AWS安全講堂：零信任實踐全知道！

“零信任”小課堂

開課啦

導(dǎo)讀

Amazon Web Services(AWS)以提供領(lǐng)先、完善的云服務(wù)著稱，并兼顧合規(guī)安全。在亞馬遜re:Invent 2020大會的AWS Identity and Data Protection sessions環(huán)節(jié)中，Quint Van Deman介紹了AWS零信任架構(gòu)。

本文將簡要介紹在AWS中國區(qū)域如何實踐零信任安全策略。

零信任知識小課堂

敲黑板！什么是零信任？

零信任是一個概念模型和一組相關(guān)的機制，著重于圍繞數(shù)字資產(chǎn)提供安全控制，而這些數(shù)字資產(chǎn)并不完全或根本上不依賴于傳統(tǒng)的網(wǎng)絡(luò)控制或網(wǎng)絡(luò)邊界。零信任中的“零”從根本上是指，減少（甚至不信任）歷史上由參與者在傳統(tǒng)網(wǎng)絡(luò)中的位置創(chuàng)建的信任，無論我們將參與者視為個人還是軟件組件。

在零信任的世界中，以網(wǎng)絡(luò)為中心的信任模型被其他技術(shù)（我們通?？梢詫⑵涿枋鰹橐陨矸轂橹行牡目丶┰鰪娀蛱娲?，以提供與以前相同或更好的安全機制。

做好筆記！零信任理念的7個原則

(1)所有數(shù)據(jù)源和計算服務(wù)都被視為資源。

(2)無論網(wǎng)絡(luò)位置如何，所有通信必須是安全的。

(3)對企業(yè)資源的訪問授權(quán)是基于每個連接的。

(4)對資源的訪問由動態(tài)策略（包括客戶端身份、應(yīng)用和被請求資產(chǎn)等的可觀測狀態(tài)）決定，并可能包括其他行為屬性。

(5)企業(yè)確保其掌握和關(guān)聯(lián)的所有設(shè)備都處于盡可能的最安全狀態(tài)，并監(jiān)控設(shè)備資產(chǎn)以確保它們保持在盡可能的最安全狀態(tài)。

(6)在訪問被允許之前，所有資源訪問的身份驗證和授權(quán)是動態(tài)的和嚴(yán)格強制實施的。

(7)企業(yè)收集盡可能多關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施當(dāng)前狀態(tài)的信息，并用于改善其安全態(tài)勢。

兩個維度，深度考量零信任

網(wǎng)絡(luò)維度

在網(wǎng)絡(luò)維度，我們需要管理網(wǎng)絡(luò)點到點之間的可到達性。通過把網(wǎng)絡(luò)通信的各項要素進行逐一控制并進行排列組合，可以得到應(yīng)對不同場景的安全策略。

圖1

如圖1所示，AWS中國區(qū)通過在VPC中提供網(wǎng)關(guān)、路由表、NACL、安全組實現(xiàn)了網(wǎng)絡(luò)IP之間、端口之間的網(wǎng)絡(luò)4層訪問管理控制。進一步，AWS還提供了Endpoint服務(wù)。通過Endpoint服務(wù)，子網(wǎng)內(nèi)在的資源訪問處于AWS公網(wǎng)的服務(wù)時無須跨越互聯(lián)網(wǎng)網(wǎng)關(guān)。

身份維度

對于身份維度管理，需要實現(xiàn)授權(quán)的對象僅能訪問被訪問對象，并對訪問的行為作審查記錄。AWS中國區(qū)提供的IAM服務(wù)能夠安全地控制用戶對AWS服務(wù)和資源的訪問。AWS IAM不僅提供了人機對話的身份校驗機制，還提供了服務(wù)之間身份校驗機制，即角色（Role）。通過使用IAM Role，可以實現(xiàn)服務(wù)到服務(wù)之間的無縫訪問銜接，并自動輪換密鑰（實現(xiàn)方式如圖2所示）。

圖2

AWS CloudTrail提供了行為審計日志的功能，對AWS賬號中的行為進行不可篡改的日志記錄。結(jié)合其他AWS服務(wù)，比如Amazon CloudWatch、AWS Lambda，對日志監(jiān)控中發(fā)現(xiàn)的非法行為作出自動化處理，如發(fā)出安全警告、自動修復(fù)安全隱患、對安全時間作出統(tǒng)計報表等。一個典型的綜合利用這些安全相關(guān)服務(wù)的應(yīng)用架構(gòu)如圖3所示。

圖3

在這個場景中，首先AWS CloudTrail服務(wù)將日志推送到Amazon CloudWatch，然后Amazon CloudWatch觸發(fā)Step Functions，并根據(jù)事情的類型執(zhí)行不同的AWS Lambda函數(shù)，執(zhí)行如修改Amazon EC2的操作，修改WAF規(guī)則的操作等。同時，AWS Lambda函數(shù)將可疑行為和執(zhí)行的結(jié)果日志發(fā)送是Amazon Simple Storage Service(Amazon S3)存儲桶，再通過Amazon Athena服務(wù)和自建的Superset進行數(shù)據(jù)的呈現(xiàn)和分析；同一AWS Lambda函數(shù)通過SNS服務(wù)發(fā)送電子郵件通知。

課堂小結(jié)

通過以上一些簡單的場景，希望可以幫助您了解零信任的概念，并通過簡單的動手實踐，運用AWS提供的服務(wù)實現(xiàn)高級別的安全策略。

AWS作為公有云技術(shù)的領(lǐng)導(dǎo)者，針對日新月異的合規(guī)要求和安全需求，不斷提供新的相關(guān)服務(wù)和解決方案。