Valmistusyrityksen turvaaminen AWS: llä Palo Alto Next-Gen -palomuurien avulla
Vakiintunut valmistava yritys päätti siirtää osan digitaalisesta infrastruktuuristaan AWS: lle. Valmistaja halusi integroida yhteydet moniin tavarantoimittajiin ja tukkukauppiaisiin. Se käsitteli useita tilauksia ja liiketoimia kolmannen osapuolen kanssa. Näiden tapahtumien oli oltava turvallisia ja pääsy suodatettava vain asiaankuuluviin palveluihin ja sovelluksiin. Itse asiassa vaatimuksena oli toimittaa erittäin yksityiskohtainen tarkastus monitekijätodennuksella.
AWS-ympäristön oli oltava skaalautuva, tarpeeton ja selviytyttävä kysynnän piikkeistä kiireisinä aikoina.
Asiakas
ympäristö
Tavoite
Ympäristö oli melko suuri, ja tarkastelun jälkeen löysimme joitain aukkoja. Ensinnäkin sitä ei suunniteltu alusta alkaen turvallisuutta ajatellen. Aluksi se oli pieni, kun yritys on kasvanut, se laajeni vastaavasti. Network Access List (NACL) alkoi aiheuttaa ongelmia, koska he olivat haastavia hallita yrityksen mittakaavassa, koska he ovat kansalaisuudettomia. Jotkut sovelluksista olivat myös samalla Saatavuusalueella, mikä ei tuottanut joustavuutta.
Yhtiön AWS-pohjainen ratkaisuarkkitehtuuri ei ollut vaadittujen standardien mukainen: ei asianmukaisia käyttörajoituksia, erillisiä verkkoja eri ympäristöille ja palveluille ja muita tietoturvavuotoja. Myöskään vikasietoisuutta ja valvontaa ei toteutettu. Annoimme tarvittavaa apua heidän infrastruktuurinsa uudistamiseksi vaatimusten täyttämiseksi.
Mitä tehtiin
Ydinvaatimuksen saavuttamiseksi Palo Alto, korkeasti saatavilla, on otettu käyttöön, ja ylitimme asiakkaiden odotukset toimittamalla seuraavat:
Yhtiön verkkoarkkitehtuuri optimoitiin, mikä sisälsi erillisen VPC: n Prod / OAT / TestDev-infrastruktuurille, erillisten julkisten / yksityisten aliverkkojen käytön, NAT-yhdyskäytävät lähteville yhteyksille ja Palo Alto -palomuurin tiukan suodatuksen saapuvalle ja lähtevälle liikenteelle.
Loppukäyttäjän käyttöoikeus monitekijätodennuksella otettiin käyttöön, mikä eliminoi ei-toivotut lokiyritykset ja tarjoaa lähes 100% onnistumisprosentin. Tärkeä keskeinen kirjausratkaisu, joka perustuu AWS Elasticsearchiin ja CloudWatchiin, otettiin käyttöön. Myöhemmin tämä mahdollisti muodostaa AWS CloudWatch- ja CloudTrail-pohjaisen järjestelmän tarkastuksen. Kehitettiin seurantaratkaisu, joka kerää tietoja kaikista VPC: n palveluista ja instansseista, ja hälytysjärjestelmä tarjosi kaivattua tietoa.
Turvallisuuden kannalta virusten ja haavoittuvuuksien tunnistusohjelmisto asennettiin ja päivitettiin kaikissa tapauksissa.
Saavutus
Yhtiön infrastruktuurien turvallisuusstandardien mukauttamisen seurauksena ne ovat parantuneet dramaattisesti, ja he saivat vikasietoisen ja tietovarkauksilta suojatun infrastruktuurin turvatakseen sekä omat että asiakkaidensa tiedot.
Kaiken kaikkiaan Palo Alton palomuuri kielsi ja kirjasi yrityksen haitallisen liikenteen onnistuneesti.