在AWS云平台上构建安全的企业级应用

亚信安全云安全产品线产品总监朱立2017年7月在AWS云平台上构建安全的企业级应用混合云安全解决方案第一名第一名第一名第一名第一名第一名云安全市场占有率的领导者荣获虚拟化安全最高评级-内容1、公共云的安全需求2、安全的共担责任模式3、公共云运维集成+自动化安全案例视频4、公共云安全防护技术您如何处理…85%

的组织指出，他们有合规性或数据保密性方面的要求*公共云生产应用程序?敏感数据?共享权限

?补丁计划?合规性?云已打破业界定局即时保障云安全(Instant-on)，自动与优化的运维挑战：即时保障云安全(Instant-on)，自动与优化的运维挑战：即时保障云安全(Instant-on)，自动与优化的运维挑战：安全原则可以保持不变……但实现安全性的方法必须改变自适应Adaptive智能、动态配置和策略实施环境Context工作负荷和应用程序感知软件Software针对虚拟化和云基础架构进行了优化平台Platform跨数据中心和云的全面能力防恶意软件入侵防御主机防火墙完整性监控日志审计应用程序扫描数据加密物理机虚拟机云软件Software针对虚拟化和云基础架构进行了优化自适应Adaptive智能、动态配置和策略实施环境Context工作负荷和应用程序感知平台Platform跨数据中心和云的全面能力防恶意软件入侵防御主机防火墙完整性监控日志审计应用程序扫描数据加密物理机虚拟机云责任分担的安全模型客户端数据加密服务器数据加密网络传输加密平台，应用，身份认证操作系统，网络和防火墙配置客户数据用户AWS基础服务计算存储数据库网络AWS基础设施地区可用区域边缘节点客户负责“云中”的安全AWS负责“云”的安全云和数据中心安全防恶意软件日志审查数据防护应用程序扫描主机防火墙入侵检测数据中心运维安全部门数据中心物理机虚拟机私有云公共云完整性监控AWS共担责任模式(SharedResponsibilityModel)客户端数据加密服务器数据加密网络传输加密平台，应用，身份认证操作系统，网络和防火墙配置客户数据FoundationServices计算存储数据库网络全球架构地区可用区域EdgeLocations云用户DeepSecurityAnti-MalwareLogInspectionWeb

ReputationHostFirewallIntrusion

PreventionIntegrityMonitoring防护技术运维集成通过优化的云集成了解部署情况推荐并自动应用安全策略

—特定于您的云部署根据需求自动增加和减少—无安全漏洞持续扫描应用程序中是否存在漏洞使安全自动成为您运维工作的一部分Powershell使安全集成入运维流程符合企业标准与云领域的市场领导者保持一致针对AWS进行了优化由受信任的技术提供商推荐……战略合作伙伴关系软件运输电信银行保护全球重要客户此处播放了Green

This实例视频运维集成防护技术亚信安全提供了应对威胁、满足合规性以及支持安全最佳实践的功能防恶意软件及Web信誉：及时防御大量涌现的用于攻击系统和窃取数据的新恶意软件应用程序扫描：自动扫描应用程序中是否有漏洞，并防御已经发现的缺陷数据防护：加密静态和动态数据(SSL)，在云环境中确保隐私和合规性日志审计：将安全相关事件隔离在系统日志中，可快速确定可疑行为以及满足合规性要求入侵检测：利用可确保为正确的服务器适时应用恰当防护的自动更新安全策略，将未修复的漏洞加以屏蔽，防止受到攻击防火墙：在每台服务器外围建立防火墙，阻止攻击并限制只能通过必要的端口和协议进行通信完整性监控：满足合规性监控要求，同时确保可检测到和报告未经授权或不符合策略的系统更改实时消除、隔离或避免威胁侦测C&C命令并控制通信–而不会阻碍正常的Web通信针对审计和合规性记录与分享活动需求：防御病毒、bot和恶意代码防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描防恶意软件及Web信誉：防御病毒、bot和恶意代码基于安全智能防护网络提供的全球威胁情报，进行的实时防恶意软件防护白名单域或黑名单域与URI过滤阻止访问已知命令和控制(C&C)站点配置排除项以优化性能事件警报和报告将事件转发到SIEM的能力通常没有适用于这种场景的内在控制手段AWS建议客户部署额外的安全控制手段云提供商真实场景：攻击者利用Web应用程序中的漏洞上传恶意代码防恶意软件扫描会尽可能消除威胁，并在无法消除威胁时隔离威胁。关注命令并控制通信的Web信誉客户共担责任防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描检查通信并对威胁作出实时响应防御漏洞–即使没有时间进行修补出于合规性目的确定安全漏洞并对其进行分级（如PCI）针对审计和合规性记录与分享活动需求：防御漏洞防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描路由表、网络ACL、安全组保持通信流量云提供商真实场景：黑客试图进行SQL注入攻击可实时检查主机上的通信、识别威胁并立即丢弃数据包的入侵防护出于合规性目的确定安全漏洞并对其进行分级客户共担责任入侵防护：分析通信中是否存在恶意行为检测并防止违反协议和遭受攻击根据您的具体环境自动推荐和部署预配置的规则进行虚拟补丁修复以在您修复之前防御漏洞使用行为和统计启发式技术的智能过滤以减少管理误判的工作量针对审计和合规性进行完整的日志记录，包括转发到SIEM防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描对系统进行分段，并量身定制规则，从而能更轻松地进行管理和满足合规性要求（如：PCI-DSS）限制对组的访问（如国家/地区访问）管理双向通信进行记录以了解服务器探查和可能即将进行的攻击针对审计和合规性记录与分享活动需求：控制主机上的通信防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描适用于实例防护的云范围防火墙用于阻止不需要通信的ACL控制可抵御大多数访问风险云提供商真实场景：客户要求仅特定国家/地区才能访问应用程序能够排除特定国家/地区的访问权限日志记录可帮助了解探查实例和潜在进行的攻击客户共担责任基于主机的防火墙：控制主机上的通信双向状态防火墙，经过高度调优，将性能影响降至最低启用网络分段大量预配置规则和预定义模板，方便实施针对审计和合规性在主机上进行完整的日志记录，包括转发到SIEMIPv4和IPv6支持防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描监控任何更改，确保未对配置进行可能有风险的更改已穿透其他防线（针对性攻击）的恶意软件的警告标志针对审计和合规性记录与分享活动需求：监控未经授权的更改防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描为AMI和EBS提供“保存点”，确保配置完整性云提供商真实场景：管理登录并对正确配置进行了不安全的更改(AMI)监控任何更改，确保对配置进行的修改不会有任何潜在风险抵御可能穿透其他防线（针对性攻击）的恶意软件客户共担责任完整性监控：监控关键的系统、文件、注册表项和用户监控跨操作系统、应用程序文件、注册表项、用户、组和端口的更改发出警报以确定任何更改自定义的可信基准系统和白名单，可减少干扰针对审计和合规性进行完整的日志记录，包括将事件转发到SIEM防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描识别特定于安全问题的日志事件针对审计跟踪相关日志事件针对合规性共享相关日志事件需求：实时分析日志活动防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描用于限制最低特权访问的IAM策略云提供商真实场景：黑客试图进行暴力身份验证（bruteforceauthentication)攻击日志检查将警报上报到安全团队客户共担责任日志审计：发生日志活动时随即进行分析解析日志以找出关键系统和安全事件对相关日志事件发出实时警报能够将经过过滤的相关日志转发到SIEM支持超过100种第三方日志类型，例如syslog、IIS、Apache等防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描定期评估面向外部的应用程序中是否存在风险自动交付结果和用于解决漏洞的建议跨所有应用元素（平台、应用程序、恶意软件）进行评估是否及时防御发现的漏洞？需求：持续评估应用程序中是否存在漏洞防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描通常没有特定控制在进行应用程序漏洞扫描之前通过预批准要求阻止未经授权的通信云提供商真实场景：自定义应用程序易于受到基于逻辑缺陷的新型XSS攻击的影响自动化持续扫描可检测到新的威胁和警报（趋势科技是预先获得核准的AWS扫描合作伙伴）专家消除了误报，确保警报是可操作的客户共担责任应用程序扫描

可自动评估所有应用程序的风险在应用程序和平台层自动分析应用程序中是否存在漏洞内置恶意软件和信誉检查安全专家可消除误报，从而最大程度地提高效率专业业务逻辑测试可增强安全性完全可操作的报告可帮助实现补救防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描保护云中的所有静态数据支持多家云提供商，实现了业务灵活性确保任何动态数据都得到保护需求：保护云中的数据安全数据保护

可保护动态和静态数据利用AES-256引导卷和数据卷加密（FIPS140-2认证）对云服务器进行加密，以保护敏感数据包括简化的密钥管理以及托管数据销毁利用在全球受到信任的OV和EVSSL证书加密所有动态数据利用无限制证书和企业级管理实现最大程度的防护和节省防恶意软件及Web信誉入侵检测防火墙完整性监控日志审计应用程序扫描应用程序扫描数据存储（如：S3）的云加密可用，包括使用云HSM存储密钥云提供商真实场景：PCI合规性要求对所有持卡人数据进行加密引导卷和数据卷加密可保护数据（与应用程序处理数据的方式无关）确保云中的任何数据即使在取消配置实例后也无法访问无限制SSL证书（OV和EV）客户共担责任防范勒索蠕虫没有灵丹妙药需要多层次的防护才能以最有效的方式降低风险WannaCry勒索软件GC47勒索软件BrickerBot恶意软件FireBallRensenWare勒索软件Kindset勒索软件TrumpLocker勒索软件LinuxARM恶意软件IMEIJAngleWare勒索软件EyePyramid恶意软件“永恒之石”WinSec勒索软件Mirai恶意程序Koovla勒索软件Cerber服务器深度安全防护DeepSecurityIDS/IPS应用程序防护应用程序控制防火墙深度包检测完整性监控攻击防护及虚拟补丁细粒度访问控制未知威胁监控无代理恶意代码防护防恶意程序底层无代理虚拟化防护DeepSecurity通过虚拟补丁功能:

阻止特定端口及IP来源的数据，防止勒索攻击在内网的传播DeepSecurity提供一种全方位服务器安全平台，旨在保护数据中心和云平台免遭数据泄露和业务中断，提供防恶意软件、Web信誉、防火墙、入侵阻止、完整性监控和日志检查，以确保物理、虚拟和云环境中服务器的应用程序以及数据的安全服务器深度安全防护DeepSecurity针对MS17-010漏洞的入侵防御规则成功防御日志0101010101010110101010101010101101