???

【51CTO.com快譯】當(dāng)你開始構(gòu)建云基礎(chǔ)架構(gòu)時(shí)，安全問題在你心目中的地位可能遠(yuǎn)不如項(xiàng)目的啟動與運(yùn)行那樣重要。這會讓你推遲對安全問題的考慮，并導(dǎo)致你的項(xiàng)目在很長一段時(shí)間內(nèi)暴露在一個(gè)不安全的云環(huán)境之中。對安全問題的處理拖得越久，想要解決這個(gè)問題就會越困難也越昂貴。

更糟糕的是，如果在這期間你的項(xiàng)目真的受到了攻擊，你將不得不花費(fèi)更多的金錢和精力來應(yīng)對這些威脅。在面對某些特殊情況時(shí)，你甚至需要引入專業(yè)的應(yīng)急響應(yīng)團(tuán)隊(duì)來進(jìn)行特殊問題的處理，而讓他們來完成這項(xiàng)工作的話，所花費(fèi)的成本會在原有的基礎(chǔ)上繼續(xù)翻倍。本文將幫助你了解如何在構(gòu)建云基礎(chǔ)設(shè)施的早期階段，通過一些基本步驟來改善云安全的狀況。

云安全的重點(diǎn)關(guān)注方向：

• 威脅模型分析
• 安全配置錯(cuò)誤修復(fù)
• 網(wǎng)絡(luò)訪問控制
• 云資源訪問管理
• IAM策略保障
• 日志記錄監(jiān)測

1.威脅模型分析

威脅模型分析指尋找系統(tǒng)潛在威脅以建立對抗的策略，以建立安全的系統(tǒng)的過程。這適用于包括云服務(wù)架構(gòu)、應(yīng)用程序、物聯(lián)網(wǎng)設(shè)備等絕大多數(shù)系統(tǒng)。

建立威脅模型的步驟

• 構(gòu)建架構(gòu)圖
• 識別威脅
• 減輕威脅
• 驗(yàn)證

建立威脅模型的第一步是構(gòu)建系統(tǒng)的架構(gòu)圖。這涉及到在系統(tǒng)中構(gòu)建資產(chǎn)列表，因?yàn)槟銦o法保護(hù)你看不到的東西。我們可以使用CloudMapper等工具來構(gòu)建AWS云環(huán)境的架構(gòu)圖。大部分云服務(wù)提供商也有類似的威脅建模工具，例如Cartography。

當(dāng)你擁有了架構(gòu)圖和資產(chǎn)列表，你就可以開始識別可能對系統(tǒng)產(chǎn)生的威脅。你可以使用像STRIDE或PASTA這樣的威脅建模方法來實(shí)現(xiàn)這一點(diǎn)。

這里舉一個(gè)例子：如果開發(fā)人員的云憑證被泄露，你需要確定系統(tǒng)受到攻擊的可能性有多大，以及哪些管控措施可以將損失降至最低。

管控措施的實(shí)施將能夠有效的對你的系統(tǒng)進(jìn)行保護(hù)。

2.安全配置錯(cuò)誤修復(fù)

主要的云安全漏洞之一就是安全配置錯(cuò)誤。據(jù)報(bào)告，超過95%的云安全漏洞與云錯(cuò)誤配置有關(guān)，但想要實(shí)時(shí)了解系統(tǒng)的云環(huán)境情況是非常困難的。因此，我們可以從常見的錯(cuò)誤配置入手，其中較為典型的就是過于寬松的防火墻規(guī)則與安全審核。

Prowler

Prowler是一個(gè)開源的安全審計(jì)工具，它可以幫助我們識別適用于AWS的云安全配置錯(cuò)誤，幫助你進(jìn)行AWS安全評估、審計(jì)、加固和問題響應(yīng)。它遵循AWS的CIS基準(zhǔn)，還可以協(xié)助GDPR、HIPAA、PCI-DSS、ISO27001、SOC2等。

Prowler將給出云帳戶中的安全漏洞列表。您可以導(dǎo)出HTML、CSV、JSON或json-ASFF格式的結(jié)果。

與安全中心的集成

Prowler集成了AWS安全中心。借助Security Hub，你可以設(shè)置單個(gè)位置，對來自多個(gè)AWS服務(wù)(如AWS GuardDuty、Inspector、Macie等)的安全警報(bào)或檢測結(jié)果進(jìn)行聚合、組織和設(shè)置優(yōu)先級。你還可以使用自動合規(guī)性檢查持續(xù)監(jiān)控你的云環(huán)境。

3.網(wǎng)絡(luò)訪問控制

構(gòu)建網(wǎng)絡(luò)圖

我們需要一個(gè)網(wǎng)絡(luò)圖來評估云環(huán)境的架構(gòu)。但對于開發(fā)團(tuán)隊(duì)來說，獲取實(shí)時(shí)更新的網(wǎng)絡(luò)圖也是比較困難的，而且在前文中也曾提到，由于云的動態(tài)特性，你通常無法知道你的云環(huán)境在每時(shí)每刻的情況。因此，云資源常常會在不可見性的情況下被泄露出去，這是我們很難有效控制的問題。

出于這些原因，這里建議使用像CloudMapper這樣的工具來可視化云環(huán)境的當(dāng)前布局。

CloudMapper

CloudMapper可以幫助你分析你的Amazon Web Services (AWS)環(huán)境。它能夠構(gòu)建網(wǎng)絡(luò)圖并在瀏覽器中進(jìn)行顯示。

網(wǎng)絡(luò)切割

通過實(shí)現(xiàn)網(wǎng)絡(luò)切割可以減少入侵者可用的攻擊選項(xiàng)，我們應(yīng)放棄故障打開并采用故障安全的網(wǎng)絡(luò)訪問方法。對于所需的應(yīng)用程序，應(yīng)允許顯式網(wǎng)絡(luò)訪問。可以通過對容器工作負(fù)載使用Kubernetes網(wǎng)絡(luò)策略來實(shí)現(xiàn)微觀分割，像分段、開發(fā)和生產(chǎn)這樣的復(fù)雜環(huán)境應(yīng)駐留在分段的網(wǎng)絡(luò)或不同的帳戶中，并應(yīng)針對不同的業(yè)務(wù)單元、工作負(fù)載、日志、監(jiān)控、身份等使用不同的云帳戶，以進(jìn)一步減少可被攻擊面。

4.云資源訪問管理

與云資源的連接應(yīng)該具有安全且私有的訪問權(quán)限。可以通過虛擬網(wǎng)絡(luò)設(shè)置到bastion/jump box來實(shí)現(xiàn)這一點(diǎn)，或者利用中央認(rèn)證系統(tǒng)，比如Keycloak或Teleport。你可以將這些系統(tǒng)與Okta或任何其他類似的身份驗(yàn)證機(jī)制集成以實(shí)現(xiàn)單點(diǎn)登錄。還有一種方法是使用會話管理器，這能夠減少中央身份驗(yàn)證系統(tǒng)的管理開銷。

5.IAM策略保障

用戶訪問策略(IAM策略)是另一個(gè)可以幫助你保護(hù)云基礎(chǔ)設(shè)施的核心策略。使用IAM策略進(jìn)行權(quán)限管理，可以減少攻擊者在出現(xiàn)漏洞時(shí)造成廣泛損害的可能性。

一些可應(yīng)用于新項(xiàng)目的低限度的安全控制方案：

• 使用訪問秘鑰進(jìn)行云賬戶登錄
• 創(chuàng)建獨(dú)立的IAM用戶
• 使用用戶組為IAM用戶分配權(quán)限
• 授予最小特權(quán)
• 為用戶配置強(qiáng)密碼策略
• 啟用MFA
• 使用角色委派權(quán)限
• 不共享訪問密鑰
• 定期更換憑證
• 刪除不必要的憑證
• 監(jiān)控云帳戶中的活動

你可以使用Policy_Sentry創(chuàng)建最小權(quán)限的IAM策略。

6.日志記錄監(jiān)測

安全日志的記錄和監(jiān)測是云安全體系的重要組成部分。這將幫助你識別云環(huán)境中的漏洞所在，也是發(fā)現(xiàn)惡意事件的一種重要方法。

首先，你可以在所有模塊中啟用CloudTRAIL，并將其配置到云存儲空間中。接下來，你需要為多次身份驗(yàn)證失敗或權(quán)限提升失敗等常見的安全用例設(shè)置警報(bào)。

最后，為長期存儲建立一個(gè)單獨(dú)的日志帳戶以及一個(gè)集中檢測帳戶。記錄API調(diào)用日志(CloudTRAIL)、DNS日志(Route 53)、網(wǎng)絡(luò)訪問日志(VPC Flow logs)、云存儲日志(S3)、安全服務(wù)日志(如Security Hub、GuardTask、WAF logs、application logs)，并將數(shù)據(jù)傳送到數(shù)據(jù)分析平臺中(如ElasticSearch)以構(gòu)建相應(yīng)的檢測規(guī)則。

7.結(jié)語

通過執(zhí)行上述步驟，你可以為你的項(xiàng)目構(gòu)建一個(gè)較為安全的云環(huán)境，這能夠有效幫助你節(jié)約后期的運(yùn)維成本。

對企業(yè)來說，解決云安全挑戰(zhàn)是一項(xiàng)持續(xù)不斷的工作，這需要我們的重視與長期警惕。

活動推薦：云原生是一個(gè)較為廣義的概念。對于云原生，不同的企業(yè)有著不同的理解。如何判斷項(xiàng)目是否到了云原生上云的階段，云原生上云的方式該怎樣抉擇，想要把云原生技術(shù)發(fā)揮到極致又需要考慮哪些因素?面對諸如此類問題，如何選擇最優(yōu)“路線”完成自己的云原生上云之旅，是當(dāng)下各企業(yè)所面對的共性問題。為了給大家提供更多的借鑒和思考，在本屆WOT全球技術(shù)創(chuàng)新大會“云原生技術(shù)最佳實(shí)踐”專題中，我們邀請到了來自阿里云、作業(yè)幫及圖森未來的資深技術(shù)專家，為大家分享相關(guān)經(jīng)驗(yàn)與解決方案。

???

WOT全球技術(shù)創(chuàng)新大會2022，早鳥票6折優(yōu)惠搶購中！購票立減2320元，團(tuán)購可享受更多優(yōu)惠?；顒釉斍樽稍兲砑有≈治⑿?秋秋：cto-kol，??進(jìn)入活動官網(wǎng)查看活動詳情??。

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】