前言1.1 碎碎念这篇文章是我乱七八糟的想法,实践,扯淡,别人那看到的,听来的等等玩意堆积起来的结果。理论的理论说,所有试图大一统的理论最终都变成了分类,而我努力一下让这篇文章看起来不那么像分类,虽然…
序言 1.2粉碎的念头 这篇就是我杂乱的观念,实践活动,屁话,别人见到的,我听见的,等等的结果。理论理论认为,所有尝试一致的理论最后都会变为归类,我尝试让这篇看上去不像归类。虽然它被称作云安全,但它应该是AWS。 要在这般巨大的云产品中探讨防护系统,也许首先要谈的是这个产品,或者公司,团队的原则,或者他们的产品假定,或者他们的企业宗旨。 有些人AWS产品应用场景一些原则,要不应用场景市场竞争,要不应用场景团队的理想和kpi指标。但严格来说,现实世界的产品并不是那么有界和相同。每个产品对应于团队,公司的内部环境,环境因素,团体人生观和一些随机因素的组合。 与此同时,应用场景良好安全定义实际设计的产品可以达到国家的40%,通常可以算为通过。 本系列文章分成四篇。 《胡扯与管理权限》 《数据与数据加密》 《检测与响应》 《服务与管理体系》 换句话说,这是一大堆草稿。 1.3云服务平台网络安全产品
对于额度,这个报表是这样的。我有点儿问题。事实上,这种形式很难在一些方面反映出具体情况,例如Azure和aliyun。
我真的不太关注它。与此同时,这是非常细腻的。功能或细节事实上包括在其他部件中。可以说,完全不可能反映每个云服务平台的真正安全抗压强度。 但仍存在一些明显的差别,比如阿里服务器的网络安全防护和安全保障,尤其是我国基本国情。比如,在账号管理权限部分,尤其是Azure和AWS中,GPC强调了集成化企业账号管理权限系统和手机应用程序本身的工作。 但是,从网络安全产品系统的视角看来,其中很多肯定是有误的。比如,Google在海运集装箱安全方面的努力已被四舍五入到其他类型。 1.2关于原则 难说公司的文化和原则有多少可以反映产成品中,但这就是我的一些猜想。
1.3.1 Serverless
AWS的无网络服务器“用服务替换成网络服务器”的核心理念是毫无疑问的。近些年,它还推广了其象征性的Lambda,其他的,如Facebook的Parse。在我不会成熟的企业愿景中,这很像函数式编程。将所有AWS服务视作一种功能,并使用Lambda作为电源适配器来组合新品。
在这种情况下,AWS网络安全产品好像有点儿最小化。比如,他们最近写的一篇文章搏客提到了Guardduty的报警是如何不数据可视化的。非常简单,通过Cloudwatch恶性事件和lamdba这类的东西,提及了系统日志。出来,拿QuickSight阅读文章系统日志。搭建一个控制面板只是一个独特的智能。感觉如同lego。 1.3.2 多路径 amazon拥有企业文化,即多路径,如WAF,您可以承担其未来的各种发展,比如标准系统的极端化,或深度学习的智能,或从网络中拔出来进攻在业务层开发设计风险管控,或在前端开发和后web端用户行为的认知层拓展。 AWS有不同的团队来试着这个不同的方向,并最后获得其他团队的资源。 比如,KMS和SecretMange,这是由两个团队制作的产品,但我认为,其本质是解决困难。当然,这也是验尸。
1.3.3 最佳实践活动 AWS具有安全最佳实践活动的定义。 AWS网络安全产品,网络服务器,账号,s3等中的安全实践活动也代表了违背安全最佳实践活动的操作代表不安全状态的标准。与Adviser和产品自己的控制面板Guardduty相近,最新的安全中心会在检测到违背安全最佳作法的操作或设置时友情提示。 关于管理权限 2.2序言 云服务平台权限设计的核心问题是多方面,用户导量之间,用户和手机应用程序之间,平台和手机应用程序之间,手机应用程序和手机应用程序之间,用户和用户之间,账号和账号之间等。核心在于几种类型的实体线之间的受权,作为对应于该人的账号,用户和子用户。以及多种类型的服务,以及服务下的资源类型。 云服务平台可以为开发者提供的一个巨大的支持体制是平台服务之间的综合性。这明确提出了各种形式的安全挑戰,比如账号内的手机应用程序和手机应用程序之间的受权,以及不同账号手机应用程序和手机应用程序内的受权。 完成基本平台管理权限实体模型后,有一个问题是怎样在粗粒度对策中平衡组织的协调能力和管理权限的安全系数,以及如何进一步将云服务平台的管理权限体制拓展到组织企业本身。结合。
3.2 管理权限实体模型 有几类类型的常见AWS帐户管理权限方法。事实上,以下类型不矛盾,可以一起使用。
2.2.1 多帐户实体模型 通过与多个账号关系的组织,比如具有多个单位的公司,则为每个单位分派一个组织账号,即多个账号之间的订单信息关联,即支付的子账号间接费用账号。 主帐户可以通过SCP政策对子帐户释放一定程度的限制,但严格来说,爸爸妈妈帐户和子帐户之间的干挠极为很弱,进而形成了明显的防护。对于进一步的网络层通讯,虽然可以根据每个AWS的手机应用程序在一定程度上打开,但之后的安全系数将回到到AWS单独账号本身的安全系数。 2.2.2 单用户实体模型 另一种方法是通过IAM建立多个用户。
IAM本身提供了多种多样体制来保证单独用户的安全系数,但是坑是对策配备的过程。 AWS本身倡导无网络服务器体制,可通过组合AWS手机应用程序(如S3数据库管理,lambed和其他手机应用程序)来实现小型服务。如果团队的技术系统与AW高宽比集成化,则需要分派一定数量的用户。为每个用户分派对策的过程可能造成管理权限界限模糊不清。
虽然有一些相应的对策,比如AWS自己的,外界管理权限,对策检查体制,用户组,STS等。但是,实际过程中仍会发生意外情况。
2.2 IAM介绍 IAM是AWS管理权限的核心部分。可以说,IAM组成了AWS帐户和管理权限的系统,其他产品是在融入实际需求的过程中的辅助产品。从设计的视角看来,它类似RBAC和ABAC的组合。但是?用扛銎教ǖ姆⒄狗较蚶纯矗诮巧姆梦适谌ㄓΩ檬堑鼻爸髁鞯姆⒄狗较颉S牖诙嘀纸巧嘈偷钠笠底橹芄辜嫒菔且桓鱿喽猿<南敕ā?2.3.1 IAM 用户,组 IAM用户是AWS帐户的子用户。普通用户没有管理权限。只有通过其他对策,用户才能使用AWS服务。作为用户,AWS容许您设置MFA,登陆密码对策,登陆密码交替和其他体制以保证用户安全。 AWS管理权限的一个问题是,对于对策多元性,AWS解决方法组就是其中之一。比如,公司分成经营和维护,开发设计等,随后为多个单位设计不同的管理权限组。将新用户放进管理权限组,如果用户被迁移,则移除管理权限组就好啦。
2.3.2 IAM 对策 IAM支配权管理的核心是将所有AWS服务视作荒岛的对策,对策是将票据运输到不同的海岛。界定你是否可以去海岛,去岛后你可以做些什么,你可以吃,你可以买些东西吗? 该发展战略的设计由几个单位构成。 1.服务(此项服务是什么?EC2,S3,VPC等) 2.攻坚(容许哪些操作?通常分成目录,载入,载入,管理权限) 3.资源(对容许运作的资源的限制,比如可以操作什么类型的数据?) 事实上,这种方法可以当作是大型平台的权限设计。
有提供门票费的服务,每个服务将根据攻坚和资源的标准,根据分别服务的特性设计批准系统。比如,s3可以限制资源可以操作哪个桶,ec2可以限制容许操作哪个案例。它非常先进。实际上,Action是aws本身的访问控制标准,而Resource是一种定义数据和资源的方式。 还有中介公司恳求,您可以限制iP或仅容许开启MFA的设备。
2.3.3 角色 AWS服务也以防护的形式存在。每个账号下的不同服务相当于单独实体线。如果要在相同账号中操作其他实体线或在其他账号中操作实体线,则需要将该角色授于IAM。获得批准。 IAM角色是相近用户的实体线,其实它主要用于向服务,手机应用程序和第三方AWS帐户授于管理权限。
该角色没有账号登陆密码,浏览密匙,只能通过临时安全凭据受权。此设计避免了不同手机应用程序和服务密钥管理的问题,并提供了一种友善的体制来管理AWS服务本身之间的管理权限。 从安全经营的视角看来,假定企业有多个AWS帐户,更最好的办法是通过角色向单独安全AWS帐户授于管理权限,并通过临时浏览凭据审批多个帐户。 在一些方面,这是一种控制服务和手机应用程序管理权限的简单而最好的办法。但实际上,很多目前的AWS服务容许第三方账号的受权。在这个过程中,很难有效地控制服务和数据的上下游和中下游。特别是,加上一个反人类政策制订流程。
2.4.1 Aliyun 事实上,这种粗粒度的浏览对策会对管理人员明确提出一些要求。另一种方式是手机应用程序本身对其自己的资源采用层次或归类对策。比如,Aliyun的MaxComputer具有可以单独使用的Labelsecurity体制。为数据设置多个数据定级。事实上,MaxCompute的方法等于舍弃了平台的整体管理权限系统,并设计了一个单独的管理权限系统。
2.4.2 GPC 谷歌 GPC的权限设计与AWS非常类似,后者为用户提供了服务的对策和角色。但综上所述,更多的是将用户视作组织的一名。应用场景谷歌的环境,GPC致力于考虑如何与其他谷歌产品集成化。比如,GPC的账号系统和账号安全系数应用场景谷歌自己的账号系统。除了产品之外,有一个清醒的考虑如何融合goolge的其他产品系列,如办公室模块。 谷歌的基本管理权限实体模型包括Cloud Identity和Resource Manager以及IAM。可以说,企业权利的融合在设计之初就被考虑了。真实身份完成了企业组员账号,设备维护和IAM对详细云资源的受权。 Manager使用文件目录的定义来实行层次管理权限。 谷歌的IAM有一个定义,可以根据设备安全状态,ip地址,资源类型和时间/时间等属性建立更细致的资源浏览,如同BeyondCorp的定义一样。首先,判断设备的安全状态,随后判断该组员可以浏览企业中相应角色的管理权限。
并不是AWS没有这种东西,而是AWS将这些东西集成化到检测响应中。
比如,AWS的Guardduty将使用Cloudtrail系统日志来确定用户的安全状态和报警,主要是源iP,而不是。
不那么聪慧。 2.3其他公司 在这里我们应该提及Netflix。在大型互联网企业中,最常见的AWS应被称作网络。 Netfair的安全团队在这个行业有很多实践活动。
比如,开源系统工具SecurityMonkey并不复杂。这是通过accesskey扫描仪和警示各种AWS部件的安全策略。有一个最近的Repokid扫描仪管理权限并删掉沉余管理权限,以及管理权限回退体制。