前言

        随着安全技术的不断发展,企业上云已是大势所趋,云上安全也越来越受到广泛关注。今天,我们就来聊一聊关于公有云安全与云“中”安全的话题。这个话题有些宽泛,我们试着把范围缩小,以下图作为讨论路径,管中窥豹,与大家一同探讨。

公有云安全

公有云安全

        众所周知,公有云具有简单、具备弹性、伸缩性的特点,随着云技术的不断提升与普及,公有云已经在极大程度上帮助企业将精力聚焦在自身的核心业务之上。

那么,公有云本身是否足够安全?答案是肯定的。

通过设计,超大规模云提供商投资数十亿美元来保护他们的数据中心、构建安全服务、投资于员工培训、定位安全事件并快速修复它们。与大多数组织致力于保护其本地数据中心相比,这一切都需要更高的关注、投资,以及专业知识。

        云安全帮助组织能够实现以下这些目标:

  • 减少攻击面:使用中央身份验证、数据加密、DDoS 保护服务等

  • 遵守法规:根据最佳实践部署环境

  • 标准化和最佳实践:使用自动化工具加强安全性和服务

公有云“中”的安全

        当我们逐步接受和了解公有云本身的安全性时,重点就来到了公有云“中”的安全这个话题上,也是本文的重点和基础语境。

        目前,公有云市场数十上百家的竞争者,这仍然是个复杂和开阔的话题。让我们继续把这话题缩小,从公有云市场领导者之一AWS开始说起。

 

Security in AWS

AWS责任分担模型

        从AWS的责任分担模型来看,也很清楚能看到,由AWS负责其本身的安全;而企业用户则需要负责在AWS其中内部的安全。

        客户责任由客户所选的 AWS 云服务确定。这决定了客户在履行安全责任时必须完成的配置工作量。

        AWS 负责“云本身的安全” ,包括基础实施、由运行 AWS 云服务的硬件、软件、网络和设备组成。

公有云“中”的安全设计原则

        作为企业方,参照AWS给出的安全设计原则可以帮助加强工作负载的安全性:

  • 实施和强化身份管理功能:实施最低权限原则,并通过适当授权对与 AWS 资源的每次交互执行职责分离。集中身份管理,旨在消除对长期静态凭证的依赖。 

  • 启用可追溯性:实时监控、提醒和审核对客户环境的操作和更改。将日志和指标收集与系统集成,以自动调查并采取行动。 

  • 在所有层运用安全:应用具有多个安全控制的纵深防御方法。适用于所有层(例如,网络边缘、VPC、负载均衡、每个实例和计算服务、操作系统、应用程序和代码)。 

  • 自动化安全最佳实践:基于软件的自动化安全机制可提高组织以更快速、更具成本效益的方式,进行安全扩展的能力。创建安全架构,包括实施在版本控制模板中作为代码定义和管理的控件。 

  • 保护传输中和静止的数据:将您的数据分类为敏感级别,并在适当的情况下使用加密、令牌化和访问控制等机制。

  • 让人们远离数据:使用机制和工具来减少或消除直接访问或手动处理数据的需要。这降低了处理敏感数据时处理不当或修改和人为错误的风险。

  • 为安全事件做准备:通过制定符合组织要求的事件管理和调查政策以及流程,为事件做好准备。运行事件响应模拟并使用自动化工具来提高检测、调查和恢复的速度。

        但是…原则是原则,并不是指导性的方法论。具体到如何进行责任划分,很多部分就变成我不知道不清楚不确定的啊!什么?这部分是我的责任,我分担的哪部分责任?该从哪里开始?要做些什么?怎么去做?怎样实施、执行?这些都是“原则”没办法给的答案,于是,很容易就陷入下面这样的死循环。

        显然,我们更需要更贴合实际、容易操作、落地执行的指导或实施方法。让我们尝试用一些完整的信息安全框架与AWS中的安全工作相映射,来进行实际任务的执行。

信息安全框架

       为什么信息安全框架在安全管理工作中如此重要?因为无论现有的运营成熟度如何,安全团队都面临着共同的需求,我们罗列了以下一些框架的作用:

  • 框架是一种共通的工作语言,可以帮助组织中的人员进行更有效的沟通

  • 便于向高层管理人员解释保护业务系统所需的核心功能

  • 向IT或其他领域获得必要资源和管理支持

  • 适应不断变化的业务需求和不断变化的威胁

  • 了解当前自身的成熟度;提供风险评估和预测

  • 和合规、审计、产品实施等具体工作内容进行对应

  • 作为指导,基础和分层的安全技术可以部署在环境中,以真正满足控制要求

AWS Well-Architected Framework

AWS Well-Architected Framework 六大支柱

        AWS Well-Architected  Framework并不是专注于安全的架构,它旨在帮助云架构师为各种应用程序和工作负载构建安全、高性能且高效的弹性基础设施。基于卓越操作、安全性、可靠性、性能效率、成本优化和可持续性这六个基础支柱,AWS Well-Architected Framework为客户和合作伙伴提供了一个一致性方法,供他们评估架构和实施可扩展设计。

        其中六大支柱之一的安全性支柱侧重于保护信息和系统,关键主题包括:数据保密和完整性、管理用户权限以及建立检测安全事件的控制措施。

Well-Architected Framework-安全性支柱

        WAF中安全性支柱描述了如何利用云技术来保护数据、系统和资产,从而改善安全状况。AWS相关的白皮书为在 AWS 上构建安全工作负载提供了深入的最佳实践指南,并从以下6个方面逐一阐述和说明。

1.基础

2.身份和访问管理

3.检测

4.基础设施保护

5.数据保护

6.事件响应

Well-Architected Tool

        为便于用户使用和实践,AWS 用一个自动化工具——WAT帮助用户自助评估和检验,并出具使用AWS良好架构框架的最佳实践来记录和测量用户的工作负载,其中包括10个主问题和49个子问题,以及资源链接帮助用户解读和测量;其实已经是个非常棒的落地指引和实践工具了。

以下罗列了AWS WAT的10个主问题,供大家参考:

SEC 1. 如何安全地操作您的工作负载?

SEC 2. 如何管理人员和机器的身份?

SEC 3. 如何管理人员和机器的权限?

SEC 4. 如何检测和调查安全事件?

SEC 5. 如何保护你的网络资源?

SEC 6. 如何保护您的计算资源?

SEC 7. 如何对你的数据进行分类?

SEC 8. 如何保护您的静态数据?

SEC 9. 如何保护传输中的数据?

SEC 10. 如何预测、响应和从事件中恢复?

NIST Cyber Security Framework

        NIST CSF(Cyber Security Framework) 源自 2014 年的《Cybersecurity Enhancement Act 》。NIST 网络安全框架 (CSF) 是一个自愿性框架,包含用于管理网络安全相关风险的标准、指南和最佳做法,目前已普遍被主流云厂商接受并作为安全标准。CSF 中的五个核心功能分别是:Identify/Protect/Detect/Respond/Recover

        AWS 云基础设施和服务由第三方针对 NIST 800-53(第 4 修订版)控制以及其他 FedRAMP 要求进行了测试,已通过验证。作为用户企业,也都可以使用《NIST 网络安全框架 (CSF)》白皮书,依据 NIST CSF 评估组织的 AWS 环境,并改进组织实施和运行的安全措施(责任共担模型中属于组织的部分,也称为云内部的安全性)

CSF AWS Mapping

        AWS将其自身的一系列原生产品与CSF五大核心功能进行映射,可以作为企业进行构建的方法。如果有更明确、更高阶的要求,AWS云原生的工具集可能也无法满足安全建设的全部需求,Marketplace上的安全厂商可以做非常好的补充。

Marketplace 生态

MITRE ATT&CK Framework

        MITRE ATT&CK已成为近年最炙手可热的知识框架,但大量AWS用户却对原生AWS安全控制如何抵御现实世界的对手战术、技术和程序(TTP)缺乏全面了解。作为回应,MITRE CDTI 开发并发布了一组AWS基础设施即服务(IaaS)平台原生的安全控制与ATT&CK之间的映射。AWS的用户可以使用这些映射来评估原生AWS安全控制对特定ATT&CK技术的有效性。

       MITRE CDTI 将安全控制映射到ATT&CK,并为AWS平台用户提供关键资源,以评估如何保护、检测和应对ATT&CK知识库中描述的常见威胁。

ATT&CK AWS Mapping 映射方法

主要包括以下这些:

  • 识别平台安全控制:研究可用的平台安全文档,以确定分析范围内的安全控制集。

  • 查看安全控制:对于每个控件,收集和分析其文档,确定有关其功能的关键信息,以便选择其缓解的ATT&CK(子)技术集。ATT&CK的方法不包括安全控制的操作验证,以便广泛覆盖平台。

  • 识别可映射的ATT&CK(子)技术:使用上一步中收集的信息将控件映射到它缓解的ATT&CK(子)技术集。

  • 生成分数评估:对于每个映射的ATT&CK(子)技术,使用评分标题来评估控件提供的缓解措施的类别和有效性。

  • 创建映射文件:按照映射格式的指定,在映射文件中记录之前步骤中收集的数据。

MITRE 还创建了一个评分标题,可以记录控件(保护、检测或响应)提供的ATT&CK覆盖范围类别,并评估其有效性(最小、部分或显著)。

         MITRE经过对AWS共29个组件进行评估和测试,最终生成了如下的映射文件。

        其中共21个组件都或多或少能在ATT&CK检测框架中起到作用,为便于使用,我们将相关组件罗列在相应的战术阶段之下。当然,同样需要更多生态内的专业产品来符合更深度能力的要求。

Comparison

        经过前文阐述,我们已经对AWS WAF、NIST CSF以及MITRE ATT&CK这三个框架有了基本的了解。它们面向不同领域各有侧重,也有各自的优势以及及局限。我们把它们放在一起做个简单比较,让大家可以有更直观的感受。

        简单而言,AWS WAF框架内的其他支柱如卓越操作、可靠性、性能效率、成本优化和可持续性,便于安全管理者更好的形成和业务方形成共同语言和协作。NIST CSF可以帮助安全管理者有效地形成管理语言和规划实践路径。而MITRE ATT&CK则是防护和检测体系建设路径的基石,是该类产品重要选型参考和信息对称基础。更多详细内容可以点击图片进行查看。

        当然,对于企业来说,这三种框架也存在一些相通的局限:

  • 所有框架均无法对应到实际业务场景和环境

  • 常常显的过于高级别或者超出当下阶段

  • 无法评估需要投入的人力和资源

融合与运营

         显然,没有一种框架会适用所有的企业,安全建设也从来没有标准答案,任何脱离自身业务目标、需求和环境的框架都必然无从依附。

        将不同框架理解并融合也许可以更好地帮助我们逐渐建立起符合企业自身安全能力递进之路。

        如果说框架能做作为安全建设的“宏伟蓝图”,那么如何安全运营则是保证框架持续有效和成熟的“任务管理”。好的安全运营体系,可以帮助企业的安全架构持续有效持续改善持续进阶…

**参考来源:

Security, Identity, and Compliance on AWS

https://aws.amazon.com/cn/products/security/?nc2=h_ql_prod_se

AWS Well-Architected Framework

https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html

AWS Well-Architected Tool

https://us-east-1.console.aws.amazon.com/wellarchitected/home?region=us-east-1#/welcome

NIST Cybersecurity Framework (CSF)

https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf

SANS book: Practical Guide to Security in the AWS Cloud

https://pages.awscloud.com/awsmp-book-SEC-SANS-Practical-Guide-Security-AWS-Cloud.html

《Cloud Security Handbook 》 Eyal Estrin

ISC2《Certified Cloud Security Professional 》Brian T. O’Hara Ben Malisow

Amazon Web Services Security Control Mappings to MITRE ATT&CK®

https://center-for-threat-informed-defense.github.io/security-stack-mappings/AWS/README.html

AWS platform native security controls

https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/security-stack-mappings/AWS/layers/platform.json

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

往期推荐

01

● MITRE Engenuity第四轮报告解读

► 点击阅读

02

● 当Cloudfall遇上Aqua…

► 点击阅读

03

● 我们单方面宣布与微软正式开展战略合作!

► 点击阅读

每个企业都需要安全运营

云纷科技

点击右下角,让我知道你在看哟~

Share this content:

Categories:

Tags:

Comments are closed