“加速” 中的数据保护 - AMS 加速用户指南
使用亚马逊 Macie 进行监控使用监视器 GuardDuty使用亚马逊 Route 53 解析器 DNS 防火墙进行监控数据加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

“加速” 中的数据保护

AMS Accelerate 利用亚马逊 GuardDuty、Amazon Macie(可选)和其他内部专有工具和流程 AWS 服务 等原生工具和流程来持续监控您的托管账户。警报触发后,AMS Accelerate 将负责警报的初始分类和响应。AMS 响应流程基于 NIST 标准。AMS Accelerate 与您一起使用安全事件响应模拟定期测试响应流程,使您的工作流程与现有客户安全响应计划保持一致。

当 AMS Accelerate 检测到您的安全策略存在违规行为 AWS 或即将发生的违规威胁时,Accelerate 会收集信息,包括受影响的资源和任何与配置相关的更改。AMS Accelerate 提供全天候 follow-the-sun支持,由专门的操作员主动审查和调查所有托管账户的监控仪表板、事件队列和服务请求。Accelerate 会与内部安全专家一起调查调查结果,以分析活动并通过您账户中列出的安全升级联系人通知您。

根据调查结果,Accelerate 会主动与您互动。如果您发现活动未经授权或可疑,AMS 会与您合作,调查和补救或遏制问题。由 GuardDuty 此生成的某些发现类型要求您在Accelerate采取任何措施之前确认影响。例如, GuardDuty 查找结果类型 UnauthorizedAccess:IAMUser/ConsoleLogin表示您的一个用户从不寻常的位置登录;AMS 会通知您并要求您查看调查结果以确认这种行为是否合法。

使用亚马逊 Macie 进行监控

AMS Accelerate 支持 Amazon Macie 检测大量而全面的敏感数据,例如个人健康信息 (PHI)、个人身份信息 (PII) 和财务数据,这是一种最佳实践。

您可以将 Macie 配置为在任何 Amazon S3 存储桶上定期运行。随着时间的推移,这可以自动评估存储桶中新的或修改过的对象。生成安全调查结果后,AMS 会通知您并根据需要与您合作对发现进行补救。

有关更多信息,请参阅分析 Amazon Macie 调查结果

使用监视器 GuardDuty

GuardDuty 是一项持续的安全监控服务,它使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习来识别 AWS 环境中意外且可能未经授权的恶意活动。这可能包括诸如权限升级、使用暴露的凭据或与恶意 IP 地址或域进行通信之类的问题。 GuardDuty 监控 AWS 账户 访问行为是否存在入侵迹象,例如未经授权的基础设施部署、在您从未使用过的 AWS 区域中部署的实例。 GuardDuty 还可以检测异常的 API 调用,例如更改密码策略以降低密码强度。有关更多信息,请参阅 GuardDuty 《用户指南》

要查看和分析您的 GuardDuty 发现,请完成以下步骤:

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 选择 “调查结果”,然后选择特定的调查结果以查看详细信息。每个发现的详细信息因发现类型、所涉及的资源和活动性质而异。

有关可用查找字段的更多信息,请参阅GuardDuty 查找结果详细信息

使用 GuardDuty 抑制规则筛选结果

抑制规则是一组标准,由过滤器属性和值配对组成。您可以使用抑制规则来筛选您不打算采取行动的低价值发现,例如误报调查结果或已知活动。筛选您的发现有助于更轻松地识别可能对您的环境影响最大的安全威胁。

要筛选搜索结果,抑制规则会自动存档符合您指定条件的新搜索结果。存档的发现不会发送到 S AWS ecurity Hub、Amazon S3 或 CloudTrail 活动。因此,如果您通过 Security Hub 或第三方 SIEM 警报和票务应用程序使用 GuardDuty 发现,则抑制过滤器会减少不可操作的数据。

AMS 有一套明确的标准来确定您的托管账户的封禁规则。当托管账户符合此条件时,AMS 会应用筛选条件并向您创建服务请求 (SR),详细说明已部署的抑制过滤器。

您可以通过 SR 与 AMS 通信,以修改或恢复抑制过滤器。

查看存档的调查结果

GuardDuty 即使这些发现符合您的抑制规则,也会继续生成搜索结果。隐藏的搜索结果将标记为已存档。 GuardDuty 商店将查找结果存档了 90 天。通过从调查结果表中选择已存档,可以在 GuardDuty 控制台中查看这 90 天的存档调查结果。或者,使用 GuardDuty API 通过 API 查看存档的调查结果,findingCriteria 为 s ervic e. archived 等于 true。ListFindings

禁止规则的常见用例

以下调查发现类型具有使用抑制规则的常见应用场景。

  • Recon: EC2 /Portscan:使用授权漏洞扫描程序时,使用抑制规则自动存档发现的结果。

  • UnauthorizedAccess:EC2/SSHBruteForc e:使用抑制规则在针对堡垒实例时自动存档调查结果。

  • Recon:EC2/PortProbeUnprotectedPort:使用抑制规则在有意暴露的实例上自动存档调查结果。

使用亚马逊 Route 53 解析器 DNS 防火墙进行监控

Amazon Route 53 Resolver 以递归方式响应来自公共记录 AWS 资源、亚马逊 VPC 特定的 DNS 名称和 Amazon Route 53 私有托管区域的 DNS 查询,默认情况下全部可用。 VPCs使用 Route 53 Resolver DNS Firewall,您可以筛选和管理 Virtual Private Cloud (VPC) 的出站 DNS 流量。为此,您需要在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以相应地调整 DNS Firewall 的行为。有关更多信息,请参阅使用 DNS 防火墙过滤出站 DNS 流量

要查看和管理 Route 53 解析器 DNS 防火墙配置,请按以下步骤操作:

  1. 登录 AWS Management Console 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. DNS 防火墙下,选择规则组

  3. 查看、编辑或删除现有配置,或创建新的规则组。有关更多信息,请参阅 Route 53 解析器 DNS 防火墙的工作原理

Amazon Route 53 解析器 DNS 防火墙监控和安全

Amazon Route 53 DNS 防火墙使用规则关联、规则操作和规则评估优先级等概念。域列表是您在规则组内的 DNS Firewall 规则中使用的一组可重复使用的域规范。当您关联规则组与 VPC 时,DNS Firewall 会将您的 DNS 查询与规则中使用的域列表进行比较。如果 DNS 防火墙找到匹配项,则它会根据匹配规则的操作处理 DNS 查询。有关规则组和规则的更多信息,请参阅 DNS 防火墙规则组和规则

域列表分为两大类:

  • 托管域名列表, AWS 可为您创建和维护。

  • 您自己的域名列表,由您创建和维护。

根据规则组的关联优先级指数对其进行评估。

默认情况下,AMS 部署的基准配置由以下规则和规则组组成:

  • 一个名为的规则组DefaultSecurityMonitoringRule。对于每个已启用的现有 VPC,规则组在创建时具有最高的关联优先级 AWS 区域。

  • 规则组中一个优先级为 DefaultSecurityMonitoringRule 1DefaultSecurityMonitoringRule规则,使用带有操作 A LE RT 的AWSManagedDomainsAggregateThreatList托管域列表。

如果您已有配置,则部署基准配置的优先级将低于现有配置。您的现有配置是默认配置。如果您的现有配置没有提供有关如何处理查询解析的更高优先级的指令,则可以使用 AMS 基准配置作为包罗万象的配置。要更改或移除基准配置,请执行以下操作之一:

  • 请联系您的云服务交付经理 (CSDM) 或云架构师 (CA)。

  • 创建服务请求。

AMS 中的数据加密加速

AMS Accelerate 使用多种方法 AWS 服务 进行数据加密。

Amazon Simple Storage Service 提供了多种对象加密选项,可保护传输中的数据和静态数据。服务器端加密在将对象保存到数据中心的磁盘上之前加密对象,然后在下载对象时对数据进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密对象的方式就没有区别。有关更多信息,请参阅 Amazon S3 中的数据保护