time Monitoring

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-aurora-with-postgresql-compatibility-supports-database-activity-streams/

說明:

具有PostgreSQL兼容性的Amazon Aurora的數據庫活動流提供關系數據庫中數據庫活動的近實時數據流,以幫助客戶監視數據庫活動。與第三方數據庫活動監視工具集成時,Database Activity Streams可以監視和審計數據庫活動,為客戶的數據庫提供安全保護,并幫助滿足合規性和法規要求。構建在Database Activity Streams之上的解決方案可以通過監視對數據庫的訪問來保護客戶的數據庫免受內部和外部威脅。數據庫活動的收集,傳輸,存儲和后續處理在數據庫外部進行管理,提供獨立于數據庫用戶的訪問控制。客戶的數據庫活動將推送到代表您的Aurora群集配置的Amazon Kinesis數據流。Amazon RDS與IBM的Security Guardium和McAfee的數據中心安全套件(均在AWS Marketplace中提供)建立了合作關系,以便與為Aurora Cluster配置的Kinesis流無縫集成。這些合作伙伴應用程序可以使用數據庫活動流信息生成警報,并提供有關Amazon Aurora數據庫上所有活動的審核。

觀察:

PostgreSQL開放了數據庫的實時數據流開放給客戶,并且跟第三方生態合作伙伴(在AWS Marketplace中即可購買)IBM和McAfee進行集成,快速提供給客戶數據異常活動監控、合規等安全需求;

2、Announcing Tag-Based Access Control for AWS CloudFormation

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/announcing-tag-based-access-control-for-aws-cloudformation/

說明:

AWS客戶可以使用可以更細粒度的方式定義和控制對CloudFormation管理資源的訪問。 例如,客戶現在可以拒絕某些用戶刪除或更新具有“生產”標記值的堆棧的權限,同時允許更改具有“開發”標記值的堆棧。

觀察:

AWS的訪問控制力度越來越細,給客戶在權限上更多的細粒度訪問控制能力;

3、Enable EC2 Hibernation Without Specifying Encryption Intent at Every Instance Launch

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/enable-ec2-hibernation-without-specifying-encryption-intent/
https://aws.amazon.com/about-aws/whats-new/2019/05/enable-hibernation-on-ec2-instances-when-launching-with-an-ami-without-an-encrypted-ebs-snapshot/
https://aws.amazon.com/about-aws/whats-new/2019/05/with-a-single-setting-you-can-encrypt-all-new-amazon-ebs-volumes/

說明:

AWS新推出了EC2的HIbernation(休眠模式),通過休眠模式可以快速讓實例進行啟動;另外可以通過簡單的設置讓新建的EBS Volumes進行加密;休眠模式下必須要讓EBS Volumes開啟加密,為的是保證RAM內存中的安全;

觀察:

AWS在EC2上做了非常多的一些創新,包括默認EBS進行加密,默認加密成為了各個云逐步發展的重要安全趨勢;

4、AWS Glue now enables continuous logging for Spark ETL jobs

地址:
https://aws.amazon.com/about-aws/whats-new/2019/05/aws-glue-now-enables-continuous-logging-for-spark-etl-jobs/

說明:

AWS Glue現在提供連續日志,以跟蹤在ETL作業中執行Apache Spark階段的實時進度。 客戶可以在Amazon CloudWatch中訪問Apache Spark驅動程序和執行程序的不同日志流,并過濾掉高度詳細的Apache Spark日志消息,從而更輕松地監視和調試ETL作業。

觀察:

默認實時的日志輸出,在加上生態合作伙伴進行深度分析;

5、Amazon DynamoDB supports FIPS 140-2 validated endpoints in the Canada (Central) Region

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-dynamodb-supports-fips-140-2-validated-endpoints-in-the-canada-central-region/

說明:

Amazon DynamoDB現在支持加拿大(中部)區域的聯邦信息處理標準(FIPS)140-2驗證端點,使客戶可以將DynamoDB用于受監管的工作負載。 這些端點使用FIPS 140-2驗證的加密軟件模塊終止TLS會話。 有關更多信息,請參閱區域和端點。

觀察:

AWS數據類API使用FIPS 140-2驗證過的加密模塊來終止TLS會話,保證鏈路的安全性,讓更多的數據敏感的客戶可以上云;

6、Amazon RDS for SQL Server now Supports SQL Server Audit

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-rds-for-sql-server-supports-sql-server-audit/

說明:

Amazon RDS for SQL Server現在支持SQL Server Audit! SQL Server Audit允許您創建服務器審核,其中包含服務器級事件的服務器審核規范和數據庫級事件的數據庫審核規范。

觀察:

AWS除了給客戶SQL日志的審計之外,也開放了服務器的部分日志審計功能,這個是在增強客戶的安全感,讓客戶可以針對SQL服務器上的日志進行審計;

7、AWS Encryption SDK for C is now available

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-encryption-sdk-for-c-now-available/

說明:

適用于C的AWS加密SDK現在可用于在C和C ++應用程序中加密和解密數據。 您還可以將其用作其他語言綁定的基礎。 適用于C的AWS加密SDK具有高度高性能,可與Java,Python和CLI實施完全互操作。
適用于C的AWS加密SDK引入了密鑰環,可幫助您在多個包裝密鑰(包括不同AWS區域中的密鑰)下加密數據。 然后,當需要解密時,客戶可以指定加密數據的哪些密鑰可用于解密它。

觀察:

SDK的涵蓋的語言越來越多;

8、Amazon API Gateway Now Supports Tag-Based Access Control and Tags on Additional Resources

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-api-gateway-now-supports-tag-based-access-control-tags-additional-resources/

說明:

Amazon API Gateway現在使用AWS身份和訪問管理(IAM)策略提供基于標簽的訪問控制,允許客戶為所有API網關資源設置更細粒度的訪問控制。標簽是簡單的鍵值對,客戶可以在API網關資源上對其進行定義,以按目的,所有者或其他條件對其進行分類。

觀察:

IAM+ABAC是AWS目前正在橫向推動的重要事情;

9、Amazon DocumentDB (with MongoDB compatibility) is now SOC 1, 2, and 3 compliant

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-documentdb-now-soc-1-2-3-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-neptune-is-now-soc-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-fsx-for-windows-file-server-is-now-soc-compliant/
https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-fsx-for-lustre-is-now-soc-compliant/

說明:

Amazon DocumentDB現在符合SOC 1,2和3標準,使客戶可以深入了解保護客戶數據的安全流程和控制。 這些報告通常被各種行業所利用,例如技術,醫療保健,銀行和金融服務,并用于薩班斯 – 奧克斯利法案(SOX)。

觀察:

產品合規也正在逐步的推廣,每個合規項來涵蓋更多的產品;

10、Use AWS Secrets Manager to help maintain SOC compliance in the AWS cloud

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/Use-AWS-Secrets-Manager-to-help-maintain-SOC-compliance-in-the-AWS-cloud/

說明:

客戶現在可以使用AWS Secrets Manager來管理受系統和組織控制(SOC)合規性要求約束的應用程序的機密信息。 此外,AWS Secrets Manager還符合2018年宣布的美國健康保險流通與責任法案(HIPAA),支付卡行業數據安全標準(PCI DSS)和國際標準化組織(ISO)要求。

觀察:

安全產品也在橫向推動,每個合規項來涵蓋更多的產品;

11、Amazon GuardDuty Adds Two New Threat Detections

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-guardduty-adds-two-new-threat-detections/

說明:

Recon:EC2 / PortProbeEMRUnprotectedPort查找類型表示Amazon EC2實例上與EMR相關的敏感端口未被安全組,訪問控制列表或主機防火墻阻止,并且Internet上的已知掃描程序正在主動探測它。 可以觸發此發現的端口(例如端口8088(YARN Web UI端口))可能用于遠程代碼執行。 這是一種高嚴重性的發現類型。

PrivilegeEscalation:PrivilegeEscalation:IAMUser/AdministrativePermissions用來發現新創建特權管理員賬號的行為檢測;

觀察:

AWS開始向云上資產的風險涵蓋,這些都是其他云廠商欠缺的,需要增強;

12、Amazon RDS for MySQL Supports Password Validation

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/amazon-rds-for-mysql-supports-password-validation/

說明:

客戶現在可以使用MySQL validate_password插件在Amazon RDS for MySQL數據庫中強制實施密碼策略。 這通過定義最小密碼長度,所需字符和其他規則來提高數據庫的安全性。

觀察:

滿足合規和安全對MySQL密碼復雜度的要求,合規中經常有這種檢查;

13、AWS AppSync Now Supports Configuring Multiple Authorization Types for GraphQL APIs

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-appsync-now-supports-configuring-multiple-authorization-type/

說明:

AppSync支持OICD、Amazon Cognito User Pools and/or AWS Identity and Access Management (IAM)認證方式;

觀察:

上云過程中的安全也是一個重要考慮的事,而身份認證是上云間比較重要的防護手段;

14、AWS IoT Device Defender supports monitoring behavior of unregistered devices

地址:

https://aws.amazon.com/about-aws/whats-new/2019/05/aws-iot-device-defender-supports-monitoring-behavior-of-unregistered-devices/

說明:

現在,AWS IoT Device Defender還支持識別未在AWS IoT Core注冊表中注冊的設備的異常行為。 要使用此新功能,首先要附加針對未注冊設備的安全配置文件。 然后,AWS IoT Device Defender可以檢測未注冊設備的云指標中的異常,例如授權失敗次數,連接嘗試次數,斷開連接,消息大小,發送的消息數或收到的消息數以及源IP。 客戶現在還可以監控未注冊設備的設備端指標,例如字節輸入/輸出,數據包輸入/輸出,偵聽TCP / UDP端口數量以及設備連接的目標IP。

觀察:

AWS IoT Device Defender做IoT安全的方式還是比較輕量級的,使用基于行為的檢測,做的比較輕量級;

三、AWS本月更新

1、New whitepaper available: Architecting for PCI DSS Segmentation and Scoping on AWS

https://aws.amazon.com/blogs/security/new-whitepaper-available-architecting-for-pci-dss-segmentation-and-scoping-on-aws/
解讀:云上PCI-DSS合規在VPC環境下是如何進行合規的,主要是利用安全組網絡上的隔離措施;

2、Spring 2019 SOC 2 Type 1 Privacy report now available

https://aws.amazon.com/blogs/security/spring-2019-soc-2-type-1-privacy-report-now-available/
下載地址(由于有保密要求,需要的可以直接聯系我給PDF版):
https://aws.amazon.com/artifact/

3、Spring 2019 SOC reports now available with 104 services in scope

https://aws.amazon.com/blogs/security/spring-2019-soc-reports-now-available-with-104-services-in-scope/
解讀:目前SOC支持104個云產品的合規;

四、本月觀察觀點

1、AWS的訪問控制力度越來越細;目前AWS正在橫向推動IAM+ABAC的訪問控制策略,提供更細粒度的控制;

2、AWS在數據庫層面開始逐步放開數據庫的實時活動數據流,之前都是客戶下載備份文件進行數據庫的合規檢查,現在結合自身安全生態快速的滿足客戶的安全和合規需求,同時也增加了相關的收入;

3、AWS本月的對外宣傳上有更新了IPDRR+PDC的模型,讓傳統線下用戶可以更加了解云上安全防御對應線下的哪些能力,這塊是需要增強線下客戶的宣導能力,讓客戶理解云上的安全防護能力和線下有哪些相同的點和不同的點,讓客戶快速對云環境有個認同感;

4、包括默認EBS進行加密、默認存儲加密等;默認加密成為了各個云逐步發展的重要安全趨勢;

5、從本月觀察來看,默認實時的日志輸出也成為了AWS的一個重要的推廣戰略,另外實時輸出之后結合CloudWatch+第三方的安全生態廠商進行安全分析;

6、在合規上,AWS又進行了深入的研究,例如針對數據庫類的API進行FIPS 140-2的TLS卸載會話,讓合規涵蓋到了API這個層面,讓更多的HIPAA用戶可以放心的上云,說服這些高敏感數據的用戶遷移上來,擁有高敏感數據的客戶如何讓他們上云放心,也是一個重要的安全體系不斷持續的灌輸客戶,是一個安全感的體現;

7、AWS除了給客戶SQL日志的審計之外,也開放了服務器的部分日志審計功能,這個是在增強客戶的安全感,讓客戶可以針對SQL服務器上的日志進行審計,安全感的方法就是讓高安全等級客戶看見更多,當然對技術能力要求要提出了更高的挑戰;

8、上云過程中的安全也是一個重要考慮的事,而身份認證是上云間比較重要的防護手段;

9、AWS正在橫向推動SOC的合規的云產品;

發表評論