AWS：如何思考云安全治理

來源： AWS

作者：Paul Hawkins & Maddie Bacon

時間：2020-08-26

在本文中，我們將討論您需要在組織上和技術上使用Amazon Web Services（AWS）進行哪些操作，以構建有效的治理模型。邁向云計算第一步的人可以使用此文章來指導他們的思考。

當客戶首次遷移到云時，他們的本能可能是基于一個或多個與其行業(yè)相關的監(jiān)管框架來構建云安全治理模型。盡管這可能是有用的第一步，但組織了解其工作負載的控制目標也至關重要。

在本文中，我們將討論您需要在組織上和技術上使用Amazon Web Services（AWS）進行哪些操作，以構建有效的治理模型。邁向云計算第一步的人可以使用此文章來指導他們的思考。對于已經在云中運行了一段時間的人們來評估他們當前的治理方法，它也可以作為有用的上下文。

但是在建立模型之前，重要的是要了解什么是治理并考慮為什么需要它。治理是組織如何確保所有團隊中策略的一致應用。實施一致治理的最佳方法是將盡可能多的過程進行編纂。尤其是，安全治理用于通過定義策略和控制來管理風險來支持業(yè)務目標。

遷移到云為您提供了一個機會，可以更快地交付功能，以更加敏捷的方式對瞬息萬變的世界做出反應，并將決策權交還給最接近企業(yè)的人員。在這種快節(jié)奏的環(huán)境中，重要的是要有一種方法來保持一致性，可伸縮性和安全性。這就是強大的治理模型可以提供幫助的地方。

為您的組織創(chuàng)建正確的治理模型似乎是一項復雜的任務，但并非必須如此。

構架

許多客戶使用與其行業(yè)相關的標準框架來告知其決策過程。通常用于開發(fā)安全治理模型的一些框架包括：NIST網絡安全框架（CSF），信息安全注冊評估員計劃（IRAP），支付卡行業(yè)數據安全標準（PCI DSS）或ISO/IEC 27001：2013

這些標準中的某些提供了特定于特定監(jiān)管機構或地區(qū)的要求，而其他標準則提供了更廣泛的適用范圍-您應選擇適合組織需求的標準。

雖然框架對于設置安全程序的上下文并為治理模型提供指導很有用，但您不應僅為特定標準上的復選框構建任何框架。至關重要的是，您應該首先構建安全性，然后再使用合規(guī)性標準來證明您在做正確的事情。

控制目標

選擇要使用的框架后，接下來要考慮的是控件。控制是基于技術或過程的實施，旨在確保將已識別風險的可能性或后果降低到組織風險承受力可接受的水平?？丶纠ǚ阑饓Γ罩居涗洐C制，訪問管理工具等。

控制將隨著時間而發(fā)展；有時，他們在采用云的早期階段會非常迅速地這樣做。在這種快速發(fā)展的過程中，僅關注控件的實現而不是目標是很容易的。但是，如果您想構建一個強大而有用的治理模型，則一定不要忽視控制目標。

考慮防火墻的示例。使用防火墻時，將實現控件。目的是確保只有應該到達您的環(huán)境的流量才能到達它。盡管防火墻是實現此目標的一種方法，但是您可以使用Amazon Virtual Private Cloud（Amazon VPC）安全組，AWS WAF和Amazon VPC網絡訪問控制列表（ACL），通過分層的方法來實現相同的結果。將控制實現拆分到多個位置可以使工作負載所有者在自動交付基準狀態(tài)時在配置資源方面具有更大的靈活性。

并非業(yè)務的所有領域都必須具有相同的云成熟度級別，或使用相同的方法來部署或運行工作負載。作為安全架構師，您的工作是幫助業(yè)務的不同部分以適合其成熟度或特定工作量的方式交付結果。

幫助實現此目標的最佳方法是使組織的安全部門清楚地傳達必要的控制目標。作為安全架構師，如果目標得到了很好的交流，就可以輕松討論應用程序中需要調整的內容。如果工作負載所有者不知道自己必須滿足某些安全期望，則要困難得多。

安全的工作是什么？

在AWS，我們與眾多行業(yè)的客戶交流。對話中經常出現的一件事是如何幫助客戶了解其安全團隊在分布式云感知環(huán)境中的角色。答案始終是相同的：作為安全人員，我們在這里幫助企業(yè)安全地部署和運行應用程序。我們的工作是在滿足安全性，風險和合規(guī)性要求的同時，指導和培訓組織的其他成員以最佳方式實現業(yè)務目標。

那你怎么做呢？

技術和文化對于組織的安全態(tài)勢都很重要，并且可以相互促進。AWS是擁有強大的安全所有權文化的組織的一個很好的例子。所有客戶都可以擺脫AWS的一件事：安全是每個人的工作。當您了解了這一點之后，就可以輕松構建使適當的安全控制目標的配置和操作變?yōu)楝F實的機制。

您構建的云環(huán)境在兩個關鍵方面對實現該目標大有幫助。首先，它為平臺上的人員提供護欄和自動指導。其次，它允許解決方案擴展。

組織遇到的挑戰(zhàn)之一是開發(fā)人員多于安全人員。由人類查看體系結構圖執(zhí)行的時間點風險和控制評估的傳統(tǒng)方法無法擴展。您需要一種在不增加人員數量的情況下擴展知識和能力的方法。實現此目標的最佳方法是在構建和發(fā)布過程的早期盡可能多地進行整理。

一種實現方法是自行將AWS平臺作為產品運行。團隊成員應該能夠提交功能請求，并且應該對通過平臺啟用的功能進行度量。構建工作負載的團隊可以從平臺繼承的安全能力越強，他們在工作負載級別上實施的次數就越少，他們花在產品功能上的時間就越多?？倳幸恍┌踩刂颇繕耍@些目標只能通過特定配置在工作負載級別上實現；這應該建立在從云平臺繼承的內容之上。您的安全團隊和其他團隊需要共同努力，以確保云平臺提供的功能可用來幫助人們安全地構建和發(fā)布。

我們要強調的治理模型的一部分是平臺啟動的概念。治理模型的這一部分的思想是快速，一致地獲得一組基線控制，這些控件使您能夠在特定環(huán)境中安全地使用服務。一個很好的例子是使開發(fā)人員能夠使用實驗帳戶評估服務。為了支持此過程，您不想花費很長時間為每種可能的結果構建控件。最好的方法是利用云平臺提供的基礎控件作為起點。諸如聯合身份驗證，日志記錄和服務控制策略之類的內容可用于提供保護欄，使您能夠快速使用服務。在評估服務時，

AWS架構完善的框架

您使用的云平臺是許多安全控件的基礎。這些聯邦，日志記錄，服務控制策略和自動響應的防護欄適用于所有類型的工作負載。AWS架構完善的框架中的安全性支柱基于其他風險管理和合規(guī)性框架，為您提供最佳實踐，并幫助您評估架構。這些最佳實踐是尋找在云中構建時應該做什么的好地方。類別（身份和訪問管理，檢測，基礎架構保護，數據保護和事件響應）與在AWS中構建時要重點關注的最重要領域保持一致。

例如，身份是云環(huán)境中的基礎控件。AWS架構完善的安全性最佳實踐之一是“依靠集中式身份提供商”。您可以為此目的使用AWS Single Sign-On（AWS SSO）或等效的集中式機制。如果集中您的身份提供者，則可以對用戶執(zhí)行身份生命周期管理，向他們提供對所需資源的訪問權限，并支持在團隊之間移動的用戶。這可以適用于您的AWS環(huán)境中的多個AWS賬戶。AWS Organizations使用服務控制策略使您能夠在特定環(huán)境中使用一部分AWS服務；這是以身份為中心的方式提供防護欄。

除了聯合用戶外，在整個環(huán)境中啟用日志記錄和監(jiān)視服務也很重要。這樣，您可以在發(fā)生意外情況時生成事件，例如，用戶試圖調用AWS Key Management Service（AWS KMS）來解密他們應該訪問的數據。安全地存儲日志意味著您可以執(zhí)行調查以確定可能遇到的任何問題的原因。使用Amazon GuardDuty和AWS CloudTrail并啟用了一組AWS Config規(guī)則的AWS客戶在構建應用程序時可以訪問安全監(jiān)控和日志記錄功能。

夾心蛋糕模型

當您考慮云安全性時，我們發(fā)現將層蛋糕用作良好的心理模型很有用。蛋糕的基礎是對AWS提供的線下功能的理解。這包括自助提供來自AWS Artifact的合規(guī)性文檔，以及了解AWS共同責任模型。

蛋糕的中間是基本控件，包括本文前面描述的控件。這是最重要的一層，因為它是控制最多的地方，因此對于安全團隊來說是最大的價值。您可以將其描述為“一次解決，多次使用”的層。

最重要的是應用程序專用層。該層包括更多與上下文相關的內容，例如某種類型的應用程序或數據分類的正確控制目標。中間層的工作有助于支持該層，因為中間層提供了使自動交付頂層功能更容易的機制。

中間和頂層不僅是技術層。它們還包括方程式的人員和過程部分。正是該技術可以支持流程。

要注意的一件事是，在允許企業(yè)使用服務之前，您不應該嘗試定義服務的所有可能控件。利用組織中的各種環(huán)境（實驗，開發(fā)，測試和生產），以最少的防護欄盡可能快地將服務提供給開發(fā)人員，以避免意外配置錯誤。然后，使用評估服務的時間與開發(fā)人員就控件實現進行協作。然后可以將控制實現滾動到蛋糕的中間層，并且服務可以被業(yè)務的其他部分采用。

這也是應用實用威脅建模技術的理想時機，這樣您就可以了解必須解決的威脅和風險。與您的企業(yè)合作以定義推薦的實施模式也有助于提供有關通常如何使用服務的上下文。這意味著您可以專注于最相關的控件。

架構，平臺或云卓越中心（CoE）團隊可以在此階段提供幫助。他們可能會快速確定AWS服務是否適合您組織的架構方向。這種快速分類有助于安全團隊集中精力幫助企業(yè)安全地獲得服務，而不會被視為阻礙采用。簡化新服務使用的一種有效機制是確保積壓的情況得到很好的傳達，通常是在平臺團隊Wiki上進行。這有助于組織的安全和非安全部分將時間優(yōu)先用于提供最大業(yè)務價值的服務。一致的開發(fā)方法意味著所使用的服務可能正在組織中的更多地方使用。

簡單性，指標和文化

世界瞬息萬變。您不僅可以定義安全狀態(tài)和控制目標，然后再走開。推出了新的服務，這些服務使執(zhí)行更復雜的事情變得更加容易，業(yè)務優(yōu)先級發(fā)生了變化，并且威脅形勢在不斷發(fā)展。您如何跟上所有這些？

答案是簡單性，指標和文化的結合。

簡單很難，但很有用。例如，如果您有100個應用程序團隊都以不同的方式構建，那么您必須確保明智地定義了許多不同的配置。理想情況下，您可以通過編程方式執(zhí)行此操作，這意味著定義和維護該組安全控件的工作非常重要。如果您有100個應用程序團隊僅使用10種主要模式，則構建控件會更容易。這具有減少操作結束時的復雜性的額外好處，這適用于日常操作和事件響應?？刂骗h(huán)境的簡化意味著您的監(jiān)視變得不那么復雜，故障排除也更容易，并且人們有時間專注于開發(fā)新的控制或流程。

指標很重要，因為您可以根據數據做出明智的決策。度量有用的一個很好的例子是打補丁。修補是改善安全狀況的最簡單方法之一。擁有補丁程序使用期限的度量標準（在該信息對您的環(huán)境最重要的位置）上顯示，使您可以專注于最有價值的領域。例如，邊緣邊緣的基礎架構比多層控件背后的基礎架構更重要，以保持補丁狀態(tài)。您應該修補所有內容，但需要在應用程序團隊的構建和發(fā)布周期中使其變得容易。向團隊和領導層公開指標可幫助您的組織從業(yè)務的高效領域中學習。這些團隊可能定期滿足修補要求，或者需要補救滲透測試結果的情況很少。有關控制有效性的度量標準和數據使您能夠在內部和外部提供保證您已達到控制目標。

這將我們帶入文化。我們認為，將安全性作為促成因素是最重要的概念。您必須構建使組織中的人員能夠最安全地選擇安全配置或設計的功能。這就是安全性的作用。您還應該確保在出現問題時，您的安全團隊與企業(yè)合作，以幫助所有人了解原因并為下一次改進。

AWS具有一種對所有事物都使用故障單的文化。如果我們的員工認為他們有安全問題，我們會告訴他們開票；如果不確定他們是否存在安全問題，我們會告訴他們無論如何都要開票以獲取指導。這種文化鼓勵人們交流和幫助手段，以便我們盡早發(fā)現并解決問題。不那么認真思考的問題可以迅速降級。這種售票文化為我們提供了數據，以告知我們構建的內容，從而幫助人們更加安全。您可以在自己的環(huán)境中開始使用這樣的系統(tǒng)，或者如果已經啟動，則希望擴展功能。

根據我們的建議，在您所有帳戶中啟用GuardDuty。我們建議將由此產生的高中警報發(fā)送到票務系統(tǒng)。查看如何解決這些問題，并使用它來確定接下來的兩周工作的優(yōu)先級?，F在，您可以構建自動化以解決問題，更重要的是，可以構建以防止問題首先發(fā)生。問問自己，“我需要什么信息來診斷問題？”然后，構建自動化以豐富發(fā)現，以便您的票證具有該上下文。迭代自動化以了解上下文。例如，您可能希望包含信息以顯示環(huán)境是生產環(huán)境還是非生產環(huán)境。

請注意，在非生產環(huán)境中具有類似于生產的控件意味著您減少了部署失敗的機會。它還使團隊習慣于在安全護欄內工作。在此過程的早期，這增加了嚴格性，并且也可以幫助您的變更管理團隊。

摘要

您使用什么安全框架或標準來告知業(yè)務都沒有關系，甚至可能不符合特定的行業(yè)標準。重要的是建立一個治理模型，該模型使組織中的人員能夠始終如一地做出良好的安全決策，并為安全團隊提供實現此目標的能力。要開始或繼續(xù)發(fā)展您的治理模型，請遵循AWS架構完善的安全最佳實踐。然后，確保您實施的平臺可幫助您實現基本的安全控制目標，以便您的企業(yè)可以將更多的時間花費在針對其工作負載的業(yè)務邏輯和安全配置上。

您做出的技術和管理選擇是建立積極的安全文化的第一步。安全是每個人的工作，并且是確保平臺，自動化和指標支持使這項工作變得容易的關鍵。

我們在這篇文章中討論的重點領域是使安全成為業(yè)務的推動力，并最終幫助您更好地幫助客戶并通過所做的一切贏得客戶的信任。