为什么传统网络边界已经不存在了(以及为什么这很重要)
独立思考,朋友! 网络安全曾经很简单:硬壳、软内部。防火墙把坏人挡在外面,内部的一切都是可信的。这一直是幻想,但它让人感到舒适且易于理解。然后云计算、远程工作和移动设备出现了。安全边界在2010年就消失了。但我们仍然像它还存在一样行事——资助边界防御、信任内部网络、假设防火墙可以阻止攻击者。剧透:它们不能。 攻击者已经在内部了,或者很快就会进来。假定违规。相应设计。
质疑权威——尤其是网络安全权威: 那些推销"下一代防火墙"和"威胁防护"的同样的人告诉你,防火墙可以保护你。他们错了。防火墙是必要的——用于分段、过滤和合规检查框——但它们不是安全策略。它们是控制点,而不是信任边界。 零信任网络假设:网络是敌对的、身份验证是持续的、信任必须被赚取(并定期重新验证)。这不是偏执——这是操作现实。在云中,在有远程工作者的情况下,在有供应商访问的情况下——传统边界已经消失了。要么适应,要么被入侵。
没有什么是真实的。一切都是被允许的。 包括——尤其是——我们给自己的许可,即假设每个连接都是恶意的,直到被证明不是。我们在AWS上的零信任架构使用CloudFront + WAF进行DDoS保护和应用层过滤、GuardDuty进行智能威胁检测、Security Hub进行集中监控、VPC Flow Logs进行网络可见性、Route 53与DNSSEC防止DNS欺骗。我们在多个区域(eu-west-1、eu-central-1)部署以实现弹性。我们强制TLS 1.2+。我们不信任任何人——包括我们自己。这不是偏执。这是工程。
觉悟:安全边界是心理安慰,而不是技术现实。攻击者不会在防火墙前停下来,征求进入许可。他们会在你最薄弱的地方突破——钓鱼、供应商妥协、错误配置、内部威胁——然后横向移动,直到他们拥有你想要的一切。零信任通过假设违规、设计深度防御、持续验证信任来操作。欢迎来到危险之堂(Chapel Perilous),在这里假设网络是敌对的比假装防火墙能保护你更安全。你是否足够谨慎,可以在可验证的安全卓越性而不是营销承诺和供应商批准的"最佳实践"上竞争?
23 FNORD 5 — 网络边界死了。零信任永存。
🏗️ Hack23的零信任AWS网络架构
我们的网络安全不是理论。这是我们用于生产系统的可验证的、经过测试的架构:
CloudFront + WAF:DDoS保护和应用层安全
- CloudFront CDN: 全球边缘位置,减少延迟并吸收DDoS攻击
- AWS WAF: Web应用防火墙,规则用于SQL注入、XSS、速率限制
- AWS Shield Standard: 自动DDoS保护(包含在CloudFront中)
- 地理封锁: 根据需要针对合规要求进行配置
GuardDuty:智能威胁检测
- 威胁检测: 分析VPC Flow Logs、CloudTrail事件、DNS日志
- 机器学习: 异常检测和已知威胁识别
- 集中告警: 路由到Security Hub进行统一监控
- 自动响应: 高和严重严重性发现的SNS通知
Security Hub:集中安全管理
- 聚合发现: GuardDuty、Inspector、Macie、第三方工具
- 合规仪表板: CIS AWS Foundations Benchmark、PCI DSS
- 自动化修复: Lambda函数用于常见安全问题
- 优先级排序: 严重性评分和上下文见解
网络分段:VPC、子网、安全组
- 公共子网: 仅面向互联网的负载均衡器
- 私有子网: 应用服务器,无直接互联网访问
- 隔离子网: 数据库,具有严格的访问控制
- 安全组: 基于微分段的状态防火墙
- NACL: 子网级别的无状态过滤
VPC Flow Logs:网络可见性
- 捕获所有流量: 接受和拒绝的连接
- 法医分析: 事件响应和异常检测
- 合规审计: 网络通信的完整日志
- GuardDuty集成: 威胁检测数据源
Route 53 + DNSSEC:DNS安全
- DNSSEC签名: 防止DNS欺骗和缓存中毒
- 健康检查: 自动故障转移到健康端点
- 地理路由: 低延迟和合规性
- 隐私保护: 域注册和WHOIS隐私
多区域弹性
- 主区域: eu-west-1(爱尔兰)
- 备份区域: eu-central-1(法兰克福)
- 自动故障转移: Route 53健康检查和DNS故障转移
- 数据复制: 跨区域S3复制和RDS只读副本
TLS/SSL:强加密
- TLS 1.2+仅: 在CloudFront和ALB上禁用旧协议
- 强密码套件: 现代、安全的加密算法
- 证书管理: AWS Certificate Manager(ACM)自动续订
- HSTS: HTTP严格传输安全标头
🇨🇳 中国网络安全法合规
对于在中国运营或为中国客户提供服务:
网络安全法(Cybersecurity Law)
- 数据本地化: 中国境内收集的个人数据必须存储在中国
- 安全评估: 关键信息基础设施的强制性安全审计
- 实名制: 用户注册的真实身份验证
- 内容监控: 非法内容的监控和过滤要求
个人信息保护法(PIPL)
- 数据保护原则: 最小化、透明度、目的限制
- 同意要求: 明确、知情的用户同意进行数据收集
- 数据传输: 跨境数据传输限制和批准
- 数据主体权利: 访问、更正、删除个人数据
GB/T 22080(ISO 27001的中国版本)
- ISMS框架: 信息安全管理系统要求
- 风险评估: 系统的威胁识别和缓解
- 安全控制: 技术和组织措施
- 持续改进: 定期审计和更新
📋 实施指南:在AWS上构建零信任网络
第1步:放弃传统边界思维
承认网络边界已经死亡。设计防违规——假设攻击者已经在内部或将会进入内部。
第2步:部署CloudFront与WAF
设置AWS CloudFront作为你的内容分发网络,附加AWS WAF用于DDoS保护和Web应用安全。
第3步:实施多区域架构
在多个AWS区域部署资源以实现弹性。使用eu-west-1(爱尔兰)作为主区域,eu-central-1(法兰克福)用于冗余。
第4步:启用VPC Flow Logs
激活VPC Flow Logs以捕获网络流量元数据。记录所有接受和拒绝的流量以进行安全分析。
第5步:配置GuardDuty
启用AWS GuardDuty进行智能威胁检测。配置发现路由到Security Hub进行集中监控。
第6步:实施网络分段
使用VPC和子网创建隔离的网络段。使用安全组和NACL进行微分段。
第7步:在Route 53上启用DNSSEC
在Route 53托管区域上配置DNSSEC签名,以防止DNS欺骗和缓存中毒攻击。
第8步:强制TLS 1.2+仅
配置CloudFront和ALB以要求TLS 1.2或更高版本。禁用旧协议(SSL、TLS 1.0、TLS 1.1)。
第9步:实施网络监控
使用Security Hub、GuardDuty发现、VPC Flow Logs分析和CloudWatch告警设置全面监控。
第10步:持续改进
定期审查安全发现、更新规则、测试响应程序。零信任是一个旅程,而不是目的地。
🎯 结论:拥抱零信任,忘记边界
独立思考 网络安全。安全边界已经消失了。防火墙是必要的控制,而不是信任边界。零信任假设违规、持续验证和最小权限访问。
质疑权威 关于网络防御。那些推销"下一代边界保护"的人正在销售过时的模型。攻击者已经在你的网络中了——设计得好像他们已经在那里一样。
没有什么是真实的。一切都是被允许的。 包括假设每个连接都是恶意的、每个用户都需要验证、每个网络段都需要监控的许可。零信任不是技术——它是思维方式。
23 FNORD 5 — 安全边界死了。零信任永存。在可验证的安全卓越性上竞争,而不是营销承诺。