从日志分析到规则创建:Amazon Network Firewall 如何自动为出站流量提供基于域的安全
在控制传入(入口)和出站(出口)网络流量时,组织通常将重点放在入站流量控制上,谨慎地限制哪些流量可以进入其网络边界。但是,这种方法只能解决入站安全挑战。现代应用程序通过操作系统、库和软件包严重依赖第三方代码。这种依赖关系可能会造成潜在的安全漏洞。如果这些组件受到损害,受影响的工作负载可能会尝试连接到未经授权的命令和控制服务器,或将敏感数据发送到互联网上未经授权的目的地。
这就是为什么实施强有力的出站流量控制(尤其是通过基于域的许可名单)已成为一种关键的安全优秀实践的原因。许多组织没有允许不受限制的出站访问或维持不断增长的低信誉域名单,而是转向基于域的许可名单。这种方法将出站通信限制在明确可信的域内,减少潜在的风险面,并有助于防范已知和未知的威胁。但是,传统上,手动识别和维护这些许可名单是一个复杂而耗时的过程。
Amazon Network Firewall 自动域列表提高了对网络流量模式的可见性并简化了出站流量控制管理。此功能为 HTTP 和 HTTPS 网络流量提供分析,帮助组织了解域名使用模式。它还可以自动分析防火墙日志,根据您的网络流量创建规则。通过将提高可见性与自动化相结合,此功能可增强您的安全意识,并有助于提高防火墙规则的有效性。
在这篇博客文章中,我们将指导您实施 Amazon Network Firewall 自动域名列表功能,提供详细概述、分步说明和优化网络安全的优秀实践。
自动域名列表和流量洞察概述
基于域的安全性允许您根据应用程序和用户尝试访问的域名控制网络流量。这种方法为创建防火墙规则提供了一种更直观、更灵活的方式,专注于您的网络尝试到达的目的地,而不仅仅是 IP 地址。但是,对于某些客户而言,有效配置和管理防火墙规则仍然是一项挑战,尤其是在联网设备、应用程序和流量模式持续增长和变化的大型环境中。组织可能难以跟上这些变化,从而导致防火墙规则和政策过时或无效,这些规则和策略要么过于宽松,使网络面临风险,要么过于严格,阻塞合法流量。
让我们探讨自动化域名列表如何通过各种用例和优势来应对这些挑战:
预防和侦探安全控制
- 通过许可名单进行域控制-建立域允许名单符合网络流量最低权限的安全原则。最低权限模型调整工作负载在网络上可以执行的操作范围,从无限和未定义到范围缩小和明确定义,从而可以更好地洞察潜在的风险行为。通过将出站连接仅限于经批准的域,组织可以更有效地控制和监控工作负载通信。
- 规则审计与合规性 — 域名许可清单明确规定了允许哪些域名,支持与支付卡行业数据安全标准 (PCI DSS)、健康保险流通与责任法案 (HIPAA)、网络安全成熟度模型认证 (CMMC) 和《通用数据保护条例》(GDPR) 等标准保持一致。
- 预防性控制可以进行检测 — 预防性控制也可以起到侦探控制的作用,为正常的域访问模式建立基准。有了域名许可名单,安全团队可以更好地检测有未经授权活动迹象的工作负载。
- 事件响应支持 — 域报告提供访问的工作负载域的最新列表,从而可以在安全事件发生期间快速识别潜在的恶意域。这些信息可以帮助团队优先考虑哪些工作负载可能需要立即关注。
运营价值
- 初始防火墙设置和管理 — 自动允许清单涉及分析现有流量模式和推荐基于域的规则,这简化了建立基准防火墙规则的过程。这有助于组织快速部署有效的安全策略,从而有可能减少初始防火墙配置和持续管理所需的时间和专业知识。
- 应用程序现代化-允许清单支持调整防火墙规则,以适应微服务和容器化环境中快速变化的流量模式,从而帮助安全性跟上不断变化的架构的步伐。
- 跨环境一致性-允许清单支持在多云和混合环境中一致地创建和管理防火墙规则,无论应用程序或数据位于何处。
自动域名列表功能的工作原理
自动域名列表的工作原理是分析您的 HTTP 和 HTTPS 流量,生成有关经常访问的域名的报告,并提供一种基于实际网络流量模式创建规则的便捷方式。要开始在 Amazon Network Firewall 中使用自动域名列表,请登录亚马逊云科技管理控制台,访问网络防火墙服务,然后使用现有防火墙或创建新的防火墙。然后按照本文中的其余步骤进行操作。
步骤 1:启用流量分析模式以捕获 HTTP 和 HTTPS 流量域日志
选择防火墙后,在左侧导航窗格中,选择配置高级设置。选中 “启用流量分析模式” 复选框将其启用,如图 1 所示。网络防火墙使用此日志记录模式收集有关观察到的域的 HTTP 和 HTTPS 流量的数据,以创建域报告。
图 1:为防火墙启用流量分析模式
要停止收集网络流量中经常访问的域的数据,请清除该复选框以禁用流量分析模式,如图 2 所示。请注意,如果您禁用流量分析模式,您将无法生成域名报告。
图 2:禁用流量分析模式
启用流量分析模式后,您就可以根据观察到的网络流量生成域名报告了。接下来,你可以进入监控和可观察性选项卡,然后选择创建报告。
图 3:启用流量分析模式:现在您可以生成基于域的报表了
第 2 步:创建域名报告
域名报告汇总了您的防火墙在长达 30 天内观察到的 HTTP 和 HTTPS 流量(如果少于 30 天,则为防火墙激活后的持续时间)。选中要包含在报告中的每种流量分析类型(HTTP、HTTPS 或两者)旁边的复选框。
重要:使用您的月度域名报告来检查 30 天的流量行为。每种报告类型(HTTP、HTTPS)每 30 天可用一次,无需额外付费。
图 4:创建包含 HTTP、HTTPS 或两者的流量分析类型的域名报告
要查看您的域名报告的状态,请访问控制台中特定防火墙的 “报告” 部分。报告准备就绪后,您可以直接在控制台中查看报告或下载报告,如图 5 所示。
图 5:控制台的 “报告” 部分中特定防火墙的域报告列表
第 3 步:查看报告详情
报告详细信息包括流量类型(HTTP 或 HTTPS)和观察周期(开始和结束日期)。默认情况下,该报告涵盖最近 30 天,如果少于 30 天,则涵盖自启用流量分析以来的整个时段。该报告还显示了以下细节:
- 域名列表显示了在网络流量中观察到的完全限定域名 (FQDN) 的域,例如 aws.com 或 subdomain.aws.com。
- 访问尝试次数是指向该域发出的连接请求的总数,包括成功和失败的尝试。
- 唯一来源字段显示连接到该域的不同来源 IP 地址的数量,表明其受欢迎程度。例如,如果一个工作负载连接到 aws.com,则 count = 1;如果 1000 个工作负载连接到 aws.com,则 count = 1,000。
- “首次访问” 字段显示该域名首次出现在您的流量中的时间,而 “上次访问” 字段显示最近一次访问该域名的时间。这包括成功和失败的访问域的尝试。
- 协议字段表示如何通过 HTTP 或 HTTPS 流量(换句话说,HTTP 标头或 TLS 握手)来观察该域。
示例报告如图 6 所示。
图 6:域名报告详细信息示例:30 天分析
步骤 4:(可选)创建域列表规则组
您可以将观察到的域列表从报告中复制到有状态域列表规则组并更新您的防火墙策略。为此,在报告详细信息部分中,选择创建域列表组,使用防火墙策略向导创建或更新您的防火墙规则。所选域将自动复制到域列表规则组,如图 7 所示。有关详细说明,请参阅 Amazon Network Firewall 文档。
图 7:使用防火墙策略向导复制观察到的域列表并创建域列表规则组的选项
实施域名许可名单的优秀实践
在实施域名许可名单时,请考虑以下指导方针以成功运营。我们建议您同时参阅自己的内部合规和安全政策。
- 从慷慨的允许名单策略开始:
- 首先,从更广泛、更慷慨的允许名单规则开始,而不是更精确的清单,以降低意外封锁合法域名的风险。
- 专注于制定默认拒绝政策,这样您就可以从降低风险面中受益。
- 为可信域创建灵活的规则,包括二级域名和顶级域名,例如允许访问您注册的二级域名下的子域名。或者允许访问您的组织信任的顶级域下的二级域名,例如.mil、.gov 或 .edu。
- 使用具有正则表达式功能的自定义 Suricata 规则来高效处理复杂的流量。请参阅网络防火墙的状态规则示例。
- 请记住,即使是广泛的许可名单也比完全没有许可名单也能提供更好的安全性。
- 进行迭代改进:
- 在您建立了初始的慷慨许可清单和默认拒绝规则后,评估这些规则以确定您可能要开始进一步缩小范围。在通行规则之前使用警报规则,以记录通行规则可能允许访问的特定域。
- 根据域信任级别和监控要求调整日志级别。
- 根据运营见解和不断变化的要求审查和更新规则。
- 采取务实和迭代的方法来完善规则,而不是试图使规则集变得非常严格。
- 设置强大的日志记录:
- 启用网络防火墙警报日志以保持对流量模式的可见性。
- 使用亚马逊 CloudWatch Logs 贡献者见解等工具进行日志分析。
- 考虑为关键工作负载访问的被拒绝域设置主动警报。
- 监控日志以识别潜在的许可名单添加或更改。
- 其他注意事项:
- 启用流量分析模式后,自动域列表功能可让您查看网络流量,报告观察到的连接。尽管域名列表报告不区分允许和阻止的流量,但它可以帮助您确定要包含在防火墙规则中的最关键的域。
- 用于生成域名推荐列表的域流量数据在启用流量分析后的最近 30 天内可用。这使您在优化防火墙策略时可以专注于最相关和最新的网络活动。
- 自动域列表的数据收集是可选的,并且独立于防火墙策略和日志配置执行。启用该功能不会影响防火墙本身的性能。
结论
借助 Amazon Network Firewall 自动域名列表,您可以简化防火墙管理流程,根据实际流量模式创建更有效的规则,并以更少的手动操作维持强大的安全态势。此功能可帮助您应对常见挑战,例如跟上快速变化的应用程序环境、管理复杂环境中的安全性以及遵守合规性要求。要了解有关网络防火墙及其功能的更多信息,请参阅产品页面和服务文档。
如果你对这篇文章有反馈,请在下面的评论部分提交评论。如果你对这篇文章有疑问,请在 Amazon Network Firewall re: Post 论坛上发一个新话题或联系 Amazon Support。
