עם הארגונים שעוברים במהירות לענן, אבטחת התשתית היא בעלת חשיבות עליונה בסדרי העדיפויות שלהם. למרות שאמזון ווב סרוויסס (AWS) מספקת מגוון רחב של כלים ושירותים הקשורים לאבטחה ולציות. ישנם גורמים נוספים מעבר לאבטחה.
אבטחה אינה עוסקת רק בכלים אלא באסטרטגיה, עירנות, שיפור מתמשך, והתאמה לסטנדרטים לציות תעשייתי עבור סביבות מאובטחות, כולל GDPR, HIPAA ו-PCI DSS.
במאמר זה נדון ברכיבי אבטחת AWS עם שיטות עבודה מומלצות המבוססות על ניתוח מעמיק.
רכיבי אבטחת AWS
לאמזון ווב סרוויסס יש סט עשיר של כלים לאבטחה לחיזוק סביבות ענן. בלב אבטחת AWS נמצא מודל אחריות משותפת, המגדיר בצורה ברורה את האחריות בין לקוחות ל-AWS. AWS מספקת אבטחת תשתית ענן בעוד שלקוחות מנהלים את הנתונים ואת ההגדרות.
ההפרדה הזו מהווה את הליבה של נוהלי אבטחת AWS עם כמה מהמרכיבים המרכזיים של אבטחה הכוללים:
ניהול זהויות וגישה של AWS (IAM)
IAM מנהלת גישה למשאבי AWS עם הרשאות מדויקות. מומלץ להעניק הרשאות מינימליות כדי להפחית סיכוני אבטחה.
מרכז אבטחת AWS
AWS Security Hub מספק תצוגה מרוכזת של תאימות ומצב אבטחה, יוצר ממצאים משירותים כגון AWS Config, GuardDuty ו-Inspector.
שירות ניהול המפתחות של AWS (KMS)
AWS KMS מנהל את מפתחות ההצפנה, מבטיח אחסון נתונים בטוח במהלך העברת נתונים.
אמזון GuardDuty
AWS GuardDuty מספק שירות זיהוי איומים המנצל למידת מכונה לסרוק יומנים עבור איומים פוטנציאליים.
AWS Config
שירות זה עוקב ומעריך באופן מתמשך את התצורות של משאבי AWS מול תקני תאימות שנקבעו.
זרימת העבודה של האבטחה של AWS
זרימה טיפוסית עבור רכיבי אבטחת AWS מתחילה ביומון וביקורת דרך CloudTrail ו-CloudWatch Logs. אירועים שמעוררים התראות נשלחים ל-AWS Security Hub, שם נגזרות תובנות שניתן לפעול עליהן. איומים שמזוהים על ידי GuardDuty יכולים לעורר זרימות עבודה של אוטומציה דרך AWS Lambda שיכולות להוביל לבידוד משאבים שנפגעו או להפעיל התראות לצוות התגובה.
בעוד שרכיבים אלו עובדים יחד, האסטרטגיה והפרקטיקות של הארגון ישפיעו רבות על הפריסה.
ניתוח אבטחת AWS ושיטות עבודה מומלצות
במהלך ביצוע הניתוח שלנו, כולל מסמכי AWS, מחקרי מקרה של לקוחות ואירועי אבטחה, מופיעות כמה מגמות שהן מלכודות נפוצות ושיטות עבודה מומלצות שניתן להפעיל.
פגיעויות באסטרטגיות "Lift and Shift"
רוב הארגונים מניחים שאסטרטגיות האבטחה שלהם במתקנים מקומיים תקפות רק לענן. הסטטיסטיקות מצביעות על כך שהנחה זו מובילה לתצורות שגויות, שהיא הסיבה העיקרית לאירועי אבטחה ב-AWS. לדוגמה, תצורה לא נכונה של דלף S3 נחשבת כסיבה לכמה פריצות נתונים בולטות. (מקור: גרטנר).
שיטות עבודה מומלצות
- נהל בידוד בין AWS לסביבות ענן אחרות (אם רלוונטי).
- ניתן לנצל את AWS Config כדי לאכוף בדיקות ציות על מדיניות דלפי S3 ומשאבים אחרים.
תעדף ניהול זהות וגישה
לפי דו"ח חקירות פריצות נתונים של וריזון, יותר מ-70% מהפריצות נובעות מהסמכות מנוהלות בצורה לא נכונה. יתרה מכך, ארגונים רבים נראים כמעניקים תפקידי IAM עם גישה רחבה מדי פשוט כי קשה להגדיר תפקידי IAM מחמירים.
שיטות עבודה מומלצות
- השתמשו בעקרון של מינימום הרשאות עבור תפקידי IAM ומבני משתמשים.
- ודאו שהאנלייזר של IAM זיהה הרשאות מופרזות.
- עבור חשבונות עם הרשאות גבוהות, אכפו MFA.
נצלו תשתיות כקוד
הגדרות ידניות עשויות להיות מקור לסטייה ולהציע הרבה הזדמנויות לטעויות אנושיות להתרחש. AWS CloudFormation יכולה לשמש כדי להגדיר קבוצות של תבניות מאובטחות לשימוש בתשתיות.
שיטות עבודה מומלצות
- בסיסי האבטחה יכולים להיות מוגדרים בתוך תבניות IaC ולאחר מכן מוזרקים בצינור ה-CI/CD.
- השתמשו ב-AWS CodePipeline כדי לאכוף בדיקות קוד ובדיקות אבטחה על ההפצה.
יישום מנגנוני זיהוי איומים
ארגונים רבים לא מנצלים כראוי את מנגנוני זיהוי האיומים, בין אם בגלל הקושי או העלות. במקרים מסוימים, הפעלת Amazon GuardDuty ו-AWS Macie הראתה שיפור משמעותי בזמני התגובה (מקור: בלוג האבטחה של AWS).
שיטות עבודה מומלצות
- הפעילו את GuardDuty והתאימו אותו כדי להתריע לצוות האבטחה בזמן.
- ערכו באופן קבוע תרגולים סימולציה של איומים כדי לבדוק את התגובה שלהם.
הצפנת נתונים ומעקב
מסמכי AWS הדגישו שהצפנת נתונים נחשבת לגישה של "הגדר והשכח", מה שגורם למפתחות הצפנה ישנים או מנוהלים בצורה רעה.
ארגונים המשתמשים במעקב מתמשך עם CloudTrail בסיוע חדירות רגילות יש להם סיכוי גבוה יותר לגילוי מראש של חולשות. הגישה תואמת ל-דו"ח חקירות פריצות הנתונים של Verizon לשנת 2024 (DBIR), הממצאים מדגישים את חשיבות המעקב והניהול.
שיטות עבודה מומלצות
- שימוש ב-AWS KMS עבור כל ההצפנה עם מדיניות סיבוב מפתחות אוטומטיות
- לנטר באופן מתמשך את פעילות החשבון באמצעות
סיכום
AWS CloudTrail. הביטחון של סביבת AWS אינו נוגע להצבת כל רכיב במקומו; אלא, מדובר באסטרטגיה להשגת מטרות הארגון וצרכי הציות שלך.
AWS מציעה מגוון שירותים ליישום מוצלח ומודעות טובה יחד עם ניהול פעיל. עם זאת, הניתוח שלנו מדגיש שארגונים המפרשים את הביטחון בענן כנסיעה ולא כאירוע פועלים טוב יותר מול איומים מתפתחים. ארגונים המשתמשים ברכיבי AWS בצורה פרודוקטיבית, מתרגלים שיטות עבודה מומלצות ושואפים כל הזמן לשיפור יכולים לחזק בהצלחה את הביטחון והציות של סביבת AWS שלהם.