本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS 服务实现高级安全性
AWS 提供一套全面的安全服务,在开启 SAP 部署的情况下,这些服务可以充当围绕 RISE 的多层安全信封。 AWS这些服务充当一层额外的安全屏障,能在潜在威胁触及 RISE 账户之前对其进行拦截和缓解,提供强有力的防护,并协助遵循行业标准安全最佳实践。
**Topics**
+ [AWS Network 防火墙](networkfirewall.md)
+ [Amazon Macie](macie.md)
+ [亚马逊 GuardDuty](guardduty.md)
+ [Security Hub、Detective、Audit Manager 和 EventBridge](securityhub.md)
+ [使用所有 AWS 安全服务](allawssecurity.md)
# AWS Network 防火墙
AWS Network Firewall 是一项托管防火墙服务,可为亚马逊虚拟私有云 (VPC) 环境提供基本的网络保护。 AWS Network Firewall 充当第一道防线,它过滤和检查所有进出 RISE 资源的网络流量,从而有效地在 RISE 环境周围创建保护边界。
Network Fire AWS wall 的主要功能包括:
+ 状态防火墙功能。 AWS Network Firewall 提供高级状态防火墙功能,用于监控和控制网络流量。此功能可检测网络连接的完整上下文(包括源、目标、端口和协议),以检测并阻止恶意或未经授权的流量。
+ 威胁签名匹配。 AWS Network Firewall 预装了一套全面的威胁检测规则和签名,这些规则和签名会持续更新 AWS,以识别和缓解针对 RISE 部署的已知威胁、恶意软件和其他恶意活动。
+ 自定义规则定义。除了预定义的威胁特征外,客户还可创建并部署自定义防火墙规则,以符合 RISE 环境中 SAP 系统相关连接所特有的特定安全要求或策略。
+ 集中式策略管理。 AWS Network Firewall 允许集中定义和管理防火墙策略,然后可以轻松地在 VPCs 包括非 SAP 在内的多个防火墙策略中进行部署, VPCs 并 VPCs 与 SAP 管理的 RISE VPC 相关联,从而确保一致的安全执行。
+ 可扩展性与高可用性。作为一项完全托管的服务, AWS Network Firewall 可自动扩展以应对网络流量和模式的变化,从而确保无需复杂的基础架构管理即可保护RISE环境。
在 RISE with SAP 的背景下,可以利用 AWS Network Firewall 实现以下目的:
+ 集中式防火墙管理。 AWS Network Firewall 提供集中式托管防火墙服务,用于控制和监控进出由 SAP 管理的 RISE VPC 的网络流量。
+ 状态数据包检查。 AWS Network Firewall 执行状态数据包检查,使其能够通过分析 RISE VPC 中的 to/from SAP 系统的网络连接环境来检测和缓解高级威胁。
+ 监管合规。 AWS Network Firewall 通过强制执行安全策略和为 RISE with SAP 环境提供 logging/auditing 功能,帮助组织满足合规性要求。
以下是 Network Fire AWS wall 的示例架构,该架构在 SAP 网络流量到达 RISE 之前对其进行检查
![\[Network Firewall 在网络流量到达 RISE with SAP 之前对其进行检测\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-network-firewall.png)
在上图中
1. 恶意行为者利用网络配置错误来获取对 RISE 上的 SAP 系统的访问权限。
1. 流量首先通过 Tr AWS ansit Gateway 路由。
1. Network Fire AWS wall 的数据包检查可以捕获异常的连接尝试...
值得注意的是,想要使用通过Direct Connect首先 AWS 连接到Tran AWS sit Gateway托管的SAP BTP服务的客户也可以使用Network Fi AWS rewall,这样他们就可以 end-to-end继续使用 AWS 主干 AWS 网络。
有关配置 AWS 网络防火墙的说明,请参阅[AWS 网络防火墙入门](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)。
# Amazon Macie
Amazon Macie 是一项数据安全服务,可持续监控潜在数据风险及未经授权的访问尝试,并在发现此类情况时向客户发送提醒,从而帮助客户发现、分类和保护存储在 Amazon S3 存储桶中的敏感数据。
在 RISE with SAP 的背景下,Amazon Macie 可以保护客户管理的 AWS 账户中的 Amazon S3 存储桶,这些存储桶由 RISE with SAP 环境提供,例如:
+ 作为 RISE 客户,可以将备份从 SAP 管理的 AWS 账户复制到客户管理的环境和 S3 存储桶。
+ 可以将SAP数据从或RISE环境(参见使用服务提取 [SAP数据的架构选项)提取到客户管理的S3存储桶,以便使用其他 AWSAWS 服务](https://aws.amazon.com/blogs/awsforsap/architecture-options-for-extracting-sap-data-with-aws-services/)(例如Amazon Athena、G AWS lue和Amazon Sagemaker)实现高级分析、机器学习和商业智能;
+ 一些行业和法规(例如 GDPR、HIPAA 或 PCI-DSS)可能会要求长期存储和保留敏感数据。将此类敏感数据导出到客户自主管理型 S3 有助于满足这些合规要求,因为 S3 具备强大的安全性与持久性。
+ 集中式策略管理。 AWS Network Firewall 允许集中定义和管理防火墙策略,然后可以轻松地在 VPCs 包括非 SAP 在内的多个防火墙策略中进行部署, VPCs 并 VPCs 与 SAP 管理的 RISE VPC 相关联,从而确保一致的安全执行。
+ 客户还可从其 RISE 环境中获取安全事件日志,并将其摄入自有 S3 存储桶或 SIEM 系统。
以下是 Amazon Macie 对存储有从 RISE 提取的 SAP 数据的 S3 存储桶进行持续扫描的示例架构
![\[Amazon Macie 对存储有从 RISE 提取的 SAP 数据的 S3 存储桶进行持续扫描\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-macie.png)
在上图中
1. 数据被写入 S3 存储桶以用于数据 lake/compliance 报告。
1. Amazon Macie 持续分析存储桶以检测个人可识别信息。
有关配置 Amazon Macie 的说明,请参阅[什么是 Macie?](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)。
# 亚马逊 GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可持续监控 AWS 环境中的恶意活动和未经授权的行为。它结合了机器学习、异常检测和集成威胁情报,可识别潜在威胁,并通过 SAP 环境、工作负载和数据保护与 RISE 关联的 AWS 账户。
亚马逊 GuardDuty 监控以下内容:
+ AWS CloudTrail 日志:Amazon GuardDuty 监控 AWS 账户中的 API 活动,以检测可疑 API 调用、未经授权的部署和未经授权的资源访问尝试。Amazon 会 GuardDuty 识别从未经授权的 IP 地址或区域访问 AWS 服务的企图。亚马逊在身份和访问管理 (IAM) Access Management 用户、角色和策略中 GuardDuty 检测到异常行为,例如权限提升。
+ VPC 流日志。Amazon 会 GuardDuty 分析虚拟私有云 (VPC) Virtual Cloud (VPC) 内的网络流量,以检测意外流量模式、数据泄露企图或未经授权的访问,同时识别资源与已知的恶意 IP 地址或域名 AWS 之间的通信。在开启 SAP 的情况下进行 RISE 的背景下 AWS,检查在 RISE SAP 管理的账户前面的 VPC 上进行;
+ DNS 日志。Amazon 会 GuardDuty 监控 AWS 资源进行的 DNS 查询,以检测试图连接恶意域名或异常的 DNS 请求模式。Amazon GuardDuty 还检测到使用域生成算法 (DGA) 生成与命令和控制服务器关联的域名的情况。
在 RISE with SAP 的背景下, GuardDuty 可以利用 Amazon 做以下事情:
+ 入侵检测: GuardDuty 通过识别恶意活动(例如未经授权的 API 调用、网络侦测和来自已知恶意 IP 地址的访问尝试),及早检测到客户管理的 AWS 账户所面对的 RISE 环境的入侵企图;
+ 合规性验证:对于具有严格合规要求的组织, GuardDuty 可以持续监控违反策略和未经授权的访问尝试,提供详细的日志和报告以供审计,从而帮助确保合规性。当从客户管理的 AWS 账户访问 SAP RISE 环境时,就可以实现这一点。有关更多详细信息,请参阅[合规性验证](https://docs.aws.amazon.com/guardduty/latest/ug/compliance-validation.html)。
+ 自动事件响应。 GuardDuty 可以与 AWS Lambda 和 Sec AWS urity Hub 集成,以自动执行事件响应工作流程。检测到威胁后,这些服务可触发自动化修复操作,例如隔离受影响的资源或向安全团队发送通知。
以下是在 SAP 部署状态下 GuardDuty 监控 RISE CloudTrail 跟踪的示例架构 AWS
![\[GuardDuty 使用 SAP 部署监控 RISE 的 CloudTrail 踪迹\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty.png)
在上图中
1. 数据被写入 S3 存储桶以用于数据 lake/compliance 报告。
1. 恶意行为者更改 S3 存储桶上的 IAM 规则和 IAM 权限以获取访问权限。
1. IAM 更改会被 AWS CloudTrail拦截。
1. GuardDuty 检测可疑活动并提醒管理员。
以下是在 SAP 部署开 GuardDuty 启的情况下监控 RISE 的 DNS 日志的示例架构 AWS
![\[GuardDuty 使用 SAP 部署监控 RISE 的 DNS 日志\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty-dnslogs.png)
在上图中
1. 恶意行为者引入恶意 DNS,将用户重定向到伪造的 SAP 系统。
1. 恶意 DNS 条目由管理员检测 GuardDuty 并报告给管理员。
以下是使用 SAP VPC GuardDuty 监控 RISE 的 VPC 流日志的示例架构
![\[GuardDuty 使用 SAP VPC 监控 RISE 的 VPC 流日志\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-guardduty-vpcflowlogs.png)
在上图中
1. 恶意攻击者试图从与 RISE VPC 建立对等连接的客户自主管理型 VPC 访问 SAP 系统,或扫描端口。
1. 来自恶意攻击者 IP 的连接尝试被记录在 VPC 流日志中。
1. Amazon 检测到可疑的连接尝试 GuardDuty 并报告给管理员。
有关配置 Amazon 的说明 GuardDuty,请参阅[入门](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)。
# Security Hub、Detective、Audit Manager 和 EventBridge
在 Amazon Macie 的 GuardDuty 实施基础上,Sec AWS urity Hub 充当中心枢纽,整合安全调查结果 AWS 安全服务并确定其优先级。 AWS Security Hub 提供了围绕 SAP 部署的 RISE 服务的安全态势的统一视图,从而可以更快地识别和解决任何安全问题。
为了进一步提高调查和事件响应能力,Amazon Detective 通过从 AWS 资源中收集和处理相关日志数据来分析安全事件。此服务有助于快速确定问题的根本原因,以便能采取适当的措施来减小影响。
保持合规性也是保护 RISE with SAP 环境的一个关键方面。 AWS Audit Manager 可根据行业标准和法规自动评估 AWS 资源,帮助证明合规性并降低不合规风险。
最后,Amazon 通过触发自定义自动工作流程和补救措施, EventBridge 实现对安全事件的实时响应。该服务可用于快速高效地处理安全事件,并最大限度地减少这些事件对 RISE with SAP 部署产生的潜在影响。
以下是 Sec AWS urity Hub、Amazon Detective、Audit AWS Manager 和亚马逊 EventBridge 与 RISE 与 SAP 配对的架构示例
![\[Security Hub\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-securityhub.png)
# 使用所有 AWS 安全服务
将上述所有服务结合在一起,允许架构在 AWS 部署时监控 RISE 的多个区域:网络流量、DNS 日志、 CloudTrail API 活动、提取的 SAP 数据的敏感信息。Amazon GuardDuty 和 Sec AWS urity Hub 由多种服务提供,并使用 AIML 情报来检测恶意活动和异常情况。调查结果将传递给 Amazon Detective 以进行更深入的 RCA 分析,或者发送给亚马逊 EventBridge 进行自定义报告和提醒。
以下是 Network Fire AWS wall GuardDuty、Amazon Macie、Sec AWS urity Hub 和 Amazon Detective 组合在一起的架构示例,通过部署 SAP 来改善 RISE 的安全状况 AWS
![\[GuardDuty\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-allawssecurity.png)