被DDoS?来看看AWS的5把安全利剑
现在,运行在云上的应用随时面临来自黑客的严重威胁。数据泄露每天都在发生,企业面临着许多和安全相关的挑战,例如:
- 数据隐私
- 完整性,非身份验证和不可否认性
- 在线攻击:网路钓鱼,中间人攻击,DDoS,SQL注入,Phishing等
这就是为什么在遭受黑客入侵之前保护好运基础架构如此重要。因此,需要配置一套完整的专用于保护云基础架构设施的系统。在本文中,我们将重点关注帮助企业保护AWS基础架构的AWS服务以及一些相关用例。
1. AWS WAF(Web Application Firewall)
什么是WAF?
AWS WAF是一种Web应用程序防火墙,用于监控转发到应用程序负载平衡器(ALB)、Amazon API Gateway或者CloudFront的http和https请求。根据指定的条件(如请求来自某个IP地址或者查询字符串的值),API Gateway,CloudFront或者ALB返回相应的请求或者使用HTTP 403状态码(禁止访问)响应请求。这意味着WAF位于CloudFront,ALB或者API Gateway之上,因此,如果基础架构上没有这些服务,则无法使用AWS WAF。
何时选择WAF?
AWS WAF只允许或阻止web请求,因此,如果您想阻止Web请求,WAF是正确选择,AWS WAF使用规则和条件来限制web请求。有时攻击者会将恶意 SQL 代码插入到 Web 请求中,以试图从数据库提取数据。要允许或阻止表现为包含恶意 SQL 代码的 Web 请求,可以创建一个或多个 SQL 注入匹配条件。SQL 注入匹配条件确定 AWS WAF 应检查的 Web 请求部分(如 URI 或查询字符串)。
例如:
如果希望在网络中使用CloudFront或负载均衡器,但也希望阻止来自攻击者的请求,那么WAF可以提供帮助。有时会看到一些网络请求,其中一个IP不断访问网站,在这种情况下,可以使用WAF来阻止这些IP。
WAF的另一个功能是允许指定的属性匹配请求,因此,如果想根据Web请求中的新属性允许或阻止任何请求,则可以使用AWS WAF。WAF有助于根据这些属性对请求进行计数,一旦确认,就可以允许或阻止这些请求。这有助于避免意外阻止请求。
2. AWS SHIELD
什么是AWS Shield?
AWS Shield是一种托管的分布式拒绝服务(DDoS)保护服务,可保护在AWS上运行的应用程序。AWS Shield分为标准版和高级版。
使用AWS Shield标准版无需额外费用。AWS Shield标准版可抵御针对网站或应用程序的最常见DDoS攻击。
何时选择AWS Shield及其类型?
使用AWS WAF帮助最小化DDoS攻击的影响,因此,何时使用AWS Shield?AWS Shield标准版默认开启,无需额外付费,如果需要针对EC2,负载均衡器,Amazon CloudFront,Amazon Route 53托管区域以及AWS Global Accelerator的DDoS攻击提供扩展保护,可以使用AWS Shield Advanced。
如果具备技术专长并希望通过监控完全控制和缓解第7层攻击,则AWS Shield 标准版可能是合适的选择。但是,如果业务或行业可能是DDoS攻击的目标,或者想让AWS处理针对第3层,第4层和第7层攻击的大部分DDoS保护和缓解,那么AWS Shield Advanced可能是最佳选择。
3. AWS INSPECTOR
什么是AWS Inspector?
Amazon Inspector是一种自动化安全评估服务,可帮助提高AWS上部署的应用程序的安全性和合规性。Amazon Inspector会自动评估漏洞和偏差应用程序的最佳实践,并提供安全问题列表。Amazon Inspector对每个EC2实例评估并验证安全性最佳实践。AWS Inspector是基于标签和代理(安装在目的机器上)的安全评估服务。评估模板查找具有特定标签的EC2实例,以识别评估目标。
何时选择AWS Inspector?
AWS Inspector是一种IDS(入侵检测系统),可帮助检测应用中的漏洞。它仅检测并提供评估报告,但是修复和预防工作需要自己完成。报告会提供有关应用程序易受攻击的程度。AWS Inspector也可以找出应用程序中的内存泄漏。如果发现传输中的数据没有加密,可以使用此服务找出原因。此外,如果要分析网络配置以查找EC2实例的可访问性,那么AWS Inspector是最适合的服务。
4. AWS GuardDuty
什么是GuardDuty?
Amazon GuardDuty是一种监控恶意行为和未经授权行为的威胁检测服务,以保护AWS账户和工作负载。它使用威胁情报源(例如恶意IP和域列表)和机器学习来识别AWS环境中的意外和潜在的未经授权的恶意活动并确定其优先级。GuardDuty通过AWS CloudTrail(帐户中的AWS用户和API活动),Amazon VPC Flow Logs(网络流量数据)和DNS日志(名称查询模式)分析AWS账户中的数十亿个事件。
何时选择亚马逊GuardDuty?
作为威胁检测服务,Amazon GuardDuty可帮助解决权限升级,使用公开凭证或与恶意IP,URL或域进行通信等问题。如果要检测服务于恶意软件或挖掘比特币的受损EC2实例,未经授权的基础架构部署,例如部署在从未使用过的区域中的实例,密码策略更改,异常API调用等,Amazon GuardDuty是最佳服务。
Amazon GuardDuty可以一键式部署,无需部署和管理其他代理或硬件。
5. AWS密钥管理服务(KMS)
什么是KMS?
AWS密钥管理服务(KMS)可以轻松地创建和管理密钥,并控制各种AWS服务和应用程序中加密的使用。AWS KMS与AWS CloudTrail集成来达到记录所有API请求,包括密钥管理操作和密钥使用情况。AWS KMS与AWS服务集成来简化使用秘钥加密AWS工作负载中的数据。
何时选择KMS?
KMS是一种完全托管的服务,可以轻松地在AWS中创建和控制加密密钥。
KMS使用对称加密,这意味着相同的密钥用于加密和解密。如果在静态数据时要获得额外的安全层,那么KMS是您的最佳选择。Amazon KMS几乎与所有AWS服务集成在一起。
加密数据时,数据受到保护,但必须保护好加密秘钥。AWS KMS还可以使用数据密钥加密纯文本数据,并使用另一个密钥加密数据密钥。这称为信封加密。
加密过程:
解密过程:
下表是对五种安全服务的简单总结: