SEC05-BP03 实施基于检查的保护
在各网络层之间设置流量检测点,确保传输中数据符合预期的类别和模式。 分析流量、元数据和模式,以便于更有效地识别、检测和响应事件。
期望结果:在各网络层之间穿行的流量均经过检查和授权。 允许和拒绝的决定基于明确的规则、威胁情报和偏离基线的行为。 流量越接近敏感数据,保护措施就越严格。
常见反模式:
-
仅依赖基于端口和协议的防火墙规则,而不利用智能系统。
-
根据当前可能发生变化的特定威胁模式制定防火墙规则。
-
只检查从私有子网传输到公有子网或从公有子网传输到互联网的流量。
-
没有网络流量基线视图,无法与异常行为对照。
建立此最佳实践的好处:检测系统允许您制定智能规则,例如仅当流量数据中存在特定条件时才允许或拒绝流量。根据最新的威胁情报,从 AWS 和合作伙伴提供的托管规则集获益,因为威胁状况会随着时间的推移而发生变化。 这减少了维护规则和研究折衷指标的开销,降低了误报的可能性。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
使用 AWS Network Firewall 或 AWS Marketplace 上其它可部署在网关负载均衡器(GWLB)
AWS Network Firewall 和使用 GWLB 的供应商解决方案都支持不同的内联检查部署模型。 例如,您可以逐个 VPC 执行检查,在所检查 VPC 内集中进行检查,或者以混合模式进行部署,即东西向流量流经检查 VPC,而互联网入口则逐个 VPC 进行检查。 另一个考虑因素是,解决方案是否支持解包传输层安全性协议(TLS),从而能够对任一方向启动的流量进行深度数据包检查。有关这些配置的更多信息和深入细节,请参阅《AWS Network Firewall 最佳实践指南
如果您使用的是执行带外检查的解决方案,例如对来自以混杂模式运行的网络接口的数据包数据进行 pcap 分析,则可以配置 VPC 流量镜像。镜像流量计入接口的可用带宽,与非镜像流量收取相同的数据传输费用。您可以查看 AWS Marketplace
对于通过基于 HTTP 的协议进行事务处理的组件,应使用 Web 应用程序防火墙(WAF,Web Application Firewall)保护应用程序免受常见威胁。AWS WAF
您可以使用 AWS Firewall Manager
实施步骤
-
确定是可以通过检查 VPC 等方式宽泛地确定检查规则的范围,还是需要更细粒度的针对每个 VPC 的方法。
-
对于内联检查解决方案:
-
如果使用 AWS Network Firewall,则创建规则、防火墙策略和防火墙本身。配置完这些后,就可以将流量路由到防火墙端点
以便启用检查。 -
如果使用带有网关负载均衡器(GWLB)的第三方设备,请在一个或多个可用区内部署和配置设备。然后,创建 GWLB、端点服务、端点,并为流量配置路由。
-
-
对于带外检查解决方案:
-
在应该对入站和出站流量进行镜像的接口上,启用 VPC 流量镜像功能。您可以使用 Amazon EventBridge 规则调用 AWS Lambda 函数,以便在创建新资源时在接口上启用流量镜像功能。将流量镜像会话指向在设备前面处理流量的网络负载均衡器。
-
-
对于入站 Web 流量解决方案:
-
要配置 AWS WAF,首先要配置 Web 访问控制列表(Web ACL)。Web ACL 是众多规则的集合,具有连续处理的默认操作(ALLOW 或 DENY),可定义 WAF 如何处理流量。您可以创建自己的规则和组,也可以在 Web ACL 中使用 AWS 托管规则组。
-
配置好 Web ACL 后,将 Web ACL 与 AWS 资源(如应用程序负载均衡器、API Gateway REST API 或 CloudFront 分配)关联,即可开始保护 Web 流量。
-
资源
相关文档:
相关示例:
相关工具:
