利用AWS Network Firewall的Amazon威胁情报提升安全防护能力

本文介绍了AWS Network Firewall新推出的主动威胁防御托管规则组,该功能利用Amazon威胁情报系统MadPot,可自动检测和阻断恶意网络流量,提供针对命令控制服务器、恶意软件托管URL等威胁的实时防护,支持TCP/UDP/DNS/HTTPS/HTTP等多种协议。

利用AWS Network Firewall的Amazon威胁情报提升安全防护能力

当前,客户使用AWS Network Firewall来保护工作负载免受常见安全威胁。然而,他们通常需要依赖第三方威胁情报源和扫描器,这些工具在AWS工作负载中的可见性有限,难以有效防护活跃威胁。通过传统威胁情报源和自定义规则实现的自管理云安全方法可能导致响应延迟,使客户暴露于与AWS工作负载相关的活跃威胁中。客户希望采用自动化方法分析威胁并在多个执行点部署缓解措施,以建立一致的防御体系,并需要一个统一的、AWS原生的解决方案,能够快速保护整个云基础设施免受活跃威胁。

本文介绍主动威胁防御功能,这是Network Firewall新推出的托管规则组,可针对AWS工作负载相关的活跃威胁提供防护。主动威胁防御利用AWS全球基础设施的可见性和广泛的威胁情报,提供自动化的、情报驱动的安全措施。该功能使用Amazon威胁情报系统MadPot,持续追踪攻击基础设施,包括恶意软件托管URL、僵尸网络命令控制服务器和加密货币挖矿池,识别活跃威胁的入侵指标(IOCs)。

主动威胁防御以名为AttackInfrastructure的规则组形式提供,通过阻断与检测到的攻击基础设施的通信来防护恶意网络流量。在防火墙策略中配置该托管规则组后,Network Firewall会自动阻断与恶意IP、域名和URL的可疑流量,覆盖命令控制(C2)、恶意软件暂存主机、黑洞、带外测试(OAST)和挖矿池等指标类别。它对TCP、UDP、DNS、HTTPS和HTTP等多种协议的入站和出站流量进行全面过滤,并使用经过验证的特定威胁指标,确保高准确性并最小化误报。

配备主动威胁防御的Network Firewall通过以下机制保护AWS工作负载:

  • 威胁预防:利用Amazon威胁情报自动阻断恶意流量,识别并防止针对AWS工作负载的活跃威胁
  • 快速防护:基于新发现的威胁持续更新Network Firewall规则,实现即时防护
  • 简化运维:当在Network Firewall上启用主动威胁防御时,GuardDuty中标记为"Amazon Active Threat Defense"的发现结果可被自动阻断
  • 集体防御:深度威胁检测(DTI)支持共享威胁情报,提升主动威胁防御托管规则组用户的防护能力

图1展示了主动威胁防御托管规则组与Network Firewall的配合使用。它显示了如何使用从MadPot收集的威胁数据在AWS托管规则组中自动创建有状态规则。

开始使用

主动威胁防御托管规则组可以直接通过AWS管理控制台、AWS命令行界面(AWS CLI)或AWS SDK在Network Firewall中启用。然后,您可以将该托管规则组与Network Firewall策略关联。规则组会定期更新新的威胁指标和签名,同时自动移除不活跃或过期的签名。

先决条件

要开始使用配备主动威胁防御的Network Firewall,请访问Network Firewall控制台或参阅AWS Network Firewall开发人员指南。主动威胁防御在所有提供Network Firewall的AWS区域中均受支持,包括AWS GovCloud(美国)区域和中国区域。

如果您是首次使用Network Firewall,请确保完成以下先决条件。如果您已有防火墙策略和防火墙,可以跳过本节。

  • 创建防火墙策略
  • 创建防火墙

设置主动威胁防御托管规则组

完成先决条件后,您可以设置和使用主动威胁防御托管规则组。

设置托管规则组的步骤:

  1. 在AWS Network Firewall控制台中,选择导航窗格中的"Firewall policies"。

  2. 选择现有的防火墙策略或您在先决条件中创建的策略。

  3. 向下滚动到"Stateful rule groups"。在右侧,选择"Actions"并选择"Add managed stateful rule groups"。

  4. 在"Add managed stateful rule groups"页面上,向下滚动到"active threat defense"。选择规则组"AttackInfrastructure"。根据您对深度威胁检测的需求,如果您不希望Network Firewall处理服务日志,可以选择退出。选择"Add to policy"。

  5. 您可以在下一页验证托管规则组是否已添加到策略中。

定价

有关主动威胁防御的定价信息,请参阅AWS Network Firewall定价

注意事项

第一个注意事项是理解当TLS检测功能与主动威胁防御托管规则组配合使用时,Network Firewall在检测和缓解与HTTPS流量相关的威胁方面更加有效。TLS检测使主动威胁防御能够分析加密连接的实际内容,从而识别和阻断可能未被检测到的恶意URL。此过程涉及解密流量、检查内容中的已知恶意URL模式或行为,然后在认为安全的情况下重新加密流量。有关TLS检测的更多注意事项,请参阅TLS检测注意事项。组织必须在安全 benefits 与可能引入的延迟之间取得平衡,并确保有适当的控制措施来处理解密的敏感数据。

另一个注意事项是误报的缓解。当您在防火墙策略中使用此托管规则组时,可以编辑规则组警报设置,以帮助识别误报作为缓解策略的一部分。更多信息,请参阅缓解误报

最后一个注意事项是托管规则组的使用如何计入每个策略的有状态规则限制。更多信息,请参阅AWS Network Firewall配额在AWS Network Firewall中设置规则组容量

结论

在本文中,您学习了如何使用AWS Network Firewall主动威胁防御托管规则组来保护工作负载免受活跃威胁。

如果您对本文有反馈意见,请在下面的评论部分提交评论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次