AWS 上的安全图谱

使用 Amazon Neptune 构建安全图谱,高效管理 IT 基础设施的安全

什么是安全图谱?

安全图谱是表示您想要保护的资产以及这些资产与贵组织内部不同角色之间的关系的图谱。它可以包括计算机网络、电信网络、分发路由、支付系统和其他 IT 基础设施组成部分。通过使用图形数据库对这些资产进行建模,您将能够利用数据关系来考量 IT 环境中不同维度之间的交互方式,以及基础设施各个层面之间的关联。安全图谱可用于主动检测、被动调查,也可用作客户为提高 IT 安全性而部署的纵深防御策略的一部分。

CloudHealth by VMware:Secure State管理 AWS 上超 5,000 万项资产的数十亿事件(5:29)

为什么要使用图谱来管理组织的安全?

现代安全配置纷纷采用分层式安全方法。没有哪一层能够独自阻断所有威胁,但它们协同作用时可以减轻各种威胁,并在任何一层失效时提供冗余的安全控制。值得注意的是,这些安全层之间通常采用松耦合设计,实行单独管理。只需将这一信息存储在图谱中,就可对层间关系进行建模和分析,全面了解整个安全配置,发现各层的不足。

不法分子会以图谱形式策划他们的攻击方案。他们需要了解可以利用哪些基础设施组成部分通往要攻击的系统或数据,可以盗取哪些身份来访问该基础设施组成部分,以及必须绕过哪些遥测或监控技术。 为了保护组织的资源,您可以将它们建模为表示它们彼此之间以及与用户之间如何关联的图谱。这可以帮助您轻松获取有价值的洞察,比如导致资源漏洞的过度权限授予。如果资源遭到入侵,您可以查询图谱来确定攻击面,以及找到可能危及安全性的后门或其他恶意软件安装的位置。

为什么要使用图形数据库来存储安全图谱?

图形数据库专为存储和导航数据中的关系而设计,有助于存储和管理安全图谱。它的查询语言非常适合处理高度关联的数据,能够简单、快速、可靠地查询出数据中存在的模式和关联。图形数据库将关系视为“一等公民”,架构灵活,具有更高的图遍历性能。这使得图形数据库能够利用用户、角色和 IT 资源之间的关系,进行复杂的威胁检测和发现安全漏洞。

关系数据库专为存储和分析表格数据而设计,用它来存储安全图谱具有一定的挑战性。对于诸如网络资源和访问模式等高度关联的实体,关系数据库无法高效地存储和查询它们之间的关系,因为这需要识别和可视化数据中的关联及分组。使用关系数据库和 SQL 查询关系可能会导致执行多个复杂的连接操作,处理时间延长,从而错失识别安全风险的机会。

安全图谱应用场景

云安全态势管理(CSPM)

CSPM 是指持续监控云基础设施以发现安全漏洞、错误配置和合规风险并在存在此类不足的情况下执行相应策略的过程。借助图形数据库,您可以对云基础设施和资源进行可视化。这种全面的、情景化的云库存视图将有助您了解自己的云资产,进而做出规划,预测并缓解与基础设施相关的任何风险。

数据流/防止数据泄露

数据泄露是一种恶意活动,涉及到超出您控制范围的敏感数据侵入、复制和传输。常见的攻击目标包括财务记录、客户数据和知识产权。攻击者通常可以远程发起攻击,并将其伪装成合法流量,使其很难被发现。您可以绘制从源头到目的地的数据流图,这可以帮助您发现数据传输超出您控制范围的事件。例如,绘制数据从 S3 存储桶加载到 Amazon Neptune 的过程将有助您标记数据被复制到其他地方(如另一个 S3 存储桶)的情况。

身份和访问管理

您可以使用图形数据库来监控和可视化 IAM 策略,确保正确的用户和角色拥有对正确资源的适当访问权限。用图谱表示 IAM 策略有权访问的资源将有助您发现一些细微之处,比如某个安全组资源遭到未经授权的访问。

数字取证

在发生数据盗窃、泄露或未经授权的网络渗透时,组织需要各种数字取证工具来识别、保存、分析和提供数字证据。通过使用图形数据库关联用户与组织的网络资源及数据,您可以为受影响的数据和资源建立证据保全链,勾勒出访问模式并指出可能的漏洞区域。 

软件供应链安全

软件供应链可以表示为一张提供资源所有权信息并说明对供应链中资源的部署和访问权限的图谱。软件供应链图谱可为您提供一种包含基础设施、应用、开源项目和机密信息的独特视图,并且可以结合这些数据来识别风险链,让您能实时了解自己的软件供应链。例如,在有软件漏洞通知发布时,图谱可以突出显示所有受影响的应用,让您无需依赖向开发团队发送的广播消息即可展开调查。这可以为您节省宝贵的时间和资源。

使用 Amazon Neptune 存储安全图谱

您可以使用 Amazon Neptune 来构建安全图谱解决方案,它是一项快速可靠的完全托管式图形数据库服务,能够帮助您轻松构建和运行数据之间高度关联的应用。 

Amazon Neptune 专为存储数十亿条关系和实现毫秒级的图谱查询延迟而设计。Neptune 与开放图谱 API 兼容,并且支持 Property Graph 和 W3C RDF 等热门图模型以及它们各自的查询语言 Apache TinkerPop Gremlin、openCypher 和 SPARQL。虽然图形数据库通常需要大量的硬件管理、配置和手动扩展,但 Neptune 是一项完全托管的服务,您不必再担心数据库的管理。只需在 AWS 管理控制台或 API 调用中单击几下,您就可以在短短几分钟内启动并运行 Neptune 集群。

借助 Neptune,您可以查询数据中的关系,轻松获取洞察,例如有权访问资源的用户或不同基础设施组成部分之间的关联方式。Neptune 提供完全托管的服务,可执行快速图谱查询,实时发现未经授权的访问或资源暴露,帮助您管理组织 IT 基础设施的安全性。您还可以使用 Neptune 与 Amazon OpenSearch Service 的原生集成,或将图谱数据导出至 Splunk 等分析和安全工具,以此获取数据洞察和发现安全事件。 

使用 Amazon Neptune 存储安全图谱的优势

较高的可扩展性和可用性

在使用 Amazon Neptune 时,您可以通过自动创建或删除副本实例来扩展计算和内存资源。根据使用情况,Amazon Neptune 的存储空间可自动增长至高达 128TiB,而不会影响数据库的性能。Amazon Neptune 具有高可用性,并提供只读副本、时间点恢复、连续备份以及跨可用区(AZ)的复制。

具有成本效益的客户数据平台

Amazon Neptune 消除了对硬件和软件投资的需求,同时减轻了运营负担,可帮助您降低图形数据库的管理成本。在 Amazon Neptune 上构建安全图谱则为您构建图谱来关联自有资源并获取有关基础设施安全的洞察提供了一种具有成本效益的方式。

高度安全

Amazon Neptune 支持传输加密和静态加密,一般情况下非常安全。Amazon Neptune 通过了 FedRAMP、PCI、DSS 和 ISO 合规性计划的认证,并且符合 SOC 1、2 和 3 的要求,可确保您构建的安全和威胁检测解决方案满足监管规定。

将关系视为“一等公民”

安全的关键在于管理资源、策略、角色、数据、应用和项目之间的关系。在 Amazon Neptune 中,这些关系会被存储为一等数据,而不是运行时计算的元数据。这样一来,数据查询模式将更直观,性能也将更高。

JupiterOne 利用云计算、机器学习和移动设备来为医疗保健提供者、研究人员、医疗 IT 公司和患者提供精准医学服务。JupiterOne 是一款在云端构建的 DevSecOps 解决方案,用于实现云端安全和合规(如 HIPAA 和 PCI)的简化及自动化。JupiterOne 首席执行官郑尔康(Erkang Zheng)表示:“JupiterOne 致力于帮助各种规模的 SaaS 客户开发、部署、认证和维护安全软件,在网络安全市场中扮演着关键角色。使用 Amazon Neptune 使我们能够加快软件开发,降低运营成本,并在数据集中建立关联,帮助即时发现潜在的配置错误和安全问题。”

各种规模的组织都在使用 Wiz Security Graph 来识别其云资产中的关键风险和确定这些风险的优先级。Wiz Security Graph 在 Amazon Neptune 上构建而成,可显示云资源之间的互联关系以及表明风险达到最高优先级的危险组合,帮助用户可视化并保护他们在云端构建和运行的所有资产。

开始使用

开始使用 Amazon Neptune,这是一个完全托管的图形数据库

Amazon Neptune 是一项快速、可靠且完全托管的图形数据库服务,可帮助您轻松构建和运行使用高度互连数据集的应用程序。Amazon Neptune 的核心是专门构建的高性能图形数据库引擎,它进行了优化以存储数十亿个关系并将图形查询延迟降低到毫秒级。Amazon Neptune 支持常见的图形模型 Property Graph 和 W3C 的 RDF 及其关联的查询语言 openCypher、Apache TinkerPop Gremlin 和 SPARQL,从而使您能够轻松构建查询以有效地导航高度互连数据集。Neptune 支持图形使用案例,如推荐引擎、欺诈检测、知识图谱、药物开发和 IT 安全。

使用 Amazon Neptune 绘制 AWS 资源图谱


在下面的文章中,我们将演练一个针对 Neptune 集成 Altimeter 发布的示例。Altimeter 是 Tableau Software, LLC 推出的一个开源项目(MIT 许可证),用于扫描 AWS 资源并以图谱形式关联这些资源。您可以在 Neptune 中存储、查询和可视化数据。您可以查询图谱来查看账户中的 AWS 资源及它们之间的关系。例如,您可以查询使用公共 IP 地址公开集群的资源或路径,以确认安全性和合规性。

了解有关产品定价的更多信息

了解有关 Amazon Neptune 定价的更多信息。

了解更多 
注册免费账户

立即享受 AWS Free Tier。 

注册 
开始在控制台中构建

在 AWS 管理控制台中,使用 Amazon Neptune 开始构建。

登录