【51CTO.com速译】当你开始构建云基础设施时,安全问题在你的脑海中可能还不如项目的启动和运行重要。这会让你不再考虑安全问题,并将你的项目长期暴露在不安全的云环境中。您处理安全问题的时间越长,修复它的难度和成本就越高。更糟糕的是,如果你的项目在这段时间真的受到攻击,你将不得不花费更多的金钱和精力来应对这些威胁。面对一些特殊情况,你甚至需要引进专业的应急团队来处理特殊问题,而让他们完成这项工作,成本会在原来的基础上不断翻倍。本文将帮助您了解如何通过在构建云基础架构的早期阶段采取一些基本步骤来改善云安全状况。聚焦云安全:威胁模型分析安全配置错误修复网络访问控制云资源访问管理IAM策略保障日志记录监控1.威胁模型分析威胁模型分析是指发现系统潜在威胁建立对策建立安全系统流程.这适用于大多数系统,包括云服务架构、应用程序、物联网设备等。构建威胁模型的步骤构建架构图识别威胁威胁缓解威胁验证构建威胁模型的第一步是构建系统的架构图。这涉及将资产列表构建到系统中,因为您无法保护看不到的内容。我们可以使用CloudMapper等工具来构建AWS云环境的架构图。大多数云服务提供商也有类似的威胁建模工具,例如Cartography。有了架构图和资产列表后,您就可以开始识别系统可能面临的威胁。您可以使用STRIDE或PASTA等威胁建模方法来执行此操作。下面是一个示例:如果开发人员的云凭据遭到破坏,您需要确定系统受到破坏的可能性有多大,以及采取了哪些控制措施来最大限度地减少损害。控制措施的实施将能够有效地保护您的系统。2.安全配置错误修复主要的云安全漏洞之一是安全配置错误。据报道,95%以上的云安全漏洞都与云配置错误有关,但实时了解系统的云环境非常困难。因此,我们可以从常见的错误配置入手,其中最典型的是过于宽松的防火墙规则和安全审计。ProwlerProwler是一个开源的安全审计工具,可以帮助我们识别适用于AWS的云安全配置错误,帮助您进行AWS安全评估、审计、加固和问题响应。它遵循AWS的CIS基准,还可以协助GDPR、HIPAA、PCI-DSS、ISO27001、SOC2等。Prowler将提供云帐户中的安全漏洞列表。您可以将结果导出为HTML、CSV、JSON或json-ASFF格式。与安全中心集成Prowler与AWS安全中心集成。借助SecurityHub,您可以设置一个位置来聚合、组织安全警报或来自多个AWS服务(例如AWSGuardDuty、Inspector、Macie等)的发现并确定优先级。您还可以通过自动合规性检查持续监控您的云环境。3.网络访问控制构建网络图我们需要一张网络图来评估云环境的架构。但对于开发团队来说,也很难获得实时更新的网络图,而且正如上一篇文章所说,由于云的动态特性,你通常无法时刻了解你的云环境的情况.因此,云资源经常会在不可见的情况下泄露,我们很难有效控制。由于这些原因,这里推荐使用像CloudMapper这样的工具来可视化当前云环境的布局。CloudMapperCloudMapper可以帮助您分析您的AmazonWebServices(AWS)环境。它可以构建网络图并在浏览器中显示它们。网络分段通过实施网络分段可以减少入侵者可用的攻击选项,我们应该放弃故障开放而采用故障安全的网络访问方式。对于所需的应用程序,应允许显式网络访问。微分段可以通过对容器工作负载使用Kubernetes网络策略来实现,复杂环境(如暂存、开发和生产)应该位于分段网络或不同帐户中,并且应该针对不同的业务单元、工作负载、日志、监控、身份等使用不同的云帐户,以进一步减少攻击面。4.云资源访问管理与云资源的连接应具有安全和私密的访问权限。这可以通过虚拟网络设置到堡垒/跳转箱,或通过使用中央身份验证系统(如Keycloak或Teleport)来完成。您可以将这些系统与Okta或任何其他类似的身份验证机制集成以实现单点登录。另一种方法是使用会话管理器,它可以减少中央身份验证系统的管理开销。5.IAM策略保护用户访问策略(IAM策略)是另一个可以帮助您保护云基础设施的核心策略。使用IAM策略进行权限管理可以降低攻击者在出现漏洞时造成广泛破坏的可能性。一些可应用于新项目的最小安全控制:使用访问密钥进行云帐户登录创建个人IAM用户使用用户组为IAM用户分配权限授予最小权限为用户配置强密码策略启用MFA使用角色委派权限不共享访问密钥定期更改凭据删除不必要的凭据监控云帐户中的活动您可以使用Policy_Sentry创建最低权限的IAM策略。6.日志记录和监控安全日志的记录和监控是云安全系统的重要组成部分。这将帮助您确定云环境中的漏洞所在,是发现恶意事件的重要方法。首先,您可以在所有模块中启用CloudTRAIL,并将其配置到云存储空间。接下来,您需要为常见的安全用例设置警报,例如多次身份验证失败或权限升级失败。最后,建立一个单独的日志帐户用于长期存储和一个集中的检测帐户。记录API调用日志(CloudTRAIL)、DNS日志(Route53)、网络访问日志(VPCFlow日志)、云存储日志(S3)、安全服务日志(如SecurityHub、GuardTask、WAF日志、应用日志),以及将数据发送到数据分析平台(如ElasticSearch),构建相应的检测规则。7.结束语通过执行以上步骤,您可以为您的项目搭建一个更加安全的云环境,有效帮助您节省后期的运维成本。对于企业来说,解决云安全挑战是一项持续性的工作,需要我们高度重视和长期保持警惕。活动推荐:云原生是一个比较宽泛的概念。不同的公司对云原生有不同的理解。如何判断项目是否到了云原生上云阶段,如何选择云原生上云的方式,需要考虑哪些因素才能最大程度地发挥云原生技术的作用?面对这样的问题,如何选择最优的“路线”完成自己的云原生上云之旅,是当今所有企业共同面临的问题。为了给大家提供更多的参考和思考,在本次WOT全球技术创新大会“云原生技术最佳实践”中,我们邀请了阿里云、作业帮和图森未来的资深技术专家,与大家分享相关经验和解决方案。2022WOT全球科技创新大会,40%早鸟票优惠火热进行中!购票立减2320元,团购更享优惠。活动详情,添加小助手微信-球球:cto-kol,进入活动官网查看活动详情。【51CTO翻译,转载请注明原文译者及出处为51CTO。com合作站点转载]
