AWS安全講堂：零信任實(shí)踐全知道！

“零信任”小課堂

開課啦

導(dǎo)讀

Amazon Web Services(AWS)以提供領(lǐng)先、完善的云服務(wù)著稱，并兼顧合規(guī)安全。在亞馬遜re:Invent 2020大會(huì)的AWS Identity and Data Protection sessions環(huán)節(jié)中，Quint Van Deman介紹了AWS零信任架構(gòu)。

本文將簡(jiǎn)要介紹在AWS中國(guó)區(qū)域如何實(shí)踐零信任安全策略。

零信任知識(shí)小課堂

敲黑板！什么是零信任？

零信任是一個(gè)概念模型和一組相關(guān)的機(jī)制，著重于圍繞數(shù)字資產(chǎn)提供安全控制，而這些數(shù)字資產(chǎn)并不完全或根本上不依賴于傳統(tǒng)的網(wǎng)絡(luò)控制或網(wǎng)絡(luò)邊界。零信任中的“零”從根本上是指，減少（甚至不信任）歷史上由參與者在傳統(tǒng)網(wǎng)絡(luò)中的位置創(chuàng)建的信任，無(wú)論我們將參與者視為個(gè)人還是軟件組件。

在零信任的世界中，以網(wǎng)絡(luò)為中心的信任模型被其他技術(shù)（我們通常可以將其描述為以身份為中心的控件）增強(qiáng)或替代，以提供與以前相同或更好的安全機(jī)制。

做好筆記！零信任理念的7個(gè)原則

(1)所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源。

(2)無(wú)論網(wǎng)絡(luò)位置如何，所有通信必須是安全的。

(3)對(duì)企業(yè)資源的訪問(wèn)授權(quán)是基于每個(gè)連接的。

(4)對(duì)資源的訪問(wèn)由動(dòng)態(tài)策略（包括客戶端身份、應(yīng)用和被請(qǐng)求資產(chǎn)等的可觀測(cè)狀態(tài)）決定，并可能包括其他行為屬性。

(5)企業(yè)確保其掌握和關(guān)聯(lián)的所有設(shè)備都處于盡可能的最安全狀態(tài)，并監(jiān)控設(shè)備資產(chǎn)以確保它們保持在盡可能的最安全狀態(tài)。

(6)在訪問(wèn)被允許之前，所有資源訪問(wèn)的身份驗(yàn)證和授權(quán)是動(dòng)態(tài)的和嚴(yán)格強(qiáng)制實(shí)施的。

(7)企業(yè)收集盡可能多關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施當(dāng)前狀態(tài)的信息，并用于改善其安全態(tài)勢(shì)。

兩個(gè)維度，深度考量零信任

網(wǎng)絡(luò)維度

在網(wǎng)絡(luò)維度，我們需要管理網(wǎng)絡(luò)點(diǎn)到點(diǎn)之間的可到達(dá)性。通過(guò)把網(wǎng)絡(luò)通信的各項(xiàng)要素進(jìn)行逐一控制并進(jìn)行排列組合，可以得到應(yīng)對(duì)不同場(chǎng)景的安全策略。

圖1

如圖1所示，AWS中國(guó)區(qū)通過(guò)在VPC中提供網(wǎng)關(guān)、路由表、NACL、安全組實(shí)現(xiàn)了網(wǎng)絡(luò)IP之間、端口之間的網(wǎng)絡(luò)4層訪問(wèn)管理控制。進(jìn)一步，AWS還提供了Endpoint服務(wù)。通過(guò)Endpoint服務(wù)，子網(wǎng)內(nèi)在的資源訪問(wèn)處于AWS公網(wǎng)的服務(wù)時(shí)無(wú)須跨越互聯(lián)網(wǎng)網(wǎng)關(guān)。

身份維度

對(duì)于身份維度管理，需要實(shí)現(xiàn)授權(quán)的對(duì)象僅能訪問(wèn)被訪問(wèn)對(duì)象，并對(duì)訪問(wèn)的行為作審查記錄。AWS中國(guó)區(qū)提供的IAM服務(wù)能夠安全地控制用戶對(duì)AWS服務(wù)和資源的訪問(wèn)。AWS IAM不僅提供了人機(jī)對(duì)話的身份校驗(yàn)機(jī)制，還提供了服務(wù)之間身份校驗(yàn)機(jī)制，即角色（Role）。通過(guò)使用IAM Role，可以實(shí)現(xiàn)服務(wù)到服務(wù)之間的無(wú)縫訪問(wèn)銜接，并自動(dòng)輪換密鑰（實(shí)現(xiàn)方式如圖2所示）。

圖2

AWS CloudTrail提供了行為審計(jì)日志的功能，對(duì)AWS賬號(hào)中的行為進(jìn)行不可篡改的日志記錄。結(jié)合其他AWS服務(wù)，比如Amazon CloudWatch、AWS Lambda，對(duì)日志監(jiān)控中發(fā)現(xiàn)的非法行為作出自動(dòng)化處理，如發(fā)出安全警告、自動(dòng)修復(fù)安全隱患、對(duì)安全時(shí)間作出統(tǒng)計(jì)報(bào)表等。一個(gè)典型的綜合利用這些安全相關(guān)服務(wù)的應(yīng)用架構(gòu)如圖3所示。

圖3

在這個(gè)場(chǎng)景中，首先AWS CloudTrail服務(wù)將日志推送到Amazon CloudWatch，然后Amazon CloudWatch觸發(fā)Step Functions，并根據(jù)事情的類型執(zhí)行不同的AWS Lambda函數(shù)，執(zhí)行如修改Amazon EC2的操作，修改WAF規(guī)則的操作等。同時(shí)，AWS Lambda函數(shù)將可疑行為和執(zhí)行的結(jié)果日志發(fā)送是Amazon Simple Storage Service(Amazon S3)存儲(chǔ)桶，再通過(guò)Amazon Athena服務(wù)和自建的Superset進(jìn)行數(shù)據(jù)的呈現(xiàn)和分析；同一AWS Lambda函數(shù)通過(guò)SNS服務(wù)發(fā)送電子郵件通知。

課堂小結(jié)

通過(guò)以上一些簡(jiǎn)單的場(chǎng)景，希望可以幫助您了解零信任的概念，并通過(guò)簡(jiǎn)單的動(dòng)手實(shí)踐，運(yùn)用AWS提供的服務(wù)實(shí)現(xiàn)高級(jí)別的安全策略。

AWS作為公有云技術(shù)的領(lǐng)導(dǎo)者，針對(duì)日新月異的合規(guī)要求和安全需求，不斷提供新的相關(guān)服務(wù)和解決方案。