关键字: [Amazon Private Access, 网络安全解决方案, 多层次防御体系, 云原生防火墙, 远程办公安全, 网络流量可视化]

本文字数: 1800, 阅读完需: 9 分钟

导读

刘一白先生在 reinforce 中国站上介绍了”构建多层级的网络安全解决方案”。他阐述了如何通过 亚马逊云科技 的多层网络安全服务来实现网络安全防护,包括 Security Group、Network ACL、Network Firewall、DNS Firewall、Amazon Private Access 等。这些服务能够为客户提供 VPC 内部、VPC 边界和应用层的全面安全防护,并支持可观测性和集中管理。亚马逊云科技 致力于为客户构建完整的多层次网络安全体系,满足企业不断发展的安全需求。

演讲精华

以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。

网络安全一直是企业面临的重大挑战。互联网的复杂性使得企业面临着层出不穷的网络攻击,如分布式拒绝服务(DDoS)攻击、恶意软件、勒索软件和恶意爬虫等。一些企业出于自我保护的需求,希望对核心业务和关键数据进行网络防护;另一些企业则是出于监管合规的要求。无论出于何种原因,构建多层次的网络防御体系都是非常必要的。

所谓多层次防御体系,就是需要在每个网络控制点实施细粒度的管控,使安全无处不在。首先,企业需要具备网络流量可视化的功能,以便对安全状况一目了然。其次,需要主动防范各种网络和安全威胁,避免事后补救。再者,如果有远程办公需求,可以采用零信任的方式,降低远程连接的风险。最后,建议采用集中式管控,确保所有网络控制点策略的一致性。

如果工作负载部署在亚马逊云科技(AWS)云上,亚马逊云科技能够提供多种网络安全解决方案。在虚拟私有云(VPC)内部,有安全组(Security Group)和网络访问控制列表(Network ACL)用于主机和子网层面的防护,分别提供4层有状态防火墙和无状态防火墙功能。在VPC边界,亚马逊云科技提供了与第三方防火墙和网关负载均衡器(Gateway Load Balancer)相结合的解决方案,以及云原生的网络防火墙(Amazon Network Firewall)和DNS防火墙(Amazon Web Services DNS Firewall)。对于应用层防护,除了Web应用程序防火墙(WAF),亚马逊云科技还提供了基于零信任设计的Amazon Private Access产品。

在可观测性层面,VPC Flow Logs和Traffic Mirroring能够让客户深入了解网络中的流量。最后,Amazon Firewall Manager能够对跨VPC和跨账号的安全服务进行整体编排。

安全组是一种四层有状态防火墙,默认规则是拒绝,需要添加白名单规则。它有一个非常实用的交叉引用功能,可以在不同层次的资源之间相互引用安全组,从而在IP地址或自动扩容时无需修改安全组规则。例如,在一个典型的应用架构中,包含负载均衡器、Web服务器和数据库,针对Web服务器和数据库设置安全组时,可以引用上一级的安全组,当这些资源的IP地址发生变化或自动扩容时,安全组无需任何修改。

网络ACL是一种无状态的子网层面防火墙。它的规则按编号排序,编号越小优先级越高。亚马逊云科技建议在编写规则时留有间隔,如10、20、30,方便插入新规则。

对于VPC边界防护,亚马逊云科技在2020年推出了云原生的网络防火墙,并于今年年初在中国区域获得了相关认证。网络防火墙是云原生的,用户无需关注可用性和基础设施维护。它支持3到7层的灵活策略,包括自定义规则和托管规则,并采用按需付费模式。所有经过防火墙的流量都会被存储,用户只需关注策略配置。如果有多个防火墙,Firewall Manager可以实现集中编排。许多客户无论是在中国区还是海外区,都非常喜欢使用网络防火墙,原因在于其云原生设计、灵活的策略支持以及按需付费的模式。

常见的部署模式是出站式出站流量检查分布式部署模型,即在每个VPC中部署防火墙,所有私有网络中的出站流量都会经过防火墙检查。防火墙能够看到源IP,用户可以定义各种自定义规则,如阻止或开通IP、端口、域名白名单等,并可调用各类托管规则。亚马逊云科技还提供了集中式部署模式,每个端点具有高流量能力,客户不用担心性能或可用性瓶颈。

针对远程办公场景,传统的虚拟私有网络(VPN)方式存在断线、拨号困难等问题,且一旦将企业应用暴露在公网,就需要额外的云原生服务或第三方服务进行集成和联动,增加了管理复杂度。因此,亚马逊云科技于去年4月推出了Amazon Private Access服务,允许企业员工无需VPN即可安全访问内部应用系统。它基于零信任理念,通过安全身份和设备认证后才能接入,并支持持续认证,完全符合零信任原理。部署时只需在控制台上几步操作即可将企业应用快速发布到公网,员工可通过浏览器访问,无需安装任何代理。它还可以集成身份提供商如Amazon Identity Center、Ping Identity或Okta,以及终端安全供应商如CrowdStrike和Cloudtrack,并支持基于身份和设备信号定义访问策略。

在可观测性方面,VPC Flow Logs可以记录进出VPC的流量日志,支持多个维度开启,如VPC、子网、弹性网络接口(ENI)甚至Transit Gateway的VPN附件,日志可存储在Amazon CloudWatch、Amazon S3或Amazon Kinesis Data Firehose。用户可以使用Amazon Athena对日志进行查询,如查看流量最大的主机(Top Talker)、通信情况、安全组匹配情况等,由于VPC Flow Logs与Athena原生集成,无需建库建表。Amazon QuickSight可以对Athena查询数据进行可视化展现,而Amazon OpenSearch则可以进行实时日志分析和展示,满足自定义和实时数据分析需求。

Traffic Mirroring能够对数据包的有效负载进行深度分析,主要用于威胁检测或故障排查。它可以将生产主机的所有流量镜像到目标实例,在目标实例上安装开源或第三方入侵防护系统(IPS)或入侵检测系统(IDS)工具进行分析,如图中所示的Wireshark工具。它还支持设置感兴趣流,只收集特定流量,避免过多带宽损耗。

亚马逊云科技一直秉承”Always Day One”的企业文化,每天都在为客户构建和创新。从2009年VPC服务发布至今,亚马逊云科技已经建立了一个完整的多层次网络安全体系,在理解客户需求和提供解决方案方面具有独特优势。亚马逊云科技网络安全服务从最初的几乎为零,发展到现在能够提供全方位的解决方案,包括VPC内部安全、边界防护、应用层防护和可观测性,能够满足企业构建多层次网络防御体系的需求,帮助企业应对层出不穷的网络攻击,保护核心业务和关键数据,符合监管合规要求。

例如,对于远程办公场景,传统VPN方式存在诸多问题,而Amazon Private Access服务则允许企业员工无需VPN即可安全访问内部应用。它基于零信任理念,通过身份认证和设备检查后才能接入,并支持持续认证,部署简单,只需在控制台上几步操作即可发布应用到公网,员工可通过浏览器访问。它还可集成身份提供商和终端安全供应商,根据身份和设备信号定义访问策略,真正实现了零信任访问。

另一个例子是网络可观测性,VPC Flow Logs可以记录多维度的流量日志,与Athena集成后无需建库建表即可查询,QuickSight可视化展现查询数据,OpenSearch则支持实时日志分析,帮助客户全面了解网络流量。Traffic Mirroring能对数据包负载进行深度分析,结合开源或第三方IPS/IDS工具如Wireshark,用于威胁检测和故障排查。

下面是一些演讲现场的精彩瞬间：

演讲者分析了互联网的复杂性带来的网络安全挑战,如恶意软件、勒索软件和恶意爬虫等。

亚马逊云科技提供了多种网络安全方案，包括安全组、网络 ACL、第三方防火墙、网关负载均衡器、网络防火墙、DNS 防火墙和基于零信任的 Amazon Private Access 等。

演讲者解释了网络 ACL 的工作原理,包括无状态特性、规则优先级和建议的规则编号方式。

亚马逊云科技网络防火墙采用分布式部署模型,可对出站流量进行检查和自定义规则配置。

亚马逊云科技(AWS)基于零信任理念设计的”Verify Access”产品,通过身份认证、设备安全检查和访问策略控制,实现持续认证和零信任访问。

VPC Flow Log可以在多个维度记录进出VPC的流量安全日志,利用Athena和QuickSight可以查询和可视化展现这些日志数据。

总结

亚马逊云科技提供了一套全面的多层次网络安全解决方案,旨在帮助企业应对日益增长的网络威胁。该解决方案包括可视化网络流量、主动防范各种攻击、支持零信任远程访问以及集中管控策略。亚马逊云科技提供了安全组、网络ACL、云原生防火墙、DNS防火墙、Web应用防火墙等多种安全服务,涵盖了VPC内部、边界和应用层的防护。此外,亚马逊云科技还提供了流量日志和镜像等可观测性工具,以及集中编排管理工具Firewall Manager。这些服务旨在为客户构建一个全方位、多层次的网络安全防护体系,帮助企业应对不断演化的网络威胁。

亚马逊云科技致力于持续创新,不断丰富其网络安全产品组合,以满足客户日益增长的需求。亚马逊云科技期待与客户携手,共同经历网络安全的发展历程,提供更加安全可靠的云计算环境。