«Если вы потратите больше на кофе, чем на ИТ-безопасность, вас взломают. Более того, вы заслуживаете того, чтобы вас взломали ».
- Ричард Кларк

Добро пожаловать назад! Это третий пост в серии, и вы можете почувствовать себя немного немотивированным. Я понимаю, каждое сообщение в блоге длинное, и нам еще многое предстоит сделать.

Поскольку мне тоже надоело учиться, я попробовал пройти практический тест и полностью провалил часть безопасности! Итак, мы вернулись сюда. Сложно вспомнить, что и что делает, но не волнуйтесь - я подчеркну различия между ними!

О чем мы поговорим сегодня?

  1. Соответствие в AWS и AWS Artifact
  2. Модель совместной ответственности
  3. AWS WAF и AWS Shield
  4. AWS Inspector и AWS Trusted Advisor
  5. AWS CloudTrail и AWS Config
  6. Тестирование на проникновение в AWS
  7. AWS KMS и AWS CloudHSM
  8. AWS Secrets Manager против AWS System Manager - ›Магазин параметров
  9. Amazon GuardDuty против диспетчерской вышки AWS
  10. Устранение взломанных учетных данных IAM
  11. Amazon Athena против Amazon Macie
  12. AWS Security Hub

Соответствие в AWS

Термин соответствие описывает способность действовать в соответствии с приказом, набором правил или запросом. Соответствие облачным требованиям гарантирует, что сервисы облачных вычислений соответствуют нормативным требованиям.

Примером требования соответствия является PCI DSS, которое является аббревиатурой от «Стандарт безопасности данных индустрии платежных карт». Это означает, что если вы хотите получать платежи в своем бизнесе, вам необходимо соблюдать нормативные требования.

Обязательства по обеспечению соответствия требуют, чтобы вы внедрили необходимые меры безопасности для защиты конфиденциальных данных в вашей среде. Аудиторы захотят увидеть доказательства того, что вы знаете:

  • Какие активы содержат конфиденциальные данные
  • Кто может получить доступ к этим данным (и что они авторизованы)
  • Как настроены активы и есть ли известные уязвимости
  • Какие существуют угрозы и как на них реагировать.

Вам необходимо убедиться, что вы можете обрабатывать такие конфиденциальные данные, как платежные карты, для их хранения. AWS поддерживает стандарты безопасности и сертификаты соответствия.

AWS Артефакт

Бесплатный портал самообслуживания для доступа по запросу к отчетам AWS о соответствии требованиям. Вы можете получить доступ к AWS Artifact прямо из Консоли управления AWS.

Модель совместной ответственности

Безопасность и соблюдение нормативных требований - это общая ответственность AWS и клиента.
Эта общая модель может помочь облегчить операционную нагрузку на клиента. AWS управляет и контролирует компоненты от операционной системы хоста и уровня виртуализации до физической безопасности объектов, на которых работает сервис.
Характер этой совместной ответственности также обеспечивает гибкость и контроль со стороны клиентов, что позволяет развертывание.

Как показано на диаграмме ниже, такое разграничение ответственности обычно обозначается как безопасность облака по сравнению с безопасностью в Облако.

Вы знаете, о чем мне напоминает эта модель совместной ответственности?

Когда я работал в магазине одежды в торговом центре, моей обязанностью было положить деньги в сейф и запереть двери магазина, в то время как торговый центр отвечал за охрану 24/7 и предотвращение входа в торговый центр. в часы закрытия.

Вот уловка, чтобы вспомнить, кто несет ответственность: Можете ли вы сделать это в консоли AWS или в EC2 самостоятельно?

  • Если да, то вы, вероятно, несете ответственность: SG, пользователи IAM, исправление операционных систем EC2, исправление баз данных, работающих на EC2, и т. Д.
  • В противном случае AWS, вероятно, несет ответственность за: управление центрами обработки данных, камеры наблюдения, кабели, установку исправлений для операционных систем RDS и т. Д.
  • Шифрование - это общая ответственность.

Подробнее о модели совместной ответственности можно прочитать здесь.

AWS WAF и AWS Shield

AWS WAF - это W eb A брандмауэр, который помогает защитить ваш Интернет приложения или API-интерфейсы против распространенных веб-эксплойтов и ботов, которые могут повлиять на доступность, поставить под угрозу безопасность или потреблять чрезмерные ресурсы.

AWS Shield - это управляемая служба защиты от распределенного отказа в обслуживании (DDoS), которая защищает приложения, работающие на AWS.

Вот хорошее объяснение DDoS-атаки, которое я нашел:

На высоком уровне DDoS-атака похожа на неожиданную пробку, забивающую шоссе, не позволяющую обычным транспортным средствам прибыть в пункт назначения.

- https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

AWS Shield бывает двух уровней: стандартный и расширенный. Стандартный щит включен по умолчанию, но за дополнительную защиту взимается дополнительная плата.

Таким образом, они оба защищают от атак, в чем разница?
AWS WAF - это брандмауэр веб-приложений, предназначенный для защиты от хакеров.
AWS Shield - это служба предотвращения DDOS-атак.

AWS Inspector & AWS Trusted Advisor

Некоторые люди могут спутать AWS Inspector и AWS Trusted Advisor.

AWS Inspector используется для проверки экземпляров EC2 на наличие уязвимостей. Помните, что он проверяет экземпляры EC2.

AWS Trusted Advisor проверяет вашу учетную запись AWS в целом (а не только EC2). Он делает больше, чем просто проверки безопасности: оптимизацию затрат, производительность и отказоустойчивость.
Помните, что он советует вам, как улучшить использование AWS.

Trust Advisor предлагает многоуровневый сервис, основанный на планах поддержки AWS. Мы поговорим об этом подробнее, когда дойдем до сообщения в блоге о счетах и ​​ценах, но пока знаем, что существует четыре плана поддержки: базовый, для разработчиков, для бизнеса и для предприятий.
Клиенты AWS Basic Support и AWS Developer Support могут получить доступ к основным проверкам безопасности и всем проверкам квот на услуги. Клиенты AWS Business Support и AWS Enterprise Support могут получить доступ ко всем проверкам.

AWS CloudTrail и AWS Config

AWS CloudTrail

AWS CloudTrail записывает действия консоли управления AWS и вызовы API. Вы можете определить, какие пользователи и учетные записи называются AWS, исходный IP-адрес, с которого были совершены звонки, и время их совершения.
Помните, что это похоже на бумажный след - он все документирует.

AWS Config

AWS Config предоставляет подробный обзор конфигурации ресурсов AWS в вашей учетной записи AWS. Это включает в себя то, как ресурсы связаны друг с другом и как они были настроены в прошлом, чтобы вы могли видеть, как конфигурации и отношения меняются с течением времени. Это позволяет упростить аудит соответствия, анализ безопасности, управление изменениями и устранение неполадок при эксплуатации.

Некоторые люди путают Amazon CloudWatch и AWS Config. CloudWatch используется для мониторинга ресурсов и приложений AWS на AWS и локально и не входит в раздел безопасности. У меня есть сообщение в блоге о сигналах тревоги CloudWatch, если вы хотите его проверить.

Вы понимаете, почему это сложно? CloudWatch используется для мониторинга производительности, а AWS Config используется для мониторинга конфигураций ваших ресурсов AWS.

Тестирование на проникновение в AWS

Тест на проникновение (пентест) - это имитация кибератаки на вашу компьютерную систему для проверки уязвимостей, которые можно использовать.

Если мы вернемся к тем временам, когда я работал в торговом центре, это похоже на то, когда ваше руководство приводит в качестве клиента тайного руководителя, чтобы проверить качество вашего обслуживания клиентов.

Пен-тест без предварительного согласования

Когда я узнал о кибербезопасности в университете, мне было любопытно «протестировать» случайные веб-сайты в Интернете. Я просто хотел проверить, какую информацию могу найти. Классная идея, но это незаконно. Вы не можете решить попробовать взломать Facebook только для шуток - вы можете сделать это только с предварительного согласия.

То же самое и с AWS. Вы можете проводить пентесты в своей инфраструктуре AWS без предварительного одобрения только для восьми сервисов (о некоторых из них вы знаете, а о некоторых мы познакомимся в следующем сообщении в блоге):

  1. Экземпляры EC2, шлюзы NAT и ELB (это 3 службы, но все они находятся в рамках службы EC2).
  2. RDS
  3. CloudFront
  4. Аврора
  5. API-шлюз
  6. Лямбда- и лямбда-граничные функции
  7. Ресурсы Lightsail.
  8. Эластичный бобовый стебель envs.

AWS KMS и AWS CloudHSM

TLA ... TLA повсюду ... TLA - это трехбуквенные акронимы, и здесь у нас есть несколько.

KMS = служба управления ключами. Этот сервис создает и управляет криптографическими ключами, а также контролирует их использование в широком спектре сервисов AWS и в ваших приложениях.

Несколько фактов об этом:

  1. AWS KMS шифрует и дешифрует данные размером до 4 КБ.
  2. AWS KMS управляет главными ключами клиентов (CMK). Главный ключ клиента (CMK) - это основной ресурс в AWS KMS.
  3. AWS KMS интегрирован с большинством сервисов AWS и идеально подходит для объектов s3, паролей БД и ключей API, хранящихся в хранилище параметров системного менеджера.
  4. AWS KMS - это региональный сервис, работающий на общем оборудовании = ›Здесь на сцену выходит AWS CloudHSM.

AWS CloudHSM

AWS CloudHSM - это облачный аппаратный модуль безопасности (HSM), который позволяет легко создавать и использовать собственные ключи шифрования в облаке AWS.

CloudHSM - это выделенный аппаратный модуль безопасности (HSM), однопользовательский кластер с несколькими зонами доступности, FIPS 140–2 уровня 3.

Теперь я дам вам определение этой штуки FIPS не потому, что я считаю это необходимым, а для тех из вас, кому интересно: FIPS 140–2, уровень 3 позволяет запускать криптографический модуль на ПК общего назначения, если его операционная система соответствует минимальным требованиям.

Вы можете прочитать больше об этом здесь".

AWS Systems Manager Parameter Store против AWS Secrets Manager

Parameter Store, возможность AWS Systems Manager, представляет собой безопасное бессерверное хранилище для конфигурации и секретов: паролей и строк подключения к БД. Это компонент AWS.

Важно отметить: Systems Manager ранее назывался «Amazon Simple Systems Manager (SSM)», а исходное сокращенное название сервиса «SSM» до сих пор отражается в различных ресурсах AWS. Это означает, что в консоли AWS вы увидите SSM, что означает Secrets Manager.

Значения могут храниться в зашифрованном виде (KMS) или в виде открытого текста. Чтобы хранить их в зашифрованном виде, мы используем AWS KMS.

Эта услуга бесплатна, но существует ограничение в 10 000 на одну учетную запись. Если вам нужно больше, тогда Менеджер секретов - ваш выбор.

AWS Secrets Manager похож на хранилище параметров System Manager. Он автоматически меняет секреты, применяет для вас новый ключ / пароль в RDS и генерирует случайные секреты.

Плата за эту услугу взимается за каждый хранимый секрет и за 10 000 вызовов API.

Amazon GuardDuty против AWS Control Tower

Эти два сервиса работают вместе, потому что им обоим удается защитить вашу среду AWS, поэтому их легко смешивать.

Amazon GuardDuty - это служба обнаружения угроз, которая использует машинное обучение и постоянно отслеживает вредоносную активность и несанкционированное поведение для защиты ваших учетных записей AWS, рабочих нагрузок и данные, хранящиеся в Amazon S3. GuardDuty включен только для наблюдения за одной учетной записью.

AWS Control Tower определяется как самый простой способ настройки и управления безопасной средой AWS с несколькими аккаунтами. Эта услуга предназначена для крупных предприятий.

Устранение взломанных учетных данных IAM

Мы говорили об IAM в предыдущем сообщении блога AWS.

Честно говоря, как человек, для которого английский не является родным, я думал, что слово компромисс описывает только ситуацию, например, решение, из какого места заказать ужин, но, очевидно, здесь, в названии, оно означает «Мы делаем все возможное, чтобы обезопасить себя, но не готовиться к упс - неразумно», что имеет смысл, когда мы говорим о безопасности в AWS.

Итак, что вы делаете, чтобы разрешить скомпрометированные учетные данные IAM?

  1. Определите, к каким ресурсам эти учетные данные имеют доступ.
  2. Аннулируйте учетные данные, чтобы их больше нельзя было использовать для доступа к вашей учетной записи.
  3. Рассмотрите возможность аннулирования любых временных учетных данных безопасности, которые могли быть выданы с использованием учетных данных.
  4. Восстановите соответствующий доступ.
  5. Проверьте доступ к своей учетной записи AWS.

Амазонка Афина против Амазонки Macie

Я расскажу вам об услугах, которые звучат как имена, и вы решите, кто Афина, а кто Мэйси!

Что такое Афина?

Интерактивная служба запросов, которая позволяет анализировать и запрашивать данные, расположенные в S3, с помощью стандартного SQL. Athena помогает анализировать неструктурированные, полуструктурированные и структурированные данные, хранящиеся в Amazon S3.

  • Бессерверный, нечего выделять, плата за запрос / за отсканированный ТБ.
  • Нет необходимости настраивать сложные процессы извлечения / преобразования / загрузки (ETL)
  • Работает напрямую с данными, хранящимися в S3

Для чего можно использовать Афину?

  • Может использоваться для запроса файлов журнала, хранящихся в S3, например Журналы ELB, журналы доступа S3 и т. Д.
  • Создавайте бизнес-отчеты по данным, хранящимся в S3
  • Проанализируйте отчеты Стоимость и использование AWS (об этой услуге мы поговорим в будущем).
  • Выполняйте запросы к данным потока кликов.

Единственная связь Athena с безопасностью, которую я вижу, - это интеграция с IAM. Может быть, он здесь, потому что люди путают его с Мэйси. Что вы думаете?

Что такое Мэйси?

Прежде всего, давайте узнаем о PII (личная информация). Это личные данные, используемые для установления личности человека, например домашний адрес, адрес электронной почты или номер кредитной карты.

Эти данные могут быть использованы преступниками для кражи личных данных и финансового мошенничества.

При чем здесь Мэйси? Amazon Macie - это служба безопасности, использующая машинное обучение и NLP (обработка естественного языка ) для обнаружения, классификации и защиты конфиденциальных данных, хранящихся в S3. Он отлично подходит для PCI-DSS и предотвращения кражи идентификационных данных.

Macie использует AI, чтобы определить, содержат ли ваши объекты S3 конфиденциальные данные, такие как PII, а также может анализировать журналы CloudTrail.

Итак, Macie помогает распознавать объекты в S3, которые содержат конфиденциальные данные.

AWS Security Hub

Что ж, AWS Security Hub делает в значительной степени то, что вы ожидаете по названию: предоставляет единое место, которое объединяет, упорядочивает и определяет приоритеты ваших предупреждений безопасности и результатов, полученных из нескольких сервисов AWS, таких как GuardDuty, Amazon. Inspector, Amazon Macie, IAM Access Analyzer и AWS firewall manager - в нескольких учетных записях AWS.

Обратите внимание, что слово «несколько» встречается дважды - несколько служб и несколько учетных записей.

Вот и все! Ух ты, сегодня мы многому научились! Мы узнали о таких концепциях, как Соответствие в AWS, Модель общей ответственности, Тестирование на проникновение в AWS и Устранение взломанных учетных данных IAM.

Мы также познакомились с рядом сервисов AWS: AWS Artifact, AWS WAF и AWS Shield, AWS Trusted Advisor, AWS Config, AWS KMS и AWS CloudHSM, AWS Secrets Manager vs Parameter Store, GuardDuty и AWS Control Tower, Amazon. Афина против Amazon Macie и AWS SecurityHub.

Прежде чем мы уйдем, я не мог не задаться вопросом, почему одни сервисы назывались AWS XXX, а другие Amazon XXX, и, видимо, я был не единственным. Итак, согласно StackOverflow,

Шаблон состоит в том, что служебные службы имеют префикс AWS, а автономные службы - префикс Amazon.

Добро пожаловать.

Если вы прочитали это, значит, вы дошли до конца сообщения в блоге, и я хотел бы услышать ваши мысли! Был ли я полезен? Вы тоже используете AWS на работе? Вот способы связаться со мной:

Facebook: https://www.facebook.com/cupofcode.blog/
Instagram: https: //www.instagram. ru / cupofcode.blog /
Электронная почта: [email protected]