Gyártó cég biztosítása AWS-en a Palo Alto Next-Gen tűzfalakkal
Egy megalapított gyártó cég úgy döntött, hogy digitális infrastruktúrájának egy részét átteszi az AWS-re. A gyártó integrálni akarta a kapcsolatot a sok beszállítóval és nagykereskedővel, akik mindennapi üzleti tevékenységet folytatnak. Számos megbízást és tranzakciót dolgozott fel harmadik féllel. Ezeknek a tranzakcióknak biztonságosnak kellett lenniük, és a hozzáférést csak a releváns szolgáltatásokhoz és alkalmazásokhoz kellett szűrni. Valójában a követelmény egy nagyon részletes ellenőrzés volt, többtényezős hitelesítéssel.
Az AWS környezetnek skálázhatónak, redundánsnak kell lennie, és bizonyos forgalmas időszakokban meg kell birkóznia a kereslet növekedésével.
Vásárló
Környezet
Objektív
A környezet meglehetősen nagy volt, és áttekintés után találtunk néhány hiányosságot. Először nem a semmiből tervezték, a biztonságot szem előtt tartva. Kezdetben kicsi volt, mivel a vállalat növekedett, ennek megfelelően bővült. A hálózati hozzáférési lista (NACL) problémát kezdett okozni, mivel nagy kihívást jelentett számukra a vállalati szintű kezelés, mivel hontalanok. Néhány alkalmazás ugyanabban a rendelkezésre állási zónában volt, amely nem nyújtott rugalmasságot.
A vállalat AWS alapú megoldási architektúrája nem felelt meg az előírt szabványoknak: nincsenek megfelelő hozzáférési korlátozások, nincsenek külön hálózatok különböző környezetekhez és szolgáltatásokhoz, valamint egyéb biztonsági szivárgások. A hibatűrés és a monitorozás sem valósult meg. Szükséges segítséget nyújtottunk infrastruktúrájuk átdolgozásához, hogy megfeleljenek a követelményeknek.
Mi történt
Az alapkövetelmény teljesítése érdekében a Palo Alto, magas rendelkezésre állással került telepítésre, és a következők teljesítésével túlléptük az ügyfelek elvárásait:
Optimalizálták a vállalat hálózati architektúráját, amely magában foglalta a külön VPC-t a Prod / OAT / TestDev infrastruktúrához, az elkülönített állami / magán alhálózatok használatát, a NAT-átjárókat a kimenő kapcsolatokhoz, valamint a be- és kimenő forgalom szigorú szűrését a Palo Alto tűzfalon.
A többfelhasználós hitelesítéssel rendelkező végfelhasználói hozzáférést telepítették, kiküszöbölve a nem kívánt naplózási kísérleteket, és csaknem 100% -os sikerarányt biztosítva. Az AWS Elasticsearch és a CloudWatch alapú, központi jelentőségű naplózási megoldás került bevezetésre. Ezt követően ez lehetővé tette a teljes rendszer auditját az AWS CloudWatch és a CloudTrail alapján. Kidolgozták azt a megfigyelési megoldást, amely a VPC és az összes szolgáltatás metrikáját gyűjti, valamint a riasztórendszer a szükséges információkat nyújtotta.
Biztonsági szempontból víruskereső és sebezhetőség-felderítő szoftvert telepítettek és frissítettek minden esetben.
Teljesítmény
A Társaság infrastruktúra biztonsági normáinak kiigazításának köszönhetően drámaian javultak, hibatűrő és adatlopással védett infrastruktúrára tettek szert mind saját, mind ügyfeleik adatainak biztonsága érdekében.
Összességében a Palo Alto tűzfal sikeresen megtagadta és naplózta a vállalat rosszindulatú forgalmát.
