許多組織都在努力為雲端環境實施強大的網路安全。 確保雲端基礎設施安全的四個最常見的挑戰是:
在雲端中,組織無法控制其底層基礎設施,這使得維持可見性的傳統方法(存取日誌檔案、使用端點資安解決方案等)在許多情況下無法使用。 這迫使他們依賴雲端服務提供者提供的解決方案,而這些解決方案因提供者而異,因此很難保持對組織所有基於雲端的環境的一致可見性。 公司需要利用可以部署在任何雲端環境中的安全解決方案,並且可以檢測組織的所有基於雲端的資產並提供一致的可見性。
在雲端中實現強大的網路安全似乎令人畏懼,但這並非不可能。 透過遵循此 AWS 安全最佳實務清單,可以提高 AWS 部署的安全性。
1. 在 AWS 中定義和分類資產:不可能保護您不知道存在的系統。 提高 AWS 部署安全性的第一步是識別您擁有的資產,並根據其用途將它們分類。
2. 為資料和應用程式建立分類:識別所有 AWS 資產後,應根據相關資料和功能的敏感度和重要性為每個資產或資產類別分配安全分類。 這些分類有助於確定每項資產所需的保護等級和特定安全控制。
與傳統的本地環境相比,基於雲端的基礎設施需要不同的安全方法和工具。 部署專為雲端設計的安全解決方案對於有效保護組織的 AWS 部署至關重要:
3. 管理雲端存取:限制對基於雲端的基礎設施的存取至關重要,因為可以直接存取基於雲端的資源,而無需透過組織的現有網路邊界(以及部署在那裡的安全堆疊)發送流量。
4.使用雲端原生安全解決方案:在雲端資安最近的報告中,82%的受訪者認為傳統安全解決方案要麼根本不起作用,要麼功能有限。 雲端原生安全解決方案最適合保護雲端資產。 此外,部署雲端原生安全解決方案將安全功能置於其要保護的資產旁邊,並確保安全解決方案在其部署環境中以最佳方式運作。
5. 保護您的所有邊界並分段一切:本地安全只有一個邊界:與外部世界的網路連接。 雲端資安有多個邊界:每個雲端原生服務都有一個或多個邊界。 組織需要確保所有邊界都受到保護,包括南北和東西流量。 此外,雲端工作負載的分段和分離得越好,就越容易控制違規的影響。
Amazon 提供多種不同的內建安全配置和工具,可協助保護其 AWS 客戶免受網路威脅。 正確配置這些設定是確保整個組織的 AWS 部署保持一致的雲端資安狀態的重要組成部分:
6. 管理 AWS 帳戶、IAM 使用者、群組和角色:身分和存取管理 (IAM) 是雲端運算的首要任務,因為基於雲端的基礎設施可以直接從公共互聯網存取。 實施最小權限原則(即僅授予使用者完成其工作所需的存取和權限)對於最大限度地減少組織基於雲端的基礎設施內發生資料外洩或其他網路安全事件的可能性至關重要。
7. 管理對 Amazon EC2 執行個體的存取:有權存取組織EC2 執行個體的攻擊者可能會嘗試存取現有應用程式中的敏感資料或功能,或引入新的惡意應用程序,例如浪費或濫用組織租用運算能力的加密貨幣礦工。 為了最大限度地降低組織 AWS 部署中的網路安全風險,有必要根據最小權限原則控制對 EC2 的存取。
組織越來越多地使用無伺服器和容器化部署來實施基於雲端的微服務。 這些獨特的架構需要根據其需求量身定制安全性,例如雲端工作負載保護:
8. 為無伺服器和容器實施雲端工作負載保護:雲端基礎架構中的微服務工作負載需要與傳統應用程式不同的安全解決方案。 部署雲端工作負載保護(包括可觀察性、最小權限執行和威脅防護功能)對於最大限度地減少對容器化、無伺服器和其他微服務的潛在網路威脅至關重要。
許多組織實施反應式網路安全偵測策略,僅在網路威脅在其網路中活躍時才做出回應。 然而,這會延遲事件回應活動,從而使組織面臨風險。 組織可以採取幾個步驟在其基於雲端的基礎設施中實施更主動的安全預防:
9. 訂閱威脅情資供稿: 威脅情資為當前和持續的網路威脅提供有價值的資訊和妥協指標。 訂閱威脅情報來源並將其整合到組織基於雲端的安全解決方案中可以幫助及早識別和阻止潛在的網路威脅。
10. 在 AWS 中執行威脅追蹤:基於識別和回應正在進行的攻擊的完全反應式網路安全策略使組織面臨風險。 當攻擊被識別時,攻擊者可能已經可以存取組織的基於雲端的基礎設施,並正在竊取資料或造成其他損害。 執行主動威脅搜尋,即網路安全分析師尋找潛在入侵其網路的跡象,使組織能夠識別並修復那些在未被偵測到的情況下繞過網路安全防禦的威脅。 這需要深入了解組織的雲端基礎設施,並需要存取威脅情報來源和自動化資料分析,以實現可擴展和有效。
11. 定義事件回應政策和程序:許多組織都有現有的網路安全政策和程序。 然而,這些策略和程序可能是為本地環境設計的,在本地環境中,他們可以完全了解並控制其網路基礎設施的每個組件。 更新和調整這些策略以解決本地部署和基於雲端的部署之間的差異對於有效回應組織基於雲端的部署中的網路安全威脅至關重要。
大多數組織都受到許多法規的約束,這些法規定義了他們需要如何保護其擁有的敏感客戶資料。 這些法規也適用於組織的雲端基礎設施,因此組織應採取措施協助確保在雲端中持續符合這些法規:
12. 確保安全控制的可見性:資料保護法規通常規定組織擁有一系列安全控制,以保護敏感資料免受特定攻擊媒介的侵害。 合規要求能夠確保安全控制持續可見並驗證其正常工作;這也將改善組織的安全狀況並降低網路安全風險。
13. 持續驗證合規:除了確保組織保持對所需安全控制的可見性之外,驗證組織的安全部署是否符合適用法規的需求也很重要。 這包括審查適用的法規和組織的基於雲端的基礎設施,以及識別和消除任何已識別的安全漏洞。
雲端資安需要與傳統的本地環境不同的實踐和工具。 組織必須調整其安全方法,以適應基於雲端的部署的動態和敏捷特性,並選擇雲端原生安全解決方案,以最大限度地保護其 AWS 部署免受網路威脅。
改善組織雲端資安的第一步是識別現有的安全缺口,這可能使其容易受到攻擊。 此自助評估包括審核 100 多項合規性要求的完整安全性報告、檢查 AWS 部署中的安全性配置錯誤、提供完整的 AWS 資產清單,並產生用於修復任何已識別問題的優先操作清單。
此外,您可以使用此即時雲端網路安全評估,該評估會向您發送一份有關您針對高階雲端網路安全威脅的脆弱性的報告。 或在完成此評估後,限時 Check Point 將向您發送 100 美元的 AWS 積分。
在確定組織目前 AWS 安全狀況的潛在差距和問題後,下一步就是填補這些差距。 Check Point 提供雲端原生解決方案,可協助您的組織實現雲端資安自動化,提供全面的雲端保護並最大限度地發揮組織安全團隊的影響力。 歡迎您聯絡我們,了解有關我們如何協助保護您的 AWS 部署的更多信息,並請求演示以了解 Check Point CloudGuard 的實際應用程式。