AWS对象 | 管控方法 |
|
1) 根据AWS Landing Zone,针对不同业务应用,不同阶段(开发,测试,运维)采用不同的网络架构设计,为管理功能,共享服务,安全等设计不同的账号结构和VPC网络整体框架。 2) 合理设计并配置VPC,划分不同子网,尽量减少暴露面,根据最小权限原则配置route table,Security Group和ACL,VPC peering等 3) 在客户VPC建立系统安全防护机制,包括:防火墙,IDS/IPS,APT系统 4) 根据等级不同设置VPC边界访问控制策略与规则 5) 监控评测对象的CPU,内存,网络带宽使用率,确保不超过70%。采用监控工具或者自动化手段并启用告警通知功能 6) 针对网络组件,采用弹性扩展和高可用的架构部署,采用Auto Scaling/ELB/Multi-AZ/CloudFront等减少对单点网络的依赖 7) 监控评测对象的网络带宽使用率 8) 网络组件的计算资源需要选择正确的EC2类型以保证实例的带宽 9) 采用AWS托管服务 |
AWS服务 | CloudWatch, VPC, Direct Connect, WAF*, NAT, VPN |
第三方的方案 |
网络监控工具:Zabbix,普罗米修斯等开源工具和Dynatrace等其他商业监控工具 防火墙Firewall:FortiGate,Palo Alto NGFW,Checkpoint NGFW等 Web应用防火墙:FortiWeb,绿盟WAF,百度安全云WAF,绿盟vWAF等 堡垒机Bastion:绿盟堡垒机,安恒堡垒机,云安宝等 日志分析工具: FortiAnalyzer,ELK,Dynatrace,浦翔等 专线和VPN,SD-WAN:运营商,中企通信,GreenWAN |
AWS对象 | 管控方法 |
|
1) 使用SSH和HTTPS进行通信:针对EC2,采用SSH访问,或者SSM访问,针对Web应用,使用ELB https功能特性 2) 使用ACM,为通信传输提供证书,确保报文的完整性和保密性 |
AWS服务 | ELB,System Manager,ACM*, IPSec VPN* |
第三方的方案 |
堡垒机Bastion:绿盟堡垒机,安恒堡垒机,云安宝等 证书签发和管理:Symantec等 |
AWS对象 | 管控方法 |
|
1) 边界通过防火墙、UTM、安全网关、路由器、交换机等进行访问控制 2) 在VPC公有子网采用安全控制机制控制访问:ACL,Security group, 3) 合理配置NAT Gateway,堡垒机 4) 启用CloudWatch和CloudTrail对账号登录的行为监控和记录 5) 使用监控工具如CloudWatch或第三方工具,对边界防护的服务和资源提供报警功能 |
AWS服务 | CloudWatch, VPC, Lambda, SNS, Transit VPC |
第三方的方案 |
下一代防火墙: FortiGate,Palo Alto NGFW,Checkpoint NGFW等 UTM: 监控工具:Zabbix,普罗米修斯等开源工具和其他商业监控工具 堡垒机Bastion:绿盟堡垒机,安恒堡垒机,云安宝等 WAF:FortiWeb,绿盟WAF,百度安全云WAF,绿盟vWAF等 |
AWS对象 | 管控方法 |
|
1) 部署了独立的的入侵防范系统,、特征库更新及时,监视行为类型全面,部署覆盖被测系统主要安全区域 2) 网络相关服务与资源的日志行为分析,对网络攻击行为全面记录,对网络攻击行为告警 3) 对网络攻击行为回溯 4) 部署反ATP工具和网络回溯系统,规则库及时更新升级,检测异常流量,大规模攻击流量,提供用户行为的监控与告警功能 5) 提供流量清洗能力 6) 向云用户提供互联网内容发布的监测功能 |
AWS服务 | CloudWatch, VPC, Lambda, SNS, Transit VPC,Security Hub*, GuardDuty* |
第三方的方案 |
高级威胁检测系统: DDoS缓解:三个运营商,绿盟云清洗,百度安全宝,安全狗 IDS/IPS:亚信安全Deep Security |
AWS对象 | 管控方法 |
|
1) 在网络关键节点部署恶意代码检测清除工具,垃圾邮件检测与防护工具,及时更新恶意代码库 2) 在网络关键节点部署垃圾邮件检测与防护工具,及时更新策略库 3) 对边界防护设备如防火墙,重要网络节点入Transit VPC,堡垒机等进行安全审计 |
AWS服务 | |
第三方的方案 |
NGFW:FortiGate,Palo Alto NGFW,Checkpoint NGFW等 UTM:SOPHOS |
AWS对象 | 管控方法 |
|
1) 部署安全审计系统,对防火墙,堡垒机,VPC,安全组等启用审计功能 2) 定期进行审计,保证升级内容完整性 3) 定期备份审计日志到S3,并使用S3权限控制机制防止日志信息被删除,修改和破坏。使用S3层次备份特性,分层保存备份 4) 审计记录保存时间不低于六个月 |
AWS服务 | VPC,Security group,CloudTrail,Elastic Search |
第三方的方案 |
NGFW:FortiGate,Palo Alto NGFW,Checkpoint NGFW等 审计:德勤,PwC,KPMG 堡垒机:绿盟堡垒机,安恒堡垒机,云安宝等 上网行为管理系统: |
AWS对象 | 管控方法 |
|
1) 使用AWS Landing Zone的框架设计并实施安全管理VPC,并在其中部署安全管理相关的系统 2) 对云端安全状况进行集中监控,识别各类安全事件,并根据规则报警 3) 部署日志审计系统,对审计数据集中管理,审计记录保留六个月 4) 集中管理安全策略,恶意代码,布丁升级等安全相关的工作 5) 使用云管平台,制定统一的管理策略和管理方法 |
AWS服务 | Control Tower,CloudTrail,S3,AWS Console |
第三方的方案 |
网管软件:SolarWinds,云管平台 安全管理平台SoC:中企通信 安全日志管理工具:Splunk,普翔 |
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询