SEC09-BP03 驗證網路通訊
使用支援身分驗證的協定 [如 Transport Layer Security (TLS) 或 IPsec] 來驗證通訊的身分。
設計工作負載,以在每當服務、應用程式或使用者之間進行通訊時,使用安全、經驗證的網路協定。使用支援驗證和授權的網路協定可提供更強大的網路流量控制能力,並減少未經授權存取所造成的影響。
預期成果:設計出工作負載,讓其有明確定義的服務間資料平面和控制平面流量流程。在技術允許的情況下,流量流程要使用經過驗證和加密的網路協定。
常見的反模式:
-
工作負載內有未經加密或驗證的流量流程。
-
在多個使用者或實體之間重複使用驗證憑證。
-
僅仰賴網路控制作為存取控制機制。
-
建立自訂驗證機制,而非仰賴產業標準的驗證機制。
-
服務元件或 VPC 中的其他資源之間有過於寬鬆的流量。
建立此最佳實務的優勢:
-
將未經授權存取所造成的影響範圍限制在工作負載的某個部分。
-
提供只會由已驗證實體執行動作的更高層級保證。
-
透過清楚地定義並強制執行預期的資料傳輸介面來改善服務的去耦。
-
透過請求歸因和明確定義的通訊介面,增強監控、日誌記錄和事件回應。
-
結合網路控制與驗證和授權控制,為您的工作負載提供深度防禦。
未建立此最佳實務時的曝險等級:低
實作指引
您工作負載的網路流量模式可分為兩個類別:
-
東西流量代表構成工作負載的服務之間的流量流程。
-
南北流量代表工作負載和取用者之間的流量流程。
雖然加密南北流量是常見的做法,但是使用經過驗證的協定來保護東西流量則較不常見。現代安全實務的建議是,單靠網路設計並無法讓兩個實體之間建立信任的關係。當兩個服務可能位於一個共通的網路邊界內時,最佳實務仍是對這些服務之間的通訊進行加密、驗證和授權。
舉例來說,無論請求來自哪個網路,AWS 服務 API 都會使用 AWS 第 4 版簽署程序 (SigV4) 簽署協定來驗證呼叫者。此驗證可確保 AWS API 可以驗證發出動作請求的身分,該身分接著可與政策結合來作出授權決策,確定是否應允許該動作。
Amazon VPC Lattice 和 Amazon API Gateway 等服務可讓您使用相同的 SigV4 簽署協定,為自己的工作負載中的東西流量新增驗證和授權功能。如果 AWS 環境以外的資源需要與要求進行 SigV4 型驗證和授權的服務進行通訊,您可以在非 AWS 資源上使用 AWS Identity and Access Management (IAM) Roles Anywhere 來取得暫時 AWS 憑證。使用這些憑證,便可透過 SigV4 簽署服務請求以授權存取。
用於驗證東西流量的另一種常見機制是 TLS 相互驗證 (mTLS)。許多物聯網 (IoT)、企業對企業應用程式和微型服務都使用 mTLS,透過使用用戶端和伺服器端 X.509 憑證來驗證 TLS 通訊兩端的身分。這些憑證可由 AWS Private Certificate Authority (AWS Private CA) 發行。您可以使用 Amazon API Gateway 和 AWS App Mesh 等服務,為工作負載之間或工作負載內部的通訊提供 mTLS 驗證。雖然 mTLS 會為 TLS 通訊的兩端提供驗證資訊,但不提供授權機制。
最後,OAuth 2.0 和 OpenID Connect (OIDC) 是兩種常用於控制使用者對服務存取行為的協定,但現在也變成服務對服務流量的熱門協定。API Gateway 會提供 JSON Web Token (JWT) 授權器,可讓工作負載使用 OIDC 或 OAuth 2.0 身分提供者所發行的 JWT 來限制 API 路由的存取。OAuth2 的範圍可作為基本授權決策的來源,但仍需要在應用程式層實作授權檢查,而且單靠 OAuth2 範圍並無法支援更複雜的授權需求。
實作步驟
-
定義並記錄您的工作負載網路流程:實作深度防禦策略的第一步是定義工作負載的流量流程。
-
建立可清楚定義構成工作負載的不同服務間資料傳輸方式的資料流程圖。此圖是透過已驗證的網路通道強制執行這些流程的第一步。
-
在開發和測試階段檢測您的工作負載,以驗證資料流程圖是否準確反映工作負載在執行時期的行為。
-
資料流程圖在執行威脅建模練習時也很有用,如 SEC01-BP07 使用威脅模型識別威脅並優先考慮緩解措施中所述。
-
-
建立網路控制:考慮用來建立與資料流程一致的網路控制的 AWS 功能。雖然網路邊界不應成為唯一的安全控制,但其可在深度防禦策略中提供一個保護層,以保護您的工作負載。
-
使用安全群組建立定義和限制資源之間的資料流程。
-
考慮使用 AWS PrivateLink 與支援 AWS PrivateLink 的 AWS 和第三方服務進行通訊。透過 AWS PrivateLink 介面端點傳送的資料會保留在 AWS 網路骨幹內,不會周遊公用網際網路。
-
-
在工作負載中跨服務實作驗證和授權:選擇最適合用來在您工作負載中提供經驗證加密流量的 AWS 服務集。
-
考慮用來保護服務對服務通訊的 Amazon VPC Lattice。VPC Lattice 可以使用 SigV4 驗證結合驗證政策來控制服務對服務的存取。
-
對於使用 mTLS 的服務對服務通訊,請考慮 API Gateway 或 App Mesh。AWS Private CA 可用來建立能夠發行憑證以與 mTLS 搭配使用的私有 CA 階層。
-
與使用 OAuth 2.0 或 OIDC 的服務進行整合時,請考慮使用 JWT 授權器的 API Gateway。
-
對於工作負載和 IoT 裝置之間的通訊,請考慮 AWS IoT Core,它提供了幾種網路流量加密和驗證選項。
-
-
監控未經授權的存取:持續監控是否有意外的通訊管道、嘗試存取受保護資源的未經授權主體,以及其他不當的存取模式。
-
如果使用 VPC Lattice 來管理服務的存取,請考慮啟用和監控 VPC Lattice 存取日誌。這些存取日誌包括請求方實體的資訊、包括來源和目的地 VPC 在內的網路資訊,以及請求中繼資料。
-
考慮啟用 VPC 流程日誌來擷取網路流程上的中繼資料,並定期審查是否有異常狀況。
-
如需更多有關規劃、模擬和應對安全事件的指引,請參閱 AWS 安全事件回應指南和 AWS Well Architected Framework 安全支柱的事件回應章節。
-
資源
相關的最佳實務:
相關文件:
相關影片:
相關範例:
