SEC05-BP04 自动进行网络保护 - AWS Well-Architected 框架
实施指导实施步骤资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC05-BP04 自动进行网络保护

使用基础架构即代码 (IaC) 和 CI/CD 管道等 DevOps实践,自动部署网络保护。 这些实践有助于您通过版本控制系统跟踪网络保护措施的变更,缩短部署变更所需的时间,并有助于检测网络保护措施是否偏离了您所需的配置。 

期望结果:您可以使用模板来定义网络保护,并将模板提交到版本控制系统中。 当有新的变更时,自动管道就会启动,协调这些变更的测试和部署。 进行策略检查和其它静态测试,以便在部署之前验证变更。 您可以将变更部署到暂存环境中,以便验证控制措施是否按预期运行。 一旦控制措施获得批准,还可自动部署到生产环境中。

常见反模式:

  • 依靠各个工作负载团队各自定义完整的网络堆栈、保护措施和自动化。 不集中发布网络堆栈和保护措施的标准内容,供工作负载团队使用。

  • 依靠中央网络团队来定义网络、保护措施和自动化的所有方面。 不将网络堆栈和保护措施的特定工作负载方面委托给该工作负载的团队。

  • 在网络团队和工作负载团队之间的集中化和委托之间取得适当平衡,但不在 IaC 模板和 CI/CD 管道中应用一致的测试和部署标准。 没有在检查模板是否符合要求的工具中捕获所需的配置。

建立此最佳实践的好处:使用模板来定义网络保护,可以通过版本控制系统跟踪和比较随时间发生的变更。 使用自动化功能来测试和部署变更,可实现标准化和可预测性,增加成功部署的机会,减少重复的手动配置。

在未建立这种最佳实践的情况下暴露的风险等级:中 

实施指导

SEC05-BP02 控制网络层内的流量和 SEC 05-BP03 实施基于检查的保护中描述的许多网络保护控制都附带托管规则系统,这些系统可以根据最新的威胁情报自动更新。 保护 Web 端点的示例包括AWS WAF 托管规则AWS Shield Advanced 自动应用层DDoS缓解。使用 AWS Network Firewall 托管规则组,也可随时更新低声誉域列表和威胁特征。

除了托管规则之外,我们还建议您使用 DevOps 实践来自动部署网络资源、保护措施和您指定的规则。 您可以在 AWS CloudFormation 或您选择的其它基础设施即代码(IaC)工具中捕获这些定义,将其提交到版本控制系统,并使用 CI/CD 管道进行部署。 使用这种方法可以获得管理网络控制 DevOps 的传统优势,例如更可预测的版本、使用诸如之类的工具进行自动测试 AWS CloudFormation Guard,以及检测已部署环境与所需配置之间的偏差。

根据您在 SEC05-BP01 创建网络层中所做的决策,您可以采用集中管理方法来创建VPCs专用于入口、出口和检查流的网络层。 如AWS 安全参考架构 (AWS SRA) 中所述,您可以在专用的网络基础设施帐户VPCs中定义这些架构。 您可以使用类似的技术来集中定义其他账户中的工作负载、其安全组、 AWS Network Firewall 部署、Route 53 Resolver 规则和DNS防火墙配置以及其他网络资源中VPCs使用的内容。 您可以通过 AWS Resource Access Manager 与其它账户共享这些资源。 通过这种方法,您可以将网络控制的自动测试和部署简化到网络账户中,只需管理一个目标即可。 您可以采用混合模式来实现这一点,即集中部署和共享某些控制措施,并将其它控制措施委托给各个工作负载团队及其各自的账户。

实施步骤

  1. 确定网络和保护措施的哪些方面是集中定义的,哪些是工作负载团队可以维护的。

  2. 创建环境来测试和部署对网络及其保护措施的变更。 例如,使用“网络测试”账户和“网络生产”账户。

  3. 确定如何在版本控制系统中存储和维护模板。 将中央模板存储在有别于工作负载存储库的存储库中,而工作负载模板可存储在特定于该工作负载的存储库中。

  4. 创建 CI/CD 管道来测试和部署模板。 定义测试方法,用于检查配置是否有误,以及模板是否符合公司标准。

资源

相关最佳实践:

相关文档:

相关示例:

相关工具: