本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC05-BP03 實作以檢查為基礎的保護
在網路層之間設定流量檢測點,以確保傳輸中的資料符合預期的類別和模式。 分析流量流程、中繼資料和模式,以協助更有效地識別、偵測及回應事件。
預期成果:在網路層之間穿梭的流量會經過檢測和授權。 允許和拒絕決策取決於明確的規則、威脅情報以及偏離基準行為的程度。 流量越接近敏感資料,防護就會越嚴格。
常見的反模式:
-
僅仰賴以連接埠和通訊協定為準的防火牆規則。未善加利用情報系統。
-
根據可能隨時變更的特定目前威脅模式制訂防火牆規則。
-
僅檢測從私有子網路傳輸到公有子網路的流量,或從公有子網路傳輸到網際網路的流量。
-
沒有網路流量基準點可比較,以識別行為異常。
建立此最佳實務的優勢:檢測系統可讓您制訂智慧型規則,例如,只有在流量資料內存在特定條件時,才允許或拒絕流量。根據最新的威脅情報,隨著威脅態勢隨著時間的變化,從 AWS 和 合作夥伴的受管規則集中受益。 這可減輕維護規則和研究入侵指標的工作負擔,進而降低誤報的可能性。
未建立此最佳實務時的曝險等級:中
實作指引
使用 AWS Network Firewall或其他防火牆
AWS Network Firewall 和廠商解決方案都支援GWLB不同的內嵌檢查部署模型。 例如,您可以根據基準VPC執行檢查、集中在檢查 中VPC,或在混合模型中部署,其中東西流量會流經檢查,VPC而網際網路傳入會按檢查VPC。 另一個考量是解決方案是否支援取消包裝 Transport Layer Security (TLS),可針對任一方向啟動的流量進行深度封包檢查。如需這些組態的相關資訊和深入資訊,請參閱 AWS Network Firewall 最佳實務指南
如果您使用的是執行 out-of-band檢查的解決方案,例如從以半透明模式操作的網路介面進行封包資料的 pcap 分析,則可以設定VPC流量鏡像 。鏡像流量會計入介面的可用頻寬,並且您需支付與非鏡像流量相同的資料傳輸費用。您可以查看這些設備的虛擬版本是否可在 上使用AWS Marketplace
對於透過 HTTP型通訊協定進行交易的元件,請使用 Web 應用程式防火牆 (WAF) 保護您的應用程式免受常見威脅。 AWS WAF
您可以使用 集中管理組織中的 AWS Network Firewall AWS AWS WAF AWS Shield Advanced、 和 Amazon VPC安全群組AWS Firewall Manager
實作步驟
-
判斷您是否可以廣泛地範圍檢查規則,例如透過檢查 VPC,或者是否需要每個VPC方法更精細。
-
對於內嵌檢測解決方案:
-
如果使用 AWS Network Firewall,請建立規則、防火牆政策和防火牆本身。上述這些設定完成後,您可以將流量路由至防火牆端點
以啟用檢測。 -
如果搭配 Gateway Load Balancer (GWLB) 使用第三方設備,請在一或多個可用區域中部署和設定您的設備。然後,建立您的 GWLB、端點服務、端點,並設定流量的路由。
-
-
對於 out-of-band檢查解決方案:
-
在應鏡像傳入和傳出流量的介面上開啟VPC流量鏡像。您可以使用 Amazon EventBridge 規則來叫用 AWS Lambda 函數,以在建立新資源時開啟介面上的流量鏡像。將流量鏡像工作階段指向處理流量的設備前方的 Network Load Balancer。
-
-
對於傳入 Web 流量解決方案:
-
若要設定 AWS WAF,請先設定 Web 存取控制清單 (web ACL)。Web ACL是具有序列處理預設動作 (ALLOW 或 DENY) 的規則集合,可定義您的 WAF 如何處理流量。您可以在 Web 中建立自己的規則和群組,或使用 AWS 受管規則群組ACL。
-
設定 Web ACL 後,請將 Web ACL與 AWS 資源 (例如 Application Load Balancer、APIGateway REST API或 CloudFront 分佈) 建立關聯,以開始保護 Web 流量。
-
資源
相關文件:
相關範例:
相關工具:
