深入探討雲端安全
•
7 recomendaciones•1,768 vistas
在此議程中,資安顧問會說明 AWS 雲端服務如何協助企業強化資訊安全以及在快速變化的環境中保持競爭力。我們會介紹五項企業資安管理的最佳實務,並且讓你了解在雲端化的過程中確保商業合規以及降低風險。
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a 深入探討雲端安全
Similar a 深入探討雲端安全 (20)
Más de Amazon Web Services
Más de Amazon Web Services (20)
深入探討雲端安全
- 1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 魏俊欣,Drinkey Wei 基礎架構及安全顧問,Amazon Web Services Level 200 © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 為何企業在AWS雲端 部署業務更安全
- 2. 議程 • 每當我們討論安全... • 雲安全,更安全! • 雲中安全最佳實踐 • 企業雲之旅中的安全步伐分享 • 回顧與總結
- 3. 每當我們討論安全… • 安全,風險,威脅,脆弱性,控制… • The CIA Triad • 可用性(Availability) • 完整性(Integrity) • 保密性(Confidentiality) 保密性 資訊安全 • 防火牆…
- 4. 每當我們討論安全…
- 8. 您可以在所有AWS區域保證對您的資料完全可控 AWS 不會利用客戶資訊做任何協力廠商用途 用任何您想用的方式管理您的私有資料 按您所希望的格式保存您的資料,在您指定的任何時間 移動或者刪除它 任何資料都不能自動複製出本區域 客戶能選擇任何方式加密自己的資料 客戶對自己的雲平臺擁有完整控制權
- 9. 自下而上的方式 注重基礎設施 更傾向於物件驅動型 預先構建 瀑布式 自上而下的方式 注重服務 更傾向于應用程式驅動型 內置的 敏捷 企業安全設計特點的變革
- 10. AWS基礎服務 計算 存儲 資料庫 網路 AWS全球 基礎架構 地區 可用區 邊緣網站 用戶端資料加密 伺服器端資料加密 網路流量保護 平臺,應用,認證與接入管理 作業系統,網路與防火牆配置 客戶內容與資料客戶 變革的核心:AWS責任分擔模型 客戶負責 雲中安全 (Security IN the Cloud) AWS負責 雲的安全 (Security OF the Cloud)
- 12. 資料“不易”丟失:多維度的保護
- 13. 為物件提供 99.999999999% 的耐久性。 Amazon Simple Storage Service (S3) 為對象提供高達 99.99% 的可用性。 資料“不易”丟失:服務內的資料保護舉例
- 14. 常見的物理設施 嚴格的存取控制 視頻監控安保系統 入侵偵測系統 雙因數認證 所有物理訪問 均被記錄及審計 許可權更改 即時生效 數據“不易”洩漏:世界級的物理安全
- 16. AWS KMS AWS IAM AWS CloudHSM Amazon Inpector AWS CloudWatch AWS CloudTrail AWS WAF Auto Scaling group Availability Zone #1 www.example.com security group security group root volume data volume media.example.com Elastic Load Balancing Amazon S3 bucket logs Amazon EBS snapshot CloudFront distribution EC2 instance web app server Amazon Route 53 安全“更易”實現:由點及面的雲安全
- 17. 數據接入 資料傳輸 • 通過SSL/TLS加密端點向Amazon S3上傳與下載數據 資料存儲 • Amazon S3伺服器端加密 訪問日誌 接入控制種類 AWS帳戶級別接入接入 用戶級別接入控制 IAM策略 否 是 存取控制清單 是 否 存儲桶策略 是 是 Amazon S3 安全“更易”實現:Amazon S3資料保護舉例
- 18. 安全“更易”實現:豐富的安全指導
- 19. 關於NASA和AWS: 通過在 Amazon Web Services 上運營 mars.jpl.nasa.gov 網站, NASA/JPL 可以向全世界播送其消息,而無需自行構建該基礎設施。 AWS 提供的豐富功能和易用性使 NASA/JPL 可以在兩到三周而非數月 的時間內構建一個穩固、安全、可擴展的 Web 基礎設施。 現在,好奇號已安全登陸火星,該任務將繼續使用 Amazon Web Services 自動分析來自火星的圖像,以最大程度縮短科學家識別潛在危 險或感興趣的特定科學領域的時間。因此,科學家能夠向好奇號發送較 長的命令序列,從而增加火星科學實驗室能夠在任何給定火星日 (火星 日) 執行的探測工作量。 成功案例——NASA
- 20. AWS基礎服務 計算 存儲 資料庫 網路 AWS全球 基礎架構 地區 可用區 邊緣網站 合規“更易”保證:全面的合規性專案 在不斷提高 的安全合規 基準上部署 任何平臺 AWS負責 雲的安全 (Security OF the Cloud)
- 22. 缺乏專業知識 安全 管理開銷 合規性 管治理和管控 構建私有雲的複雜性 性能 管理多個雲 需要專業人員規劃安全! 信息來源:RightScale 2017 State of Cloud Report 企業上雲面臨的雲挑戰
- 23. 企業加速器 Value Analysis Architecture Jumpstart Security Playbook Applications Assessment Operational Healthcheck Skills Assessment Resident Architect AWS雲採用框架 AWS雲採用方法論 知識主體 領域, 概念 模式, 最佳實踐 結構, 依賴關係 交付流程 方法, 輸入, 輸出 交付流程和里程碑 任務, 順序和結果 智慧財產權 & 工具集 場景, 利益相關者, 痛點, 價值定位, 時間/成本/精力, 模版, 檢查列表, 工具 下載CAF 白皮書: http://d0.awsstatic.com/whitepapers/aws_cloud_adoption_framework.pdf AWS入雲框架(AWS Cloud Adoption Framework)
- 25. AWS雲中安全最佳實踐之一:關注AAA 認證(Authenticate) 授權(Authorize) 審計(Audit) Username/Password Access Key (+ MFA) Policies CloudTrail
- 26. • 被使用以通過CLI / API的方式安全的訪問AWS; • 僅可獲得一次,一旦丟失,需要生成新的金鑰對。 Identifier ACCESS KEY ID Ex: AKIAIOSFODNN7EXAMPLE Secret SECRET KEY Ex: UtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY • 定期更新Access Keys – 使用兩個活動金鑰來替換並更新 • 不要將Access Keys保存在 – EC2實例 – GitHub – AMI鏡像 – 未加密的媒介,如郵件中 • 使用IAM Role! 要牢記! AWS中的認證與授權
- 27. ELB security group DMZ public subnet CloudFront Edge Location security group WAF / Proxy private subnet DDo S users WAF Auto Scaling ELB security group Auto Scaling security group frontend servers private subnet web app server • VPC: NACL Security Group ELB Auto Scaling Group • CloudFront AWS雲中安全最佳實踐之二:層次化的網路防護
- 28. Encryption & Key Mgmt Server & Endpoint Protection Application Security Vulnerability & Pen Testing Advanced Threat Analytics Identity and Access Mgmt Network Security 諸多AWS安全合作夥伴助力提升安全水準
- 29. Your encryption client application Your key management infrastructure Your applications in your data center Your application in Amazon EC2 AWS or Your Key management infrastructure Your Encrypted Data in AWS Services … AWS雲中安全最佳實踐之三:保護關鍵數據
- 30. 資料分級是企業完善資訊安全的第一步。 不同等級:“分而治之”; 資料保護:“動靜相宜” BC / DR :“抛磚引玉”。 定義企業資 料保護等級 識別待保護 資產及資料 識別資產所 面臨的風險 綜合資料保 護等級及成 本確定風險 應對方法 批准並實施 保護措施 定期跟蹤及更新 個人資訊 動態業務資料 靜態業務資料 核心代碼等 頭腦風暴 風險評估 滲透測試 合規保證等 網路隔離 動靜態加密 簽名與證書 備份等 保護關鍵數據第一步:定義資料和分級
- 31. 使用TLS在調用AWS API時保護資料上傳/下載以及配置變更: 使用Amazon Certificate Manager或商業證書提升安全性,並應用於 Amazon Elastic Load Balancing和Amazon CloudFront (內容分發網路) "Condition": { "Bool": { "aws:SecureTransport": "true" } } 動態與靜態資料保護 靜態資料保護的關鍵問題:金鑰管理。
- 32. 金鑰存放在哪裡? • 自有的硬體設備? • 雲供應商提供的託管硬體? 金鑰在何處使用? • 客戶控制的用戶端軟體? • 雲供應商控制的伺服器端軟體? 誰能夠使用金鑰? • 擁有許可權的使用者和應用程式? • 客戶委託的雲供應商應用? 關於金鑰安全的必要保障? 金鑰管理中的關鍵問題
- 33. Key Question DIY AWS Marketplace Partner Solution AWS CloudHSM AWS Key Management Service Where are keys generated and stored Your network or in AWS Your network or in AWS In AWS, on an HSM that you control AWS Where keys are used Your network or your EC2 instance Your network or your EC2 instance AWS or your applications AWS services or your applications How to control key use Config files, Vendor- specific management Vendor-specific management Customer code + Safenet APIs Policy you define; enforced in AWS Responsibility for Performance/Scale You You You AWS Integration with AWS services? Limited Limited Limited Yes Price Variable $$$$$ Per hour/per year 0-$$$ Per hour $$$ Per key/usage $ AWS雲上的幾種金鑰管理方案對比 AWS靜態資料保護最佳實踐 白皮書: https://d0.awsstatic.com/whitepapers/AWS_Securing_Data_at_Rest_with_Encryption.pdf
- 34. You are making API calls... On a growing set of services around the world… AWS CloudTrail is continuously recording API calls… And delivering log files to you AWS CloudWatch AWS雲中安全最佳實踐之四:安全視覺化
- 35. 結合各種工具提升安全透明度 AWS CloudWatch AWS CloudWatch Logs AWS CloudWatch Events AWS CloudTrail VPC Flowlog / S3 Access Log 更多AWS提供的工具…... 以及
- 38. 場景舉例: 試想一個企業定義了在三個月內需要將業務入雲,如何從 安全層面進行規劃? 企業入雲的安全步伐:循序漸進 AWS推薦: 結合敏捷的方法,定義兩周為一個反覆運算週期,在每個 週期內逐漸完善安全維度,最終形成適用於企業業務的最 小可用環境。(Minimally Viable Production) 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化
- 39. 反覆運算階段一:帳號及許可權管理 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化 最佳實踐/即開即用 服務與工具 成果 • 多帳號管理 • 用戶,組及角色 定義 • 臨時金鑰(STS) • 聯合認證 (Federation) • 最小許可權準則, SoD 完成帳號結構規劃 定義業務用角色及 程式調用方式 完成測試環境帳號 搭建,並為生產環 境搭建做準備 啟動與測試聯合認 證環境搭建 AWS Organizations IAM AWS Directory Service AWS STS
- 40. 反覆運算階段二:可監測的控制 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化 最佳實踐/即開即用 服務與工具 成果 • 平臺,作業系統 與應用 • 集中並擴展的安 全告警 • 搜索和視覺化 • 閉環的工單系統 • 統一的日誌管理 • 審計考量 完成監控體系規劃 定義關鍵業務監控 指標及實現方式 完成測試環境監控 和日誌管理體系搭 建,並為生產環境 搭建做準備 生產系統帳號搭建 Amazon S3 AWS CloudTrail Amazon CloudWatch Logs & Events Amazon SNS
- 41. 雲安全資訊與事件管理(SIEM) VPC subnet Availability Zone Security group VPC subnet Availability Zone Security group Virtual Gateway Corporate data centre Users Data centre router Update Servers Connectivity CloudTrail CloudWatch SIEM Aggregator
- 42. 反覆運算階段三:基礎架構安全 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化 最佳實踐/即開即用 服務與工具 成果 • 層次化網路防護 • Golden AMI管理 • 威脅防禦層與抗 DDoS攻擊 • 無伺服器架構 (Serverless) • 脆弱性分析和補 丁管理 完成多層網路防護 測試,並為生產環 境搭建做準備 規劃Gloden AMI 著手進行抗DDoS 及WAF測試 完成未來無伺服器 架構規劃 AWS Organizations AWS WAF AWS Shield Amazon VPC VPC flow logs Amazon CloudFront AWS Lambda Amazon Inspector
- 43. https://www.example.com AWS Edge Locations AWS WAFAmazon Route 53 Amazon CloudFront AWS Shield Advanced CloudTrail us-east-1a us-east-1b Proxies NAT RDS DB DMZSubnet PrivateSubnet PrivateSubnet Proxies Bastion RDS DB AWS Config CloudWatch Alarms Archive Logs Bucket S3 Lifecycle Policies to Glacier PrivateSubnet PrivateSubnet AWS Account Virtual Private Cloud (VPC) 基礎架構安全規劃 Well-Architected via a NIST High Quick Start
- 44. 反覆運算階段四:資料保護 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化 最佳實踐/即開即用 服務與工具 成果 • 資料分級定義 • 動態資料加密 • API調用規範 • 靜態資料加密 • 伺服器端加密 • 用戶端加密 • 金鑰管理 • 審計需求 完成資料分級定義 完成動態資料加密 規劃 定義KMS使用場景 並規劃測試 定義靜態加密場景, 選擇合適的方式進 行測試 AWS KMS AWS CloudHSM IAM AWS Certificate Manager AWS CloudTrail AWS Config
- 45. EBS RDS Amazon Redshift S3 Amazon Glacier Encrypted in transit Fully auditable Restricted access and at rest Fully managed keys in KMS Your KMIturn it on 無處不在的加密
- 46. 反覆運算階段五:事件回應 帳號及 許可權管理 可監測的控 制及日誌 基礎架構安 全及防護 資料保護 安全事件回 應及自動化 最佳實踐/即開即用 服務與工具 成果 • 審閱現有事件回 應流程 • 規劃雲中事件回 應方式 • 規劃自動化 • 故障分析(RCA) • 高可用與容災 • DevSecOps 完成現有事件回應 流程審閱 完成雲中事件回應 方式規劃 識別自動化場景, 著手編寫腳本 (CloudFormation) 定義容災場景 Amazon S3 AWS CloudTrail Amazon CloudWatch Logs & Events Amazon EBS snapshot VPC
- 47. 關於客戶: NTT DoCoMo公司是日本電報電話公司的手機公司 (或服務品牌)。NTT DoCoMo是目前世界上最大 的移動通信公司之一,也是最早推出3G商用服務的 運營商。NTT是Nippon Telegraph and Telephone Public Corporation(日本電話電報公司)的縮寫。 DoCoMo這個名字的意思是取Do Communication Over the Mobile Network中的首字﹙電信溝通無界 限﹚,DoCoMo日文どこも的發音(羅馬字)日語 裡則帶有無所不在(everywhere)的意思。 客戶業務需求及痛點: 伴隨著業務的增長及對AWS平臺的使用的增加,NTT DOCOMO需要進一步對雲安全相關的業務流程進行治 理,提高整體安全運維水準,並在內部開始基於AWS雲 平臺開發相關安全運維優化工具。 專案內容: NTT DOCOMO通過諮詢AWS專業服務團隊,最終在業 務識別,頂層規劃,工具開發,品質保證及可行性驗證 等各方面共同開展工作。 服務成效: NTT DOCOMO順利完成基於AWS平臺的整體安全架構 改進並開發出實現既定的諸如人員治理,提升安全運維 水準等目標功能的安全自動化工具。 成功案例——NTT Docomo
- 48. 基於前五個反覆運算階段的成 果,完善企業MVP,並將標 準歸檔至企業最小安全基線 (MSB),供未來使用。 帳號使用及密碼規範; 網路分層安全配置標準; 關鍵資料加密標準; 系統KPI監控指標及標準; 事件回應流程; … 反覆運算階段六:審查並完善最小安全可用環境 策略 標準 運維 帳號及許可權管理 系統架構安全 資料分級及保護 安全運維,監控及日誌管理 事件回應及自動化 五大核心
- 49. 關於客戶: 該企業是中國著名的新能源企業,主營業務包括風 機,光伏等設備供應及資料處理。該企業內部的大 資料雲平臺、智慧風場平臺、光伏雲平臺管理著包 括北美、歐洲、中國等在內的超過2,000萬千瓦的全 球新能源資產,是目前全球最大的智慧能源資產管 理服務公司之一。 客戶業務需求及痛點: 伴隨著業務的增長及對AWS雲平臺使用的增加,該客戶 需要進一步對雲安全相關的平臺與業務流程進行治理, 提高整體業務安全水準,並在企業內部基於AWS雲平臺 開發相關安全運維優化工具。 專案內容: 該企業通過與AWS專業服務團隊的合作,在業務及平臺 層面對現有雲安全成熟度進行識別和評估,識別風險, 規劃未來3年內的雲安全線路圖,並制定雲安全操作規 範,同時在企業整體品質保證及可行性驗證等各方面共 同開展工作。 服務成效: 順利完成基於AWS平臺的整體安全架構改進並開發出實 現既定的諸如人員治理,提升安全運維水準等目標功能 的企業雲安全工具。 成功案例——遠景能源
- 50. 回顧與總結 • AWS雲帶來更安全的業務承載方式:兩易兩不易; • AWS入雲框架與安全維度最佳實踐; • 企業業務安全上雲——一步一個腳印; • 事半功倍:現在就打開安全功能吧! • 擴展閱讀: AWS安全及合規性白皮書 AWS優良架構框架(AWS Well-Architected Framework) turn it on
- 51. 相關資源 AWS Cloud Adoption Framework http://bit.ly/AWS-CAF AWS Well Architected Framework http://bit.ly/WellArchF AWS Quick Start Guides http://bit.ly/AWSQSG
- 52. 非常感謝!