С переходом организаций в облако на быстрых темпах, обеспечение безопасности инфраструктуры имеет первостепенное значение в их списке приоритетов. Хотя AWS предоставляет разнообразный набор инструментов и услуг, связанных с безопасностью и соблюдением норм, существуют и другие факторы, помимо безопасности.
Безопасность — это не только инструменты, но и стратегия, бдительность, постоянное совершенствование и соблюдение отраслевых стандартов соблюдения для безопасных сред, включая GDPR, HIPAA и PCI DSS.
В этой статье мы обсудим компоненты безопасности AWS с лучшими практиками, основанными на глубоком анализе.
Компоненты безопасности AWS
AWS предлагает богатый набор инструментов безопасности для укрепления облачных сред. В центре безопасности AWS находится модель совместной ответственности, которая четко определяет обязанности между клиентами и AWS. AWS обеспечивает безопасность облачной инфраструктуры, в то время как клиенты управляют данными и конфигурациями.
Это разграничение составляет суть практик безопасности AWS, включая некоторые ключевые компоненты безопасности:
Управление идентификацией и доступом AWS (IAM)
IAM управляет доступом к ресурсам AWS с помощью детализированных разрешений. Рекомендуется ограниченный доступ, чтобы снизить риски безопасности.
Центр безопасности AWS
AWS Security Hub предоставляет агрегированный обзор соблюдения требований и безопасности, создавая результаты на основе таких сервисов, как AWS Config, GuardDuty и Inspector.
AWS Служба управления ключами (KMS)
AWS KMS управляет ключами шифрования, обеспечивая безопасное хранение данных в процессе передачи.
Amazon GuardDuty
AWS GuardDuty предоставляет службу обнаружения угроз, использующую машинное обучение для сканирования журналов на предмет потенциальных угроз.
AWS Config
Эта служба непрерывно мониторит и оценивает конфигурации ресурсов AWS на соответствие заданным стандартам соблюдения требований.
AWS Рабочий процесс безопасности
Типичный поток для компонентов безопасности AWS начинается с журналирования и аудита через CloudTrail и CloudWatch Logs. События, которые вызывают предупреждения, отправляются в AWS Security Hub, где извлекаются действенные идеи. Угрозы, выявленные GuardDuty, могут инициировать автоматизированные рабочие процессы через AWS Lambda, что может привести к изоляции скомпрометированных ресурсов или к уведомлениям команды реагирования.
Хотя эти компоненты работают в тандеме, стратегия и практики, применяемые организацией, будут иметь большое влияние на развертывание.
AWS Анализ безопасности и лучшие практики
Во время проведения нашего анализа, включая белые книги AWS, исследование случаев клиентов и инциденты безопасности, появляются некоторые тенденции, которые являются общими ловушками и лучшими практиками, которые можно реализовать.
Уязвимости в стратегиях “Lift and Shift”
Большинство организаций предполагают, что их стратегии безопасности в локальной инфраструктуре применимы только к облаку. Статистика показывает, что это предположение приводит к неправильным настройкам, что является основной причиной инцидентов безопасности в AWS. Например, неправильная конфигурация ведра S3 указывается как причина некоторых громких утечек данных. (Источник: Gartner).
Лучшие практики
- Управляйте изоляцией между AWS и другими облачными средами (если применимо).
- AWS Config может быть использован для обеспечения соблюдения проверок соответствия политик ведра S3 и других ресурсов.
Приоритизируйте управление идентификацией и доступом
Согласно Отчету о расследовании инцидентов утечки данных Verizon, более 70% утечек происходят из-за неправильно управляемых учетных данных. Более того, многие организации, по-видимому, предоставляют IAM-ролям доступ, который слишком широк, просто потому что сложно настроить строгие IAM-роли.
Лучшие практики
- Используйте принцип наименьших привилегий для ролей и пользователей IAM.
- Убедитесь, что IAM Access Analyzer выявил избыточные разрешения.
- Для привилегированных аккаунтов обеспечьте MFA.
Используйте Инфраструктуру как Код
Ручные конфигурации могут быть источником расхождений и предоставляют множество возможностей для возникновения человеческой ошибки. AWS CloudFormation можно использовать для определения наборов безопасных шаблонов для развертывания инфраструктуры.
Лучшие практики
- Основы безопасности могут быть определены в шаблонах IaC и затем внедрены в конвейер CI/CD.
- Используйте AWS CodePipeline для обеспечения проверок кода и безопасности при развертывании.
Реализуйте Механизмы Обнаружения Угроз
Многие организации слабо используют механизмы обнаружения угроз, будь то из-за сложности или затрат. В некоторых случаях включение Amazon GuardDuty и AWS Macie значительно улучшает скорость реакции (Источник: AWS Security Blog).
Лучшие практики
- Включите GuardDuty и настроите его для своевременного уведомления команды безопасности.
- Регулярно проводите учения по симуляции угроз, чтобы протестировать их реакцию.
Шифрование Данных и Мониторинг
Документы AWS подчеркивают, что шифрование данных воспринимается как подход “установи и забудь”, что приводит к появлению старых или плохо управляемых ключей шифрования.
Организации, использующие непрерывный мониторинг с CloudTrail при помощи регулярного тестирования на проникновение, имеют больше шансов на предварительное обнаружение уязвимостей. Этот подход соответствует Отчету Verizon о расследовании утечек данных 2024 года (DBIR), результаты которого подчеркивают важность мониторинга и управления.
Лучшие практики
- Использование AWS KMS для всей криптографии с автоматической политикой ротации ключей
- Непрерывный мониторинг активности аккаунта с использованием
Заключение
AWS CloudTrail. Безопасность среды AWS заключается не в том, чтобы установить каждый компонент на место; скорее, дело в том, чтобы быть стратегическим в достижении ваших организационных целей и потребностей в соблюдении норм.
AWS предлагает множество услуг для успешной, хорошо информированной реализации наряду с активным управлением. Однако наш анализ подчеркивает, что организации, воспринимающие безопасность облака как путешествие, а не событие, показывают лучшие результаты против возникающих угроз. Организации, продуктивно использующие компоненты AWS, практикующие лучшие практики и постоянно стремящиеся к улучшению, могут успешно укрепить безопасность и соблюдение норм в своих средах AWS.