服务
关于
CloudProse博客
新闻

迷航10'的新产品:Security Max

AWS中的安全监控正确完成
乔什·冯·绍姆堡精选
乔什·冯·绍姆堡 | 2019年12月13日

正如我们的合作伙伴AWS所喜欢的那样,安全性是“零工作”,这意味着它比AWS的其他任何最高优先级都更为重要。作为100%专注于AWS的高级咨询和MSP合作伙伴,我们对此表示赞同。在我们作为AWS MSP的5年中(以及经过审计的 AWS的MSP合作伙伴),我们在AWS之上构建了许多安全工具和集成。我们的理念一直都是-无需重新发明轮子。为了保护客户的环境,我们使用了最好的AWS服务和可用的第三方工具。我们将所有警报集成到我们的 Datadog事件总线,使用健壮的Runbook操作触发事件以做出响应,并创建长期项目计划来解决更重要的潜在安全问题。

我们从客户那里得到的反馈是一致的-他们需要独立的,定义明确的,有凝聚力的安全产品。他们想要市场上绝对最佳的工具,他们希望首先利用本机AWS安全工具,在技术经过验证时开放源代码,并在必要时使用商业第三方。他们希望所有这些都以保护AWS API为重点。

在整个2019年,我们一直在研究AWS的所有安全领域-从传统的EC2实例和网络安全到AWS帐户和API级安全,再到云原生架构(例如,无服务器),我们很高兴宣布Trek10的Security Max产品-完全托管的软件解决方案套件,可通过Trek10的AWS安全专家管理补救措施直接与客户的AWS环境挂钩。

在我们的研究中,我们确定了确保AWS环境和应用程序安全的最关键要素,然后从中选择了不同的工具,以根据需要集成到面向客户的门户(我们称为Harbor)和支持系统中。这篇文章的其余部分概述了各种选择以及我们如何使用自己的AWS R&D和工程,以为这些服务增值。

保护AWS平台

在我们甚至开始考虑如何保护实际应用程序之前,AWS基础必须坚如磐石。仅在网络中安装安全设备以及在VM上安装代理以确保安全的日子已经一去不复返了。为了保护AWS平台,Security Max提供了以下功能:

  • AWS Landing Zone audit: As part of onboarding, 迷航10 reviews your AWS Landing Zone and account management configurations for initial best practices.
  • Sophos 云擎的实现:Trek10实现了Cloud Optix,这是一种无代理的云安全解决方案,它根据Trek10帮助您的团队定义的防护栏,不断扫描您的AWS环境中的漏洞和错误配置(有关此解决方案的更多信息,请参阅下文)。
  • 启用AWS GuardDuty:GuardDuty是AWS的威胁检测服务。它提供对您的AWS API调用的洞察力,以及对传入/传出VPC流量的分析。

云擎

保证帐户安全后,可以采用几种方法来防止帐户产生新的风险。 Sophos 云擎平台提供了核心防护栏和事件警报,以检测/防止任何偏离基线的情况。它提供了许多功能;以下重点介绍了我们的一些最爱:

  • 持续进行AWS配置扫描:Trek10已使用其核心最佳实践构建了建议的基准合规性规则集,但Cloud Optix还包含开箱即用的引擎,以符合CIS,GDPR,SOC2,HIPAA,ISO 27001,PCI DSS等标准。 云擎通过对您的AWS账户的只读访问来实现此目的。
  • 异常检测(和数据渗漏检测):Cloud Optix将您的环境作为典型行为的基准并检测异常行为–我个人最喜欢的示例是对VPC流日志的分析,以检测可能表明正在针对您的环境渗出数据的异常。
  • DevSecOps:为了将所有热门词汇集成到产品中,我们确保涵盖“ DevSecOps”!严格来说,能够将与您在控制和合规性框架中应用的代码相同的策略作为代码(例如,CloudFormation / Terraform)应用于基础结构,这意味着在部署应用程序之前就已经检测到安全漏洞或不合规配置。
  • 库存管理和拓扑可视化:如果由于安全事件需要收集其他信息,则管理员可以深入了解每个实例以了解安全组配置,修补合规性,流量/传出连接详细信息等。

Datadog(记录+监视)

Most security solutions acknowledge that logging is a need in any account, but are often vague about what exactly to do with the logs and how that makes your account more secure. With Security Max 迷航10 offers a direct approach that is designed to keep costs low, give actionable alerting, and provide a way for log review if necessary. Specifically, we use Datadog’s state of the art Log Management product, with its Logging Without Limits pricing framework, which enables us to decouple log ingestion from log indexing. This 所有ows us to ingest the logs but only makes the logs searchable when desired, making Datadog’s solution more cost-efficient than anything the market has seen to date. And while the logs are not searchable unless requested, 迷航10 has built some proprietary filters that are applied to logs at the time of ingestion. These filters read log messages and create custom metrics in real-time that we can then monitor and alert when necessary. Our default set of filters applies to log types we have seen across different types of accounts, but if you have custom log messages you want to be stored and alerted upon, our engineers can create custom filters to give you real-time alerting.

另外,Datadog最近 发布了自己的安全监控 我们整合到Trek10 SecurityMax中的工具。使用上述相同的日志提取,Datadog可以在应用程序的所有层上进行检测。 Datadog通过摄取,丰富和统一来自多个来源的日志来获取此信息。 迷航10对Datadog的安全产品真正喜欢的是,Datadog在预建的安全监视器规则之上,公开了规则引擎,使您可以创建自定义安全规则。 迷航10已经使用此引擎创建了新规则,并将随着云环境的发展而继续开发规则。在Trek10上,我们真的无法对Datadog带来的日志记录和安全解决方案说得足够多,并且很高兴将它们包含在Security Max中。

EC2和应用程序安全

既然我们拥有构建高可用性,可伸缩性和成本效益的AWS应用程序的安全基础,现在我们可以将重点转移到保护应用程序本身上。当然, 成为构建云原生架构的专家 在Trek10,应用程序安全性通常与AWS的API和PaaS产品紧密相关。平台和应用程序安全性之间的界线无疑是模糊的,并且每天都在变得越来越模糊!从操作系统级别开始,我们将通过AWS的视角专注于应用程序的细节。在此之前,我将再次大声疾呼GuardDuty和Cloud Optix,因为这两种服务在VPC中都肯定具有特定于应用程序的保护。

AWS Systems Manager(补丁程序管理器)

AWS Systems Manager提供多种服务-近20种不同 核心能力。作为入门过程的一部分,我们将部署Systems Manager代理,这使我们能够利用以下核心功能:

  • 补丁管理器:使我们能够利用AWS进行补丁管理,并将其完全集成到我们的支持系统中(并可选地集成到客户的票务系统中)
  • 会话管理器:这允许管理员通过AWS IAM进行身份验证,从而安全地SSH进入EC2实例(不再需要在实例上管理SSH密钥!)

根据您的要求,Trek10将推荐一种最佳实践方法来修补Windows和Linux实例。 Patch Manager已完全集成到Trek10的支持系统中,因此可以在我们的票务系统中跟踪所有环境中的所有补丁。

漏洞扫描:Inspector和Rapid7

至少每季度一次对EC2实例进行内部和外部的定期扫描。

  • 内部扫描 AWS检查器: AWS inspector是基于代理的解决方案,提供内部扫描以生成整个EC2实例群的漏洞报告。有很多 规则包 从(网络可达性,CVE,CIS基准,安全性最佳实践和运行时行为分析)中选择,我们将与您的安全团队一起定义适当的程序包。
  • 外部扫描 Rapid7 InsightVM: Rapid7的技术是进行外部漏洞扫描的金标准。 Rapid7报告将集成到我们的票务系统中,因此可以无缝地从扫描结果过渡到修复。

AWS WAF

解决了AWS基础和操作系统安全性之后,下一个重点领域就是第7层应用程序安全性。为此,Trek10利用了 AWS WAF (Web应用程序防火墙)服务。 AWS WAF可保护Web应用程序免受Web攻击,尤其是免受Web应用程序带来的最严重的安全风险 OWASP前十名。 AWS刚刚发布了WAF的更新,该更新现在允许您创建的规则具有更复杂的逻辑,并且AWS提供了 自己的预建规则集.

AWS WAF可以应用于CloudFront发行版以及您的应用程序负载平衡器(ALB)—或者,如果您将API Gateway用于无服务器环境,例如,AWS WAF也可以应用于该环境。如果您今天不使用这些服务中的任何一种,Trek10可以帮助您实现其中一项以将WAF支持添加到您的应用程序中。可以根据您的应用程序手动编写AWS WAF规则,当然,上述AWS也支持 托管规则. As part of the onboarding process, 迷航10 will recommend the best approach to implement your AWS WAF rule groups based on your specific requirements.

迷航10 Security Tooling

迷航10是AWS MSP的认证合作伙伴,已经花费了5年多的时间在AWS API之上开发各种工具和集成。借助Security Max,Trek10会将所有工具发布到其客户的环境中,并继续开发更具创新性的工具。以下是Trek10与其他管道一起构建的一些顶级工具的简要概述。 迷航10的许多工具都来自客户的反馈,我们期待着协作开发的过程:

  • 事件驱动的补救措施:Trek10建立了最佳实践Lambda函数,可以根据您对自动补救措施的偏好自动修复环境中的漏洞。例如,如果端口22(SSH)已向公众开放,则Lambda函数可以立即修复此漏洞并创建用于事后审查的票证。
  • GuardDuty + AWS WAF集成:此工具有效地将GuardDuty威胁检测服务转变为具有阻止功能的预防服务。当GuardDuty识别出攻击性IP地址时,Trek10已建立了一个集成来解析此IP地址并将其放入AWS WAF IP匹配条件中以阻止可配置的时间。
  • S3 Auditor:此解决方案扫描每个存储桶中的每个对象。甚至数百万个对象的大型水桶也可以在数小时内进行扫描。这使Trek10可以在您的私有存储桶中的对象具有错误配置的对象级ACL并因此变为公共的对象时发出警报。
  • CloudTrail完整性验证程序:每天,Lambda函数都会根据哈希值验证CloudTrail日志的完整性。如果发现任何日志篡改,这将创建一个支持凭单。

完全集成的事件管理和补救

客户不仅需要最佳的安全软件和技术,而且还要求直接与AWS专家联系,以应对传统的基于VM的应用程序以及利用PaaS和SaaS服务(来自AWS和第三方工具)的应用程序在安全性方面的挑战。 Security Max提供了专家级的AWS员工来补救您的环境,以继续将您的AWS足迹保持在保护栏之内,这是我们根据行业特定的最佳实践建议共同定义的。该软件解决方案套件已完全集成到您的环境和我们的平台中,并且足够灵活,可以轻松地集成到我们客户的票务系统中。我们期待有机会更好地保护您的AWS账户和应用程序。如果您有兴趣了解更多信息,请联系 [email protected] 或前往我们的 Security Max产品页面 并填写联系表格。

作者
乔什·冯·绍姆堡精选
乔什·冯·绍姆堡