了解Amazon Web服务中的共享安全模型

对于最终用户，他们负责保护在其实例上运行的操作系统，以及在这些操作系统上运行的应用程序。另一方面，物理安全和虚拟机监控程序的安全是亚马逊的责任。

说到网络，这一层的安全是用户和亚马逊之间的共同责任。

 

 

在共享安全模型中可以获得巨大的运营效率，但这是以完全控制环境的灵活性为代价的。

过去，随着组织转向共享模式，出现了重大的安全问题。在这个转变过程中，关键是组织在转向这个新模式时理解其中的含义。

 

 

当网络层需要共同承担责任时，利用经过验证的真实控制（如ID和漏洞扫描）的能力就会受到限制。在EC2中，亚马逊负责客户之间的网络路由和细分。

例如，确保所有流量都到达预期的系统，并防止一个客户看到另一个客户的流量。

 

这一限制的实施使最终用户无法轻松访问其EC2环境中的所有网络流量（传统上由SPAN或TAP捕获）。

这意味着，部署依赖于网络流量的任何安全监视和控制的能力将受到严重限制。

这包括网络ID、网络流量分析等。可以通过在环境中运行的主机上本地捕获网络流量，然后在中心位置进行分析，来尝试复制这一点，然而，这种方法容易出错，并且对环境的网络负载有严重影响，因为所有流量在发送到集中位置进行分析时都会被复制。

 

 

EC2安全组可能是亚马逊AWS中最容易被误解的安全功能。这个强大的功能提供了控制对任何运行实例的端口级网络访问的能力。

由于其看似熟悉的性质，人们往往会对这一特性感到困惑。用户很容易向公共互联网公开服务。传统上，在互联网上建立一个数据库需要付出巨大的努力–；穿过一两个路由器和防火墙。

然而，对于安全组，这个过程变得非常简单：一次配置更新。AlienVault最近进行的一项分析发现，仅在美国东部地区，就有超过20000个数据库允许互联网上的任何人访问它们。

 

动态环境

 

亚马逊EC2是一个非常动态的环境。一些用户设计他们的系统来适应这种情况，以便根据需求进行弹性扩展，而其他用户则发现他们的系统只需要重新启动和重新部署，就可以在EC2中有效地运行。

在EC2环境中进行安全监控和事件响应时，这会带来实质性的影响。在传统环境中，IP地址等标识符可用于法医分析，系统相对静态。

这意味着几周前开始的事件可能会在仍在运行的系统上留下证据。这些假设在动态环境中是无效的。为了遵循安全监控最佳实践，重要的是在捕获的安全数据和环境中运行的实例之间提供具体的关系。此外，动态收集用于事件响应的数据也是关键。

 

美国石油学会

 

AWS中安全监控的最终含义是一个重要的含义：Amazon API控制环境中采取的所有操作。虽然这提供了急需的自动化，但也意味着该API的恶意用户可能会很快造成重大损害。

在传统环境中，这是通过限制对机器的物理访问来解决的，当使用IPMI之类的东西时，访问（希望）仅限于专用的管理网络。

最好的做法是使用相同级别的投入来保护、监视和控制对Amazon API的访问。

 

总结

 

重要的是要理解上面列出的对AWS等环境中的有效威胁检测和事件响应的影响。

AlienVault已经接受了所有这些影响，并创建了一个全新的安全监控产品，它是AWS的原生产品；AWS的统一安全管理（USM）。USM for AWS提供了与Amazon API的深度集成，以解决从实体数据中心移植的更传统技术的缺点。

此外，它还提供了一个全新的AWS基础设施评估引擎，用于检测不安全的配置，并帮助用户审核其环境。对于那些需要在这些环境中获得可见性并检测恶意活动的人来说，这是向前迈出的重要一步。

使用USM for Amazon Web Services，您可以回答以下问题：

• 哪些用户正在访问API？
• 他们从哪里登录？
• 昨晚谁终止了我正在工作的机器？
• 有人扰乱我的安全小组吗？
• 开发人员是否打开了一个端口来调试我的生产机器？
• 有人泄露了我的API凭据吗？
• 我的windows服务器是否与已知的命令和控制服务器通信？
• 黑客正在扫描我的基础设施吗？
• 我的机器是否存在已知的漏洞？