利用Amazon威胁情报增强AWS网络防火墙安全防护

本文详细介绍如何通过AWS网络防火墙的主动威胁防御托管规则组,利用Amazon威胁情报系统MadPot实时阻断恶意流量,提供自动化威胁防护,支持TLS深度检测,并涵盖配置步骤与最佳实践。

利用Amazon威胁情报增强AWS网络防火墙安全防护

作者:Amit Gaur, Prashanth Kalika, Saleem Muhammad, Tim Sutton
发布日期:2025年6月17日
分类:高级(300)、AWS网络防火墙、精选、安全身份与合规、技术指南
永久链接:原文链接
评论 | 分享

当前,客户使用AWS网络防火墙来防护工作负载免受常见安全威胁。然而,他们通常依赖第三方威胁源和扫描器,这些工具在AWS工作负载中的可见性有限,难以有效防护活跃威胁。通过传统威胁情报源和自定义规则实现的自管理云安全方法可能导致响应延迟,使客户暴露于与AWS工作负载相关的活跃威胁中。客户期望一种自动化方法,能够分析威胁并在多个执行点部署缓解措施,以建立一致的防御,并希望有一个统一的AWS原生解决方案,能够快速保护整个云基础设施免受活跃威胁。

本文介绍主动威胁防御,这是一个新的网络防火墙托管规则组,提供针对AWS工作负载相关活跃威胁的防护。主动威胁防御利用AWS全球基础设施可见性和广泛威胁情报,提供自动化的、情报驱动的安全措施。该功能使用Amazon威胁情报系统MadPot,持续追踪攻击基础设施,包括恶意软件托管URL、僵尸网络命令与控制服务器以及加密挖矿池,识别活跃威胁的入侵指标(IOCs)。

主动威胁防御以规则组AttackInfrastructure的形式提供,通过阻断与检测到的攻击基础设施的通信来防护恶意网络流量。在防火墙策略中配置托管规则组后,网络防火墙现在自动阻断与恶意IP、域名和URL的可疑流量,覆盖的指标类别包括命令与控制(C2)、恶意软件暂存主机、沉洞、带外测试(OAST)和挖矿池。它对TCP、UDP、DNS、HTTPS和HTTP等多种协议的入站和出站流量实施全面过滤,并使用特定、经过验证的威胁指标,以实现高准确性并最小化误报。

具有主动威胁防御的网络防火墙通过以下机制保护AWS工作负载:

  • 威胁预防:使用Amazon威胁情报自动阻断恶意流量,识别并防止针对AWS工作负载的活跃威胁
  • 快速防护:基于新发现的威胁持续更新网络防火墙规则,实现即时防护
  • 简化操作:当在网络防火墙上启用主动威胁防御时,GuardDuty中标记为“Amazon Active Threat Defense”的发现现在可以自动阻断
  • 集体防御:深度威胁检测(DTI)支持共享威胁情报,提升主动威胁防御托管规则组用户的防护能力

图1展示了使用主动威胁防御托管规则组与网络防火墙的示例。它显示了使用从MadPot收集的威胁数据在AWS托管规则组中自动创建有状态规则。

图1:具有主动威胁防御的网络防火墙

入门指南

主动威胁防御托管规则组可以直接通过AWS管理控制台、AWS命令行界面(AWS CLI)或AWS SDK在网络防火墙中启用。然后,您可以将托管规则组与网络防火墙策略关联。该规则组定期接收新威胁指标和签名更新,同时自动移除非活动或过期的签名。

先决条件

要开始使用具有主动威胁防御的网络防火墙,请访问网络防火墙控制台或参阅AWS网络防火墙开发人员指南。主动威胁防御在所有提供网络防火墙的AWS区域中均受支持,包括AWS GovCloud(美国)区域和中国区域。

如果您是首次使用网络防火墙,请确保完成以下先决条件。如果您已有防火墙策略和防火墙,可以跳过此部分。

  • 创建防火墙策略
  • 创建防火墙

设置主动威胁防御托管规则组

在满足先决条件后,您可以设置和使用主动威胁防御托管规则组。

设置托管规则组的步骤:

  1. 在AWS网络防火墙控制台中,选择导航窗格中的“防火墙策略”。

  2. 选择现有防火墙策略或您作为先决条件创建的策略。

    图2:选择网络防火墙策略

  3. 向下滚动到“有状态规则组”。在右侧,选择“操作”并选择“添加托管有状态规则组”。

    图3:添加规则组

  4. 在“添加托管有状态规则组”页面上,向下滚动到“主动威胁防御”。选择规则组“AttackInfrastructure”。根据您对深度威胁检测的需求,如果您不希望网络防火墙处理服务日志,可以选择退出。选择“添加到策略”。

    图4:将规则组添加到策略

  5. 您可以在下一页验证托管规则组是否已添加到策略中。

    图5:验证托管规则组已添加到策略

定价

有关主动威胁防御的定价,请参阅AWS网络防火墙定价。

注意事项

第一个注意事项是理解当TLS检测功能与主动威胁防御托管规则组一起使用时,网络防火墙在检测和缓解与HTTPS流量相关的威胁方面更为有效。TLS检测使主动威胁防御能够分析加密连接的实际内容,从而识别和阻断可能未被检测到的恶意URL。此过程涉及解密流量、检查内容以查找已知恶意URL模式或行为,然后在认为安全的情况下重新加密流量。有关TLS检测的更多注意事项,请参阅TLS检测的注意事项。组织必须平衡安全益处与潜在延迟引入,并确保有适当的控制措施来处理解密的敏感数据。

另一个注意事项是误报的缓解。当您在防火墙策略中使用此托管规则组时,您可以编辑规则组警报设置,以帮助识别误报作为缓解策略的一部分。更多信息,请参阅缓解误报。

最后一个注意事项是使用托管规则组如何计入每个策略的有状态规则限制。更多信息,请参阅AWS网络防火墙配额和在AWS网络防火墙中设置规则组容量。

结论

在本文中,您学习了如何使用AWS网络防火墙主动威胁防御托管规则组来保护工作负载免受活跃威胁。

如果您对此文章有反馈,请在下面的评论部分提交评论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次