aws 常见安全参考架构... · © 2020, amazon web services, inc. or its affiliates. all rights...
TRANSCRIPT
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 常见安全参考架构
韩旭明,AWS 资深合作伙伴解决方案架构师
分 会 场 六 : 信 息 安 全
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
最新功能
• 多账户与 Landing Zone
• AWS WAF
• AWS KMS 与数据保护
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
解决哪些问题
• 在云端重现本地设施
• 继承数据中心时代的运营思路
• 管理与运营人员不愿向开发人员开放全部访问权限
• 开发人员希望正常工作
• DevOps 是个好主意
• 没有运营部分,DevOps 无从谈起
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 账户
安全/资源边界 API 限制/约束 账单分离
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
我该创建哪些账户?
安全保护 共享服务 计费
开发 生产沙箱 其他生产前
Organizations Account
日志归档 网络
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
多账户方案
开发者沙箱
开发 生产前
团队/小组账户
安全保护
核心账户
AWS Organizations 主节点
共享服务网络
日志归档 生产
团队共享服务
网络路径
开发者账户 数据中心
组织:账户管理
日志归档:安全日志
安全保护:安全工具,AWS Config 规则
共享服务:目录、限制监控
网络:Direct Connect
开发沙箱:实验、学习
开发:开发
生产前:暂存
生产:生产
团队共享服务:团队共享服务,数据湖
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
为什么需要“Landing Zone”
H
• 根据 AWS 最佳实践建立一套可配置、安全、可扩展的多账户AWS 环境
• 建立全新开发与实验流程的起点
• 迁移应用程序的起点
• 一套可随时间实现迭代与扩展的环境
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Landing Zone 解决方案
一套易于部署的解决方案,可自动创建
全新 AWS 多账户环境
基于 AWS 最佳实践与推荐方案
内置安全与治理控制机制
基准账户与账户自动售货机
自动部署
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Landing Zone 结构——基础
Amazon S3 Bucket(manifest file)
AWS CodePipeline
AWS 服务目录账户基准 核心 OU
AWS SSOAWSOrganizations
AWS Organizations 账户
共享服务账户 日志归档账户
账户基准
安全账户
网络基准
账户基准 CloudTrail 与Config Logs 聚合
账户基准 跨账户安全角色
安全通知
Organizations 账户
• 账户配置
• 账户访问 (SSO)
共享服务账户
• Active Directory
• 日志分析
日志归档
• 安全记录
安全账户
• 审计/应急方案Amazon GuardDuty主节点
参数存储
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Landing Zone 结构——插件
Amazon S3 存储桶(manifest文件)
AWS CodePipeline
AWS 服务目录账户基准 核心 OU
AWS SSOAWSOrganizations
AWS Organizations 账户
共享服务账户 日志归档账户
账户基准
安全账户
网络基准
账户基准 CloudTrail 与Config Logs 聚合
账户基准 跨账户安全角色
安全通知
Organizations 账户
• Connector(目录连接器)
共享服务账户
• 微软 AD
• 中央日志记录解决方案
Centralized Logging Solution
AWS MicrosoftAD
DirectoryConnector
Amazon GuardDuty主节点
参数存储
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
账户自动售货机
AWS 服务目录
账户自动售货机( AWS 服务目录)
• 账户创建工厂
• 用于创建新账户的用户界面
• 账户基准版本控制
• 启动限制
创建/更新 AWS 账户
应用账户基准 stacksets
创建网络基准
应用账户安全控制策略
账户自动售货机 AWS Organizations
安全
AWS
日志归档
AWS
共享服务
AWS
AWS
新AWS
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Landing Zone 流水线
来源 验证/构建/测试部署核心账户结构
部署核心资源部署服务目录组合/产品
部署基准资源为核心账户启动 AVM
AWS
OrganizationsAWS 账户基准
StackSets
日志记录 安全凭证
AWS 服务目录StackSet AWS 服务目录
核心
Amazon S3
存储桶
已售出账户
AWS
CloudFormation
模板
Manifest 文件AWS Landing Zone
Zip 文件
AWS CodeBuild
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Landing Zone 的作用
• 用于创建多账户环境并进行基准衡量的框架
• 内置多账户结构,包括安全、审计与共享服务要求
• 账户自动售货机,可根据一组安全基准自动部署更多账户
账户管理
• 通过 AWS SSO 联动管理用户账户访问
• 通过跨账户角色实现集中化管理
身份与访问管理
• 通过多账户机制实现职责划分
• 内置账户安全与 AWS Config 规则基准
• 网络基准
• 设置监控与智能威胁检测(通过 Amazon GuardDuty )
安全与治理
• 轻松部署可靠插件以扩展您的 AWS Landing Zero解决方案可扩展性
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
线程类型
恶意肉鸡DDoS 应用程序攻击
UDP 洪水
SYN 洪水
懒猴攻击
SSL 滥用
HTTP 洪水
UDP 反射
内容抓取器
扫描器与探针
爬虫应用层
网络/传输层
SQLi
应用程序滥用
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon CloudFront
边缘位置
用户
黑客
恶意肉鸡
站点爬取
SQLi、XSS、其他攻击手段
合法流量
Amazon
EC2ELBWAFELB
ELB Sandwich
客户本地环境
原始设施 原始存储应用防火墙
传统应用防火墙
应用防火墙
EC2
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon CloudFront
边缘位置
AWS
WAF
用户
黑客
恶意肉鸡
站点爬取
SQLi、XSS、其他攻击手段
合法流量
Amazon EC2ELBAmazon S3
与/或
客户本地环境
原始服务器 原始存储
With AWS WAF
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
我们为何构建 AWS WAF
无需管理服务器 高成本效益
为 DevOps 提供全面 API 支持 易于部署
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 防火墙管理器(Firewall Manager),以规模化方式管理AWS WAF 规则
ALB 安全组
应用负载均衡器(ALB)
公共子网
AWS WAF
中央企业规则
应用特定规则
合规特定规则
?
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
L7 保护
Amazon CloudfrontAPI 网关
应用负载均衡器
AWS WAF
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
解决方案架构
WAF Security Automations
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
在哪里加密?
客户端 实例HTTPS应用程序代码
传输数据
网络加密
静态数据
存储加密
使用中的数据
应用层加密
客户端加密=用户加密服务器端加密= AWS 加密
S3 存储桶 EBS 存储卷
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
纵深防御
KMS
密钥策略
KMS 密钥角色
IAM 策略
S3 VPC 端点
VPCe 策略
S3 存储桶
存储桶策略
Users 文档
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
不加密的常见理由
性能 系统碎片化 可用性
延迟影响加密加速
破坏控制一致性 密钥丢失密钥配置
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 中的加密机制
审计
访问控制
加密服务
辅助存储
客户端
企业数据中心
AWS 云
AWS密钥管理服务
AWS 身份与访问管理
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS KMS 集成
AWS 资源分类 AWS 服务与 AWS KMS 相集成,协同管理客户密钥计算 Amazon EC2 - AWS Lambda - Amazon Lightsail*
存储 Amazon EBS - Amazon EFS - Amazon FSx for Windows File Server - Amazon S3 Glacier - Amazon S3 - AWS Storage Gateway
数据库Amazon Aurora - Amazon DynamoDB* - Amazon DynamoDB Accelerator (DAX)* - Amazon Neptune - Amazon Redshift -
Amazon RDS
分析Amazon Athena - Amazon Elasticsearch Service - Amazon EMR - AWS Glue - Amazon Kinesis Data Firehose - Amazon Kinesis
Data Streams - Amazon Managed Streaming for Kafka (Amazon MSK)
机器学习 Amazon Comprehend* - Amazon Lex - Amazon SageMaker - Amazon Translate
应用服务 Amazon Elastic Transcoder - Amazon Simple Email Service (Amazon SES) - Amazon Simple Queue Service (Amazon SQS)
迁移与传输 AWS Snowball - AWS Snowball Edge - AWS Snowmobile - AWS Database Migration Service
开发者工具 AWS Cloud9 - AWS CodeBuild - AWS CodeCommit* - AWS CodeDeploy - AWS CodePipeline - AWS X-Ray
管理工具 AWS CloudTrail - Amazon CloudWatch Logs - AWS Systems Manager
媒体服务 Amazon Kinesis Video Streams
安全与身份 AWS Certificate Manager* - AWS Secrets Manager
企业级应用 Amazon WorkMail - Amazon WorkSpaces
业务生产力 Alexa for Business*
联络中心 Amazon Connect
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
KMS 密钥层级
密钥的双层结构• 用于加密客户数据的数据密钥• 用于保护数据密钥的客户主密钥(CMK)• 用于控制数据访问的 CMK 策略• 与 CMK 相关的所有活动皆被记入日志
优势• 信封加密,避免直接管理数据密钥• 经过加密的数据密钥存储在加密对象当中• 非常适合加密大型数据对象• 提供本地密钥缓存以实现高 I/O 操作
客户主密钥
S3
存储桶EBS
存储卷RDS
实例
CMK
数据密钥 数据密钥 数据密钥
密钥管理服务
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
信封加密示例:S3 服务器端加密
明文数据
加密流程
加密数据密钥
3数据密钥
数据密钥
7
数据密钥
加密数据密钥
6 数据密钥
生成数据密钥请求2
CMK
1
Amazon S3
加密
加密 S3 存储桶中的数据与数据密钥
4
数据密钥
解密流程
5
加密 S3 存储桶中的数据与数据密钥
数据密钥
解密
Amazon S3
明文数据
8
AWS 密钥管理服务
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
密钥管理生命周期
定义
密钥使用
创建删除
禁用启用
恢复
备份
轮替
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
两种密钥管理方案
AWS 托管主密钥
• AWS 服务请求 AWS KMS 以自动创建主密钥
• 密钥保存在您的账户内,但只供创建该密钥的 AWS 服务使用
客户托管主密钥
• 由您利用 AWS KMS 提前创建主密钥
• 您可以在设置 AWS 服务时,选择加密过程中使用的密钥
两套方案的操作效果完全相同:安全性、延迟、吞吐量、持久性、可用性与可审计性
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
控制您的密钥
• 控制谁能够管理并使用您的密钥• 限制密钥的具体使用方式(缩小范围)• 定义使用条件(加密上下文=特定数据对象)
• 跨账户分配权限及共享访问权限• 即时启用及禁用密钥
• 控制密钥删除操作• 控制密钥轮替操作• 使用别名与标签组织您的密钥
• 在 AWS 加密服务之外使用密钥• 直接利用 AWS Encryption SDK 或者 AWS KMS 进行数据加密
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
自带密钥(BYOK)
以下要求是否符合您的使用场景?
控制密钥的生成方式(熵源)
自主保留密钥素材的备份副本
仅在需要时上传密钥
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
我们希望您在这里找到感兴趣的内容!
也请帮助我们完成投票打分和反馈问卷。
欲获取关于 AWS 的更多信息和技术内容,可以通过以下方式找到我们:
感谢参加 AWS INNOVATE 2020 在线技术大会
微信订阅号:AWS 云计算(awschina)
新浪微博:https://www.weibo.com/amazonaws/
视频中心:http://aws.amazon.bokecc.com/
更多线上活动 :https://aws.amazon.com/cn/about-aws/events/webinar/
微信服务号:AWS Builder 俱乐部(amazonaws)
抖音:亚马逊云计算(抖音号:266052872)
博客:https://aws.amazon.com/cn/blogs/china/
AWS 中国账户注册
AWS 全球账户注册