Day-059-AWS 安全实战

# Day 57: AWS 安全实战

> Web 安全系列第 27 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [AWS 安全架构](#aws 安全架构)
2. [IAM 安全实战](#iam 安全实战)
3. [VPC 网络安全](#vpc 网络安全)
4. [S3 存储安全](#s3 存储安全)
5. [EC2 实例安全](#ec2 实例安全)
6. [Lambda 函数安全](#lambda 函数安全)
7. [API Gateway 安全](#api-gateway 安全)
8. [安全监控与合规](#安全监控与合规)
9. [漏洞利用与防护](#漏洞利用与防护)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## AWS 安全架构

### AWS 安全责任

**AWS 负责**：
```
- 物理设施安全
- 网络基础设施
- 虚拟化层安全
- 基础服务安全
- 全球基础设施
```

**客户负责**：
```
- 数据安全
- 应用安全
- IAM 配置
- 网络安全配置
- 操作系统安全
- 加密密钥管理
```

### AWS 安全服务

**身份服务**：
```
IAM：身份与访问管理
- 用户/组管理
- 权限策略
- 角色管理
- MFA 支持

STS：安全令牌服务
- 临时凭证
- 角色切换
- 联合身份

Cognito：用户身份
- 用户池
- 身份池
-  federated identity
```

**网络安全**：
```
VPC：虚拟私有云
- 私有网络
- 子网划分
- 路由表

Security Groups：安全组
- 实例级防火墙
- 状态检测
- 允许规则

NACL：网络 ACL
- 子网级防火墙
- 无状态
- 允许/拒绝规则

WAF：Web 应用防火墙
- Web 攻击防护
- 规则管理
- 速率限制
```

**数据安全**：
```
KMS：密钥管理服务
- 密钥创建
- 密钥轮换
- 审计日志

Secrets Manager：秘密管理
- 凭证存储
- 自动轮换
- 访问审计

Macie：数据安全
- 敏感数据发现
- 数据分类
- 异常检测
```

**监控服务**：
```
CloudTrail：审计日志
- API 调用日志
- 事件记录
- 合规报告

CloudWatch：监控告警
- 资源监控
- 日志分析
- 告警规则

GuardDuty：威胁检测
- 智能威胁检测
- 异常行为
- 自动告警

Security Hub：安全中心
- 安全态势
- 合规检查
- 统一视图
```

---

## IAM 安全实战

### IAM 基础

**核心概念**：
```
用户（User）：
- 人类用户
- 服务账户
- 唯一身份

组（Group）：
- 用户集合
- 批量管理
- 简化权限

角色（Role）：
- 权限集合
- 可被假定
- 临时凭证

策略（Policy）：
- 权限定义
- JSON 格式
- 附加到身份
```

**策略结构**：
```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}
```

### IAM 安全最佳实践

**根账户保护**：
```
1. 启用 MFA
   - 硬件 MFA
   - 虚拟 MFA
   - 强制启用

2. 不使用根账户
   - 创建 IAM 用户
   - 最小权限
   - 审计使用

3. 删除访问密钥
   - 删除根密钥
   - 使用 IAM 密钥
   - 定期轮换
```

**权限管理**：
```
1. 最小权限原则
   - 按需授权
   - 避免通配符
   - 定期审查

2. 使用组管理
   - 按角色分组
   - 组级权限
   - 简化管理

3. 使用角色
   - 临时凭证
   - 自动轮换
   - 跨账户访问
```

**凭证管理**：
```
1. 访问密钥
   - 定期轮换（90 天）
   - 多密钥轮换
   - 禁用未使用

2. 密码策略
   - 最小长度 14
   - 复杂度要求
   - 定期更换

3. MFA 启用
   - 所有用户启用
   - 特权用户强制
   - 敏感操作要求
```

### IAM 漏洞利用

**权限提升**：
```
场景 1: iam:PassRole
- 传递高权限角色
- 创建高权限实例
- 执行高权限操作

利用：
aws ec2 run-instances --iam-instance-profile Name=AdminRole

防护：
- 限制 PassRole
- 资源级权限
- 条件限制
```

**策略修改**：
```
场景 2: iam:CreatePolicyVersion
- 创建新策略版本
- 提升自身权限
- 绕过限制

利用：
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/MyPolicy --policy-document file://evil-policy.json --set-as-default

防护：
- 限制策略修改
- 审批流程
- 监控变更
```

**角色假定**：
```
场景 3: sts:AssumeRole
- 假定高权限角色
- 获取临时凭证
- 执行特权操作

利用：
aws sts assume-role --role-arn arn:aws:iam::123456789012:role/AdminRole --role-session-name test

防护：
- 限制角色假定
- 外部 ID 要求
- MFA 要求
```

### IAM 审计

**权限审查**：
```bash
# 使用 IAM Access Analyzer
aws accessanalyzer create-analyzer --analyzer-name my-analyzer --type ACCOUNT

# 查看未使用权限
aws iam generate-access-advisor --user-name username

# 查看凭证使用
aws iam get-access-key-last-used --access-key-id AKIAIOSFODNN7EXAMPLE
```

**策略分析**：
```bash
# 评估策略
aws iam simulate-principal-policy --policy-source-arn arn:aws:iam::123456789012:user/username --action-names s3:GetObject --resource-arns arn:aws:s3:::my-bucket/*

# 查找过度权限
aws iam list-policies --scope AWS --only-attached
```

---

## VPC 网络安全

### VPC 设计

**最佳实践**：
```
1. 多账户策略
   - 组织单元
   - 账户隔离
   - 集中管理

2. 子网划分
   - 公有子网（Web 层）
   - 私有子网（应用层）
   - 数据库子网（数据层）

3. 路由配置
   - Internet Gateway
   - NAT Gateway
   - VPC Peering
```

**网络 ACL**：
```
入站规则：
1. 允许 ephemeral ports（1024-65535）
2. 允许 HTTP/HTTPS（80, 443）
3. 允许 SSH（22）from trusted IPs
4. 拒绝所有其他

出站规则：
1. 允许 ephemeral ports
2. 允许 HTTP/HTTPS
3. 允许 NTP（123）
4. 拒绝所有其他
```

### 安全组配置

**Web 服务器安全组**：
```
入站：
- 80, 443 from 0.0.0.0/0
- 22 from bastion SG

出站：
- 所有流量到应用 SG
```

**应用服务器安全组**：
```
入站：
- 8080 from Web SG
- 22 from bastion SG

出站：
- 3306 to DB SG
- 所有流量到 NAT
```

**数据库安全组**：
```
入站：
- 3306 from App SG
- 22 from bastion SG

出站：
- 仅允许必要流量
```

### VPC 漏洞利用

**安全组误配置**：
```
场景 1: 0.0.0.0/0 开放
- SSH 开放到互联网
- 数据库开放到互联网
- 所有端口开放

利用：
nmap -p- target-ip
ssh ec2-user@target-ip

防护：
- 限制源 IP
- 使用 bastion
- 定期审计
```

**VPC 流日志绕过**：
```
场景 2: 流日志未启用
- 无网络监控
- 无法检测攻击
- 无法审计

利用：
- 隐蔽扫描
- 数据外传
- 横向移动

防护：
- 启用流日志
- 集中存储
- 实时监控
```

---

## S3 存储安全

### S3 安全配置

**桶策略**：
```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyPublicAccess",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    }
  ]
}
```

**加密配置**：
```
1. 默认加密
   - AES-256
   - aws:kms
   - 客户密钥

2. 桶策略强制
   - 要求加密
   - 拒绝未加密
   - 审计合规
```

**访问日志**：
```
1. 启用访问日志
   - 记录所有请求
   - 集中存储
   - 长期保留

2. 日志分析
   - 异常检测
   - 合规审计
   - 安全分析
```

### S3 漏洞利用

**公开桶**：
```
场景 1: 桶公开可读
- 敏感数据泄露
- 凭证泄露
- 合规违规

发现：
aws s3 ls s3://bucket-name

利用：
aws s3 cp s3://bucket-name/sensitive-data.txt .

防护：
- 阻止公开访问
- 桶策略限制
- 定期扫描
```

**权限过大**：
```
场景 2: s3:* 权限
- 完全控制桶
- 删除数据
- 修改策略

利用：
aws s3 rm s3://bucket-name --recursive
aws s3api delete-bucket --bucket bucket-name

防护：
- 最小权限
- 版本控制
- MFA 删除
```

**预签名 URL 滥用**：
```
场景 3: 预签名 URL 泄露
- 长期有效
- 无访问控制
- 数据泄露

利用：
# 生成预签名 URL
aws s3 presign s3://bucket-name/file.txt --expires-in 604800

# 分享 URL
# 任何人可访问

防护：
- 短期有效
- 限制访问
- 监控使用
```

### S3 安全扫描

**公开桶扫描**：
```bash
# 使用 S3Scanner
git clone https://github.com/sa7mon/S3Scanner
python3 s3scanner.py -f buckets.txt

# 使用 Prowler
prowler -c s3_bucket_public_access
```

**权限审计**：
```bash
# 查看桶策略
aws s3api get-bucket-policy --bucket bucket-name

# 查看 ACL
aws s3api get-bucket-acl --bucket bucket-name

# 查看公开访问设置
aws s3api get-public-access-block --bucket bucket-name
```

---

## EC2 实例安全

### EC2 安全配置

**安全组**：
```
最佳实践：
1. 最小开放
   - 只开放必要端口
   - 限制源 IP
   - 避免 0.0.0.0/0

2. 引用安全组
   - 安全组互访
   - 避免 IP 硬编码
   - 简化管理

3. 定期审查
   - 清理未使用规则
   - 验证规则有效性
   - 审计变更
```

**实例配置**：
```
1. 系统更新
   - 自动更新
   - 安全补丁
   - 定期重启

2. 安全加固
   - CIS Benchmark
   - 安全基线
   - 配置管理

3. 监控代理
   - CloudWatch Agent
   - 安全代理
   - 日志收集
```

**密钥管理**：
```
1. 密钥对
   - 安全存储
   - 权限限制
   - 定期轮换

2. Systems Manager
   - Session Manager
   - 无需 SSH 密钥
   - 审计会话
```

### EC2 漏洞利用

**元数据服务**：
```
场景 1: IMDSv1 启用
- 获取实例凭证
- 角色凭证
- 敏感信息

利用：
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

防护：
- 启用 IMDSv2
- 限制访问
- 监控访问
```

**用户数据泄露**：
```
场景 2: 用户数据包含凭证
- 启动脚本
- 硬编码凭证
- 敏感配置

利用：
curl http://169.254.169.254/latest/user-data

防护：
- 不存储凭证
- 使用 Secrets Manager
- 加密用户数据
```

**EBS 快照泄露**：
```
场景 3: 快照公开共享
- 敏感数据
- 凭证泄露
- 合规违规

发现：
aws ec2 describe-snapshots --restorable-by-user-ids all

利用：
aws ec2 create-volume --snapshot-id snap-1234567890abcdef

防护：
- 限制快照共享
- 加密快照
- 定期审计
```

---

## Lambda 函数安全

### Lambda 安全配置

**权限管理**：
```
执行角色：
- 最小权限
- 资源级权限
- 条件限制

资源策略：
- 限制调用者
- 限制源账户
- 限制源 VPC
```

**网络安全**：
```
VPC 配置：
- 私有子网
- 安全组
- NAT Gateway

最佳实践：
- 不分配公网 IP
- 限制出站流量
- 使用 VPC 端点
```

**代码安全**：
```
依赖管理：
- 锁定版本
- 扫描漏洞
- 定期更新

代码审查：
- 安全编码
- 秘密扫描
- 代码审计
```

### Lambda 漏洞利用

**权限过大**：
```
场景 1: Lambda 角色权限过大
- 访问所有 S3
- 访问所有 DynamoDB
- 管理 IAM

利用：
# 修改函数代码
aws lambda update-function-code --function-name my-function --zip-file fileb://evil.zip

# 执行恶意代码
# 访问敏感数据

防护：
- 最小权限
- 资源级权限
- 监控调用
```

**事件注入**：
```
场景 2: 事件数据未验证
- API Gateway 事件
- S3 触发事件
- DynamoDB 流

利用：
# 注入恶意数据
# 触发 SQL 注入
# 触发命令注入

防护：
- 输入验证
- 参数化查询
- 安全编码
```

**依赖攻击**：
```
场景 3: 第三方依赖漏洞
- 恶意包
- 已知漏洞
- 供应链攻击

利用：
# 污染依赖
# 植入后门
# 数据窃取

防护：
- 锁定依赖
- 扫描漏洞
- 最小依赖
```

---

## API Gateway 安全

### API Gateway 配置

**认证授权**：
```
认证类型：
- AWS IAM
- Cognito
- Lambda 授权器
- JWT 授权器

最佳实践：
- 强制认证
- 最小权限
- 令牌验证
```

**速率限制**：
```
使用计划：
- API 密钥
- 速率限制
- 配额管理

节流配置：
- 突发限制
- 速率限制
- 错误响应
```

**请求验证**：
```
模型验证：
- JSON Schema
- 请求验证
- 响应验证

WAF 集成：
- Web ACL
- 规则管理
- 攻击防护
```

### API Gateway 漏洞利用

**未授权访问**：
```
场景 1: API 未保护
- 无需认证
- 公开访问
- 数据泄露

利用：
curl https://api-id.execute-api.region.amazonaws.com/stage/resource

防护：
- 启用认证
- 资源策略
- WAF 防护
```

**参数篡改**：
```
场景 2: 参数未验证
- ID 遍历
- 越权访问
- 数据泄露

利用：
GET /api/users/123
GET /api/users/124

防护：
- 输入验证
- 授权检查
- 速率限制
```

**注入攻击**：
```
场景 3: 后端注入
- SQL 注入
- 命令注入
- LDAP 注入

利用：
GET /api/search?q=' OR '1'='1

防护：
- 输入验证
- 参数化查询
- WAF 规则
```

---

## 安全监控与合规

### CloudTrail 审计

**日志配置**：
```
1. 启用所有区域
   - 全局服务
   - 所有区域
   - 集中存储

2. 日志完整性
   - 日志文件验证
   - S3 加密
   - 防篡改

3. 事件选择
   - 管理事件
   - 数据事件
   - 洞察事件
```

**告警配置**：
```
敏感操作告警：
- IAM 变更
- 安全组变更
- KMS 密钥删除
- 根账户使用

CloudWatch 告警：
- 指标告警
- 日志洞察
- 自动响应
```

### GuardDuty 威胁检测

**检测类型**：
```
1. 凭证泄露
   - 异常 API 调用
   - 异常地理位置
   - 异常时间

2. 实例异常
   - 恶意软件
   - 挖矿活动
   - C2 通信

3. 数据泄露
   - S3 异常访问
   - 数据外传
   - 异常下载
```

**响应流程**：
```
1. 告警接收
   - SNS 通知
   - 事件桥接
   - Slack 集成

2. 自动响应
   - Lambda 函数
   - 隔离实例
   - 撤销凭证

3. 调查分析
   - 根本原因
   - 影响范围
   - 修复措施
```

### 合规检查

**CIS Benchmark**：
```
使用 Prowler：
git clone https://github.com/prowler-cloud/prowler
./prowler -c cis_aws_

检查项：
- IAM 配置
- 日志配置
- 网络配置
- 存储配置
```

**合规报告**：
```
AWS Artifact：
- 合规报告
- 审计证书
- SOC 报告

Security Hub：
- 合规分数
- 标准检查
- 趋势分析
```

---

## 漏洞利用与防护

### 常见攻击场景

**场景 1: 凭证泄露**：
```
攻击链：
1. GitHub 扫描
   - 搜索硬编码凭证
   - 公开仓库
   - 历史提交

2. 凭证利用
   - 访问 AWS 资源
   - 提升权限
   - 数据窃取

防护：
- 使用 Secrets Manager
- 定期轮换
- 监控使用
```

**场景 2: SSRF 攻击**：
```
攻击链：
1. 发现 SSRF
   - Web 应用
   - Lambda 函数
   - API Gateway

2. 访问元数据
   - 获取凭证
   - 访问内网
   - 横向移动

防护：
- 启用 IMDSv2
- 输入验证
- 网络隔离
```

**场景 3: 存储桶泄露**：
```
攻击链：
1. 发现公开桶
   - 自动化扫描
   - 子域名枚举
   - 证书透明度

2. 数据窃取
   - 下载数据
   - 凭证泄露
   - 合规违规

防护：
- 阻止公开访问
- 桶策略限制
- 定期扫描
```

### 安全加固

**立即行动**：
```
1. 启用 MFA
   - 根账户
   - 所有用户
   - 特权用户

2. 删除根密钥
   - 访问密钥
   - 使用 IAM 用户
   - 最小权限

3. 启用日志
   - CloudTrail
   - VPC 流日志
   - S3 访问日志
```

**短期改进**：
```
1. 权限审查
   - 未使用权限
   - 过度权限
   - 权限提升

2. 网络加固
   - 安全组审查
   - NACL 配置
   - VPC 设计

3. 数据保护
   - 加密启用
   - 备份配置
   - 访问控制
```

**长期规划**：
```
1. 安全架构
   - 多账户策略
   - 网络分段
   - 数据分类

2. 自动化安全
   - 基础设施即代码
   - 策略即代码
   - 自动合规

3. 持续监控
   - 安全态势
   - 威胁检测
   - 事件响应
```

---

## 总结与思考

### 核心要点回顾

1. **IAM 安全**
   - 最小权限
   - MFA 启用
   - 凭证管理

2. **网络安全**
   - VPC 设计
   - 安全组配置
   - 流日志

3. **数据安全**
   - 加密存储
   - 访问控制
   - 备份恢复

### 深入思考问题

1. **多云安全**？
   - 统一管理
   - 策略一致
   - 工具集成

2. **Serverless 安全**？
   - 函数安全
   - 事件安全
   - 依赖安全

3. **零信任云架构**？
   - 持续验证
   - 微隔离
   - 动态授权

### 实战建议

**云架构师**：
1. 安全设计
2. 最佳实践
3. 合规要求
4. 成本优化

**安全人员**：
1. 持续监控
2. 事件响应
3. 漏洞管理
4. 合规审计

**开发人员**：
1. 安全编码
2. 凭证管理
3. 依赖管理
4. 安全测试

---

## 参考资料

### 学习资源
- [AWS Security Documentation](https://docs.aws.amazon.com/security/)
- [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/)
- [AWS Security Blog](https://aws.amazon.com/blogs/security/)

### 工具资源
- [Prowler](https://github.com/prowler-cloud/prowler)
- [Scout Suite](https://github.com/nccgroup/ScoutSuite)
- [CloudSploit](https://github.com/aquasecurity/cloudsploit)
- [Pacu](https://github.com/RhinoSecurityLabs/pacu)

### 书籍推荐
- 《AWS 安全最佳实践》
- 《Practical AWS Security》
- 《AWS Security》
- 《Cloud Security and Privacy》

### 在线资源
- [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
- [CIS AWS Benchmark](https://www.cisecurity.org/benchmark/amazon_web_services)
- [OWASP Cloud Security](https://owasp.org/www-project-cloud-security/)

---

**标记 明日预告**：Day 58 - Azure 安全实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 57 篇，Web 安全部分第 27 篇，精编版本*