了解 AWS 和 Splunk 的零信任

理解零信任与AWS和Splunk 零信任不仅仅是一个架构框架。这是一种促使组织重新思考监控、分类和补救的心态。 现在，组织比以往任何时候都更多地转向零信任策略来保护其数据和系统。无论规模或行业如何，在COVID-19之后，零信任对任何企业都至关重要。备受瞩目的违规行为（参见：SolarWinds）、云迁移和不断扩大的攻击面意味着方法的转变变得更加重要。 但这种举措似乎令人生畏。尤其是当它涉及重新思考如何解决整个组织以及连接到它的每个设备、应用程序和用户的安全性时。更复杂的是，零信任不仅限于传统IT，还扩展到运营技术/工业控制系统（OT/ICS）和物联网（IoT）-两者都是黑客的热门妥协点。 好消息？零信任模型可以从根本上改善组织的安全状况，并通过消除对基于外围的保护的唯一依赖来最大程度地减少运营开销。零信任不是遵循传统方法，而是在每个接入点建立一定程度的信任，从而有效地保护用户、资产和资源。然而，这并不意味着摆脱周边安全。相反，在保护核心资产方面，这是组织方法的转变。 底线：零信任不仅仅是一个架构框架。这是一种促使组织重新思考监控、分类和补救的心态。在本书中，我们将探讨需要零信任策略的驱动力，如 以及该战略需要什么，如何实施，以及最终 如何重新构想安全的真正含义。 零信任是什么? 为了进一步细分这一点，成功的零信任安全计划必须： •假设网络总是充满敌意。 •接受外部和内部威胁始终在网络上的事实。 •要知道，网络位置的位置不足以决定信任网络。 •对每个设备、用户和网络流进行身份验证和授权。 •实施从尽可能多的数据源计算的动态策略。 零信任的基本原则是保护组织的数据，无论其可能位于何处，同时仅允许合法用户和实体访问相关资源和资产。在这种心态下，每个需要访问组织网络的用户、设备和服务都被视为敌对，除非另有证明。 简而言之，这里的关键是了解谁想要访问，请求来自哪个设备，然后将其映射到每个应用程序或资产的访问策略。这相当于授予访问权限的白名单方法， 基于员工的设备、用户凭据和行为。需要为每个会话在设备和用户级别持续应用身份验证，以确保在 粒度范围内进行连续和自适应授权。 例如，有权从新分配的设备使用组织的案例管理系统的员工。员工从该设备发出请求并被授予访问权限。最终，他们从网站下载驱动程序以提供帮助。由于在零信任策略中持续监视设备，因此会标记更新。 这个新添加的组件改变了相关设备的配置，从而改变了信任评分。现在，当员工尝试连接到系统时，他们的访问可能会被拒绝或降级，具体取决于他们的新信任分数和相关策略。这显示了利用多个因素（在本例中为用户 、设备和资源的组合分数）如何帮助安全团队动态降低企业资源的风险。零信任系统能够考虑不断变化的条件 ，以进行持续评估和持续保护。 美国技术和工业咨询委员会（ACT-IAC）——一个致力于通过信息技术改善政府的非营利性公私合作伙伴关系——列出了零信任安全模型的六大支柱，每个支柱都建立在数据的基础上。 这些都是概括为: 用户:对受信任用户的持续身份验证，持续监控和验证用户可信度，以管理其访问权限和权限。 网络:分段、隔离和控制网络的能力，包括软件定义网络、软件定义广域网和基于互联网的技术 。 自动化:安全自动化、编排和响应（SOAR）允许组织通过工作流自动执行跨产品的任务，并进行交互式最终用户监督。 设备:衡量设备的实时网络安全状况和可信度 零信任 数据 。 用户 应用程序 应用程序:保护并正确管理应用程序层以及容器和虚拟机。 设备 网络 自动化 分析 分析:安全信息和事件管理（SIEM）、高级安全分析以及用户和实体行为分析（UEBA）等可见性和分析工具使安全专家能够观察正在发生的事情并相应地调整其防御方向。 零信任模型 零信任需要一个生态系统的方法 实现全面的零信任策略涉及一系列集成组件。这些控件共同为集中监视提供必要的数据和见解。 通过Splunk的应用程序生态系统将零信任方法与AWS服务保持一致，我们可以显著改善组织的安全状况及其整体安全运营。 AWS安全中心 亚马逊GuardDuty AWSCloudTrail AWS系统经理 AWSWAF AWSλ 亚马逊雅典 娜 AmazonElasticComputeCloud AWS身份和访问管理 亚马逊检查员 AmazonSimpleStorage 服务(AmazonS3) 风险、上下文和行动 Splunk企业安全™ Splunk用户行为分析™ SIEM 数据和警报 AWS安全中心 亚马逊GuardDuty AWSCloudTrail AWS配置 亚马逊监测 亚马逊路线53 亚马逊VPC流日志 亚马逊检查员 AWS网络防火墙日志 Splunk企业Splunk的云 Splunk飙升 高飞 AWS提供了许多服务，可帮助组织跨用户、设备、网络和应用程序的支柱监控和实施零信任策略，而Splunk则能够跨其AWS基础设施执行自动化和分析。Splunk基于风险的警报（RBA）有助于保证团队队列中安全事件的保真度，同时最大限度地减少警报总量。 使用基于风险的警报，只需创建事件记录，而不是在潜在威胁的第一个迹象时生成警报。记录此事件后，将标记恶意活动的任何进一步指示。这意味着我们现在可以查看与相关资产或身份相关的事件的顺序或模式，整齐地包装成单个警报。 在下面的示例中，我们可以看到数据外泄之前是如何发生许多异常事件的。在RBA之前，每个事件都会生成一个唯一的警报，该警报（很可能）最终会丢失在以太币中。但是，通过查看整个杀伤链并使用多个指示，我们能够生成具有更高置信度的单个警报。 安全内容更新 适应性、操作框架 SPLUNKBASE 数据的方法 为零的信任 数据是任何成功策略的核心，尤其是成功的安全策略。但很多时候，我们依赖的系统和结构最终会捕获或分割我们的数据 ，这使得提取其巨大价值变得更加困难。 好消息吗?借助数据分析，结合对组织的零信任策略、角色和资源的真正了解，您可以消除这些障碍并释放出见解和机会的金矿。得益于Splunk产品组合的灵活性和开放性，以及我们与AWS数据与服务的集成，团队现在可以连接不同的技术并采取精确的行动，从而在整个企业内做出更好、更快、更有效的决策，并最终实现坚定的零信任战略。 基于风险的提醒零信任 多个零信任相关事件成为通知高保真警报的上下文 6:55am 6:58am 7:03am 1:55pm 2:03pm 2:07pm 下午2点 潜在 spearphishing 观察 10分 可疑的命令禁 用控件 15分 SupiciousPowershell观察20分 AWSacl 打开所有访问 10分 AWS用户配置观察 15分 AWS桶AWS永久创建创建 15分 观察到的 20分 用一个点击,查看导致警报的 所有风险事件 警报 风险事件规则: 为超过风险评分的任何用户或系统生成 警报100在24小时内 聚合用户风险评分>100 在漫漫长路的每一步 无论您处于零信任之旅的哪个阶段，Splunk都可以帮助您在应对新的和现有的威胁时领先一步。立即下载我们的AWS+Splunk安全白皮书，了解如何实现安全运营现代化并增强组织的AWS安全状况。 了解更多 Splunk、Splunk>和TurnDataIntoDo是SplunkInc.在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。©2022斯普伦克公司保留所有权利。 22-26060-splksplunkaws-0-信任-电子书-104