富达投资公司： 构建可扩展的安全监控工具

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/FSI202-Fidelity_Investments__Building_a_scalable_security_monitoring_tool-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 随着富达投资公司（Fidelity Investments）使用亚马逊云科技继续其现代化之旅，保持大规模的安全性仍然是重中之重。在本闪电讲座中，您将了解 Fidelity Investments 如何使用单一窗格工具满足整个云环境的安全要求。查看该工具的实际应用示例，例如检测数千个账户中的事件，使用集中权限管理系统处理这些事件，以及分离账户以确定修复需求。Fidelity Investments 分享了这种可定制的工具如何使他们在使用亚马逊云科技服务（包括 Amazon CloudTrail、[Amazon CloudWatch](https://aws.amazon.com/cn/cloudwatch/?trk=cndc-detail) 和 Amazon Identity and Access Management (IAM)）时尽可能地安全。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1200字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 埃里克·摩尔（Eric Moore）是富达投资公司的云计算专家，他在该公司工作了六年多，负责他们的云安全事务。他的演讲主题是“构建可扩展的云安全监控工具”。他提到，这个工具不仅用于监控，还能检测威胁、应对威胁并预先防止问题。 埃里克解释说，富达投资公司已经在云端部署了五年多。在他们的亚马逊云科技环境中，目前拥有超过1500个亚马逊云科技账户，涵盖了所有可用的亚马逊云科技服务。他们的环境分为沙盒、开发、QA和生产等部分，每个部分都有自己特定的安全和合规规则。 起初，富达投资公司依赖亚马逊云科技服务控制策略来防止问题，但随着规模的扩大，他们需要一个更强大的工具来处理他们在各个环境中监控的2000多个安全场景，包括自动处理检测、响应和部分预防。 他们建立的这个工具作为富达所有云安全需求的“单一界面”。它实时查看创建和销毁的资源，包括元数据如合规状态和历史上的每个资源采取的所有操作。用户界面将资源分为计算和存储等类别，每种资源类型的相关元数据都包含在列中。重要的是，该工具是云无关的，可以跨富达的所有云提供商工作，而不仅仅是亚马逊云科技。 埃里克接着解释了帮助他们构建这个可扩展的云安全工具的关键服务： - IAM提供身份和访问管理，允许对资源进行适当的控制。 - Kubernetes和容器实现可扩展性和可移植性，使安全工具能够根据需要轻松扩展和缩小规模。 - CloudTrail作为事实来源，记录了所有账户的API事件。由于规模庞大，富达有多个CloudTrails产生事件。 - CloudWatch、SQS和S3为所有CloudTrail数据提供了存储。 - RDS MySQL为他们提供了一个用于存储和查询所有CloudTrail数据的数据库。据埃里克说，富达有一个“庞大的”RDS数据库。 - KMS对所有静态数据进行加密。 - TLS对传输中的数据进行加密。 对于集中式权限管理，信孚采用了基于全局角色和策略（GRAP）存储库的系统，并通过CloudFormation将IAM角色部署到其账户中。亚马逊云科技Organizations为其提供了将账户分为沙盒、开发、QA/临时或生产环境的功能。信孚通过Organizations管理着超过1500个亚马逊云科技账户。在检测和响应能力方面，所有CloudTrail数据首先进入RDS数据库。然后，使用SQL Alchemy应用查询过滤器来识别安全事件。保存的视图按环境和严重程度对事件进行分类，并将关键警报发送到他们的安全运营中心（SOC）/ SWAT团队，以便立即作出响应。信孚还构建了自定义“插件”——查询、操作和收集器——以扩展开箱即用的覆盖范围。目前，该工具监控超过2000种不同的安全场景。在预防方面，信孚要求基础设施作为代码模板定义并在部署之前进行扫描。这使得工具能够捕捉到不良配置并阻止具有安全违规的部署。可以随时添加自定义过滤器以标记新问题。对于自动化响应，信孚配置了与CloudTrail事件（如资源创建、修改和销毁）相关的反应触发器。采取的行动包括删除或修改不合规的资源、发送通知等。例如，当工程师启动一个公共EC2实例时，工具会在5分钟内检测到公共IP，终止该实例，并向工程师发送一封关于安全违规的电子邮件。这有助于通过提供实时反馈而不是依赖定期安全培训，提高工程师们在犯错时对安全问题的意识。总之，该工具在信孚的云环境中高效地大规模修复问题。通过提高安全意识，这对他们的安全团队和工程师来说都取得了成功。信孚拥有专门的全球团队全天候工作，不断改进工具和流程。正如埃里克所说，“安全永远不会休息，总有人清醒‘监视这些，确保我们所有的数据都是安全的’”。埃里克随后详细介绍了该工具的一些关键功能。 他强调了通过集中式身份和权限管理（IAM）实现重要性。富达公司采用基于存储库的系统——全球角色和政策（GRAP），这些系统存储在GitHub或BitBucket中。在配置新账户时，CloudFormation模板会从GRAP中提取IAM角色，以确保一致的安全基线。任何新的亚马逊云科技账户都会通过这个自动管道进行配置，而非由工程师手动操作，从而减少了人为错误的可能性。 亚马逊云科技Organizations提供了将帐户标记为沙箱、开发、QA或生产环境的解决方案。这使安全工具能够根据环境应用不同的规则和限制。正确的标签避免了一些问题，例如生产帐户被错误地标记为沙箱。 在检测和响应方面，埃里克详细介绍了所有CloudTrail数据如何流入RDS数据库，提供唯一的真实来源。使用SQL Alchemy应用查询过滤器可以高效地搜索安全事件。将常见查询过滤器保存为视图使得按环境、严重程度或其他类别进行组织变得容易。例如，您可以快速查看所有需要通知SOC团队的关键安全情况。 能够构建自定义插件（查询、操作和采集器）确保了该工具可以随着时间的推移灵活扩展。富达公司尚未遇到他们不能用该工具检测并应对的安全情况。在演讲时，富达已经构建了大约2000个覆盖各种安全情况的自定义插件。 埃里克还强调了富达公司对模板扫描的预防性使用。通过要求所有基础设施都作为代码模板定义，他们可以预部署扫描以查找安全问题，并阻止不良配置被推送到现场。该工具的可定制性允许根据需要添加新的检查规则和过滤器。 对于自动化响应，埃里克解释说，他们已经配置了直接与CloudTrail API事件（如RunInstances或TerminateInstance）关联的反应触发器。该工具可以执行诸如删除或修改资源、发送通知等操作，具体取决于事件。他通过展示一个公共EC2实例如何在被发现后5分钟内被终止以及收到关于安全违规的电子邮件来展示了这是如何工作的。 在总结中，埃里克再次强调了这一可扩展的云计算安全工具如何在费城威迪恩公司（Fidelity）取得了巨大的成功。通过实现自动化的修复以及提高安全意识，这个工具已经成为费城威迪恩公司的巨大胜利。在全球范围内，专门的团队全天候地加强该工具的功能，使得费城威迪恩公司可以确信他们的云环境得到了充分保护。 **下面是一些演讲现场的精彩瞬间：** 埃里克·摩尔（富达投资）在re:Invent上的亚马逊云科技会议上分享了过去六年帮助解决云计算安全问题的心得。  亚马逊云科技的领导者解释了"单一平台"这一概念的含义，以及如何让像富达投资这样的客户能够一站式满足所有安全需求。  该工具具有可定制性，可以通过插件扩展功能以满足任何云需求。  亚马逊云科技已经实现了自动化合规扫描，以便在部署前发现潜在问题。  屏幕上展示了一个自动化工具的例子，包括查询过滤器、操作和自动补救电子邮件通知，当安全事件发生时，可以直接通知工程师。  演讲者谈论了在处理数以万计的资源、数千个账户和安全场景时管理排除项的复杂性。  领导者承认，全球安全团队夜以继日地不懈努力，以保护客户数据。  ## 总结 富达投资在亚马逊云科技re:Invent上展示了一种构建可扩展的云计算安全监控工具的方法。这种工具为富达庞大的云基础设施提供了单一窗口来检测、响应和预防安全事件，该基础设施横跨超过1500个亚马逊云科技账户和800万个资源。为了实现可扩展性，富达利用了Kubernetes以及EKS和ECS等相关服务进行容器编排。这使得安全任务能够像章鱼触手一样跨账户弹性扩展。CloudTrail作为事实来源，实时将事件流式传输到SQS、S3并最终进入MySQL RDS数据库。SQL查询过滤器有助于检测安全事件，而自定义操作可以启动终止实例或通知用户等响应。富达还会扫描基础设施即代码模板以尽早发现问题。 通过自动化，这个工具已经防止了许多公共资源问题。最近，一名工程师创建了一个公共EC2实例，被自动终止并触发了一封通知邮件以教育用户。这个系统在高效地大规模补救的同时提高了安全意识。富达将这个工具的成功归功于其专注的全球安全团队，他们不断改进这个系统。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")