從日誌分析到規則創建：AWS 網路防火牆如何自動化基於域的出站流量安全性

當談到控制進入（入口）和離開（出口）的網路流量時，組織通常會非常重視入口流量控制，仔細限制哪些流量可以進入他們的網路邊界。然而，這種方法只解決了入口安全挑戰。現代應用程式嚴重依賴於作業系統、庫和套件中的第三方代碼。這種依賴可能會產生潛在的安全漏洞。如果這些組件被攻擊，受影響的工作負載可能會嘗試連接到未經授權的指揮和控制伺服器，或將敏感數據發送到互聯網上的未經授權的目的地。

這就是為什麼實施強大的出口流量控制，特別是通過基於網域的允許清單，已成為關鍵的安全最佳實踐。與其允許不受限制的出口訪問或維護不斷增長的低信譽網域拒絕清單，許多組織正在轉向基於網域的允許清單。這種方法限制了對明確信任的網域的出口通信，減少了潛在的風險面，並有助於防範已知和未知的威脅。然而，手動識別和維護這些允許清單傳統上是一個複雜且耗時的過程。

AWS 網路防火牆自動化網域清單改善了對網路流量模式的可見性，並簡化了出口流量控制管理。此功能提供 HTTP 和 HTTPS 網路流量的分析，幫助組織了解網域使用模式。它還自動化防火牆日誌分析，根據您的網路流量創建規則。通過增加可見性和自動化，這一功能增強了您的安全意識，並有助於提高防火牆規則的有效性。

在這篇博客文章中，我們將指導您實施 AWS 網路防火牆自動化網域清單功能，提供詳細的概述、逐步說明和最佳實踐，以優化您的網路安全。

自動化網域清單和流量見解概述

基於網域的安全性允許您根據應用程式和用戶嘗試訪問的網域名稱來控制網路流量。這種方法提供了一種更直觀和靈活的方式來創建防火牆規則，專注於您的網路試圖到達的目的地，而不僅僅是 IP 地址。然而，對於一些客戶來說，有效地配置和管理防火牆規則仍然具有挑戰性，特別是在連接設備、應用程式和流量模式不斷增長和變化的大型環境中。組織可能難以跟上這些變化，導致過時或無效的防火牆規則和政策，這些規則和政策要麼過於寬鬆，使網路面臨風險，要麼過於嚴格，阻止合法流量。

讓我們通過各種用例和好處來探索自動化網域清單如何解決這些挑戰：

預防和檢測安全控制

通過允許清單進行網域控制——建立網域允許清單符合網路流量的最小特權安全原則。最小特權模型調整工作負載在網路上的操作範圍，從無限和未定義到範圍縮小和明確定義，從而更好地洞察潛在的風險行為。通過將出口連接限制到僅批准的網域，組織可以更有效地控制和監控工作負載通信。

規則審核和合規性——網域允許清單明確了允許的網域，支持與支付卡行業數據安全標準（PCI DSS）、健康保險可攜性和責任法案（HIPAA）、網絡安全成熟度模型認證（CMMC）和一般數據保護條例（GDPR）等標準的對齊。

預防控制啟用檢測——預防控制也充當檢測控制，建立正常網域訪問模式的基線。通過網域允許清單，安全團隊可以更好地檢測顯示未經授權活動跡象的工作負載。

事件響應支持——網域報告提供了訪問的工作負載網域的最新列表，能夠在安全事件中快速識別潛在的惡意網域。這些信息幫助團隊優先考慮可能需要立即關注的工作負載。

運營價值

初始防火牆設置和管理——自動化允許清單涉及分析現有流量模式並推薦基於網域的規則，簡化了建立基線防火牆規則的過程。這有助於組織快速部署有效的安全策略，可能減少初始防火牆配置和持續管理所需的時間和專業知識。

應用程式現代化——允許清單支持調整防火牆規則以適應微服務和容器化環境中快速變化的流量模式，幫助安全性跟上不斷演變的架構。

跨環境一致性——允許清單支持在多雲和混合環境中創建和管理一致的防火牆規則，無論應用程式或數據位於何處。

自動化網域清單功能如何運作

自動化網域清單通過分析您的 HTTP 和 HTTPS 流量，生成有關經常訪問的網域的報告，並提供基於實際網路流量模式創建規則的便捷方式。要開始在 AWS 網路防火牆中使用自動化網域清單，請登入 AWS 管理控制台，訪問網路防火牆服務，然後選擇使用現有防火牆或創建新防火牆。然後按照本文中的其餘步驟進行操作。

步驟 1：啟用流量分析模式以捕獲 HTTP 和 HTTPS 流量網域日誌

選擇防火牆後，在左側導航窗格中，選擇配置高級設置。選中啟用流量分析模式複選框以啟用它，如圖 1 所示。網路防火牆使用此日誌模式來收集 HTTP 和 HTTPS 流量中觀察到的網域數據以創建網域報告。

圖 1：為防火牆啟用流量分析模式

要停止收集網路流量中經常訪問的網域數據，請清除複選框以禁用流量分析模式，如圖 2 所示。請注意，如果禁用流量分析模式，您將無法生成網域報告。

Figure 2: Disabling traffic analysis mode

圖 2：禁用流量分析模式

一旦啟用了流量分析模式，您就可以根據觀察到的網路流量生成網域報告。接下來，您可以轉到監控和可觀察性選項卡並選擇創建報告。

Figure 3: Traffic analysis mode enabled: Now you’re ready to generate domain-based reports

圖 3：啟用流量分析模式：現在您可以生成基於網域的報告

步驟 2：創建網域報告

網域報告總結了您的防火牆觀察到的 HTTP 和 HTTPS 流量，最多可達 30 天（或自防火牆啟動以來的時長，如果少於 30 天）。選擇您要包含在報告中的每種流量分析類型的複選框——HTTP、HTTPS 或兩者。

重要提示：使用您的每月網域報告檢查 30 天的流量行為。每種報告類型（HTTP、HTTPS）每 30 天提供一次，無需額外費用。

Figure 4: Create a domain report that includes traffic analysis types HTTP, HTTPS, or both

圖 4：創建包含流量分析類型 HTTP、HTTPS 或兩者的網域報告

要查看您的網域報告的狀態，請轉到您特定防火牆的控制台中的報告部分。當報告準備好時，您可以直接在控制台中查看報告或下載它，如圖 5 所示。

Figure 5: The list of domain reports in the Reports section of the console for your specific firewall

圖 5：您特定防火牆的控制台中報告部分的網域報告列表

步驟 3：查看報告詳情

報告詳情包括流量類型（HTTP 或 HTTPS）和觀察期（開始和結束日期）。默認情況下，報告涵蓋過去 30 天，或自啟用流量分析以來的整個期間（如果少於 30 天）。報告還顯示以下詳細信息：

網域列表顯示在網路流量中觀察到的完全合格網域名稱（FQDN），例如 aws.com 或 subdomain.aws.com。

訪問嘗試計數指的是對網域的連接請求的總計數，包括成功和失敗的嘗試。

唯一來源字段顯示連接到網域的不同源 IP 地址的數量，表明其受歡迎程度。例如，如果一個工作負載連接到 aws.com，則計數 = 1；如果 1000 個工作負載連接到 aws.com，則計數 = 1,000。

首次訪問字段顯示網域首次在您的流量中出現的時間，而最後訪問字段顯示最近一次看到它的時間。這包括對網域的成功和失敗的訪問嘗試。

協議字段指示網域是如何被觀察到的——通過 HTTP 或 HTTPS 流量（換句話說，HTTP 標頭或 TLS 握手）。

圖 6 顯示了一個示例報告。

Figure 6: Example domain report details: 30-day analysis

圖 6：示例網域報告詳情：30 天分析

步驟 4：（可選）創建網域列表規則組

您可以從報告中複製觀察到的網域列表到有狀態的網域列表規則組並更新您的防火牆策略。為此，在報告詳情部分中，選擇創建網域列表組以使用防火牆策略向導創建或更新您的防火牆規則。選定的網域自動複製到網域列表規則組，如圖 7 所示。有關詳細說明，請參閱 AWS 網路防火牆文檔。

Figure 7: Option to copy over the observed domain lists and create a domain list rule group using the firewall policy wizard

圖 7：選擇複製觀察到的網域列表並使用防火牆策略向導創建網域列表規則組

實施網域允許清單的最佳實踐

當您實施網域允許清單時，請考慮以下指南以獲得運營成功。我們建議您還參考您自己的內部合規和安全政策。

從慷慨的允許清單策略開始：
- 最初使用更廣泛和慷慨的允許清單規則，而不是更精細的列表，以減少意外阻止合法網域的風險。
- 專注於達到默認拒絕策略，以便從其風險面減少中受益。
- 為受信任的網域創建靈活的規則，包括二級網域和頂級網域，例如允許訪問您註冊的二級網域下的子網域。或者允許訪問您組織信任的頂級網域下的二級網域，例如 .mil、.gov 或 .edu。
- 使用具有正則表達式功能的自定義 Suricata 規則來有效處理複雜的流量。請參閱網路防火牆的有狀態規則示例。
- 請記住，即使是廣泛的允許清單也比沒有允許清單提供更好的安全性。

進行迭代改進：
- 在您建立初始慷慨的允許清單和默認拒絕規則後，評估規則以確定您可能希望進一步縮小的領域。在通過規則之前使用警報規則，以便記錄通過規則可能允許訪問的特定網域。
- 根據網域信任級別和監控要求調整日誌級別。
- 根據運營見解和不斷變化的需求審查和更新規則。
- 採取務實和迭代的方法來完善規則，而不是試圖使規則集非常嚴格。

設置強大的日誌記錄：
- 啟用流量分析模式後，自動化網域列表功能提供了對網路流量的可見性，報告觀察到的連接。雖然它不區分允許和阻止的流量，但網域列表報告可以幫助您識別最重要的網域以包含在防火牆規則中。
- 用於生成網域建議列表的網域流量數據在啟用流量分析後最多可用 30 天。這使您能夠在優化防火牆策略時專注於最相關和最新的網路活動。
- 自動化網域列表的數據收集是選擇加入的，並獨立於防火牆策略和日誌配置進行。啟用該功能不會影響防火牆本身的性能。

結論

通過 AWS 網路防火牆自動化網域清單，您可以簡化防火牆管理過程，根據實際流量模式創建更有效的規則，並以更少的手動工作量維持強大的安全態勢。此功能幫助您解決常見挑戰，例如跟上快速變化的應用程式環境、管理複雜環境中的安全性以及遵守合規要求。要了解有關網路防火牆及其功能的更多信息，請參閱產品頁面和服務文檔。

如果您對本文有反饋，請在下方的評論部分提交評論。如果您對本文有疑問，請在 AWS 網路防火牆 re:Post 論壇上開啟新主題或聯繫 AWS 支援。