專欄文章

AWS WAF 與 安全開發

       隨著資訊安全觀念的加深,以及層出不窮的資訊安全事件,程式開發不再只是資考慮效能及功能面, Security as Code 成為了現今開發人員必須優先考量的第一要件。但伴隨著快速的軟體開發模式,以及許多新興技術的加入,不論是雲端運算、容器技術 (Container)、大量使用 API 介接及開發框架,都使得資訊安全問題變得越加複雜。
 

新技術所面臨的挑戰:

       隨著雲技術的快速發展,開發及部署的速度變得越來越快,確保雲服務安全成為安全人員的新課題:在部署雲服務的同時,必須同時兼顧安全控制並且盡可能的自動化,即是所謂的 Security as Code 的觀念。


在 DevOps 環境中所使用的 DevOps 工具方面我們可以針對幾個方向來來做探討:
 

  1. 存儲和管理代碼的 DevOps 工具:以 Jenkins 用於整合 GitHub 為例,使用者須知如何管理權限、 Jenkins 可調用的日誌及了解代碼掃描程序,確保代碼中不包含加密密鑰或密碼。
     
  2. 部署編排工具:使用者需熟悉工具配置模板和策略評估模板,使其符合互聯網安全規範及其他建議最佳作法。
     
  3. 存儲和訪問登入憑證和密鑰的 DevOps 工具:使用者應確保資安人員能獨立稽核訪問並發送日誌至遠端日誌記錄庫。

       然而 Security as Code 雖然是確保雲服務最有效的方法,我們仍要注意防範未知的網路攻擊。以 OWASP TOP 10 為例,在 2017 年, OWASP Top 10 除了過去常見的問題:Injection (注入攻擊) 、無效身分認證和 Session 管理 (Broken Authentication and Session Management)  ,以及跨站腳本攻擊 (Cross-Site Scripting, XSS) 之外,更是大動作的新增三項全新的資安風險:針對各平臺常見的 XML 外部處理器漏洞 (XML External Entity, XXE) 、 Java 、 PHP 或 Node.js 等平臺常見的不安全的反序列化漏洞 (Insecure Deserialization) ,以及 「紀錄與監控不足風險」(Insufficient Logging & Monitoring)。由此證明,網路世界中時刻面臨著各種瞬息萬變的資訊安全威脅與挑戰。

       隨著雲端技術及微服務的大量應用,導致軟體開發人員面臨的問題越來越多樣化。其中「紀錄與監控不足風險」的問題,更使得許多資訊安全事件在爆發初期無法即時的處理,導致企業的損害擴大。以資料外洩為例,使用者往往要超過半年以上才有可能察覺外洩事件的發生。
 

透過 AWS認證夥伴 強化企業安全體系:

       然而, Security as Code 並非一朝一夕可以實現,快速開發及安全一直以來都是個難解的問題,如何兼顧企業安全並使開發人員專注、安心的開發程式是銓鍇國際 (CKmates) 身為 AWS 認證夥伴一直以來所重視的。

       在傳統的機房架構中,使用者需要先期規劃 IPS/IDS、WAF 等防禦措施,且後續仍須針對設備規則進行調校及維護,更別提後續建立 SOC 部門分析預判攻 擊資訊,對於一般中小型企業體的使用者而言,這將會面臨相當大的技術與成本門檻。然而,在透過銓鍇國際資訊安全服務的協助下, 客戶可在 AWS 上通過雲的特性快速佈建 AWS WAF 在每個服務節點上,搭配 AWS Shield 進行第 3 與 4 層 (Layer 3, Layer 4) 的 DDoS 攻擊防護,以及針對應用程式的第 7 層 (Layer 7) 攻擊防護。

       依照客戶需求,更可搭配 Amazon GuardDuty 與 Amazon Inspector 對雲端環境的安全,以及應用程式進行自動的安全評估。此外,亦可啟用 Amazon Macie 透過機器學習自動探索、分類與保護使用者在 AWS 雲上的敏感資訊,以落實 Security as Code 。如同初 期建置規劃一般完美地與架構重合,使用者也可隨時依照需求選擇更換各家第 三方資訊安全廠商的 WAF Rules ,並在銓鍇國際的協助下,確保自己的前端防禦資訊永遠在第一線。

       圖例中展示一個真實的客戶案例,銓鍇國際透過資訊安全服務成功幫某家大型的電子商務平台導入防禦架構:前端套用 AWS WAF 與 AWS Shield 防禦方案,後端主機使用 AWS ALB (Application Load Balancer) 負載均衡擴展,將 AWS WAF Log 透過 Kinesis Data Firehose 收進 Amazon S3 以及 將相關的 Web Service Log (如:Apache Log 及 Application Log) 也收進 Amazon S3 進行保存,並同步備份至銓鍇國際的 SIEM 平台進行即時分析與監控。

       一旦發現異常時,先由銓鍇國際的 7x24 SOC 網路監控團隊進行初步判斷,過濾掉誤判狀態,隨即將異常狀態進行通報,過程將依照標準預先決定的處置流程 (Standard Operation Procedure, SOP) 進行,並協助客戶進行資訊安全狀況排除。危機解除後,所有資訊安全事件過程紀錄與處置的資料,將在後續由專業的資訊安全團隊接手進行 Log 分析、協助客戶調整 WAF 防禦規則及撰寫相關的事件報告與調整建議交給客戶。

 

銓鍇國際是您最佳雲端服務安全後盾:

       銓鍇國際資訊安全團隊結合過去實體機房管理經驗,除針對過去常見網路攻擊 進行防禦,讓使用者有足夠的時間發現漏洞並修補,並規劃了完整的紀錄及監 控模式,確保使用者即便面對未知的新興攻擊 (0-day) ,仍可及時地發現並採取相對應的防禦措施。此外,銓鍇國際也秉持著循環式品質管理 (Plan-Do-Check- Act, PDCA) 的精神,透過不斷的與客戶溝通,持續改進並調整監控流程,以作為您上雲的最佳資訊安全後盾。
 

最新文章

加入 Line 好友 加入 Line 好友 歡迎來聊聊 寄信給我們 訂閱電子報
joinline