AWS上的网络应用安全治理操作模型 架构博客

AWS网络应用程序安全治理的操作模型

关键要点

在当今 digitalfirst 的环境中，大多数企业的首要任务是保护其高价值资产。AWS Web 应用程序防火墙AWS WAF是一种行业领先的解决方案，能够保护 web 应用免受不断演变的威胁，包括常见的网络攻击和恶意机器人。这些威胁可能会影响系统的可用性、危及安全性，甚至消耗过多的资源。尽管 AWS WAF 为托管服务，但其作为网络安全第一道防线的重要操作模型却常常被忽视。

AWS WAF的操作模型会因企业的技术基础而异，其使用场景则与工作负载息息相关。对于一些完全建立在公共云上的企业而言，其应用程序通常比较现代化；而许多大型传统企业则可能有经典和遗留的工作负载分布在不同的业务单元中。本文将探讨使用 AWS WAF、AWS 防火墙管理器服务、AWS 组织及其他 AWS 服务的三种不同操作模式。

操作模型

I 集中式

集中式模型适用于需要保护的应用程序相似且规则一致的组织。在多租户环境即租户共用相同基础架构或应用程序中，可以通过相同的 Web 访问控制列表 Web ACL和规则部署 AWS WAF，从而确保安全的一致性。内容管理系统CMS也可以从这种模型中受益，因为一致的 Web ACL 和规则可以保护在其 CMS 平台上托管的多个网站。这种操作模型为基于 web 的攻击提供了统一的保护，并在多个 AWS 帐户之间实现集中管理。若要管理所有在 AWS 组织中的帐户和应用程序，可以使用 AWS 防火墙管理器。

AWS 防火墙管理器简化了 AWS WAF 的管理，并帮助您在 AWS 组织中的所有资源上强制执行 AWS WAF 规则，背后依赖于 AWS 配置。合规性仪表板提供更简洁的安全态势视图。集中式信息安全IS团队可以配置和管理 AWS WAF 的托管规则和自定义规则。

AWS 托管规则 旨在保护您应用程序免受各种常见网络威胁，为您的应用程序提供额外的安全保护。通过利用 AWS 托管规则及其预配置的规则组，您可以简化 WAF 配置的管理，减少对专门团队处理这些复杂任务的需求，从而减轻重复性劳动。

集中式操作模式见图1要求 IS 团队使用 AWS FMS 构建 AWS WAF 策略，然后在每个帐户中实施。保持对不断变化的威胁环境的关注可能耗时且成本高昂。安全团队可以选择一个或多个 AWS 托管规则组或 AWS Marketplace 订阅中的规则组，应用到每个 Web ACL，以及需要的任何自定义规则。

图1 AWS WAF的集中式操作模型

AWS 配置管理规则集 确保 AWS WAF 日志记录、规则组、Web ACL 和区域及全球 AWS WAF 部署没有空的规则集。管理规则集简化了合规性监控和报告，同时确保安全性和合规性。AWS CloudTrail 监控 AWS WAF 配置的变化，为您的操作环境提供宝贵的审计能力。

该模型将定义、执行和审查安全策略的责任完全集中在安全管理员和 IS 团队上。虽然全面，但这种方法可能需要小心管理，以避免潜在瓶颈，尤其是在大规模操作中。

II 分散式

许多组织自成立之初，就开始在 AWS 上进行 IT 操作。这些组织通常拥有多技能基础架构和开发团队以及精简的操作模型。分散式模型如图2所示非常适合这些组织。在这种情况下，应用团队理解底层基础设施组件和为其配置的基础设施即代码IaC。因此，这些开发团队进行 AWS WAF 的部署以及 Web ACL 设置是合情合理的。

应用团队负责 AWS WAF 的部署以及其各自应用程序的 Web ACL 的设置。通常，Web ACL 将是基线规则组和特定用例规则组的结合，二者均由应用团队部署和管理。

分散式部署的一大挑战是规则部署的不一致，可能导致保护级别的差异。应用团队内部的优先级冲突，有时会致使安全关注被忽视，从而优先推出新功能，而非全面的风险缓解。强有力的治理模型在这种情况下能提供极大帮助，安全团队虽不负责 AWS WAF 规则的部署，却需要对安全态势有可见性。AWS 安全服务如 Security Hub 和配置规则，可以帮助设定这些参数。例如，一些管理的配置规则和安全中心控制检查 AWS WAF 是否对 应用负载均衡器ALB和 Amazon API 网关 启用，并且检查关联的 Web ACL 是否为 空。

图2 AWS WAF的分散式操作模型

III 混合式

拥有多种不同客户面向应用程序并托管在多个 AWS 帐户中的组织，可以从混合式部署操作模型中受益。基础设施由内部安全团队、第三方供应商、承包商和管理的网络安全运营中心CSOC组合管理的组织，也可以采用该模型。在这种情况下，安全团队可以使用 AWS 防火墙管理器构建和强制执行核心 AWS WAF 规则集。应用团队可以根据应用程序的需求建立和管理额外规则。例如，特定用例的规则组在 PHP 应用程序与基于 WordPress 的应用程序之间会有所不同。

信息安全团队可以指定核心规则组的顺序。应用管理员则有权添加将在两个规则组集之间执行的规则和规则组。这种方法确保对所有遗留和现代应用程序应用充分的安全性，开发者仍然可以编写和管理自定义规则以提升保护。

组织应采用协作的 DevSecOps 模型，在这一模型中，安全团队和应用开发团队将共同构建、管理和部署安全规则。这也可以被视为一种混合方法，结合了集中和分散模型的优点，如图3所示。

图3 AWS WAF的混合式操作模型

在混合模型中，治理由负责在所有 AWS 帐户上部署基线规则集的集中安全团队和负责 AWS WAF 自定义规则集的单个应用团队共同承担。为了维护安全性和合规性， AWS 配置检查 针对 Amazon CloudFront、AWS AppSync、Amazon API 网关及 ALB 检查与托管规则集的 AWS WAF 关联性。AWS 安全中心 汇总和优先排序 AWS 防火墙管理器的安全发现，使您可以实时了解 AWS WAF 规则在 AWS 帐户和资源中的遵从性。该模型要求两个团队密切协调，以确保安全政策的一致性并有效解决所有安全问题。

AWS WAF 事件响应策略包括检测、调查、封堵和记录事件、提醒人员、制定响应计划、实施缓解措施，以及根据获得的经验不断改进。AWS WAF 的威胁建模包括识别资产、评估威胁和弱点、定义安全控制、测试和监控，并及时更新威胁和 AWS WAF 的更新。

结论

选择适当的操作模型是确保实施合适的 web 应用程序安全控制的关键。它考虑了业务和应用程序所有者的需求。在多数实现中，集中式和混合模型表现良好，提供分层的政策执行。然而，分散方法也可以用于管理特定用例。Amazon 防火墙管理器可用于简化在 AWS 组织内的集中式和混合操作模型的管理。

作者

Chamandeep SinghChamandeep 是 AWS 的高级合作伙伴解决方案架构师。他热衷于云安全，帮助企业创建安全和架构良好的云解决方案。他与全球安全和边缘领域团队合作，以增强 AWS 服务并制定安全建议。Chamandeep 与 AWS GSI 合作伙伴和客户合作，开发可扩展、安全和弹性的云解决方案。

Preet SawhneyPreet 是 AWS 专业服务团队在澳大利亚悉尼的高级安全顾问。他专注于与 AWS 客户和合作伙伴合作，开发满足不断变化的云安全需求的定制安全战略。

Prabhakaran ThirumeniPrabhakaran 是 AWS 的高级合作伙伴解决方案架构师，作为全球安全、网络和边缘领域社区的重要成员。他在为受尊敬的 GSI 合作伙伴提供卓越的咨询和思想领导力方面拥有丰富的经验，并帮助塑造其数字化转型策略和解决方案设计选择。

评论