亚马逊云科技：致力于为客户构建可信赖的云环境（一）

关键字: [GuardDuty, 安全事件监测, 威胁检测, 漏洞管理, 风险管理, 集中监控, 调查与保护, 快速响应, 混合环境, 危险检测, 基线检查, 告警集中管理, 敏感数据检测, 容器镜像检查, 攻击链还原, 大规模部署, 跨账号管理, 委托管理员, 集中检查, Vpc流量分析]

本文字数: 1700, 阅读完需: 8 分钟

导读

在这场演讲中,朱志强先生和赵磊先生介绍了亚马逊云科技的安全事件监测和响应服务。他们解释了该服务如何帮助客户建立安全防线,检测和发现可疑行为、漏洞和风险,并快速响应安全事件。该服务由多个组件组成,包括GuardDuty进行威胁检测、Macie扫描S3存储桶、Inspector检查EC2、Lambda和容器镜像漏洞等。它们的特点是可实现集中监控、调查与保护、快速响应,并支持混合云环境。演讲还介绍了如何通过Amazon Organizations实现跨账号的集中管理。

演讲精华

以下是小编为您整理的本次演讲的精华，共1400字，阅读时间大约是7分钟。

在当今数字时代,网络安全风险日益严峻,黑客攻击手段层出不穷。亚马逊云科技深知企业面临的安全挑战,因此推出了创新的安全事件监测和响应服务,旨在帮助客户建立全方位的安全防线。

首先,我们来看看黑客是如何渗透系统的。一般来说,黑客有三种主要的入侵方式:直接利用系统漏洞、供应链攻击,以及通过钓鱼攻击控制内部员工电脑进入内网。无论采取何种方式,黑客的最终目标都是进入核心系统,对关键数据和工作负载造成破坏。

亚马逊云科技的安全事件监测和响应服务就是要帮助客户发现这些可疑的行为。当黑客在内网横移、扫描或进行其他恶意操作时,该服务就会发现并拦截。它不仅能在危险发生之前预警,也能在事件正在发生时及时检测,从而保护客户的工作负载免受侵害。

该服务的一大特点是能实现集中监控。很多客户拥有多个账号,每个账号又跨多个区域开启服务。这种情况下,如何进行跨账号的安全管理就成了一大挑战。亚马逊云科技的服务能够将多个账号统一管理,客户可以指定一个委托管理员账号,由其负责整个组织的安全管理,包括集中收集和展示所有账号的安全日志和告警。

除了集中监控,该服务还能提供调查与快速响应能力。一旦发生安全事件,它就能还原整个攻击链条,帮助客户全面了解黑客的攻击路径、方式和目的,从而制定有效的应对措施。更重要的是,该服务能够自动或半自动化地响应安全事件,迅速缓解风险,将损失降到最低。

值得一提的是,亚马逊云科技的安全服务覆盖了混合云环境。现在很多企业采用多云或混合云策略,该服务不仅能保护云上资产,也能覆盖本地数据中心,真正实现全方位防护。

那么,亚马逊云科技的安全事件监测和响应服务到底包括哪些具体的能力呢?它主要分为三个部分:危险检测、漏洞管理和风险管理。

危险检测是核心能力,主要由GuardDuty服务提供。GuardDuty会分析来自VPC流量、DNS解析、CloudTrail等渠道的海量日志数据,利用机器学习算法学习正常的流量模型,一旦发现异常就会生成告警。例如,如果检测到某个EC2实例突然被用于挖矿,或者发现某个未知IP地址尝试登录RDS数据库,GuardDuty都会发出警报。GuardDuty需要一段时间来学习用户的正常流量模型。

除了结合威胁情报检测常见攻击外,GuardDuty还提供多项保护能力:S3保护、EKS保护、恶意软件防护、RDS保护、网络流量分析和运维监控。以S3保护为例,GuardDuty会学习正常账号对S3存储桶的操作模式,一旦发现异常账号对存储桶进行大规模删除操作,就会触发告警,有效防止数据被恶意删除。如果正常情况下只有几个账号对S3存储桶有删除权限,但GuardDuty突然发现一个新账号对S3进行大规模删除,它就会产生告警。

对于容器和无服务器工作负载,GuardDuty也提供全面的运维监控能力。它部署了智能Agent,能够深入监控EKS集群、EC2实例、Fargate任务等,检测常见的容器逃逸、后门程序植入、恶意命令执行等威胁,覆盖面之广前所未有。

漏洞管理是安全防护的另一环节。亚马逊云科技提供了Inspector服务,能够持续扫描EC2实例、Lambda函数代码、容器镜像等,发现常见的CVE漏洞和安全配置风险,如EC2实例对外暴露端口、IAM权限配置不当等,从而帮助客户及时修复漏洞,堵塞安全漏洞。

此外,Macie服务则专注于S3存储桶的数据安全,能够发现存储桶中的敏感数据泄露风险,比如个人身份信息、财务数据等,并检查存储桶的访问策略是否存在异常,从而全方位保护数据安全。

风险管理是第三大能力,由SecurityHub服务提供。SecurityHub可以集中展示来自GuardDuty、Inspector、Macie等服务的所有安全告警,客户可以一站式查看全部安全风险,并对告警进行优先级排序、关联分析等,从而高效管理安全风险。

SecurityHub还提供基线检查功能,能够一键式检查客户账户的安全配置状态,比如IAM权限设置、多因素认证开启情况等,并给出检查报告,帮助客户了解当前的安全基线,并根据建议进行整改。

除了上述三大核心能力,亚马逊云科技还推出了创新的S3对象Lambda保护功能。很多客户会将网站或应用部署在S3上,并开放外部上传接口,这就存在被上传恶意文件的风险。该功能利用AI和模式匹配技术,能够实时扫描上传到S3的文件,发现潜在的恶意软件,从而保护需要对外开放的应用程序。

值得一提的是,该功能非常灵活,客户可以选择只扫描特定的S3存储桶或特定前缀的对象,并且对于新用户还提供一定的免费扫描额度,可以充分满足不同客户的需求。比如某些客户只需要扫描特定前缀的对象,而不需要扫描整个存储桶。

为了支持大规模部署,亚马逊云科技提供了Organizations服务,允许客户将多个账号统一管理。客户可以在组织中指定一个委托管理员账号,由其集中管理所有账号的安全服务,如GuardDuty、SecurityHub等,实现跨账号的统一监控和管理,极大简化了运维复杂度。

总的来说,亚马逊云科技的安全事件监测和响应服务覆盖了云上资产的全生命周期,提供全方位、自动化的安全防护能力,不仅能发现各种安全威胁,还能快速调查和响应事件,将风险降到最低,帮助客户提高云上安全态势感知和快速响应能力,确保业务的连续性和数据安全。

这一创新服务得到了众多客户的认可和好评。例如,某打车公司曾遇到过这样一个案例:他们需要与供应商共享发票信息,但供应商上传的文件中夹杂了恶意软件,对系统造成了影响。幸亏亚马逊云科技的S3对象Lambda保护功能及时发现并阻止了这一风险,避免了更大的损失。

另一家客户则遇到过这种情况:他们的网站部署在S3上,并开放了外部上传接口,结果有人上传了恶意文件。由于及时开启了S3对象Lambda保护功能,恶意文件被拦截,网站系统得以保护。可见该功能对于需要对外开放的应用程序来说是非常有用的防护手段。

可以说,在数字化转型的浪潮下,网络安全风险正日益加剧。亚马逊云科技的安全事件监测和响应服务就是要让客户在云上享有安全的体验,充分释放云计算的价值,助力企业数字化进程行稳致远。

下面是一些演讲现场的精彩瞬间：

朱志强先生在开场白中自我介绍并预览了即将分享的主题”安全事件监测与响应”。

亚马逊云安全服务包括危险检测、漏洞管理和风险管理三大核心功能,帮助客户发现威胁、修复漏洞并管理安全风险。

总结

亚马逊云科技的安全事件监测和响应服务旨在帮助客户建立全面的安全防线,应对各种潜在的网络攻击威胁。该服务主要包括三个核心部分:危险检测、漏洞管理和风险管理。

首先,通过分析海量日志数据,服务能够及时发现可疑的恶意行为,如黑客在内网横移、扫描等,从而保护客户的工作负载免受侵害。其次,服务会对客户的EC2实例、Lambda函数、容器镜像等进行漏洞扫描,及时发现并修复安全漏洞。第三,服务提供集中的告警管理和风险评估,帮助客户快速响应安全事件,采取缓解措施。

此外,该服务支持多账号、多区域的集中监控和管理,并能覆盖混合云环境,满足客户的多样化需求。通过自动化和半自动化手段,服务能够帮助客户高效应对安全事件,最大限度降低风险。亚马逊云科技致力于为客户提供全面的安全保障,共同构建可信赖的云环境。