利用AWS提升电信安全

作者：Kal Krishnan Danny Cortegaca 和 Ruben Merz，于2025年2月7日在最佳实践、中级200、安全、身份与合规、思想领袖发布。

关键要点

在与电信基础设施相关的安全上升的背景下，美国网络安全和基础设施安全局CISA发布了一套全面的指导原则，以帮助电信服务提供商CSP有效地利用AWS实施相关的安全措施。以下是文章的核心内容：

实施CISA的增强可见性和加固指导

近年来，来自中华人民共和国的网络攻击事件引发了多家网络安全机构联合发布了针对电信基础设施的安全指导。电信服务提供商在将工作负载迁移至云环境时，必须有效落实这些安全措施。

本文将描述电信服务提供商如何利用AWS的功能来实施这些指导，从而获得云环境的优势。

这套指导主要集中在两个关键领域：

基本云概念概述

在探索具体的指导内容之前，理解公共云环境的安全建议与私有基础设施的适用性差异是十分重要的。在电信行业，通常将公共云视为私有云的扩展，这可能导致对安全能力的误解与不足的利用。

公共云与私有云的根本区别在于其架构设计为多租户的环境，并且强租户隔离是设计的基石。以AWS为例，虚拟资源默认是隔离的，并需明确配置才能相互连接。例如，当你使用Amazon VPC创建虚拟私有云时，该逻辑隔离网络在未配置特定路由和端口之前不允许任何进出流量。同样，Amazon S3存储桶默认也是私有的，需明确配置才能授予访问权限。这种隔离 extends 到 AWS 高级的虚拟化基础设施，通过AWS Nitro System，提供前所未有的工作负载隔离，即使是拥有最高特权的AWS操作员也无法技术性地访问客户的工作负载。此外，跨Nitro系统虚拟机或全球骨干网络传输的数据会自动加密，提供了额外的保护层。

AWS的设计和运作不仅是一个设计选择，更是为确保操作韧性和客户信任的商业必要。AWS对安全的承诺体现于我们作为CISA的安全设计承诺的签署者。

在AWS的公共云中操作时，理解共享责任模型至关重要。此模型清晰地划分了安全责任：AWS负责云的安全，而客户负责云中的安全。这一责任的分割显著减轻了运营负担 因为AWS承担了提供的云服务的所有安全责任乃至物理数据中心的保护。因此，您可以集中资源保护最重要的事情您的应用程序和工作负载，而AWS处理基础设施安全的繁重工作。

共享责任模型在公共云运营的规模经济下显得尤为显著。AWS的巨型规模使其能够投资于安全基础，创造出一个所有客户均能受益的安全倍增效应，一个典型例子是我们的综合威胁情报计划，该计划在我们全球网络中部署蜜罐传感器，每日观察超过1亿次潜在的威胁交互和探测。在2023年上半年，该计划使我们能够瓦解约230000次第七层分布式拒绝服务DDoS事件的来源。

AWS运营的规模不仅促进了卓越的威胁情报，也迫使我们的安全操作大量自动化。许多例行任务如功能和补丁部署、配置更新都是完全通过自动化的部署管道完成的。

AWS的规模同时也使得我们能够在多个行业和司法管辖区内全面遵守安全标准。我们的全球为 You客户利益而遵守严格的安全要求，使我们的AWS合规计划获得了143项安全标准和合规认证，相较于仅凭单一企业实现的标准，这显著提升了合规性和安全性。

这也是为什么英国国家网络安全中心在一篇题为为什么云优先并非安全问题的博客中得出“安全利用云应是您的首要关切而非公共云的底层安全”这样的结论的原因。

另一方面，私有云通常由单个组织控制，为单租户，提供相对较弱的工作负载隔离。私有云中的虚拟资源通常默认互联创建，因此需要明确步骤来增加隔离。与公共云相比，私有云的工作流rarely undergoes 进行过这些安全审查。出于这些和其他差异的原因，每种服务间的安全风险是根本不同的，因此需要相应独特的安全控制和解决方案架构来缓解这些风险。

利用AWS实施加固指导

您的云资源和数据存储在AWS账户中。账户作为身份和访问管理的隔离边界。当您需要在两个账户之间共享资源和数据时，必须显式允许这种访问。这降低了不同账户之间横向移动的风险。

正确定义您的AWS环境为您构建符合CISA网络安全指导的基础提供了有利条件。借助AWS Control Tower，结合AWS Organizations，可建立基于安全最佳实践的良好架构的多账户环境。

有关为电信工作负载创建安全着陆区的详细指导，请参阅我们的综合博客。

我们分析了CISA指导中的建议，并将其分为六个类别，涵盖两个关键领域。请参考文章底部的GitHub页面，其中有相关AWS服务的详细指导，以助您实施每项安全措施。

日志和监控

该类别的指导强调增强可见性以了解网络活动的重要性，这对检测异常和响应事件至关重要。关键安全控制包括：

增强的可见性是公共云模型的内在优势，特别是在AWS中。AWS在其核心架构中内建了全面的跟踪和日志记录能力，以确保对客户的准确计费。因此，AWS提供强大的工具，允许您在每一层网络工作负载中捕获、集中和监控日志。这种可见性层次远超传统基础设施所能实现的，为您提供前所未有的IT资产和用户活动洞察。

该领域的另一项关键指导是，集中安全相关日志时，将日志基础设施与其他生产环境隔离。您可以在AWS中使用Amazon Security Lake与在不同账户中实施的OpenSearch，其访问权限仅限于安全组织。或者可以尝试此方案，提供创建集合和摄取管道的最佳实践实施方案，允许集中化与检查AWS工作负载中的日志源，而无需使用Security Lake。

配置和变更管理

该类别的指导强调配置的集中、安全和保护。它突出了检测和提供未授权修改警报、审计合规性配置和自动化例行更改管理过程的重要性，以最小化意外漂移。

在AWS中，您可以将基础设施和配置作为代码实施，这允许在代码库中集中存储配置，利用版本控制跟踪变更，并通过经过批准的变更管理流程实施这些更改。您可以使用代码库和持续集成与持续交付CI/CD管道自动应用这些配置，有助于提高部署速度、保持一致性、简化管理，并实施严格和可审计的变更控制过程。

无论基础设施如何部署和管理，您可以使用AWS Config服务自动跟踪超过100个AWS服务及其数百类资源的当前状态和历史记录。您还可以编写自定义AWS Config 规则，以便在敏感资源被修改时采取自动行动，或利用在AWS Config中提供的400多个管理规则的自动警报。

身份和访问管理

该类别的指导强调主动的账户和权限管理、使用抗钓鱼的身份验证方法、通过基于角色的访问控制实施最小特权、管理紧急访问以及限制会话的重要性。

访问控制的关键部分身份验证和授权通过AWS身份和访问管理IAM、AWS IAM身份中心 和 AWS Organizations管理。AWS提供了可让您在身份、资源和服务之间虚拟应用访问权限的能力，包括强制要求使用多因素身份验证MFA) 进行登录。此外，这些功能支持客户遵守最小权限原则，促进时效性限制、基于会话的凭证管理，利用AWS安全令牌服务AWS STS。

在云中运行的软件如果需要调用云API，其临时和频繁旋转的凭证会自动通过AWS角色提供，适用于Amazon EC2、Amazon Elastic Container Service (ECS)、Amazon Elastic Kubernetes Service (EKS)以及AWS Lambda，这有助于消除易泄露或受到攻击的长期凭证需求。来自本地软件对云API的访问可以通过使用AWS IAM角色随处可用安全地引导。此外，您还可以结合角色及AWS秘密管理器来保护针对非云技术的身份验证，自动旋转诸如数据库密码等机密。

网络和流量管理

该类别的指导强调对工作负载和网络进行分段，以限制横向移动的潜力和对互联网的暴露，通过使用策略监控和调节流量流动，并保护未使用的端口。

您可以通过VPC和子网实现网络微分割，这在现代安全架构中至关重要。例如，您可以通过将互联网暴露的应用程序组件与不Require此类访问的组件放置在不同的VPC中来进行隔离，仅允许所需的VPC具备互联网访问权限。通过利用多种网络服务如路由表、互联网网关、过境网关和防火墙服务等，您可以控制各个分段之间或之内的流量流动，最大程度地降低因互联网而导致的未经授权活动的风险，并降低若发生泄露时的横向移动潜力。

为了实现对带外管理的指导，您可以架构网络连接，通过使用子网分离管理流量与网络信令流量。例如，一台EC2实例可以连接到不同子网或甚至不同VPC上的多个弹性网络接口ENI上：一个仅允许管理流量，另一个只允许信令流量。

强加密用于加密静态和传输中数据

该类别的指导强调使用强加密套件、安全版本的加密协议和基于公钥基础设施PKI的证书以保护静态和传输中的数据。

加密，作为数据保护的基石，在AWS产品中得到了全面的关注。AWS服务的API端点支持TLS 13(以及至少TLS 12)，采用安全的标准化加密套件、加密密钥和高级安全功能，如HKDF基于HMAC的取出和扩展密钥派生函数提供额外的安全保护。AWS的秘密管理服务也支持后量子密码学。例如，AWS密钥管理服务AWS KMS、AWS证书管理器 和 AWS Secrets Manager提供支持混合后量子密钥交换的TLS网络加密协议。

您可以使用AWS的加密服务，如AWS KMS、AWS CloudHSM和AWS证书管理器，帮助安全讲您的数据在传输和静态时。您在AWS KMS中创建的密钥由FIPS 1402 级别3 认证的硬件安全模块HSM保护，且不存在任何人包括AWS服务操作员查看、访问或导出明文密钥材料的机制。

AWS Secrets Manager帮助您安全管理、检索和旋转数据库凭据、应用程序凭据、OAuth令牌、API密钥和其他机密。有关AWS加密解决方案和最佳实践的更多细节，请参阅加密最佳实践。

漏洞管理

该指导强调通过适当的生命周期管理、定期补丁和消除不安全协议来最小化利用风险。AWS通过共享责任和创新的架构方法来应对这些要求。

在共享责任模型下，AWS管理基础设施的安全，这包括维护最新的系统和服务、禁用不安全的协议和未使用的端口，以及提供安全公告来及时通知漏洞。AWS服务依赖于通过合同约定的条款来支持，以消除您对过时基础设施组件的担忧。

对于您的应用程序，AWS通过短暂资源和不可变基础设施提供了变更管理的变革性方法。通过维护单个加固并经常更新的Amazon机器映像(AMI)作为您的黄金镜像，您可以在需要更新时，只需部署带有最新应用程序代码的新实例，而非对正在运行的实例进行补丁。类似的方法也适用于基于容器的工作负载。运行在AWS Lambda上的工作负载使补丁责任进一步减轻，因为只有包含商业逻辑的代码以及您挑选的支持层需要更新，而AWS会自动修补基础的虚拟机、操作系统和容器。这种方法使您能够保持系统处于安全状态，并减少威胁表面和操作开销。您还可以借助AWS网络功能，如安全组，来禁用不安全协议，比如强制使用HTTPS而不是HTTP。

结论

来自网络安全机构的全面指导为保护电信基础设施提供了至关重要的框架。如文中所示，AWS提供了一整套与C