AWS安全及其自动化AWS安全及其自动化资深技术客户经理姜振勇资深技术客户经理姜振勇议题•AWS安全相关的服务•通过这些AWS服务实现高效安全运维AWSFoundationServices计算存储数据库网络AWSGlobalInfrastructure区域可用区边缘站点客户端数据加密服务器端数据加密网络流量保护平台,应用,身份与访问管理操作系统,网络和防火墙配置客户应用程序和内容Customers安全责任共担模型AWS提供的安全服务审计•合规报告监控•AmazonCloudWatch•AWSCloudTrail•AWSConfig•“Describe”APIs控制•IAM认证及访问控制•AWSCloudHSM•AWSCloudFormation•AWSKMS•AmazonInspector•AWSWAFAWS提供的安全服务审计•合规报告监控•AmazonCloudWatch•AWSCloudTrail•AWSConfig•“Describe”APIs控制•IAM认证及访问控制•AWSCloudHSM•AWSCloudFormation•AWSKMS•AmazonInspector•AWSWAF相关的部分服务和工具•通过AWSIAM(身份和访问管理)安全地控制用户对AWS服务和资源的访问权限。•AWSConfig和AWSConfigRules提供了AWS资源库存,配置历史记录和配置更改通知,以增强安全性和方便管理。•AWSWAF(Web应用程序防火墙)保护您的Web应用程序不遭受常见Web漏洞的攻击•AmazonInspector(分析应用程序安全性)有助于提高在AWS上部署的应用程序的安全性与合规性。•TrustedAdvisor会检查您的AWS环境并发现可以节省开支、提高系统性能和可靠性或帮助弥补安全漏洞的机会。IAM有什么特性?•为您提供AWS账户的共享访问•细粒度的权限控制•支持对运行在EC2上的应用程序进行安全访问控制•多因素身份验证(MFA)•联合身份认证(Identityfederation)•身份信息确认•PCIDSS合规性•与AWS服务集成•免费使用AWSConfig的特点•列出AWS资源的清单,甚至是已经删除的资源•持续的记录配置的变化•在配置变化的时候能够通知管理员•完全托管•合作伙伴解决方案的生态系统AWSConfigRules的特点使用规则监控资源的修改全局的合规性检查通过可视化工具简化管理AWSWAF的特点?•AWSWAF通过根据您创建的规则筛选流量,从而实现保护您的Web应用程序免受攻击的功能。•和AmazonCloudFront服务集成•易于部署,可以集中化定义规则•近乎实时地查看您的Web流量•通过AWSWAFAPI或AWS管理控制台进行配置,易于自动化部署AWSWAF概述AWSManagementConsoleAdminsDevelopersAWSAPIWebappinCloudFrontDefinerulesDeployprotectionAWSWAFAmazonInspector有什么功能和特性?•应用程序的安全评估•丰富的内置规则•安全问题汇总和建议•可以通过API完成自动化•找出您的Web应用程序中的安全问题•实施组织的安全标准•在不影响安全性的情况下提高灵活性•将AWS安全专业知识应用至您的应用程序•简化安全合规性AWSCloudTrail介绍Store/ArchiveTroubleshootMonitor&AlarmYouaremakingAPIcalls...OnagrowingsetofAWSservicesaroundtheworld..CloudTrailiscontinuouslyrecordingAPIcalls使用CloudTrail的场景•IT和安全管理员需要执行安全分析•IT管理员和运维工程师需要跟踪AWS资源的变化•运维工程师需要分析一些问题、•IT审计可以使用Cloutrail日志来满足合规性要求SecurityatScale:LogginginAWSWhitePaper什么是TrustedAdvisor?TrustedAdvisor通过检查AWS环境并发现可以节省开支、提高系统性能和可靠性或帮助弥补安全漏洞的机会。自2013年以来,客户已经看到了超过260万个最佳实践推荐项目,估计实现了3.5亿多美元的成本节省。TrustedAdvisor能够提供什么样的帮助?•费用优化CostOptimization•性能优化Performance•容错建议FaultTolerance•安全检查Security•一旦发现新的建议,会通过邮件通知客户。AWS企业安全及其自动化最佳实践及其自动化DemoAWS企业安全及其自动化最佳实践及其自动化DemoIAM最佳实践•隐藏您的AWS账户(根)访问密钥•创建单独的IAM用户•使用组向IAM用户分配权限•授予最小权限•为您的用户配置强密码策略•为特权用户启用MFA•针对在AmazonEC2实例上运行的应用程序使用角色•通过使用角色而非共享证书来委托访问•定期交替轮换证书•删除不需要的证书•使用策略条件来增强安全性•在您的AWS账户中保留活动历史记录使用IAM登录AWS控制台使用根用户登录AWS控制台显示用户所属组显示挂栽的内置组策略显示组的IAM策略名指定允许/拒绝的API动作设定源地址的条件限制允许或者拒绝显示组的IAM策略内容被授权访问未被授权访问使用Cloudtrail记录和追踪API操作•Who:谁(root/IAMuser)执行的API动作•When:什么时间执行的API动作•What:API的内容是什么•Which:API操作的对象是谁?•Where:API操作是从哪一个地方(IP地址)来的?{eventVersion:1.01,userIdentity:{type:IAMUser,//Who?principalId:AIDAJDPLRKLG7UEXAMPLE,arn:arn:aws:iam::123456789012:user/Alice,//Who?accountId:123456789012,accessKeyId:AKIAIOSFODNN7EXAMPLE,userName:Alice,sessionContext:{attributes:{mfaAuthenticated:false,creationDate:2014-03-18T14:29:23Z}}},eventTime:2014-03-18T14:30:07Z,//When?eventSource:cloudtrail.amazonaws.com,eventName:StartLogging,//What?awsRegion:us-west-2,//Whereto?sourceIPAddress:72.21.198.64,//Wherefrom?userAgent:AWSConsole,aws-sdk-java/1.4.5Linux/x.xx.fleetxenJava_HotSpot(TM)_64-Bit_Server_VM/xx,requestParameters:{name:Default“//Whichresource?},//moreeventdetails}如何监控日志?•可以监控特定的API操作并发送报警•监控安全和网络相关的高敏感的操作•一些常见的监控–创建,删除和修改安全组或VPC–修改IAM的策略和S3的桶策略–失败的AWS控制台登陆事件–登陆/认证失败的API操作–对EC2的创建,启动,关闭,停机,重启等动作•可以通过CloudFormation的预定义的脚本方便设定CloudTrail的报警功能在特定的API/事件发生的时候发送报警(SNS)AWS控制台配置方式命令行配置方式通过AmazonInspector保护客户操作系统的安全•对现有系统中的软件进行CVE检查•网络设定的最佳实践检查•认证设定的最佳实践检查•应用程序安全的最佳实践检查•PCIDCSS3.0的合规性检查启用AmazonInspector的步骤•在EC2上安装代理程序定义AmazonInspector的应用创建AmazonInspector的评估设定显示AmazonInspector的查找结果用代码处理检查结果的例子importboto3importjsonclient=boto3.client('inspector')response=client.list_findings()jsonDumpsIndentStr=json.dumps(response,indent=1);printjsonDumpsIndentStr=,jsonDumpsIndentStr;jsonDumpsIndentStr={findingArnList:[arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-6CSr1Tvb,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-9DHRTJX9,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-KDKC7meb,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-S2katemH,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-Spaz7Eww,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-UjOQNKDz,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-YoXVRLJ8,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-ZXlimAxU,arn:aws:inspector:us-west-2:936200357723:application/0-lYkTQS6E/assessment/0-uJnq9GaI/run/0-LzD4r9Eq/finding/null-fA9TH99l],ResponseMetadata:{HTTPStatusCode:200,RequestId:3fcef425-91af-11e5-b59c-359