本月观点
1、合规将会是上云的重点卡点:从Capital One的数据被窃取的事件中,笔者已经非常敏锐的观察到云上合规将会是能否上云的关键点,而实现云上合规需要不断的完善产品的能力,从目前来看不管是AWS、Azure、Google都还是在路上,目前合规的涵盖度并没有那么高,国内的云厂商也要尽快发力对齐合规(PCI DSS、SOC等等),通过合规来驱动云产品提供安全Feature,这些安全Feature包括加密、身份认证、数据安全等内容;通过合规这件事可以很清晰的看到,每个地区或者国家都有自身的合规体系,AWS现在逐步通过满足合规的能力,来扩展自身的行业业务,例如金融、医疗等;
2、云产品安全能力将会是云厂商的核心竞争力:从不同的渠道,笔者了解到云产品安全能力将会成为云厂商的重要核心竞争能力,这块AWS做的不错,很多客户选择云平台的时候会非常在意安全Feature;
3、逐步替换不安全的功能设计:AWS在细节上不断进行完善,现在逐步在梳理遗留的一些不安全的功能和Feature,通过自身的改造,最终弄让这些不安全的功能和Feature变成安全的功能;
4、AWS产品在合规能力上推HIPAA:本月有众多的产品支持HIPAA;
5、追求性能极致:之前的月度分析文章中曾多次提到AWS除了具有一些云原生的优势之外,对于性能的追求也是很苛刻的。本次推出的ACCP只是更新性能中的一小块内容,之前讲到的EBS的性能提升。在AWS内部,研发部门对于安全提出的产品的性能指标估计也会非常苛刻的,降低1%的CPU、内存,这都是白花花的钱;
我心目中的云安全(抛砖引玉,希望能得到大家反馈)
1、全部云产品支持KMS;
2、全部云产品API调用全部都在VPC中,未来不会存在公网调用的事件,未来能很大程度上避免数据泄露;
3、全部云产品只要存储客户数据,就默认集成KMS进行加密;
4、全部云产品只要跟用户进行通信,全部使用TLS、HTTPS等链路加密;
5、全部云产品支持CloudTrail进行审计;
6、全部云产品支持细粒度的IAM权限控制;
7、全部云产品满足PCI DSS、SOC2的合规;
8、未来能看到不管是租户、平台等全部的审计数据,平台侧可以通过类似Google Access Transparency透明内部人员的操作;
9、未来能够看到不管是租户自身、平台等全部的威胁数据,例如租户侧的EC2逃逸到物理机,攻击其他用户、内部漏洞信息对接客户的SIEM、SOC等,达到空前的可见能力;
10、安全产品在所有的区域都可以提供,安全检测能力达到一致;
11、用户最终可以定义安全产品的每一个能力,利用每一个能力模块构建自身的防御体系;
12、全部默认配置HTTPS、默认存储加密;
13、默认不安全的一些能力,逐渐被慢慢替换成安全的能力,例如EBS的证书更新流程,目前也增强了传输性;
14、等等等持续完善中。。。
AWS对外PR以及峰会
AWS Capital One事件分析
事件经过:
Capital One是美国第五大信用卡发行商,它目前的大部分业务都在AWS上,跟AWS是深度合作状态。在7月29日,Capital One披露其数据遭泄露,影响1亿美国人和600万加拿大人,信息涵盖2005年至2019年的个人信息,其中包括大约12万个社会安全号码和77000个关联银行账号。经过FBI的调查,最终发现黑客是前AWS员工,在2015年5月至2016年9月期间,这名黑客曾是AWS的S3系统工程师。从美国司法部公开纰漏的调查卷宗来看,被窃取数据的原因是Capital One的防火墙错误配置,导致黑客利用AWS IAM ISRM-WAF-Role的错误配置获取了Capital One保存在AWS S3中的敏感数据;Cpaital One存储在AWS S3中泄露的数据发生在2019年3月-7月之间,截止到7月17日被人邮件通知数据在Github泄露为止,期间一直没有发现数据被窃取;另外美国司法部并没有公布黑客是通过什么方式来获取AWS IAM ISRM-WAF-Role的权限的,目前从技术角度分析一方面是由于黑客在AWS工作的时候发现了S3自身的安全漏洞来进行数据窃取,这种可能AWS极力反驳并没有这种问题的存在;另外一个方面就是由于Captial One的安全配置错误导致被入侵获取的AWS IAM ISRM-WAF-Role的权限;从目前更新的信息是通过自身的WAF利用SSRF的漏洞渗透了EC2,通过EC2的MetaData(http://169.254.169.254/iam/security-credentials/*****-WAF-Role)获取到了临时的AK,利用临时AK访问S3的Bucket,进而窃取敏感的数据;
思考:
1、Cloud Native安全能力需要持续集成和增强:安全要针对云产品提供的Native安全能力例如IP地址白名单等进行深度集成进行默认安全配置检查,增强云安全产品和云产品的粘性和紧密型;
2、提供和帮助客户落地最佳安全实践:针对IAM最小权限划分、CloudTrail默认审计、云产品Native的安全能力、客户安全最佳实践检查、安全White Paper指南等进行完善的预防、检测、响应能力;
3、提供给客户安全检测产品:完善数据泄露检测场景,并提供快速打通通知客户渠道,让数据泄露的影响达到最小;
4、攻击面削减:要使用PrivateLink等手段来做虚拟边界,最小范围的限制S3访问,类似的包括AWS PrivateLink、Google VPC Service Controls等虚拟边界隔离策略;
5、云上数据泄露体系化思考:要从事前IAM最小权限、云产品Native安全能力,数据泄露面削减;事中持续化云产品配置检查、云上数据泄露途径检测;事后审计、快速告警和响应来综合考虑云上数据泄露风险;
云安全的优势:
1、快速溯源能力:一般情况下,传统的On-Premises的入侵行为可能要花费数周、数月来进行调查,而且很大可能由于日志的不完备导致入侵无法快速进行溯源,而Capital One这次被入侵很快速的就定位了入侵原因,很大程度是由于下面第2点讲的;
2、CloudTrail全链路审计完善:Capital One开启了CloudTrail的审计日志,通过用户调用API等访问行为进行了快速的定位,及时发现数据泄露的源头,快速进行止损,这个在传统的On-Premises环境下是很难做到的,传统的On-Premises环境需要部署大量的安全能力才能达到这样的效果,云上全链路审计的优势非常明显;
3、云原生产品漏洞修复更快速:不管Capital One是不是因为WAF造成的入侵,对于云上客户来说,云原生的产品的修复速度更快,能够在漏洞被发现的数小时内就能快速修复和止血,由于传统On-Permises使用的一些产品并没有经过安全团队的专业安全审核,可能会带着严重的漏洞上线,造成被利用,而又由于没有专业的检测和响应能力,会造成数据被泄露很久或者数据全部被窃取走,都不会被发现;
4、提供云原生数据泄露检测类产品更贴近云上用户:AWS针对S3的异常访问行为和敏感的数据提供了Macie产品线,通过S3的CloudTrail的日志针对用户的行为进行统计,并且划分了几种用户角色,包括白金用户、金牌用户、铜牌用户、银牌用户等,根据这些不同的用户来指定不同的风险;AWS Macie也提供了行为Hunting的概念,通过Hunting不同的类型来发现异常行为,举个例子sourceIPAddress.ip_intel.type:”TOR” AND @timestamp:[now-1M TO now],这个例子的作用就是从 Tor 节点备注中搜索上个月对Macie监控数据的匿名访问,这一点对于Capital One这次黑客利用TOR Exit节点来发起攻击十分贴近场景,Macie的Hunting功能对于客户来说还是比较有用的
5、合规发挥重要作用:比较令人欣慰的是这次Capital One的数据由于要符合PCI DSS的标准,信用卡的数据是进行加密的,云上也提供了非常多的云原生加密能力,包括云产品提供的默认加密、KMS、HSM等;云上企业如果严格按照合规的规定来做安全设计,能抵御和预防一些数据窃取的事件发生后可造成的影响的;
AWS本月新增产品Features
1、Amazon MSK is now PCI DSS compliant
地址:
https://aws.amazon.com/about-aws/whats-new/2019/07/amazon-msk-now-pci-dss-compliant/
说明:
Amazon Managed Streaming for Apache Kafka在处理信用卡数据的时候,符合PCI DSS的规范;
观察:
从Capital One的数据被窃取的事件中,笔者已经非常敏锐的观察到云上合规将会是能否上云的关键点,而实现云上合规需要不断的完善产品的能力,从目前来看不管是AWS、Azure、Google都还是在路上,目前合规的涵盖度并没有那么高,国内的云厂商也要尽快发力对齐合规(PCI DSS、SOC等等),通过合规来驱动云产品提供安全Feature,这些安全Feature包括加密、身份认证、数据安全等内容;
2、AWS Secrets Manager now supports VPC endpoint policies
地址:
说明:
AWS Secrets Manager使客户能够在整个开发和运维的生命周期内检索和管理密钥。 AWS Secrets Manager还可以根据客户确定的计划安全地轮换密钥,从而更轻松地遵循使用短期密钥的安全最佳做法。例如,客户可以将AWS Secrets Manager配置为每天轮换数据库凭据,将典型的长期机密信息转换为自动轮换的短期密钥。通过将Secrets Manager与Amazon VPC端点策略结合使用,客户现在可以在AWS网络中保留与密钥请求相关的加密通信,并通过精细控制对Secrets Manager API的访问来帮助满足客户的合规性和法规要求。
观察:
通过Capital One的数据被窃取事件中,可以发现云产品(尤其是数据类产品、密钥管理、KMS)等产品体系,都需要削减被数据窃取、异常调用等的攻击面,从虚拟边界的角度来针对用户的访问进行严格限制,保证从权限认证、API访问限制、边界隔离策略、威胁检测、审计等角度的纵深防御体系;
3、Amazon Pinpoint Achieves HIPAA Eligibility、Amazon SES Achieves HIPAA Eligibility、AWS Resource Groups is Now SOC Compliant
地址:
说明:
合规在横向推动,Amazon Pinpoint和SES目前支持合规;
观察:
参考合规观点
4、AWS Certificate Manager Private Certificate Authority is now available in the Asia Pacific (Hong Kong) Region,Amazon Inspector is now available in the Europe (Stockholm) Region
地址:
说明:
AWS Certificate Manager Private Certificate Authority目前在香港Region开放;
观察:
产品安全在横向推广到各个Region区域;
5、Amazon EC2 Now Supports Tagging Launch Templates on Creation
地址:
说明:
Amazon EC2目前支持创建的时候利用Tagging来运行指定的模板;
观察:
产品在横向推广基于标签的资源管理和创建能力;
6、AWS Client VPN now adds support for Split-tunnel
地址:
https://aws.amazon.com/about-aws/whats-new/2019/07/aws-client-vpn-now-adds-support-for-split-tunnel/
说明:
AWS Client VPN现在支持隧道切分功能,使客户可以灵活地选择通过VPN隧道的流量。企业内部员工通常从其本地On-Permises网络访问AWS和本地资源。使用全隧道时,始终通过VPN隧道发送与目的地无关的流量。如果目标资源位于内部网络中,则流量将通过VPN隧道路由到AWS,然后再返回到On-Permises网络。隧道切分使客户能够配置通过VPN隧道路由的流量。通过隧道切分,客户可以通过仅使用AWS目标流量遍历VPN隧道来优化来自客户端的流量路由。通过优化流量,客户还可以减少来自AWS的出口流量,从而降低数据传输成本。
观察:
AWS目前在产品能力上,控制手段越来越细粒度化,这给用户带来了更多的选择,这块也增强了云上用户的粘度;
7、Configuration update for Amazon EFS encryption of data in transit
地址:
说明:
AWS在使用传输中的数据加密时更新了Amazon Elastic File System(Amazon EFS)挂载帮助程序包的默认配置。默认情况下不启用使用在线证书状态协议(OCSP)。Amazon EFS挂载助手提供了使用传输层安全性1.2版(TLS v1.2)加密EFS文件系统传输中的数据的选项。 EFS使用Amazon证书颁发机构(CA)颁发和签署其TLS证书,以及使用OCSP检查证书吊销。必须可以通过Internet从虚拟私有云(VPC)访问OCSP端点,以检查证书吊销。为了在无法从VPC访问CA时最大化文件系统可用性,EFS装载助手默认情况下不再启用OCSP。在服务中,EFS持续监视证书撤销状态,并在检测到撤销证书时颁发新证书。
观察:
AWS在细节上不断进行完善,现在逐步在梳理遗留的一些不安全的功能和Feature,通过自身的改造,最终弄让这些不安全的功能和Feature变成安全的功能;
8、Amazon MQ Adds Support for AWS Key Management Service (AWS KMS), Improving Encryption Capabilities
地址:
说明:
MQ支持KMS
观察:
AWS在不断横向扩展KMS的支持的产品范围;
9、AWS Systems Manager Distributor makes it easier to create distributable software packages
地址:
说明:
AWS Systems Manager Distributor提供简化的软件包创建,使客户能够快速跨实例部署软件包。分销商将打包您的安装程序,以便可以轻松地在多个操作系统上安装和更新软件。使用Distributor,客户可以从集中的版本控制存储库中安全地存储和管理软件包,例如软件代理。通过简化的包创建体验,客户可以选择所需的可安装文件,Distributor可自动创建安装和卸载脚本,上载可安装文件以及将所有内容压缩到包中。然后,可以跨AWS账户共享这些包,并按需或按计划分发到实例。客户还可以从Systems Manager合规性仪表板报告软件分发的合规性。分发服务器是Systems Manager中的一项功能。 Systems Manager可实现对云和内部部署基础架构的可见性和控制。它简化了资源和应用程序管理,缩短了检测和解决操作问题的时间,并使大规模安全地操作和管理基础架构变得更加容易。
观察:
通过AWS Systems Manager Distributor包管理功能,可以快速跨越多个AWS托管实例 ID、AWS 账户 ID、标签或 AWS 区域标识的托管实例来进行分发,作为IaC,基础架构既代码更近了一步,让基础设施的部署、运维等能力更强;
10、Introducing the Amazon Corretto Crypto Provider (ACCP) for Improved Cryptography Performance
地址:
https://aws.amazon.com/about-aws/whats-new/2019/07/introducing-the-amazon-corretto-crypto-provider/
说明:
Amazon Corretto Crypto Provider(ACCP)是Amazon Corretto的加密性能改进版,现已推出。 从历史上看,Java加密技术一直是CPU密集型的,导致性能降低和运营成本增加。 ACCP更新了数十种加密算法,加速了加密工作量。开发者和客户现在可以使用ACCP优化自己的环境。 ACCP是开源的,可在Maven和GitHub上使用,因此非Corretto Java 8和Java 11用户可以提高其加密性能。
Github地址:https://github.com/corretto/amazon-corretto-crypto-provider
观察:
之前的月度分析文章中曾多次提到AWS除了具有一些云原生的优势之外,对于性能的追求也是很苛刻的。本次推出的ACCP只是更新性能中的一小块内容,之前讲到的EBS的性能提升。在AWS内部,研发部门对于安全提出的产品的性能指标估计也会非常苛刻的,降低1%的CPU、内存,这都是白花花的钱;
AWS本月更新
1、How to deploy CloudHSM to securely share your keys with your SaaS provider
https://aws.amazon.com/blogs/security/how-to-deploy-cloudhsm-securely-share-keys-with-saas-provider/
解读:
跟SaaS服务提供商进行整合,对客户自身的数据进行加密,使用VPC Peer跟SaaS的客户端进行通信。简单的逻辑是这样的,SaaS类应用VPC和SaaS HSM Client应用VPC进行Peer,SaaS HSM Client通过跟HSM ENI进行联通,后面紧跟着一组HSM的硬件集群;
下图展示了构成自定义密钥库的各种组件,并显示了CloudHSM集群如何连接到KMS以创建客户控制的密钥库。
2、AWS achieves OSPAR outsourcing standard for Singapore financial industry
解读:
AWS 66个服务通过了OSPAR(Outsourced Service Provider Audit Report外部服务提供商审计报告);通过合规的需求来满足新加坡金融行业的合规;通过合规这件事可以很清晰的看到,每个地区或者国家都有自身的合规体系,AWS现在逐步通过满足合规的能力,来扩展自身的行业业务,例如金融、医疗等;
3、Spring 2019 PCI DSS report now available, 12 services added in scope
解读:
2019 PCI DSS Spring 2019季度的报告目前已经同步,新增了12个服务;
Amazon AppStream 2.0
Amazon CloudWatch
Amazon CloudWatch Events (includes Amazon EventBridge)
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
AWS Amplify Console
AWS Control Tower
AWS CodeDeploy
AWS CodePipeline
AWS Elemental MediaConvert
AWS Elemental MediaLive
AWS Organizations
AWS SDK Metrics for Enterprise Support
4、How to get specific security information about AWS services
https://aws.amazon.com/blogs/security/how-to-get-specific-security-information-about-aws-services/
解读:
可以通过这篇文档(https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf)来获取如下服务的数据保护、IAM、日志记录和监控、合规、弹性、基础设施安全、配置和漏洞分析、安全最佳实践文档;
产品列表包含:
Amazon Athena
Amazon Aurora
Amazon CloudFront
Amazon DynamoDB
Amazon ElastiCache
Amazon Elasticsearch Service
Amazon EKS
Amazon EMR
Amazon Kinesis Data Analytics for Java Applications
Amazon Kinesis Data Analytics for SQL Applications
Amazon Kinesis Data Firehose
Amazon Kinesis Data Streams
Amazon Kinesis Video Streams
Amazon Lambda
Amazon Lex
Amazon Neptune
Amazon QuickSight
Amazon RDS
Amazon Redshift
Amazon Route 53
Amazon S3
Amazon S3 Glacier
Amazon Transcribe
AWS Backup
AWS Cloud Map
AWS CodeBuild
AWS Control Tower
AWS DataSync
AWS Elemental MediaConnect
AWS Elemental MediaConvert
AWS Elemental MediaLive
AWS Elemental MediaPackage
AWS Elemental MediaStore
AWS Elemental MediaTailor
AWS Glue
AWS Marketplace
AWS Security Hub
AWS Snowball
AWS Snowball Edge
AWS WAF
AWS X-Ray