使用 AWS 增強電信安全

如果你想直接查看 CISA 指導與 AWS 安全控制和最佳實踐之間的詳細對應，請訪問我們的 Github 頁面。

實施 CISA 增強的通信基礎設施可見性和加固指導

針對近期歸因於中華人民共和國行為者的網絡安全事件，由美國網絡安全和基礎設施安全局 (CISA) 領導的多個網絡安全機構聯合發布了保護通信基礎設施的綜合指導。隨著通信服務提供商 (CSPs) 將其工作負載遷移到雲端，他們必須在雲環境中有效地實施這些安全措施。

這篇博客文章描述了 CSPs 如何利用亞馬遜網絡服務 (AWS) 的功能來實施這些指導，同時享受雲端的優勢。

該指導專注於兩個關鍵領域：

增強可見性：

使安全團隊能夠通過全面的數字資產可見性來監控、檢測和應對潛在威脅。

加固系統和設備：

實施強大的安全控制和配置，以減少漏洞並幫助防止未經授權的訪問。

雲端基本概念概述

在探索本文中的具體指導之前，了解安全建議如何在公共雲環境中與私有基礎設施不同地應用是很重要的。電信行業的一個常見趨勢是將公共雲視為私有雲的擴展版本。這可能導致對安全能力的誤解以及對公共雲原生安全功能的未充分利用。

根本的區別在於公共雲的架構設計——專為多租戶設計，強大的租戶隔離是其設計的基石。在 AWS 中，虛擬資源默認是隔離的，需要明確配置才能互聯。例如，當你使用 Amazon VPC 創建虛擬私有雲 (VPC) 時，這個邏輯隔離的網絡不允許入站或出站流量，直到明確配置了特定路由和端口。同樣，Amazon S3 存儲桶默認是私有的，需要明確配置才能授予訪問權限。這種隔離擴展到我們虛擬化基礎設施的核心，通過 AWS Nitro 系統提供前所未有的工作負載隔離——即使是擁有最高權限的 AWS 操作員也無法技術上訪問客戶工作負載。此外，在 Nitro 系統基礎上的虛擬機之間或我們全球骨幹網絡之間移動的數據會自動加密，提供了超越客戶實施的加密的額外保護層。

這種安全設計和安全默認的理念貫穿於 AWS 服務設計和運營中。這不僅僅是一個設計選擇——它是一個由運營韌性和客戶對公共雲模型的信任的關鍵需求驅動的商業必需品。我們對這類原則的承諾反映在我們作為 CISA 安全設計承諾的簽署方中。

當 AWS 客戶在公共雲中運行時，了解共享責任模型至關重要。這個模型清楚地劃分了安全責任：AWS 負責雲的安全，而客戶負責雲中的安全。這種責任劃分顯著減少了你的運營負擔，因為 AWS 承擔了保護其提供的雲服務的所有內容和內部安全的責任，直至數據中心的物理保護。因此，你可以將你的安全資源集中在最重要的地方——保護你的應用程序和工作負載——而 AWS 負責基礎設施安全的非差異化繁重工作。

在考慮公共雲運營固有的規模經濟時，這種共享責任模型變得更加有利。AWS 的巨大規模使我們能夠在保護基礎方面投入更多資源，這比單個企業獨立實現的要多，創造了一個安全乘數效應，惠及所有客戶。這種規模優勢的一個引人注目的例子是我們全面的威脅情報計劃，該計劃在我們的全球網絡中部署蜜罐傳感器。這些傳感器每天觀察超過 1 億次潛在威脅互動和探測。使用人工智能和機器學習 (AI/ML)，我們分析這些信息並迅速採取行動，通常是自動化行動來緩解威脅。僅在 2023 年上半年，這個計劃就使我們能夠拆除大約 230,000 次第 7 層分佈式拒絕服務 (DDoS) 事件的來源。我們還通過 Amazon GuardDuty 等服務向客戶提供這些情報，將我們規模的好處擴展給客戶。

AWS 的運營規模不僅使卓越的威脅情報成為可能，還需要我們的安全運營進行廣泛的自動化。多個例行任務，如功能和補丁部署以及配置更新，都是通過部署管道完全自動化的。自動化的額外好處是將人從流程中移除，從而減少錯誤的機會。

我們的規模還促進了我們在多個行業和司法管轄區的安全標準的全面合規。我們的全球存在和多樣化的客戶群需要遵守全球最嚴格的安全要求。通過 AWS 合規計劃，我們已經獲得了 143 項安全標準和合規認證，涵蓋從雲安全和隱私的 ISO 標準到金融和醫療保健行業的行業特定法規，以及政府安全計劃。這包括對我們關於 Nitro 系統虛擬化基礎設施隔離屬性的聲明的獨立驗證。因此，你可以從這種規模驅動的合規中受益，獲得一個實施最先進安全系統的安全、認證的基礎設施。

這些是為什麼在一篇題為《為什麼雲優先不是安全問題》的博客文章中，英國國家網絡安全中心得出結論「安全地使用雲應該是你的主要關注點——而不是公共雲的底層安全。」

另一方面，私有雲通常由單個組織控制，並且是單租戶的，提供相對較弱的工作負載隔離。私有雲中的虛擬資源通常在創建時默認是互聯的，因此需要明確的步驟來增加隔離。手動操作，既有可能出錯的機會，也有潛在的威脅行為者的參與，通常仍然是私有雲工作流程的一大部分。它們很少經受公共雲例行經受的安全審查水平。這些以及其他差異意味著每個產品中的安全風險本質上是不同的，因此需要相應的不同安全控制和解決方案架構來緩解這些風險。

使用 AWS 實施加固指導

你的雲資源和數據包含在一個 AWS 帳戶中。帳戶充當身份和訪問管理的隔離邊界。當你需要在兩個帳戶之間共享資源和數據時，必須明確允許此訪問。這降低了帳戶之間橫向移動的風險。

正確設計你的 AWS 環境可以為你滿足 CISA 網絡安全指導奠定堅實的基礎。AWS Control Tower 與 AWS Organizations 一起工作，使你能夠基於安全最佳實踐建立一個架構良好的多帳戶環境。

有關為電信工作負載創建安全著陸區的詳細指導，請參閱我們關於此主題的綜合博客文章。

我們分析了 CISA 指導中的建議，並將其分為六個類別，涵蓋兩個關鍵領域。請參閱本文底部鏈接的 GitHub 頁面，其中有關於每個安全措施的相關 AWS 服務的詳細指導，這些服務可以幫助你實施指導中的每個安全措施。

日誌記錄和監控

該類別中的指導強調增加可見性以了解網絡活動的重要性，這對於檢測異常和應對事件至關重要。關鍵安全控制包括：擁有強大的資產管理能力、在各個層級啟用日誌記錄、集中日誌記錄、保護日誌記錄和監控基礎設施，以及使用安全工具檢測異常和事件。

增強的可見性是公共雲模型的固有優勢，特別是在 AWS 中。這種透明性不僅僅是一個附加功能，而是一個由 API 為中心、按需付費的商業模式驅動的基本需求。為了準確計費，AWS 已將全面的跟踪和日誌記錄能力構建到其核心架構中。因此，AWS 提供強大的工具，允許你在網絡工作負載的每一層捕獲、集中和監控日誌。這種可見性遠遠超過傳統基礎設施中通常可實現的水平，為你提供對 IT 資產和用戶活動的前所未有的洞察力。

該領域的另一個關鍵指導是集中安全相關的日誌記錄，同時將日誌記錄基礎設施與其他生產環境隔離。你可以通過在 AWS 中使用 Amazon Security Lake 與 OpenSearch 實施在單獨的帳戶中，並將訪問權限限制為僅安全組織來實施此指導。或者，這個解決方案提供了一個最佳實踐的實施，創建收集和攝取管道，以允許在不使用 Security Lake 的情況下集中和檢查 AWS 工作負載中的日誌來源。

配置和變更管理

該類別中的指導強調配置的集中、安全和保護。它強調檢測和提供未經授權修改的警報、審核配置的合規性，以及自動化例行更改的變更管理過程，以最小化意外偏移。

在 AWS 中，你可以將基礎設施和配置作為代碼實施，這允許在存儲庫中集中存儲配置，通過版本控制跟踪更改，並通過批准的變更管理過程實施更改。你可以使用代碼存儲庫和持續集成和持續交付 (CI/CD) 管道來自動化這些配置的實施，幫助你提高部署速度、保持一致性、簡化管理並實施嚴格且可審計的變更控制過程。

無論基礎設施如何部署和管理，你都可以使用 AWS Config 服務自動跟踪超過 100 種 AWS 服務及其資源類型的廣泛配置信息的當前狀態和歷史記錄。你還可以編寫自定義 AWS Config 規則，以便在敏感資源被修改時自動採取行動，或者利用 AWS Config 中的 400 多個 AWS 管理規則，當關鍵資源改變狀態時發送警報或創建自動補救措施。

身份和訪問管理

該類別中的指導強調主動帳戶和權限管理、使用抗釣魚身份驗證方法、通過基於角色的訪問控制實施最小特權、管理緊急訪問和限制會話的重要性。

身份驗證和授權是訪問控制的關鍵組成部分，通過 AWS Identity and Access Management (IAM)、AWS IAM Identity Center 和 AWS Organizations 進行管理。AWS 為你提供管理跨身份、資源和服務的權限的能力，包括強制要求登錄時使用多因素身份驗證 (MFA)。此外，這些能力支持客戶遵循最小特權原則，通過使用 AWS Security Token Service (AWS STS) 鼓勵基於會話的時間限制憑證管理。

在雲中運行的需要調用雲 API 的軟件會自動通過 IAM 角色為 Amazon EC2、Amazon ECS、Amazon EKS 和 AWS Lambda 獲得其臨時且頻繁旋轉的憑證，幫助消除可能洩露或被破壞的長期憑證的需求。從本地軟件訪問雲 API 可以通過使用 AWS IAM Roles Anywhere 從企業身份管理技術安全地啟動。你甚至可以通過結合角色和使用 AWS Secrets Manager 來保護和自動旋轉秘密（如數據庫密碼），來保護對非雲技術的身份驗證。

網絡和流量管理

該類別中的指導強調分段工作負載和網絡以限制橫向移動和暴露於互聯網的潛力，通過使用策略監控和調節流量流，並保護未使用的端口。

你可以通過 VPC 和子網實現網絡微分段，這是現代安全架構的一個關鍵方面。例如，你可以通過將應用程序的面向互聯網的組件與不需要此類訪問的組件分開放置在不同的 VPC 中，並僅在需要的 VPC 上啟用互聯網訪問來隔離它們。你可以通過使用多種網絡服務（如路由表、互聯網網關、傳輸網關和防火牆服務）來控制段內和段間的流量流。這種分段最大限度地減少了來自互聯網的未經授權活動的風險，並在發生漏洞時限制橫向移動的潛力。

要實施有關帶外管理的指導，你可以通過使用子網將管理流量與網絡信令流量分開來設計你的網絡連接——例如，一個 EC2 實例可以有多個彈性網絡接口 (ENIs) 附加到不同的子網甚至不同的 VPC：一個只允許管理流量，另一個只允許信令流量。

使用強加密技術加密靜態和流動數據

該類別中的指導強調使用強大的密碼套件、安全版本的加密協議和基於 PKI 的證書來保護靜態和流動數據。

加密是數據保護的基石，在 AWS 產品中得到了全面的解決。AWS 服務的 API 端點支持 TLS 1.3（最低支持 TLS 1.2），具有安全的基於標準的密碼套件、加密密鑰和先進的安全功能，如 HKDF（基於 HMAC 的提取和擴展密鑰派生函數）以增強安全性。管理客戶秘密的 AWS 服務還支持後量子加密。例如，AWS Key Management Service (AWS KMS)、AWS Certificate Manager 和 AWS Secrets Manager 支持 TLS 網絡加密協議的混合後量子密鑰交換選項。在使用邊界網關協議 (BGP) 時，AWS 使用資源公共密鑰基礎設施 (RPKI) 和路由來源授權 (ROA) 來保護亞馬遜 IP 地址空間和路由免受錯誤配置和劫持。

你還可以使用 AWS 加密服務，如 AWS KMS、AWS CloudHSM 和 AWS Certificate Manager，來幫助保護流動和靜態數據。你在 AWS KMS 中創建的密鑰受到 FIPS 140-2 Level 3 驗證的硬件安全模塊 (HSM) 的保護，並且沒有任何機制可以讓任何人，包括 AWS 服務操作員，查看、訪問或導出明文密鑰材料。

AWS Secrets Manager 幫助你安全地管理、檢索和旋轉數據庫憑證、應用程序憑證、OAuth 令牌、API 密鑰和其他秘密，貫穿其生命周期。關於 AWS 加密解決方案和最佳實踐的更多詳細信息，請參閱 AWS 服務的加密最佳實踐。

漏洞管理

該指導強調通過適當的生命周期管理、定期補丁和消除不安全協議來最大限度地減少利用風險。AWS 通過共享責任和創新的架構方法幫助解決這些要求。

根據共享責任模型，AWS 管理底層基礎設施的安全性。這包括保持系統和服務的最新狀態，禁用不安全的協議和未使用的端口，並提供安全公告以便及時通知漏洞。AWS 服務通過合同定義的條款提供支持，因此你不需要擔心基礎設施組件的終止。

對於你的應用程序，AWS 通過短暫資源和不可變基礎設施啟用了一種變革性的方法來管理漏洞。與其維護需要持續補丁的長期實例，不如維護一個單一的、加固的、經常更新的 Amazon Machine Image (AMI) 作為你的黃金映像。當需要更新時，與其補丁運行中的實例，不如簡單地部署新的實例，從更新的 AMI 安裝你的應用程序代碼。類似的方法也適用於基於容器的工作負載。基於 AWS Lambda 的工作負載進一步減少了你的補丁責任，因為只有包含你的業務邏輯的代碼（以及你選擇的任何支持層）需要更新——AWS 自動修補底層的超級管理程序、操作系統和容器。這種方法使你能夠保持系統處於已知的安全狀態，同時減少威脅面和運營開銷。你可以通過使用 AWS 網絡功能（如安全組）來禁用不安全的協議（如強制使用 HTTPS 而不是 HTTP）來進一步增強安全性。

結論

網絡安全機構的綜合指導為保護電信基礎設施提供了關鍵框架。正如本文所示，AWS 提供了一套強大的原生服務和功能，與 CISA 和盟國政府的建議保持一致。從通過日誌記錄和監控增強可見性，到強大的身份管理、網絡分段、加密和漏洞管理，AWS 提供了你需要的工具，以有效地實施這些安全控制，同時保持運營效率。共享責任模型，加上 AWS 在安全方面的持續創新，使電信公司能夠構建和維護有彈性、安全的雲環境。

訪問我們的 GitHub 頁面，了解有關使用 AWS 服務實施 CISA 指導的詳細信息。

如果你對本文有反饋，請在下方的評論部分提交評論。如果你對本文有疑問，請聯繫 AWS 支持。

Kal Krishnan
Kal 是 AWS 安全的電信行業專家。自 2019 年以來，他領導了一個全球計劃，專注於幫助 AWS 電信客戶在雲端旅程中實現安全和合規目標。他在多代移動網絡技術方面擁有超過 25 年的經驗。在加入 AWS 之前，他是一名緊急呼叫和無線定位領域的技術專家。