???

【51CTO.com快譯】當(dāng)你開(kāi)始構(gòu)建云基礎(chǔ)架構(gòu)時(shí)，安全問(wèn)題在你心目中的地位可能遠(yuǎn)不如項(xiàng)目的啟動(dòng)與運(yùn)行那樣重要。這會(huì)讓你推遲對(duì)安全問(wèn)題的考慮，并導(dǎo)致你的項(xiàng)目在很長(zhǎng)一段時(shí)間內(nèi)暴露在一個(gè)不安全的云環(huán)境之中。對(duì)安全問(wèn)題的處理拖得越久，想要解決這個(gè)問(wèn)題就會(huì)越困難也越昂貴。

更糟糕的是，如果在這期間你的項(xiàng)目真的受到了攻擊，你將不得不花費(fèi)更多的金錢(qián)和精力來(lái)應(yīng)對(duì)這些威脅。在面對(duì)某些特殊情況時(shí)，你甚至需要引入專業(yè)的應(yīng)急響應(yīng)團(tuán)隊(duì)來(lái)進(jìn)行特殊問(wèn)題的處理，而讓他們來(lái)完成這項(xiàng)工作的話，所花費(fèi)的成本會(huì)在原有的基礎(chǔ)上繼續(xù)翻倍。本文將幫助你了解如何在構(gòu)建云基礎(chǔ)設(shè)施的早期階段，通過(guò)一些基本步驟來(lái)改善云安全的狀況。

云安全的重點(diǎn)關(guān)注方向：

• 威脅模型分析
• 安全配置錯(cuò)誤修復(fù)
• 網(wǎng)絡(luò)訪問(wèn)控制
• 云資源訪問(wèn)管理
• IAM策略保障
• 日志記錄監(jiān)測(cè)

1.威脅模型分析

威脅模型分析指尋找系統(tǒng)潛在威脅以建立對(duì)抗的策略，以建立安全的系統(tǒng)的過(guò)程。這適用于包括云服務(wù)架構(gòu)、應(yīng)用程序、物聯(lián)網(wǎng)設(shè)備等絕大多數(shù)系統(tǒng)。

建立威脅模型的步驟

• 構(gòu)建架構(gòu)圖
• 識(shí)別威脅
• 減輕威脅
• 驗(yàn)證

建立威脅模型的第一步是構(gòu)建系統(tǒng)的架構(gòu)圖。這涉及到在系統(tǒng)中構(gòu)建資產(chǎn)列表，因?yàn)槟銦o(wú)法保護(hù)你看不到的東西。我們可以使用CloudMapper等工具來(lái)構(gòu)建AWS云環(huán)境的架構(gòu)圖。大部分云服務(wù)提供商也有類似的威脅建模工具，例如Cartography。

當(dāng)你擁有了架構(gòu)圖和資產(chǎn)列表，你就可以開(kāi)始識(shí)別可能對(duì)系統(tǒng)產(chǎn)生的威脅。你可以使用像STRIDE或PASTA這樣的威脅建模方法來(lái)實(shí)現(xiàn)這一點(diǎn)。

這里舉一個(gè)例子：如果開(kāi)發(fā)人員的云憑證被泄露，你需要確定系統(tǒng)受到攻擊的可能性有多大，以及哪些管控措施可以將損失降至最低。

管控措施的實(shí)施將能夠有效的對(duì)你的系統(tǒng)進(jìn)行保護(hù)。

2.安全配置錯(cuò)誤修復(fù)

主要的云安全漏洞之一就是安全配置錯(cuò)誤。據(jù)報(bào)告，超過(guò)95%的云安全漏洞與云錯(cuò)誤配置有關(guān)，但想要實(shí)時(shí)了解系統(tǒng)的云環(huán)境情況是非常困難的。因此，我們可以從常見(jiàn)的錯(cuò)誤配置入手，其中較為典型的就是過(guò)于寬松的防火墻規(guī)則與安全審核。

Prowler

Prowler是一個(gè)開(kāi)源的安全審計(jì)工具，它可以幫助我們識(shí)別適用于AWS的云安全配置錯(cuò)誤，幫助你進(jìn)行AWS安全評(píng)估、審計(jì)、加固和問(wèn)題響應(yīng)。它遵循AWS的CIS基準(zhǔn)，還可以協(xié)助GDPR、HIPAA、PCI-DSS、ISO27001、SOC2等。

Prowler將給出云帳戶中的安全漏洞列表。您可以導(dǎo)出HTML、CSV、JSON或json-ASFF格式的結(jié)果。

與安全中心的集成

Prowler集成了AWS安全中心。借助Security Hub，你可以設(shè)置單個(gè)位置，對(duì)來(lái)自多個(gè)AWS服務(wù)(如AWS GuardDuty、Inspector、Macie等)的安全警報(bào)或檢測(cè)結(jié)果進(jìn)行聚合、組織和設(shè)置優(yōu)先級(jí)。你還可以使用自動(dòng)合規(guī)性檢查持續(xù)監(jiān)控你的云環(huán)境。

3.網(wǎng)絡(luò)訪問(wèn)控制

構(gòu)建網(wǎng)絡(luò)圖

我們需要一個(gè)網(wǎng)絡(luò)圖來(lái)評(píng)估云環(huán)境的架構(gòu)。但對(duì)于開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，獲取實(shí)時(shí)更新的網(wǎng)絡(luò)圖也是比較困難的，而且在前文中也曾提到，由于云的動(dòng)態(tài)特性，你通常無(wú)法知道你的云環(huán)境在每時(shí)每刻的情況。因此，云資源常常會(huì)在不可見(jiàn)性的情況下被泄露出去，這是我們很難有效控制的問(wèn)題。

出于這些原因，這里建議使用像CloudMapper這樣的工具來(lái)可視化云環(huán)境的當(dāng)前布局。

CloudMapper

CloudMapper可以幫助你分析你的Amazon Web Services (AWS)環(huán)境。它能夠構(gòu)建網(wǎng)絡(luò)圖并在瀏覽器中進(jìn)行顯示。

網(wǎng)絡(luò)切割

通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)切割可以減少入侵者可用的攻擊選項(xiàng)，我們應(yīng)放棄故障打開(kāi)并采用故障安全的網(wǎng)絡(luò)訪問(wèn)方法。對(duì)于所需的應(yīng)用程序，應(yīng)允許顯式網(wǎng)絡(luò)訪問(wèn)?？梢酝ㄟ^(guò)對(duì)容器工作負(fù)載使用Kubernetes網(wǎng)絡(luò)策略來(lái)實(shí)現(xiàn)微觀分割，像分段、開(kāi)發(fā)和生產(chǎn)這樣的復(fù)雜環(huán)境應(yīng)駐留在分段的網(wǎng)絡(luò)或不同的帳戶中，并應(yīng)針對(duì)不同的業(yè)務(wù)單元、工作負(fù)載、日志、監(jiān)控、身份等使用不同的云帳戶，以進(jìn)一步減少可被攻擊面。

4.云資源訪問(wèn)管理

與云資源的連接應(yīng)該具有安全且私有的訪問(wèn)權(quán)限?？梢酝ㄟ^(guò)虛擬網(wǎng)絡(luò)設(shè)置到bastion/jump box來(lái)實(shí)現(xiàn)這一點(diǎn)，或者利用中央認(rèn)證系統(tǒng)，比如Keycloak或Teleport。你可以將這些系統(tǒng)與Okta或任何其他類似的身份驗(yàn)證機(jī)制集成以實(shí)現(xiàn)單點(diǎn)登錄。還有一種方法是使用會(huì)話管理器，這能夠減少中央身份驗(yàn)證系統(tǒng)的管理開(kāi)銷。

5.IAM策略保障

用戶訪問(wèn)策略(IAM策略)是另一個(gè)可以幫助你保護(hù)云基礎(chǔ)設(shè)施的核心策略。使用IAM策略進(jìn)行權(quán)限管理，可以減少攻擊者在出現(xiàn)漏洞時(shí)造成廣泛損害的可能性。

一些可應(yīng)用于新項(xiàng)目的低限度的安全控制方案：

• 使用訪問(wèn)秘鑰進(jìn)行云賬戶登錄
• 創(chuàng)建獨(dú)立的IAM用戶
• 使用用戶組為IAM用戶分配權(quán)限
• 授予最小特權(quán)
• 為用戶配置強(qiáng)密碼策略
• 啟用MFA
• 使用角色委派權(quán)限
• 不共享訪問(wèn)密鑰
• 定期更換憑證
• 刪除不必要的憑證
• 監(jiān)控云帳戶中的活動(dòng)

你可以使用Policy_Sentry創(chuàng)建最小權(quán)限的IAM策略。

6.日志記錄監(jiān)測(cè)

安全日志的記錄和監(jiān)測(cè)是云安全體系的重要組成部分。這將幫助你識(shí)別云環(huán)境中的漏洞所在，也是發(fā)現(xiàn)惡意事件的一種重要方法。

首先，你可以在所有模塊中啟用CloudTRAIL，并將其配置到云存儲(chǔ)空間中。接下來(lái)，你需要為多次身份驗(yàn)證失敗或權(quán)限提升失敗等常見(jiàn)的安全用例設(shè)置警報(bào)。

最后，為長(zhǎng)期存儲(chǔ)建立一個(gè)單獨(dú)的日志帳戶以及一個(gè)集中檢測(cè)帳戶。記錄API調(diào)用日志(CloudTRAIL)、DNS日志(Route 53)、網(wǎng)絡(luò)訪問(wèn)日志(VPC Flow logs)、云存儲(chǔ)日志(S3)、安全服務(wù)日志(如Security Hub、GuardTask、WAF logs、application logs)，并將數(shù)據(jù)傳送到數(shù)據(jù)分析平臺(tái)中(如ElasticSearch)以構(gòu)建相應(yīng)的檢測(cè)規(guī)則。

7.結(jié)語(yǔ)

通過(guò)執(zhí)行上述步驟，你可以為你的項(xiàng)目構(gòu)建一個(gè)較為安全的云環(huán)境，這能夠有效幫助你節(jié)約后期的運(yùn)維成本。

對(duì)企業(yè)來(lái)說(shuō)，解決云安全挑戰(zhàn)是一項(xiàng)持續(xù)不斷的工作，這需要我們的重視與長(zhǎng)期警惕。

活動(dòng)推薦：云原生是一個(gè)較為廣義的概念。對(duì)于云原生，不同的企業(yè)有著不同的理解。如何判斷項(xiàng)目是否到了云原生上云的階段，云原生上云的方式該怎樣抉擇，想要把云原生技術(shù)發(fā)揮到極致又需要考慮哪些因素?面對(duì)諸如此類問(wèn)題，如何選擇最優(yōu)“路線”完成自己的云原生上云之旅，是當(dāng)下各企業(yè)所面對(duì)的共性問(wèn)題。為了給大家提供更多的借鑒和思考，在本屆WOT全球技術(shù)創(chuàng)新大會(huì)“云原生技術(shù)最佳實(shí)踐”專題中，我們邀請(qǐng)到了來(lái)自阿里云、作業(yè)幫及圖森未來(lái)的資深技術(shù)專家，為大家分享相關(guān)經(jīng)驗(yàn)與解決方案。

???

WOT全球技術(shù)創(chuàng)新大會(huì)2022，早鳥(niǎo)票6折優(yōu)惠搶購(gòu)中！購(gòu)票立減2320元，團(tuán)購(gòu)可享受更多優(yōu)惠?；顒?dòng)詳情咨詢添加小助手微信-秋秋：cto-kol，??進(jìn)入活動(dòng)官網(wǎng)查看活動(dòng)詳情??。

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】