由于很多人都不知道,AWS部署的共同责任的安全模型,它与AWS承担责任的底层的云基础架构 - 计算,存储,数据库的安全性和网络-内的不同地区和领域开始。与此同时,作为AWS的客户,你有责任为您的应用,工作负载的安全性和数据,包括网络安全,身份和访问控制,数据加密,以及操作系统,同时在AWS云中运行。问题自然出现了:你如何有效地做到这一点?
为了帮助客户AWS,思科在一个市场领导者的安全,已经建立了一个安全架构围绕四大支柱:知名度,分割,威胁防护,以及识别和访问管理。
能见度
能见度大约是看到的一切。这是关于有全面了解用户,设备,网络,应用程序工作负载,并在AWS的云中运行的进程。要做到这一点,思科提供了一系列的产品:
- 思科迭代幂次代理商对AWS实例提出了“网络流量和处理信息”,即可视性和策略强制实施至关重要,这反过来又支持增强型自动威胁防御运行。
- 思科Stealthwatch云(SWC)消耗亚马逊虚拟私有云(VPC)流日志,云踪迹,AWS检查员,AWS IAM和其他数据源。思科SWC包括合规相关的观测,同时它提供了可视性,您的AWS云基础设施。
- 思科高级恶意软件防护(AMP)的端点威胁响应帮助你获得可见性违反,范围,例如有多少端点由受恶意软件影响。你可以发现病人零:当第一次看到了恶意软件,哪台计算机在您的环境中,它的血统,以及它如何主机之间移动。
- 思科威胁响应提供API驱动的整合与思科的伞,思科AMP为端点,和SWC。使用这种集成,安全营运小组可以在追捕威胁增益的知名度越来越高。
AWS VPC流量日志可以用这些工具,思科相结合,使您能够捕获要和网络接口的有关IP流量的信息,请VPC。
分割
分割是关于减少攻击面。这是关于防止攻击者从移动横向东向西,通过应用程序白名单和微分段。要做到这一点,思科提供了许多在AWS上运行的产品:
- 思科下一代防火墙(NGFWv)提供了像状态防火墙功能,“应用可视性和控制,”下一代IPS,URL过滤,和网络中AMP AWS。
- 思科自适应安全设备虚拟(ASAv)提供了一个状态防火墙,网络分段,并且在AWS VPC VPN功能。
- 思科迭代幂次能够使用的应用程序分割零信任安全。
- 思科防御Orchestrator的(CDO):CDO现在可以管理AWS安全组。CDO由工作负载管理防火墙的主机提供微分段能力。
与思科的产品合作,AWS安全架构围绕分割包括AWS安全组,AWS网关,AW小号VPC,和AWS子网。
威胁防护
威胁保护是关于通过停止违规快速检测,阻止和应对袭击之前黑客可以窃取数据或中断操作。要做到这一点,思科提供了一系列的产品:
- 思科NGFWv提供威胁检测吞吐量高达1.1 Gbps的,以帮助保护虚拟数据中心和云计算AWS从复杂的威胁环境。
- 思科迭代幂次采用先进的安全分析软件来加快检测。
- 思科AMP的端点提供了对最先进的攻击的全面保护。它可以防止违规和拦截恶意软件,在入境点,然后快速检测,包含,并修复该回避一线防御和渗透网络高级威胁。它停止恶意软件,消除盲点,并发现未知的威胁
- 思科伞虚拟设备可用于AWS。使用动态主机配置协议(DHCP)选项,管理员可以配置思科伞作为主DNS。思科伞云提供一种方式来配置和实施为在云中的工作负载DNS层安全性。
- 思科威胁响应帮助检测,调查,并采取纠正行动,打击网络威胁。
对于威胁保护AWS安全架构还包括:
- AWS Web应用防火墙(WAF)这可以防止网络攻击
- AWS盾(DDoS攻击 - 基本或高级)它保护对DDoS
作为一种替代AWS应用程序,并根据您的需求和喜好,你可以考虑Radware的WAF和DDoS攻击缓解解决方案,也通过提供作为服务的业务模式提供WAF和DDoS的能力。
身份和访问管理(IAM)
IAM受让人强大的访问控制,以帮助确保技术资源的适当访问。思科铎为AWS控制台和工作负载运行的应用程序的多因素认证(MFA)的服务。
再加上思科DUO是AWS IAM,这使您可以管理访问AWS服务和资源安全。
认证的参考架构
为了帮助您利用这些工具,以确保您的应用程序,工作负载和数据在AWS上运行部署安全架构,思科提供了认证的参考架构。
最后,思科致力于帮助我们的共同客户提供安全地运行应用程序,工作负载和数据在AWS云计算AWS。有关此次合作,更多信息请访问AWS和思科。
