时间戳

首页 > 技术文章 > AWS 安全

AWS 安全

syavingcs 2020-12-08 10:47 原文

云安全

2020年是个不平凡的一年,今年整个世界改变了。

我们许多传统的方式都改变了,疫情加速了许许多多的行业进行转型;

这个时候更加体现出企业使用云来部署与管理一些业务的方便性;

他们只需更加方便、操作管理自己的机器、更加方便的方式来工作和生活;

云介绍

云分为:公有云 、混合云、私有云

公有云通常指第三方提供商为用户提供的能够使用的云,公有云一般可通过 Internet 使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务。

混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向。我们已经知道私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。

私有云(Private Clouds)是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。该公司拥有基础设施,并可以控制在此基础设施上部署应用程序的方式。私有云可部署在企业数据中心的防火墙内,也可以将它们部署在一个安全的主机托管场所,私有云的核心属性是专有资源。

以上介绍参考百度百科

这里我们以公有云AWS来进行安全分析,进而分析相关联的各个部分。

AWS安全

  • 账号管理

  • 凭据泄漏

  • S3权限配置不当

  • 安全组配置不当

  • IAM权限配置不当

  • Metadata

  • 等等。。。

责任共担模式

首先,我们需要了解AWS责任共担模式

了解产品(确认产品自身需要负责的安全部分)和了解我们(确认我们自身需要负责安全的)。

图片引用AWS链接

https://aws.amazon.com/cn/compliance/shared-responsibility-model/

账号管理

业务众多,不同的部门需要使用不通的服务;这样登录账号的人会变多。

比如:根用户的管理、多帐号的管理、财务账单的管理、生成环境、测试环境的管理等等

建议

1、对所有帐户强制执行MFA

2、周期变换密码

3、最小权限化访问,使用云提供的安全功能

凭据泄漏(AKSK)

由于申请了IAM用户的AKSK配置到相关文件,上传到github等公共地方而暴露

S3权限配置不当

S3存储桶配置权限不当

安全组配置不当

安全组的Outbound的规则从默认的

即使这样配置, 默 是可以通过 169.254.169.253来和外网 进行DNS通信

建立隔离的VPC时EnableDnsSuppor 配置不当

https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/vpc-dns.html#vpc-dns-support

可以得知 “EnableDnsSupport: 如果此属性为 true,则通过 169.254.169.253 IP 地址或是在 VPC IPv4 网络范围基础上“+2”的预 留 IP 地址来查询 Amazon 提供的 DNS 服务器将会成功。

默认情况 下,在默认 VPC 或 VPC 向导创建的 VPC 中,该属性设置为 true。 在以任何其他方式创建的 VPC 中, 该属性设置也为 true”

公开未加密的快照存有敏感信息

通过启动公共快照创建EBS,并附加到自己的系统上面;进入系统查看此EBS上面的信息

Metadata

169.254.169.254

传统基础架构与AWS Testing

传统的安全基础架构和AWS云在各种方面有所不同。从设置和配置到身份和用户权限,这些技术堆栈再无二致。

AWS架构由一组功能强大的API组成。我们的安全工程师已深入集成到AWS生态系统中,测试了一系列特定于AWS的错误配置,包括以下内容:

•EC2实例和应用程序利用
•针对和破坏AWS IAM密钥
•测试S3存储桶配置和权限缺陷
•通过Lambda后门功能建立私有云访问
•通过混淆CloudTrail日志来覆盖轨道

最佳实践

AWS Security Hub

AWS Security Hub 向您提供 AWS 资源安全状态的全面视图。Security Hub 跨各 AWS 账户和服务收集安全数据,帮助您分析安全趋势,确定整个 AWS 环境中的安全问题并明确其优先级。

Amazon Cognito

Amazon Cognito 是一项服务,您可以用它来为您的用户创建唯一身份,通过身份提供商对这些身份进行验证,还可以在 AWS 云中保存移动用户数据。

AWS Config

AWS Config 提供了与您的 AWS 账户关联的资源的详细信息,包括如何配置这些资源、这些资源如何彼此关联以及各种配置及其关系如何随时间发生变化。

CloudTrail

AWS CloudTrail 是一项 AWS 服务,可帮助对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核。用户、角色或 AWS 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在 AWS 管理控制台、AWS Command Line Interface 和 AWS 开发工具包和 API 中执行的操作。简化了安全性分析,资源更改检测,故障排除等过程。

Trusted Advisor

定期使用免费工具观察消费和使用情况,例如 Trusted Advisor

禁止对metadata的访问

sudo iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

数据加密, 最小权限设计,遵守官方的最佳安全实践.

例如 https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

AWS云安全性

https://aws.amazon.com/cn/security/

https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

Azure云安全性

https://docs.microsoft.com/zh-cn/azure/security/

https://docs.microsoft.com/zh-cn/azure/security/fundamentals/best-practices-and-patterns

参考链接

测试AWS安全:

https://aws.amazon.com/security/penetration­testing/

测试arzure安全:

https://portal.msrc.microsoft.com/en­us/engage/pentest

测试谷歌云安全:

https://cloud.google.com/security/

推荐阅读