Sikrer produktionsvirksomhed på AWS med Palo Alto Next-Gen Firewalls
Et etableret produktionsfirma besluttede at flytte en del af sin digitale infrastruktur til AWS. Producenten ønskede at integrere tilslutningsmuligheder med mange leverandører og grossister, der driver forretning på hverdagsbaser. Det behandlede et antal ordrer og transaktioner med tredjepart. Disse transaktioner skulle være sikre, og adgangen skulle kun filtreres til relevante tjenester og applikationer. Faktisk var kravet at levere en meget detaljeret inspektion med Multi-Factor Authentication.
AWS-miljøet skulle være skalerbart, overflødigt og klare spidser i efterspørgslen nogle travle perioder.
Klient
Miljø
Objektiv
Miljøet var ret stort, og efter gennemgang fandt vi nogle huller. For det første var det ikke designet fra bunden med sikkerhed i tankerne. Oprindeligt var det lille, da virksomheden er vokset, udvidet det tilsvarende. Netværksadgangsliste (NACL) begyndte at forårsage et problem, da de var udfordrende at administrere på virksomhedsskalaen, da de er statsløse. Nogle af applikationerne var også i samme tilgængelighedszone, hvilket ikke gav fleksibilitet.
Virksomhedens AWS-baserede løsningsarkitektur var ikke i overensstemmelse med de krævede standarder: ingen ordentlige adgangsbegrænsninger, ingen separate netværk til forskellige miljøer og tjenester og andre sikkerhedslækager. Fejltolerance og overvågning blev heller ikke implementeret. Vi leverede den nødvendige hjælp til at omarbejde deres infrastruktur for at overholde kravene.
Hvad blev der gjort
For at nå kernekravet er Palo Alto, i høj tilgængelighed, blevet implementeret, og vi overskred kundernes forventning ved at levere følgende:
Virksomhedens netværksarkitektur blev optimeret, som omfattede separat VPC til Prod / OAT / TestDev-infrastruktur, brug af adskilt offentlige / private undernet, NAT-gateways til udgående forbindelser og streng filtrering af ind- og udgående trafik af Palo Alto Firewall.
Slutbrugeradgang med en flerfaktorautentificering blev implementeret, hvilket eliminerede uønskede logningsforsøg og gav næsten 100% succesrate. Afgørende central logningsløsning baseret på AWS Elasticsearch og CloudWatch blev implementeret. Derefter tillod dette, at der blev dannet en revision af hele systemet baseret på AWS CloudWatch og CloudTrail. Overvågningsløsningen, der indsamler målinger fra alle tjenester i VPC og forekomster, blev udviklet sammen med alarmsystemet, der gav den meget nødvendige indsigt.
Fra sikkerhedssynspunktet blev anti-virus- og sårbarhedsdetekteringssoftware i alle tilfælde installeret og opdateret.
Achievement
På grund af tilpasningen af virksomhedens infrastruktursikkerhedsstandarder er blevet dramatisk forbedret, fik de fejltolerant og datatyveribeskyttet infrastruktur for at sikre både deres egne og deres kunders data.
Samlet set nægtede og loggede Palo Alto firewall med succes skadelig trafik for virksomheden.
