還在不久之前,設定邊界防火牆已經是最好的做法。要為伺服器做好分割區段實在太過複雜與高成本了。
但這一切都隨著軟體定義網路的出現及虛擬化技術和主機軟體的進步而改變。托托,我想我們已經不在堪薩斯了(註:綠野仙蹤內桃樂絲的台詞)!我們現在能夠實際地去應用Gartner報告內所討論到的分割(segmentation)和隔離(isolation)安全最佳實作。
從哪裡開始?
亞馬遜網路服務(AWS)提供強大而友善的方式來實施基本的網路ACL(存取控制列表)。ACL指的是控制哪些網路端口可以互相對談及跟外部網路連接。
AWS預設是全部禁止,意思是沒有端口會開啟,除非你有特別要求。理想上,你會開啟最低所需的端口,並且只開放給需要它們的資源。例如,你可以將網頁伺服器的端口80/443開放給所有網路,但你不該將它的RDP端口開放給外部網路…或是完全不要開放,如果可以的話。
就跟巫師一樣,AWS有個聰明的做法可以讓它變得更加容易。比方說我想保護一個有著網頁伺服器、應用伺服器和後端資料服務的三層架構應用程式:
AWS可以讓你定義安全群組,就如同給多個同類型虛擬機器的範本。為了讓它更加容易,讓規則集保持不大,你可以將安全群組連結在一起。例如,只允許從網頁伺服器層虛擬機器的443端口網路流量到應用程式層。聽起來很簡單,也的確是,但卻令人難以置信的強大。
如果再加上VPC(虛擬私有雲),你可以對各種架構運用豐富的分割(segmentation)和隔離(isolation)政策。AWS的架構中心有許多樣本可以幫助你去到翡翠城(註:綠野仙蹤內桃樂絲的目的地)。
這就夠了,對不對?
並不盡然。正如我們在之前的文章討論過,只進行分割和只開放所需端口通常是不夠的。像Shellshock、Heartbleed和其他威脅都發生在這些合法端口上。為了讓這些飛天猴(註:綠野仙蹤內的怪物軍團)遠離你的虛擬機器,你必須深入這些網路封包資料。入侵防禦系統(IPS)軟體可以確保進出你虛擬機器的網路流量沒有惡意企圖。
在你的EC2虛擬機器上使用IPS(如Deep Security)代表可以隨著你的工作負載自動調整安全性。這種一致性運用良好而清楚的比例模型來降低操作負擔。
除了IPS防護,許多合規框架會要求所有網路活動的詳細日誌。雖然VPC有流量日誌,但並沒有提供合規稽核(如PCI-DSS)所需的詳盡度。如果你需要詳細記錄和認證(accreditation),可能需要考慮第三方防火牆。同時也提供出色的安全性,AWS安全群組尚未通過ICSA實驗室認證。
合在一起…
在你踏上分割(segmentation)和隔離(isolation)的紅磚道(註:綠野仙蹤內桃樂絲所走黃磚道的另一條道路)之前,請先確保你有計畫好該如何監控和稽核網路安全。
在之前的文章中,另一個最佳實作強調持續監控的重要性。你還需要注意有意或無意的設定變更和不斷重新評估你的安全架構。
想要了解更多?閱讀Gartner關於防護AWS工作負載最佳實作的報告。
@原文出處:Cloud Security: Segmentation, Isolation and Accreditation… oh my!
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載