AWS：如何思考云安全治理

當(dāng)客戶首次遷移到云時(shí)，他們的本能可能是基于一個(gè)或多個(gè)與其行業(yè)相關(guān)的監(jiān)管框架來構(gòu)建云安全治理模型。盡管這可能是有用的第一步，但組織了解其工作負(fù)載的控制目標(biāo)也至關(guān)重要。

在本文中，我們將討論您需要在組織上和技術(shù)上使用Amazon Web Services（AWS）進(jìn)行哪些操作，以構(gòu)建有效的治理模型。邁向云計(jì)算第一步的人可以使用此文章來指導(dǎo)他們的思考。對(duì)于已經(jīng)在云中運(yùn)行了一段時(shí)間的人們來評(píng)估他們當(dāng)前的治理方法，它也可以作為有用的上下文。

但是在建立模型之前，重要的是要了解什么是治理并考慮為什么需要它。治理是組織如何確保所有團(tuán)隊(duì)中策略的一致應(yīng)用。實(shí)施一致治理的最佳方法是將盡可能多的過程進(jìn)行編纂。尤其是，安全治理用于通過定義策略和控制來管理風(fēng)險(xiǎn)來支持業(yè)務(wù)目標(biāo)。

遷移到云為您提供了一個(gè)機(jī)會(huì)，可以更快地交付功能，以更加敏捷的方式對(duì)瞬息萬變的世界做出反應(yīng)，并將決策權(quán)交還給最接近企業(yè)的人員。在這種快節(jié)奏的環(huán)境中，重要的是要有一種方法來保持一致性，可伸縮性和安全性。這就是強(qiáng)大的治理模型可以提供幫助的地方。

為您的組織創(chuàng)建正確的治理模型似乎是一項(xiàng)復(fù)雜的任務(wù)，但并非必須如此。

構(gòu)架

許多客戶使用與其行業(yè)相關(guān)的標(biāo)準(zhǔn)框架來告知其決策過程。通常用于開發(fā)安全治理模型的一些框架包括：NIST網(wǎng)絡(luò)安全框架（CSF），信息安全注冊(cè)評(píng)估員計(jì)劃（IRAP），支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）或ISO/IEC 27001：2013

這些標(biāo)準(zhǔn)中的某些提供了特定于特定監(jiān)管機(jī)構(gòu)或地區(qū)的要求，而其他標(biāo)準(zhǔn)則提供了更廣泛的適用范圍-您應(yīng)選擇適合組織需求的標(biāo)準(zhǔn)。

雖然框架對(duì)于設(shè)置安全程序的上下文并為治理模型提供指導(dǎo)很有用，但您不應(yīng)僅為特定標(biāo)準(zhǔn)上的復(fù)選框構(gòu)建任何框架。至關(guān)重要的是，您應(yīng)該首先構(gòu)建安全性，然后再使用合規(guī)性標(biāo)準(zhǔn)來證明您在做正確的事情。

控制目標(biāo)

選擇要使用的框架后，接下來要考慮的是控件。控制是基于技術(shù)或過程的實(shí)施，旨在確保將已識(shí)別風(fēng)險(xiǎn)的可能性或后果降低到組織風(fēng)險(xiǎn)承受力可接受的水平?？丶纠ǚ阑饓?，日志記錄機(jī)制，訪問管理工具等。

控制將隨著時(shí)間而發(fā)展；有時(shí)，他們?cè)诓捎迷频脑缙陔A段會(huì)非常迅速地這樣做。在這種快速發(fā)展的過程中，僅關(guān)注控件的實(shí)現(xiàn)而不是目標(biāo)是很容易的。但是，如果您想構(gòu)建一個(gè)強(qiáng)大而有用的治理模型，則一定不要忽視控制目標(biāo)。

考慮防火墻的示例。使用防火墻時(shí)，將實(shí)現(xiàn)控件。目的是確保只有應(yīng)該到達(dá)您的環(huán)境的流量才能到達(dá)它。盡管防火墻是實(shí)現(xiàn)此目標(biāo)的一種方法，但是您可以使用Amazon Virtual Private Cloud（Amazon VPC）安全組，AWS WAF和Amazon VPC網(wǎng)絡(luò)訪問控制列表（ACL），通過分層的方法來實(shí)現(xiàn)相同的結(jié)果。將控制實(shí)現(xiàn)拆分到多個(gè)位置可以使工作負(fù)載所有者在自動(dòng)交付基準(zhǔn)狀態(tài)時(shí)在配置資源方面具有更大的靈活性。

并非業(yè)務(wù)的所有領(lǐng)域都必須具有相同的云成熟度級(jí)別，或使用相同的方法來部署或運(yùn)行工作負(fù)載。作為安全架構(gòu)師，您的工作是幫助業(yè)務(wù)的不同部分以適合其成熟度或特定工作量的方式交付結(jié)果。

幫助實(shí)現(xiàn)此目標(biāo)的最佳方法是使組織的安全部門清楚地傳達(dá)必要的控制目標(biāo)。作為安全架構(gòu)師，如果目標(biāo)得到了很好的交流，就可以輕松討論應(yīng)用程序中需要調(diào)整的內(nèi)容。如果工作負(fù)載所有者不知道自己必須滿足某些安全期望，則要困難得多。

安全的工作是什么？

在AWS，我們與眾多行業(yè)的客戶交流。對(duì)話中經(jīng)常出現(xiàn)的一件事是如何幫助客戶了解其安全團(tuán)隊(duì)在分布式云感知環(huán)境中的角色。答案始終是相同的：作為安全人員，我們?cè)谶@里幫助企業(yè)安全地部署和運(yùn)行應(yīng)用程序。我們的工作是在滿足安全性，風(fēng)險(xiǎn)和合規(guī)性要求的同時(shí)，指導(dǎo)和培訓(xùn)組織的其他成員以最佳方式實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。

那你怎么做呢？

技術(shù)和文化對(duì)于組織的安全態(tài)勢(shì)都很重要，并且可以相互促進(jìn)。AWS是擁有強(qiáng)大的安全所有權(quán)文化的組織的一個(gè)很好的例子。所有客戶都可以擺脫AWS的一件事：安全是每個(gè)人的工作。當(dāng)您了解了這一點(diǎn)之后，就可以輕松構(gòu)建使適當(dāng)?shù)陌踩刂颇繕?biāo)的配置和操作變?yōu)楝F(xiàn)實(shí)的機(jī)制。

您構(gòu)建的云環(huán)境在兩個(gè)關(guān)鍵方面對(duì)實(shí)現(xiàn)該目標(biāo)大有幫助。首先，它為平臺(tái)上的人員提供護(hù)欄和自動(dòng)指導(dǎo)。其次，它允許解決方案擴(kuò)展。

組織遇到的挑戰(zhàn)之一是開發(fā)人員多于安全人員。由人類查看體系結(jié)構(gòu)圖執(zhí)行的時(shí)間點(diǎn)風(fēng)險(xiǎn)和控制評(píng)估的傳統(tǒng)方法無法擴(kuò)展。您需要一種在不增加人員數(shù)量的情況下擴(kuò)展知識(shí)和能力的方法。實(shí)現(xiàn)此目標(biāo)的最佳方法是在構(gòu)建和發(fā)布過程的早期盡可能多地進(jìn)行整理。

一種實(shí)現(xiàn)方法是自行將AWS平臺(tái)作為產(chǎn)品運(yùn)行。團(tuán)隊(duì)成員應(yīng)該能夠提交功能請(qǐng)求，并且應(yīng)該對(duì)通過平臺(tái)啟用的功能進(jìn)行度量。構(gòu)建工作負(fù)載的團(tuán)隊(duì)可以從平臺(tái)繼承的安全能力越強(qiáng)，他們?cè)诠ぷ髫?fù)載級(jí)別上實(shí)施的次數(shù)就越少，他們花在產(chǎn)品功能上的時(shí)間就越多?？倳?huì)有一些安全控制目標(biāo)，這些目標(biāo)只能通過特定配置在工作負(fù)載級(jí)別上實(shí)現(xiàn)；這應(yīng)該建立在從云平臺(tái)繼承的內(nèi)容之上。您的安全團(tuán)隊(duì)和其他團(tuán)隊(duì)需要共同努力，以確保云平臺(tái)提供的功能可用來幫助人們安全地構(gòu)建和發(fā)布。

我們要強(qiáng)調(diào)的治理模型的一部分是平臺(tái)啟動(dòng)的概念。治理模型的這一部分的思想是快速，一致地獲得一組基線控制，這些控件使您能夠在特定環(huán)境中安全地使用服務(wù)。一個(gè)很好的例子是使開發(fā)人員能夠使用實(shí)驗(yàn)帳戶評(píng)估服務(wù)。為了支持此過程，您不想花費(fèi)很長(zhǎng)時(shí)間為每種可能的結(jié)果構(gòu)建控件。最好的方法是利用云平臺(tái)提供的基礎(chǔ)控件作為起點(diǎn)。諸如聯(lián)合身份驗(yàn)證，日志記錄和服務(wù)控制策略之類的內(nèi)容可用于提供保護(hù)欄，使您能夠快速使用服務(wù)。在評(píng)估服務(wù)時(shí)，

AWS架構(gòu)完善的框架

您使用的云平臺(tái)是許多安全控件的基礎(chǔ)。這些聯(lián)邦，日志記錄，服務(wù)控制策略和自動(dòng)響應(yīng)的防護(hù)欄適用于所有類型的工作負(fù)載。AWS架構(gòu)完善的框架中的安全性支柱基于其他風(fēng)險(xiǎn)管理和合規(guī)性框架，為您提供最佳實(shí)踐，并幫助您評(píng)估架構(gòu)。這些最佳實(shí)踐是尋找在云中構(gòu)建時(shí)應(yīng)該做什么的好地方。類別（身份和訪問管理，檢測(cè)，基礎(chǔ)架構(gòu)保護(hù)，數(shù)據(jù)保護(hù)和事件響應(yīng)）與在AWS中構(gòu)建時(shí)要重點(diǎn)關(guān)注的最重要領(lǐng)域保持一致。

例如，身份是云環(huán)境中的基礎(chǔ)控件。AWS架構(gòu)完善的安全性最佳實(shí)踐之一是“依靠集中式身份提供商”。您可以為此目的使用AWS Single Sign-On（AWS SSO）或等效的集中式機(jī)制。如果集中您的身份提供者，則可以對(duì)用戶執(zhí)行身份生命周期管理，向他們提供對(duì)所需資源的訪問權(quán)限，并支持在團(tuán)隊(duì)之間移動(dòng)的用戶。這可以適用于您的AWS環(huán)境中的多個(gè)AWS賬戶。AWS Organizations使用服務(wù)控制策略使您能夠在特定環(huán)境中使用一部分AWS服務(wù)；這是以身份為中心的方式提供防護(hù)欄。

除了聯(lián)合用戶外，在整個(gè)環(huán)境中啟用日志記錄和監(jiān)視服務(wù)也很重要。這樣，您可以在發(fā)生意外情況時(shí)生成事件，例如，用戶試圖調(diào)用AWS Key Management Service（AWS KMS）來解密他們應(yīng)該訪問的數(shù)據(jù)。安全地存儲(chǔ)日志意味著您可以執(zhí)行調(diào)查以確定可能遇到的任何問題的原因。使用Amazon GuardDuty和AWS CloudTrail并啟用了一組AWS Config規(guī)則的AWS客戶在構(gòu)建應(yīng)用程序時(shí)可以訪問安全監(jiān)控和日志記錄功能。

夾心蛋糕模型

當(dāng)您考慮云安全性時(shí)，我們發(fā)現(xiàn)將層蛋糕用作良好的心理模型很有用。蛋糕的基礎(chǔ)是對(duì)AWS提供的線下功能的理解。這包括自助提供來自AWS Artifact的合規(guī)性文檔，以及了解AWS共同責(zé)任模型。

蛋糕的中間是基本控件，包括本文前面描述的控件。這是最重要的一層，因?yàn)樗强刂谱疃嗟牡胤剑虼藢?duì)于安全團(tuán)隊(duì)來說是最大的價(jià)值。您可以將其描述為“一次解決，多次使用”的層。

最重要的是應(yīng)用程序?qū)Ｓ脤?。該層包括更多與上下文相關(guān)的內(nèi)容，例如某種類型的應(yīng)用程序或數(shù)據(jù)分類的正確控制目標(biāo)。中間層的工作有助于支持該層，因?yàn)橹虚g層提供了使自動(dòng)交付頂層功能更容易的機(jī)制。

中間和頂層不僅是技術(shù)層。它們還包括方程式的人員和過程部分。正是該技術(shù)可以支持流程。

要注意的一件事是，在允許企業(yè)使用服務(wù)之前，您不應(yīng)該嘗試定義服務(wù)的所有可能控件。利用組織中的各種環(huán)境（實(shí)驗(yàn)，開發(fā)，測(cè)試和生產(chǎn)），以最少的防護(hù)欄盡可能快地將服務(wù)提供給開發(fā)人員，以避免意外配置錯(cuò)誤。然后，使用評(píng)估服務(wù)的時(shí)間與開發(fā)人員就控件實(shí)現(xiàn)進(jìn)行協(xié)作。然后可以將控制實(shí)現(xiàn)滾動(dòng)到蛋糕的中間層，并且服務(wù)可以被業(yè)務(wù)的其他部分采用。

這也是應(yīng)用實(shí)用威脅建模技術(shù)的理想時(shí)機(jī)，這樣您就可以了解必須解決的威脅和風(fēng)險(xiǎn)。與您的企業(yè)合作以定義推薦的實(shí)施模式也有助于提供有關(guān)通常如何使用服務(wù)的上下文。這意味著您可以專注于最相關(guān)的控件。

架構(gòu)，平臺(tái)或云卓越中心（CoE）團(tuán)隊(duì)可以在此階段提供幫助。他們可能會(huì)快速確定AWS服務(wù)是否適合您組織的架構(gòu)方向。這種快速分類有助于安全團(tuán)隊(duì)集中精力幫助企業(yè)安全地獲得服務(wù)，而不會(huì)被視為阻礙采用。簡(jiǎn)化新服務(wù)使用的一種有效機(jī)制是確保積壓的情況得到很好的傳達(dá)，通常是在平臺(tái)團(tuán)隊(duì)Wiki上進(jìn)行。這有助于組織的安全和非安全部分將時(shí)間優(yōu)先用于提供最大業(yè)務(wù)價(jià)值的服務(wù)。一致的開發(fā)方法意味著所使用的服務(wù)可能正在組織中的更多地方使用。

簡(jiǎn)單性，指標(biāo)和文化

世界瞬息萬變。您不僅可以定義安全狀態(tài)和控制目標(biāo)，然后再走開。推出了新的服務(wù)，這些服務(wù)使執(zhí)行更復(fù)雜的事情變得更加容易，業(yè)務(wù)優(yōu)先級(jí)發(fā)生了變化，并且威脅形勢(shì)在不斷發(fā)展。您如何跟上所有這些？

答案是簡(jiǎn)單性，指標(biāo)和文化的結(jié)合。

簡(jiǎn)單很難，但很有用。例如，如果您有100個(gè)應(yīng)用程序團(tuán)隊(duì)都以不同的方式構(gòu)建，那么您必須確保明智地定義了許多不同的配置。理想情況下，您可以通過編程方式執(zhí)行此操作，這意味著定義和維護(hù)該組安全控件的工作非常重要。如果您有100個(gè)應(yīng)用程序團(tuán)隊(duì)僅使用10種主要模式，則構(gòu)建控件會(huì)更容易。這具有減少操作結(jié)束時(shí)的復(fù)雜性的額外好處，這適用于日常操作和事件響應(yīng)?？刂骗h(huán)境的簡(jiǎn)化意味著您的監(jiān)視變得不那么復(fù)雜，故障排除也更容易，并且人們有時(shí)間專注于開發(fā)新的控制或流程。

指標(biāo)很重要，因?yàn)槟梢愿鶕?jù)數(shù)據(jù)做出明智的決策。度量有用的一個(gè)很好的例子是打補(bǔ)丁。修補(bǔ)是改善安全狀況的最簡(jiǎn)單方法之一。擁有補(bǔ)丁程序使用期限的度量標(biāo)準(zhǔn)（在該信息對(duì)您的環(huán)境最重要的位置）上顯示，使您可以專注于最有價(jià)值的領(lǐng)域。例如，邊緣邊緣的基礎(chǔ)架構(gòu)比多層控件背后的基礎(chǔ)架構(gòu)更重要，以保持補(bǔ)丁狀態(tài)。您應(yīng)該修補(bǔ)所有內(nèi)容，但需要在應(yīng)用程序團(tuán)隊(duì)的構(gòu)建和發(fā)布周期中使其變得容易。向團(tuán)隊(duì)和領(lǐng)導(dǎo)層公開指標(biāo)可幫助您的組織從業(yè)務(wù)的高效領(lǐng)域中學(xué)習(xí)。這些團(tuán)隊(duì)可能定期滿足修補(bǔ)要求，或者需要補(bǔ)救滲透測(cè)試結(jié)果的情況很少。有關(guān)控制有效性的度量標(biāo)準(zhǔn)和數(shù)據(jù)使您能夠在內(nèi)部和外部提供保證您已達(dá)到控制目標(biāo)。

這將我們帶入文化。我們認(rèn)為，將安全性作為促成因素是最重要的概念。您必須構(gòu)建使組織中的人員能夠最安全地選擇安全配置或設(shè)計(jì)的功能。這就是安全性的作用。您還應(yīng)該確保在出現(xiàn)問題時(shí)，您的安全團(tuán)隊(duì)與企業(yè)合作，以幫助所有人了解原因并為下一次改進(jìn)。

AWS具有一種對(duì)所有事物都使用故障單的文化。如果我們的員工認(rèn)為他們有安全問題，我們會(huì)告訴他們開票；如果不確定他們是否存在安全問題，我們會(huì)告訴他們無論如何都要開票以獲取指導(dǎo)。這種文化鼓勵(lì)人們交流和幫助手段，以便我們盡早發(fā)現(xiàn)并解決問題。不那么認(rèn)真思考的問題可以迅速降級(jí)。這種售票文化為我們提供了數(shù)據(jù)，以告知我們構(gòu)建的內(nèi)容，從而幫助人們更加安全。您可以在自己的環(huán)境中開始使用這樣的系統(tǒng)，或者如果已經(jīng)啟動(dòng)，則希望擴(kuò)展功能。

根據(jù)我們的建議，在您所有帳戶中啟用GuardDuty。我們建議將由此產(chǎn)生的高中警報(bào)發(fā)送到票務(wù)系統(tǒng)。查看如何解決這些問題，并使用它來確定接下來的兩周工作的優(yōu)先級(jí)?，F(xiàn)在，您可以構(gòu)建自動(dòng)化以解決問題，更重要的是，可以構(gòu)建以防止問題首先發(fā)生。問問自己，“我需要什么信息來診斷問題？”然后，構(gòu)建自動(dòng)化以豐富發(fā)現(xiàn)，以便您的票證具有該上下文。迭代自動(dòng)化以了解上下文。例如，您可能希望包含信息以顯示環(huán)境是生產(chǎn)環(huán)境還是非生產(chǎn)環(huán)境。

請(qǐng)注意，在非生產(chǎn)環(huán)境中具有類似于生產(chǎn)的控件意味著您減少了部署失敗的機(jī)會(huì)。它還使團(tuán)隊(duì)習(xí)慣于在安全護(hù)欄內(nèi)工作。在此過程的早期，這增加了嚴(yán)格性，并且也可以幫助您的變更管理團(tuán)隊(duì)。

摘要

您使用什么安全框架或標(biāo)準(zhǔn)來告知業(yè)務(wù)都沒有關(guān)系，甚至可能不符合特定的行業(yè)標(biāo)準(zhǔn)。重要的是建立一個(gè)治理模型，該模型使組織中的人員能夠始終如一地做出良好的安全決策，并為安全團(tuán)隊(duì)提供實(shí)現(xiàn)此目標(biāo)的能力。要開始或繼續(xù)發(fā)展您的治理模型，請(qǐng)遵循AWS架構(gòu)完善的安全最佳實(shí)踐。然后，確保您實(shí)施的平臺(tái)可幫助您實(shí)現(xiàn)基本的安全控制目標(biāo)，以便您的企業(yè)可以將更多的時(shí)間花費(fèi)在針對(duì)其工作負(fù)載的業(yè)務(wù)邏輯和安全配置上。

您做出的技術(shù)和管理選擇是建立積極的安全文化的第一步。安全是每個(gè)人的工作，并且是確保平臺(tái)，自動(dòng)化和指標(biāo)支持使這項(xiàng)工作變得容易的關(guān)鍵。

我們?cè)谶@篇文章中討論的重點(diǎn)領(lǐng)域是使安全成為業(yè)務(wù)的推動(dòng)力，并最終幫助您更好地幫助客戶并通過所做的一切贏得客戶的信任。

保羅·霍金斯

Paul幫助各種規(guī)模的客戶了解如何考慮云安全性，以便他們可以構(gòu)建將安全性作為業(yè)務(wù)推動(dòng)力的技術(shù)和文化。他對(duì)安全性持樂觀態(tài)度，并認(rèn)為正確建立基礎(chǔ)是改善安全性的關(guān)鍵。

麥迪·培根

Maddie（她）是AWS Security的技術(shù)作家，熱衷于創(chuàng)建有意義的內(nèi)容。她之前曾在TechTarget擔(dān)任安全記者和編輯，并擁有數(shù)學(xué)學(xué)士學(xué)位。在業(yè)余時(shí)間，她喜歡閱讀，旅行以及哈利·波特的所有事物。