AWS 安全实践

AWS 高级产品经理
朱志强

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
区块链安全服务

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
数字货币主要安全风险 在当前数字化时代，信息安全问题往往直接导致企业的经
济损失，对于数字货币交易平台行业，安全问题尤为突出

数字货币行业常见的安全事件：

盗币

• 由于系统漏洞或管理疏忽，导致数字货币丢失

API

• 对外开放的API被恶意入侵

攻击

• 更容易吸引来自行业内部的攻击，例如DDoS，SQL
注入，跨站脚本等

软件漏洞

• 某些开源系统存在的一些漏洞未能及时发现和处理

来源：LeaderOps: 2018 Blockchain Threat Report

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
主要安全威胁
威胁类型 风险级别 威胁类型 风险级别
Malicious information attack 恶意信息攻击 Medium risk Calling Deep Attack 调用深度攻击 Medium risk
Resource abuse attack 资源滥用攻击 High risk Transaction order dependence attack 交易顺序依赖攻击 Medium risk
Collision attack 碰撞攻击 High risk Timestamp-dependent attack 时间戳依赖攻击 Medium risk
Length extension attack 长度扩展攻击 High risk Misoperation Abnormal Attack 误操作异常攻击 As the case may be
Backdoor attack 后门攻击 High risk Integer overflow attack 整数溢出攻击 As the case may be
Quantum attack 量子攻击 Serious Private key theft 私钥窃取 High risk
Infiltration attack Wallet software and hardware
渗透攻击 Medium risk 钱包软硬件漏洞攻击 High risk
vulnerability attack
Denial of service attack 拒绝服务攻击 High risk Online wallet account theft 在线钱包账号窃取 High risk
Transaction malleability Low risk
交易延展性攻击 Phishing attack 钓鱼攻击 High risk
attack
Eclipse attack 日食攻击 Medium risk Man in the middle attack 中间人劫持攻击 High risk
Authentication Bypass
验证绕过攻击 Serious Trojan hijack attack 木马劫持攻击 High risk
Attack
Short range attack 短距离攻击 Medium risk Key key & token stealing 关键 key&token 窃取 High risk
Long range attack 长距离攻击 High risk Mining hoe 挖矿傀儡 Medium risk
Reward receiving address tampering
Coin age cumulative attack 币龄累计攻击 Medium risk 奖励接收地址篡改攻击 High risk
attacks
Precomputed attack 预计算攻击 Medium risk 0day attack 0day 攻击 Serious
Witch attack 女巫攻击 Medium risk Weak password attack 弱口令攻击 High risk
Escape hole 逃逸漏洞 High risk Block attack 扣块攻击 Medium risk
Logic loophole As the case may
逻辑漏洞 Centralization problem 中心化问题 Medium risk
be
Stack Overflow Vulnerability 堆栈溢出漏洞 Serious Single sign-on vulnerability 单点登陆漏洞 Medium risk
Resource Abuse
资源滥用漏洞 High risk oAuth protocol vulnerability oAuth 协议漏洞 Medium risk
Vulnerability
AWS 中国（宁夏）区域由西云数据运营
Reentrant attack 可重入攻击 High risk Payment loophole 支付漏洞 High risk
AWS 中国（北京）区域由光环新网运营
AWS安全理念

认证 & 访问管理 监测控制 基础设施防护 数据保护 事件响应

AWS Identity & Access AWS Security Hub AWS Systems Manager AWS Key Management AWS Config Rules
Management (IAM) Service (KMS)
Amazon GuardDuty AWS Shield AWS Lambda
AWS Single Sign-On AWS CloudHSM
AWS Config AWS WAF – Web
AWS Directory Service application firewall AWS Certificate Manager
AWS CloudTrail
Amazon Cognito AWS Firewall Manager Amazon Macie
Amazon
AWS Organizations CloudWatch Amazon Inspector
AWS Secrets Manager Amazon VPC Flow Logs Amazon Virtual Private
Cloud (VPC)
AWS Resource Access
Manager

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
AWS基础和分层安全服务

AWS AWS AWS Transit Amazon AWS IoT Amazon Amazon Amazon Amazon AWS Step AWS
Security HubOrganizations Gateway VPC Device Cloud GuardDuty Macie CloudWatch Functions OpsWorks
Defender Directory

Amazon AWS Resource AWS Amazon AWS AWS

AWS AWS AWS AWS
VPC Direct Access Directory Inspector Security Hub Systems
Control Trusted Lambda CloudFormation
PrivateLink Connect manager Service Manager
Tower Advisor

自动化
认证 保护 监测 响应 恢复
调查

AWS AWS IAM AWS Amazon Amazon Amazon AWS Amazon S3

AWS Config Secrets KMS
Service Shield Cognito Detective CloudWatch CloudTrail Glacier
Catalog Manager

Personal Amazon
AWS Health Route 53 Snapshot Archive
AWS Well- AWS AWS AWS
AWS AWS
Firewall Certificate CloudHSM Single Dashboard
Architected Systems WAF
Manager Manager Sign-On
Tool Manager

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
区块链安全最佳实践

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践一 ： AWS良好安全架构
AWS 云

Amazon
AWS WAF Amazon Route 53
CloudFront

可用区1 可用区2
AWS Transit Gateway
ELB
公有子网
Web 服务器
AWS KMS

NAT AWS 自动缩放组 NAT

AWS Config
私有子网
应用服务器

DNS queries
AWS自动缩放组
Amazon VPC, App server
AWS
PrivateLink
Amazon VPC
数据子网 Flow Logs
数据库
Amazon Aurora
Multi-AZ
Amazon GuardDuty

AWS 中国（宁夏）区域由西云数据运营 AWS CloudTrail

AWS 中国（北京）区域由光环新网运营
最佳实践二 ： 加密货币交易平台架构
us-east-1

us-east-1a

前端 中间件 交易系统
微服务
WebApp API

WebApp API EC
IGW 交易 R

ELB
Wallet 微服务
HTTPS WebApp API

WebApp API 利用SNS实现热钱包状

态通知
热钱包 Batch

et 在钱包微服务中运行的
Wall
t to Hot Cron存款作业将存款
si
Depo 转移到冷钱包
allet
o Cold W
sit t
Depo
存款 CloudHSM
智能合约 硬件加密机
Cold Wallet

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践三 ： 多重DDOS防护体系

Amazon
Shield

DDoS Amazon
攻击 AWS WAF
CloudFront

Amazon
应用程序负载均衡 EC2 实例

Web 应用
ALB 安全组 安全组
用户
Amazon Amazon
Route 53 API 网管 公有子网 私有子网

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践四 ： AWS 入侵检测系统架构

SIEM

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
入侵检测整体框架思路
我们建议客户将Elasticsearch Service作为整体的威胁展示平台。 对于GuardDuty，IAM Access
Analyzer，Macie，Inspector和Inspector等AWS安全工具，它们都支持将发现结果发送到Security Hub，
后者会将它们转换为一种数据模型（AWS Security Finding Format），这将使索引更加容易。

Security Hub与CloudWatch Events集成在一起，可以轻松地从CWE> Kinesis Data Stream> Kinesis

Data Firehose> Elasticsearch Service发送所有发现。 此外，可以创建CloudWatch Log订阅以将VPC
流日志，Cloudtrail日志（来自CloudWatch）以及它们关心的其他任何内容发送到Lambda，后者可以写
入其他Firehose并发布到Elasticsearch。

还可将Elasticsearch配置为满足严格的安全性要求。 您可以将其与Cognito集成以登录到Kibana。 您可
以使用KMS强制执行传输加密和静态加密，设置基于IAM的访问策略，还可以强制执行仅HTTPS的传入连
接。 最后，您可以将Elasticsearch放入VPC并使用代理或AppStream 2.0队列来访问它。

详细部署：
https://github.com/aws-samples/aws-security-services-with-terraform/tree/master/aws-security-hub-
boostrap-and-operationalization

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践五：利用GuardDuty发现安全风险
全面识别威胁，疏而不漏 Amazon
GuardDuty
GuardDuty 通过持续监控 AWS 环境中的网络 威胁监测类型 发现类型举 发现
活动和账户行为，从而识别威胁。威胁情报与机 数据源 例

器学习和行为模型结合，帮助您检测加密货币挖 Bitcoin
矿、凭证破解行为、与已知命令和控制服务器通 威胁情报 Mining
信或者来自已知恶意 IP 的 API 调用等活动。 VPC 流量日
志 C&C AWS
Activity Security Hub
通过自动化加强安全性 高级

除了检测威胁之外，您还可以使用 GuardDuty
轻松设置自动响应威胁的方式，从而缩短修复和
DNS 日 中
恢复时间。GuardDuty 可以利用 Amazon 志 异常检测 异常用户行为举例: 级 CloudWatch 事件
CloudWatch 事件和 AWS Lambda 执行自动化 (机器学习) • 启动实例
• 缓解
• 改变网络权限
的修复操作。GuardDuty 的安全检测结果可为 低 • 合作伙伴方案
安全操作提供丰富的信息，具有极好的可行动性， 级 • 发送到SIEM

其发现包括受影响资源的详细信息以及 IP 地址 CloudTrai 异常流量类型举例:

l • 不常用端口和流量
和地理位置等攻击者信息。 事件

企业级集中管理
GuardDuty 可让您轻松支持和管理多个账户。
借助它的多账户功能，所有成员账户的检测结果
都可以与 GuardDuty 管理员账户聚合。这样安
全团队可以通过一个账户管理整个组织的所有
GuardDuty 检测结果。聚合后的检测结果也可
通过 CloudWatch Events 使用，从而轻松与现
有的企业事件管理系统集成。
AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践六：利用Detective调查风险
Amazon Detective 使您的安全团队可以轻松开展调查并快速找到检测结果的根本原因，简化了此过程。Amazon
Detective 可以分析来自多个数据源（例如 Virtual Private Cloud [VPC] 流日志、AWS CloudTrail 和 Amazon GuardDuty）
的数万亿个事件，并自动创建资源、用户及其不同时间的交互情况的统一交互式视图。使用这种统一视图，您可以集中
直观呈现所有详细信息和上下文，确定检测结果的基本原因、深入研究相关的历史活动，并快速确定根本原因。

分流安全检查结果 事故调查 威胁搜寻

加快分类并避免不必要的升级 改善上下文和表面相关行 简化数据收集，汇总和数据透视
AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
为
最佳实践六：利用Detective调查风险

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
 最佳实践七：GuardDuty和HIDS联动

• AWS Lambda函数在Amazon
GuardDuty和趋势科技服务器深度安全
防护系统之间创建联合工作流。

• 趋势科技服务器深度安全防护系统支持
某些侦查，未经授权的访问，
CryptoCurrency，后门和特洛伊木马
发现。

• 将发现结果发送到Slack。

• 支持将趋势科技和其他第三方的标准威
胁情报输入到GuardDuty

Trend 和Lambda联动请参考
( https://github.com/deep-security/amazon-guardduty )

关于DeepSecurity 更多信息请访问AWS Marketplace：

https://aws.amazon.com/marketplace/pp/B01AVYHVHO?qid=1515786002801&sr=0-2&ref_=srh_res_produc

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践八：部署Inspector检测安全漏洞
Amazon Inspector 是一项自动安全评估服务，有助于提高在 AWS 上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序
的风险、漏洞或者相较于最佳实践的偏差。执行评估后，Amazon Inspector 会生成按严重程度确定优先级的安全检测详细列表。

Amazon Inspector 安全评估可帮助您检查 Amazon EC2 实例是否存在意外的网络可访问性和漏洞。Amazon Inspector 评估以预定义规则包（映射

到常见安全最佳实践和漏洞定义）的形式提供给您。内置规则的示例包括检查从 Internet 对您的 EC2 实例进行的访问、当前启用的远程根登录，
或已安装的易受攻击的软件版本。AWS 安全研究员会定期更新这些规则。
无客户端扫描结果

Inspector分析如下资源:
Port Where?
• 安全组
• VPCs
• 网络接口
• 子网
• 网络ACLs
• 路由表 How?
• 弹性负载均衡器
• 应用层负载均衡器 有客户端扫描结果
• Internet网关
• 虚拟私有网管
• Direct Connect Which process Port Where
• VPC点对点链接

How
AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践九：识别和监测敏感数据

Amazon Macie是基于ML的数据安全服
务，可自动发现，分类和保护Amazon
S3中存储的数据。

Amazon Macie使用机器学习，通过为
内容分配业务价值，对其进行持续监控
并针对未受保护的数据和可疑活动发出 • PII 和个人数据
警报，从而提供数据的可见性和安全性。
• 源代码
• SSL 证书, 私有密钥
通过自动执行此过程并提高警报的准确
性，Macie使您可以快速轻松地识别并 • iOS and Android 应用程序签名密钥
防止未经授权的访问和意外的数据泄漏。 • 数据库备份
• Oauth和云SAAS API 键值

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践九：识别和监测敏感数据
用户行为分析：
Amazon Macie的用户行为分析引擎可通过AWS服务API调用以及对高价值内容的访问来帮助识别风险或可疑活动。
它具有检测高风险API活动突然增加，通过多个位置或在不频繁的时间进行异常API活动以及检测可能表明数据丢失
的内容访问量增加的能力。

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践九：识别和监测敏感数据

自动告警分类：
Amazon Macie支持20种警报类别，可帮助提供有关安全性和合规性用例的预警，包括：高风险数据事件，存储在源代码中
的API密钥和凭证，包含凭证的未加密备份以及攻击的早期阶段，包括指示横向移动的行为 ，持久性机制，后门帐户和角色
特权枚举。

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践十： 大数据安全
业务系统 大数据分析

全局流数据
客户网络

某些客户在AWS中创建了流数据洞察管道，并由Amazon Kinesis管理的大数据处理服务处理实时交换分析。 客户还将

见解管道与AWS CloudTrail日志文件集成在一起，这些日志文件发送到Amazon Simple Storage Service（Amazon S3）
存储桶，通过大EMR和RedShift进行大数据分析。 这为客户提供了整个IT环境的完整，透明和索引化的审计日志，及时
发现异常网络行为和风险。

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践十一： KMS实现热钱包加密
Amazon
Cognito 联合身份认证

Sign-In

临时凭证
存储密钥至 AWS存储服务

OR OR
获取/存储 Cognito 同步 Amazon
Amazon S3
密钥 DynamoDB

钱包 客户授权
App Amazon API 网关 AWS
Lambda
AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践十二： 利用AWS Secret Manager安全读写区块

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
最佳实践十三： 事件响应自动化
将Amazon Macie, Amazon CloudWatch, AWS Lambda联动，可实现威胁响应的自动化。

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营
 谢谢 !
AWS 如何赋能区块链

AWS 中国（宁夏）区域由西云数据运营
AWS 中国（北京）区域由光环新网运营