在AWS云平臺(tái)上構(gòu)建安全的企業(yè)級(jí)應(yīng)用

亞信安全云安全產(chǎn)品線產(chǎn)品總監(jiān)朱立2017年7月在AWS云平臺(tái)上構(gòu)建安全的企業(yè)級(jí)應(yīng)用混合云安全解決方案第一名第一名第一名第一名第一名第一名云安全市場(chǎng)占有率的領(lǐng)導(dǎo)者榮獲虛擬化安全最高評(píng)級(jí)-內(nèi)容1、公共云的安全需求2、安全的共擔(dān)責(zé)任模式3、公共云運(yùn)維集成+自動(dòng)化安全案例視頻4、公共云安全防護(hù)技術(shù)您如何處理…85%

的組織指出，他們有合規(guī)性或數(shù)據(jù)保密性方面的要求*公共云生產(chǎn)應(yīng)用程序?敏感數(shù)據(jù)?共享權(quán)限

?補(bǔ)丁計(jì)劃?合規(guī)性?云已打破業(yè)界定局即時(shí)保障云安全(Instant-on)，自動(dòng)與優(yōu)化的運(yùn)維挑戰(zhàn)：即時(shí)保障云安全(Instant-on)，自動(dòng)與優(yōu)化的運(yùn)維挑戰(zhàn)：即時(shí)保障云安全(Instant-on)，自動(dòng)與優(yōu)化的運(yùn)維挑戰(zhàn)：安全原則可以保持不變……但實(shí)現(xiàn)安全性的方法必須改變自適應(yīng)Adaptive智能、動(dòng)態(tài)配置和策略實(shí)施環(huán)境Context工作負(fù)荷和應(yīng)用程序感知軟件Software針對(duì)虛擬化和云基礎(chǔ)架構(gòu)進(jìn)行了優(yōu)化平臺(tái)Platform跨數(shù)據(jù)中心和云的全面能力防惡意軟件入侵防御主機(jī)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描數(shù)據(jù)加密物理機(jī)虛擬機(jī)云軟件Software針對(duì)虛擬化和云基礎(chǔ)架構(gòu)進(jìn)行了優(yōu)化自適應(yīng)Adaptive智能、動(dòng)態(tài)配置和策略實(shí)施環(huán)境Context工作負(fù)荷和應(yīng)用程序感知平臺(tái)Platform跨數(shù)據(jù)中心和云的全面能力防惡意軟件入侵防御主機(jī)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描數(shù)據(jù)加密物理機(jī)虛擬機(jī)云責(zé)任分擔(dān)的安全模型客戶端數(shù)據(jù)加密服務(wù)器數(shù)據(jù)加密網(wǎng)絡(luò)傳輸加密平臺(tái)，應(yīng)用，身份認(rèn)證操作系統(tǒng)，網(wǎng)絡(luò)和防火墻配置客戶數(shù)據(jù)用戶AWS基礎(chǔ)服務(wù)計(jì)算存儲(chǔ)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)AWS基礎(chǔ)設(shè)施地區(qū)可用區(qū)域邊緣節(jié)點(diǎn)客戶負(fù)責(zé)“云中”的安全AWS負(fù)責(zé)“云”的安全云和數(shù)據(jù)中心安全防惡意軟件日志審查數(shù)據(jù)防護(hù)應(yīng)用程序掃描主機(jī)防火墻入侵檢測(cè)數(shù)據(jù)中心運(yùn)維安全部門數(shù)據(jù)中心物理機(jī)虛擬機(jī)私有云公共云完整性監(jiān)控AWS共擔(dān)責(zé)任模式(SharedResponsibilityModel)客戶端數(shù)據(jù)加密服務(wù)器數(shù)據(jù)加密網(wǎng)絡(luò)傳輸加密平臺(tái)，應(yīng)用，身份認(rèn)證操作系統(tǒng)，網(wǎng)絡(luò)和防火墻配置客戶數(shù)據(jù)FoundationServices計(jì)算存儲(chǔ)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)全球架構(gòu)地區(qū)可用區(qū)域EdgeLocations云用戶DeepSecurityAnti-MalwareLogInspectionWeb

ReputationHostFirewallIntrusion

PreventionIntegrityMonitoring防護(hù)技術(shù)運(yùn)維集成通過(guò)優(yōu)化的云集成了解部署情況推薦并自動(dòng)應(yīng)用安全策略

—特定于您的云部署根據(jù)需求自動(dòng)增加和減少—無(wú)安全漏洞持續(xù)掃描應(yīng)用程序中是否存在漏洞使安全自動(dòng)成為您運(yùn)維工作的一部分Powershell使安全集成入運(yùn)維流程符合企業(yè)標(biāo)準(zhǔn)與云領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者保持一致針對(duì)AWS進(jìn)行了優(yōu)化由受信任的技術(shù)提供商推薦……戰(zhàn)略合作伙伴關(guān)系軟件運(yùn)輸電信銀行保護(hù)全球重要客戶此處播放了Green

This實(shí)例視頻運(yùn)維集成防護(hù)技術(shù)亞信安全提供了應(yīng)對(duì)威脅、滿足合規(guī)性以及支持安全最佳實(shí)踐的功能防惡意軟件及Web信譽(yù)：及時(shí)防御大量涌現(xiàn)的用于攻擊系統(tǒng)和竊取數(shù)據(jù)的新惡意軟件應(yīng)用程序掃描：自動(dòng)掃描應(yīng)用程序中是否有漏洞，并防御已經(jīng)發(fā)現(xiàn)的缺陷數(shù)據(jù)防護(hù)：加密靜態(tài)和動(dòng)態(tài)數(shù)據(jù)(SSL)，在云環(huán)境中確保隱私和合規(guī)性日志審計(jì)：將安全相關(guān)事件隔離在系統(tǒng)日志中，可快速確定可疑行為以及滿足合規(guī)性要求入侵檢測(cè)：利用可確保為正確的服務(wù)器適時(shí)應(yīng)用恰當(dāng)防護(hù)的自動(dòng)更新安全策略，將未修復(fù)的漏洞加以屏蔽，防止受到攻擊防火墻：在每臺(tái)服務(wù)器外圍建立防火墻，阻止攻擊并限制只能通過(guò)必要的端口和協(xié)議進(jìn)行通信完整性監(jiān)控：滿足合規(guī)性監(jiān)控要求，同時(shí)確?？蓹z測(cè)到和報(bào)告未經(jīng)授權(quán)或不符合策略的系統(tǒng)更改實(shí)時(shí)消除、隔離或避免威脅偵測(cè)C&C命令并控制通信–而不會(huì)阻礙正常的Web通信針對(duì)審計(jì)和合規(guī)性記錄與分享活動(dòng)需求：防御病毒、bot和惡意代碼防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描防惡意軟件及Web信譽(yù)：防御病毒、bot和惡意代碼基于安全智能防護(hù)網(wǎng)絡(luò)提供的全球威脅情報(bào)，進(jìn)行的實(shí)時(shí)防惡意軟件防護(hù)白名單域或黑名單域與URI過(guò)濾阻止訪問(wèn)已知命令和控制(C&C)站點(diǎn)配置排除項(xiàng)以優(yōu)化性能事件警報(bào)和報(bào)告將事件轉(zhuǎn)發(fā)到SIEM的能力通常沒(méi)有適用于這種場(chǎng)景的內(nèi)在控制手段AWS建議客戶部署額外的安全控制手段云提供商真實(shí)場(chǎng)景：攻擊者利用Web應(yīng)用程序中的漏洞上傳惡意代碼防惡意軟件掃描會(huì)盡可能消除威脅，并在無(wú)法消除威脅時(shí)隔離威脅。關(guān)注命令并控制通信的Web信譽(yù)客戶共擔(dān)責(zé)任防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描檢查通信并對(duì)威脅作出實(shí)時(shí)響應(yīng)防御漏洞–即使沒(méi)有時(shí)間進(jìn)行修補(bǔ)出于合規(guī)性目的確定安全漏洞并對(duì)其進(jìn)行分級(jí)（如PCI）針對(duì)審計(jì)和合規(guī)性記錄與分享活動(dòng)需求：防御漏洞防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描路由表、網(wǎng)絡(luò)ACL、安全組保持通信流量云提供商真實(shí)場(chǎng)景：黑客試圖進(jìn)行SQL注入攻擊可實(shí)時(shí)檢查主機(jī)上的通信、識(shí)別威脅并立即丟棄數(shù)據(jù)包的入侵防護(hù)出于合規(guī)性目的確定安全漏洞并對(duì)其進(jìn)行分級(jí)客戶共擔(dān)責(zé)任入侵防護(hù)：分析通信中是否存在惡意行為檢測(cè)并防止違反協(xié)議和遭受攻擊根據(jù)您的具體環(huán)境自動(dòng)推薦和部署預(yù)配置的規(guī)則進(jìn)行虛擬補(bǔ)丁修復(fù)以在您修復(fù)之前防御漏洞使用行為和統(tǒng)計(jì)啟發(fā)式技術(shù)的智能過(guò)濾以減少管理誤判的工作量針對(duì)審計(jì)和合規(guī)性進(jìn)行完整的日志記錄，包括轉(zhuǎn)發(fā)到SIEM防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描對(duì)系統(tǒng)進(jìn)行分段，并量身定制規(guī)則，從而能更輕松地進(jìn)行管理和滿足合規(guī)性要求（如：PCI-DSS）限制對(duì)組的訪問(wèn)（如國(guó)家/地區(qū)訪問(wèn)）管理雙向通信進(jìn)行記錄以了解服務(wù)器探查和可能即將進(jìn)行的攻擊針對(duì)審計(jì)和合規(guī)性記錄與分享活動(dòng)需求：控制主機(jī)上的通信防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描適用于實(shí)例防護(hù)的云范圍防火墻用于阻止不需要通信的ACL控制可抵御大多數(shù)訪問(wèn)風(fēng)險(xiǎn)云提供商真實(shí)場(chǎng)景：客戶要求僅特定國(guó)家/地區(qū)才能訪問(wèn)應(yīng)用程序能夠排除特定國(guó)家/地區(qū)的訪問(wèn)權(quán)限日志記錄可幫助了解探查實(shí)例和潛在進(jìn)行的攻擊客戶共擔(dān)責(zé)任基于主機(jī)的防火墻：控制主機(jī)上的通信雙向狀態(tài)防火墻，經(jīng)過(guò)高度調(diào)優(yōu)，將性能影響降至最低啟用網(wǎng)絡(luò)分段大量預(yù)配置規(guī)則和預(yù)定義模板，方便實(shí)施針對(duì)審計(jì)和合規(guī)性在主機(jī)上進(jìn)行完整的日志記錄，包括轉(zhuǎn)發(fā)到SIEMIPv4和IPv6支持防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描監(jiān)控任何更改，確保未對(duì)配置進(jìn)行可能有風(fēng)險(xiǎn)的更改已穿透其他防線（針對(duì)性攻擊）的惡意軟件的警告標(biāo)志針對(duì)審計(jì)和合規(guī)性記錄與分享活動(dòng)需求：監(jiān)控未經(jīng)授權(quán)的更改防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描為AMI和EBS提供“保存點(diǎn)”，確保配置完整性云提供商真實(shí)場(chǎng)景：管理登錄并對(duì)正確配置進(jìn)行了不安全的更改(AMI)監(jiān)控任何更改，確保對(duì)配置進(jìn)行的修改不會(huì)有任何潛在風(fēng)險(xiǎn)抵御可能穿透其他防線（針對(duì)性攻擊）的惡意軟件客戶共擔(dān)責(zé)任完整性監(jiān)控：監(jiān)控關(guān)鍵的系統(tǒng)、文件、注冊(cè)表項(xiàng)和用戶監(jiān)控跨操作系統(tǒng)、應(yīng)用程序文件、注冊(cè)表項(xiàng)、用戶、組和端口的更改發(fā)出警報(bào)以確定任何更改自定義的可信基準(zhǔn)系統(tǒng)和白名單，可減少干擾針對(duì)審計(jì)和合規(guī)性進(jìn)行完整的日志記錄，包括將事件轉(zhuǎn)發(fā)到SIEM防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描識(shí)別特定于安全問(wèn)題的日志事件針對(duì)審計(jì)跟蹤相關(guān)日志事件針對(duì)合規(guī)性共享相關(guān)日志事件需求：實(shí)時(shí)分析日志活動(dòng)防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描用于限制最低特權(quán)訪問(wèn)的IAM策略云提供商真實(shí)場(chǎng)景：黑客試圖進(jìn)行暴力身份驗(yàn)證（bruteforceauthentication)攻擊日志檢查將警報(bào)上報(bào)到安全團(tuán)隊(duì)客戶共擔(dān)責(zé)任日志審計(jì)：發(fā)生日志活動(dòng)時(shí)隨即進(jìn)行分析解析日志以找出關(guān)鍵系統(tǒng)和安全事件對(duì)相關(guān)日志事件發(fā)出實(shí)時(shí)警報(bào)能夠?qū)⒔?jīng)過(guò)過(guò)濾的相關(guān)日志轉(zhuǎn)發(fā)到SIEM支持超過(guò)100種第三方日志類型，例如syslog、IIS、Apache等防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描定期評(píng)估面向外部的應(yīng)用程序中是否存在風(fēng)險(xiǎn)自動(dòng)交付結(jié)果和用于解決漏洞的建議跨所有應(yīng)用元素（平臺(tái)、應(yīng)用程序、惡意軟件）進(jìn)行評(píng)估是否及時(shí)防御發(fā)現(xiàn)的漏洞？需求：持續(xù)評(píng)估應(yīng)用程序中是否存在漏洞防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描通常沒(méi)有特定控制在進(jìn)行應(yīng)用程序漏洞掃描之前通過(guò)預(yù)批準(zhǔn)要求阻止未經(jīng)授權(quán)的通信云提供商真實(shí)場(chǎng)景：自定義應(yīng)用程序易于受到基于邏輯缺陷的新型XSS攻擊的影響自動(dòng)化持續(xù)掃描可檢測(cè)到新的威脅和警報(bào)（趨勢(shì)科技是預(yù)先獲得核準(zhǔn)的AWS掃描合作伙伴）專家消除了誤報(bào)，確保警報(bào)是可操作的客戶共擔(dān)責(zé)任應(yīng)用程序掃描

可自動(dòng)評(píng)估所有應(yīng)用程序的風(fēng)險(xiǎn)在應(yīng)用程序和平臺(tái)層自動(dòng)分析應(yīng)用程序中是否存在漏洞內(nèi)置惡意軟件和信譽(yù)檢查安全專家可消除誤報(bào)，從而最大程度地提高效率專業(yè)業(yè)務(wù)邏輯測(cè)試可增強(qiáng)安全性完全可操作的報(bào)告可幫助實(shí)現(xiàn)補(bǔ)救防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描保護(hù)云中的所有靜態(tài)數(shù)據(jù)支持多家云提供商，實(shí)現(xiàn)了業(yè)務(wù)靈活性確保任何動(dòng)態(tài)數(shù)據(jù)都得到保護(hù)需求：保護(hù)云中的數(shù)據(jù)安全數(shù)據(jù)保護(hù)

可保護(hù)動(dòng)態(tài)和靜態(tài)數(shù)據(jù)利用AES-256引導(dǎo)卷和數(shù)據(jù)卷加密（FIPS140-2認(rèn)證）對(duì)云服務(wù)器進(jìn)行加密，以保護(hù)敏感數(shù)據(jù)包括簡(jiǎn)化的密鑰管理以及托管數(shù)據(jù)銷毀利用在全球受到信任的OV和EVSSL證書加密所有動(dòng)態(tài)數(shù)據(jù)利用無(wú)限制證書和企業(yè)級(jí)管理實(shí)現(xiàn)最大程度的防護(hù)和節(jié)省防惡意軟件及Web信譽(yù)入侵檢測(cè)防火墻完整性監(jiān)控日志審計(jì)應(yīng)用程序掃描應(yīng)用程序掃描數(shù)據(jù)存儲(chǔ)（如：S3）的云加密可用，包括使用云HSM存儲(chǔ)密鑰云提供商真實(shí)場(chǎng)景：PCI合規(guī)性要求對(duì)所有持卡人數(shù)據(jù)進(jìn)行加密引導(dǎo)卷和數(shù)據(jù)卷加密可保護(hù)數(shù)據(jù)（與應(yīng)用程序處理數(shù)據(jù)的方式無(wú)關(guān)）確保云中的任何數(shù)據(jù)即使在取消配置實(shí)例后也無(wú)法訪問(wèn)無(wú)限制SSL證書（OV和EV）客戶共擔(dān)責(zé)任防范勒索蠕蟲(chóng)沒(méi)有靈丹妙藥需要多層次的防護(hù)才能以最有效的方式降低風(fēng)險(xiǎn)WannaCry勒索軟件GC47勒索軟件BrickerBot惡意軟件FireBallRensenWare勒索軟件Kindset勒索軟件TrumpLocker勒索軟件LinuxARM惡意軟件IMEIJAngleWare勒索軟件EyePyramid惡意軟件“永恒之石”WinSec勒索軟件Mirai惡意程序Koovla勒索軟件Cerber服務(wù)器深度安全防護(hù)DeepSecurityIDS/IPS應(yīng)用程序防護(hù)應(yīng)用程序控制防火墻深度包檢測(cè)完整性監(jiān)控攻擊防護(hù)及虛擬補(bǔ)丁細(xì)粒度訪問(wèn)控制未知威脅監(jiān)控?zé)o代理惡意代碼防護(hù)防惡意程序底層無(wú)代理虛擬化防護(hù)DeepSecurity通過(guò)虛擬補(bǔ)丁功能:

阻止特定端口及IP來(lái)源的數(shù)據(jù)，防止勒索攻擊在內(nèi)網(wǎng)的傳播DeepSecurity提供一種全方位服務(wù)器安全平臺(tái)，旨在保護(hù)數(shù)據(jù)中心和云平臺(tái)免遭數(shù)據(jù)泄露和業(yè)務(wù)中斷，提供防惡意軟件、Web信譽(yù)、防火墻、入侵阻止、完整性監(jiān)控和日志檢查，以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序以及數(shù)據(jù)的安全服務(wù)器深度安全防護(hù)DeepSecurity針對(duì)MS17-010漏洞的入侵防御規(guī)則成功防御日志0101010101010110101010101010101101