服务
关于
CloudProse博客
安全和IAM

3大安全隐患和1解决方​​案

在这里,我们说明了三个安全领域,我们注意到许多AWS帐户都在努力解决和管理不善,Trek10工具选择了补救这些领域。
詹姆斯·鲍耶·崔克(James Bowyer Trek)
詹姆斯·鲍耶 | 2018年1月18日

鉴于2017年AWS上发生的所有安全漏洞,可能是由于Amazon S3对安全组配置不足的权限管理不善造成的,我们发现没有公司或政府机构会犯以上简单错误。这篇文章将说明三个安全领域,我们注意到许多AWS账户都在努力和管理不善,Trek10工具选择了补救这些领域(这里有一个提示-与监控有关)。

3大安全隐患

1. AWS IAM& User Security

我们看到AWS用户苦苦挣扎的第一个领域是他们的IAM设置,包括用户,角色和多账户结构。在Trek10,我们有一个 IAM帐户的唯一目的是用于用户身份验证 没什么通过IAM帐户身份验证后,我们的工程师将使用跨帐户角色在内部帐户和客户帐户中完成所有工作。尽管并非每个AWS产品都需要一个与其关联的IAM帐户,但我们在IAM帐户中使用的以下安全原则可能对所有AWS帐户都有利。

  • 我们将密码字符的最小值设置为14
  • 我们需要字母,数字和符号
  • 我们防止重复使用密码
  • 最重要的是,我们对每个用户强制执行MFA

2.安全组

我们看到人们苦苦挣扎的第二个领域是配置他们的安全组。安全组是AWS根据IP和端口号将流量限制到您的资源的一种方式。当将遗留系统转移到云中时,让很多人感到痛苦的是什么。构建此解决方案的工程师可以很容易地在另一个团队甚至一家公司中工作,而且没人能确定首先要梳理哪个安全组。我们有客户在解决是否应允许使用该IP或该IP,或者是否确实应公开公开此ec2实例的问题。令人惊讶的是,您经常发现公司在不知不觉中将其服务器公开公开在不知道的端口上。

3. S3权限

最后但同样重要的是S3权限。如果您在过去的一年中一直在关注安全漏洞,那么您就会知道AWS上的大部分漏洞都来自配置错误的S3存储桶。要深入了解S3权限,请查看我们最近的帖子, 了解AWS S3权限,保护S3存储桶和对象的安全。简而言之,S3有多种控制访问的方法,要确保已将每一个都锁定,可能会很棘手。

我们的解决方案

显然,没有人想让他们的基础架构暴露在外,那么,我们如何处理当今环境中最大的安全隐患?您一直猜到了(我们给了您一个提示),并且不断进行监控。

尽管这是一个不断发展的空间,但还有很多不错的选择,例如 证据, 云通道 甚至AWS本身,我们都评估了市场,并找到了一个很好的解决方案和合作伙伴 CloudSploit!

CloudSploit是“自动AWS安全和配置监视”工具。真正的原因在于,CloudSploit会临时或计划地扫描您的AWS账户,并让您知道您的账户基于规则集有哪些“缺陷”。您可能认为您的帐户非常清晰,但是到目前为止,我从未见过帐户在第一次扫描时通过所有扫描。哦,最好的是整个扫描引擎是 开源的.

我们如何使用CloudSploit

当CloudSploit运行新扫描时,它可以发送SNS通知。 Trek10的 CloudOps 团队监视具有lambda功能的用户,以在被认为是关键任务的插件(例如,root-MFA,启用了AWS CloudTrail,打开SSH端口等)上创建票证。我们将所有新的故障注入到我们的主要监视工具中 数据狗,从中我们可以创建可自定义的合规性和安全性信息中心和票证。

您可能会认为,如果扫描代码库是开源的,并且可以确定要管理的内容,为什么不维护自己的服务?你可以!但是,现在您不得不管理显示,警报,API,用户管理等。更不用说,您会错过我们真正看到CloudSploit价值的地方;其他非常聪明的人为我们管理和改进该工具! CloudSploit的团队正在对其前端,扫描等进行改进,从而迅速进行迭代。例如,当所有S3安全漏洞都发生时,他们就在UI中构建并发布了方便的可视化工具。

但是,有时计划的扫描是不够的,因此可能需要实时通知MFA禁用或其他高级别的安全操作。 CloudSploit 大事记拥有Amazon CloudWatch的全部功能,并通过使用您的CloudWatch 大事记使其实时化,从而使专注于高度安全性的团队能够在几分之一秒内都获得有关某些API活动的警报。而且,CloudSploit可能最酷的是它们提供给高级客户的API。有了它,可能性是无限的。除了预定的扫描(或代替预定的扫描),您的开发人员团队还可以利用API与您的手 CI管道 在每次部署后扫描您的环境,并确保没有引入新的基础架构安全风险。

包起来

我们真的很期待继续我们的使命,为我们的客户构建更好,更安全的体验,CloudSploit可以帮助我们做到这一点。如果您对云中的安全性以及Trek10如何提供帮助有任何疑问,请随时与我们联系 [email protected].

作者
詹姆斯·鲍耶·崔克(James Bowyer Trek)
詹姆斯·鲍耶