Защитите свою инфраструктуру AWS с помощью этих передовых практик

Введение

В наши дни облачная инфраструктура считается фундаментальным требованием для любого предприятия, поскольку облачные вычисления предлагают широкий спектр преимуществ, таких как масштабируемость, безопасность и производительность, а организации просто платят за используемые ими услуги. Помимо крупных корпораций, малые предприятия и стартапы, которым не хватает ресурсов для создания всей своей инфраструктуры собственными силами, все больше полагаются на услуги облачных вычислений. Облачная инфраструктура предоставляет множество преимуществ, что, в свою очередь, побуждает предприятия использовать ее. Что касается дизайна и функциональности, облачные сервисы являются одними из самых сложных, и если с ними не обращаться осторожно, вполне возможно, что они могут быть взломаны. Хорошей новостью является то, что многие поставщики облачных услуг установили некоторые стандартные передовые методы, с помощью которых они могут построить безопасную и защищенную архитектуру.

В этом сообщении блога мы рассмотрим некоторые из наиболее важных сервисов AWS, а также их безопасность. Безопасность инфраструктуры AWS основана на модели общей ответственности, в которой Amazon четко определяет, какие аспекты безопасности они обрабатывают, а какие аспекты безопасности обрабатывают или реализуют организации в соответствии с их требованиями. Например, AWS отвечает за защиту инфраструктуры AWS, в которой работают все сервисы, а организации, среди прочего, несут ответственность за внедрение сервисов в этой инфраструктуре.

EC2

Сервис Amazon Web Services (AWS) EC2 предоставляет виртуальные серверы, которые можно использовать для запуска приложений в инфраструктуре AWS. Эти виртуальные серверы называются экземплярами AWS EC2. Это выгодно тем, что предоставляет вычислительную среду, позволяющую пользователям запускать свои приложения, не беспокоясь о доступности ресурсов. Он имеет возможность изменять свои ресурсы в ответ на требования приложения. В результате такого изменения ресурсов AWS демонстрирует свои возможности масштабирования. Если пользователь не хочет снижать производительность, AWS может предоставить приложению неограниченное количество экземпляров EC2 при запросе.

AWS предлагает ряд инстансов EC2, большинство из которых различаются по процессору, памяти, хранилищу или сетевым возможностям. EC2 разделен на категории, и его использование продиктовано требованиями или нагрузкой организации. Поскольку область применения EC2 настолько обширна, существует ряд методов, с помощью которых организация может ограничить использование экземпляров EC2. Давайте посмотрим на некоторые из них:

Ограничить доступ к портам

В EC2 есть группа безопасности, которая отвечает за обмен данными между EC2 и другим развернутым экземпляром, размещенным на платформе. IP-адрес и порты организации должны проверяться на регулярной основе, поскольку группы безопасности могут иметь открытый диапазон портов, разрешающих входящий трафик, и если эти порты открыты для публики, это может обеспечить несанкционированный доступ для публики, который может быть использован злоумышленником.

Если вы хотите проверить настройки группы безопасности для вашего экземпляра EC2 из консоли, используйте следующую команду: Затем на вкладке «Сеть и безопасность» перейдите на панель управления EC2 и выберите параметр «Группа безопасности». После этого выберите любую группу безопасности, а затем проверьте диапазон портов с этого момента.

Пары ключей, которые не использовались

Для входа на развернутые серверы EC Amazon предлагает несколько различных вариантов входа, одним из которых является использование пар ключей. Это основная функция пар ключей, которые представляют собой типы учетных данных, включающих открытый ключ пользователя и закрытый ключ, для проверки его или ее личности при подключении к Amazon Elastic Compute Cloud (экземпляр EC2). При создании учетных данных открытые ключи сохраняются в экземпляре EC2, тогда как закрытые ключи хранятся лицом, инициировавшим процесс.

Таким образом, чтобы защитить ресурсы EC2 от утечки ключей, всегда рекомендуется сначала определить пары ключей, которые не используются или не подключены к каким-либо экземплярам EC2, а затем удалить эти неиспользуемые пары ключей EC2, чтобы убедиться, что вы более чем безопасно, и что это также экономически выгодно, если какая-либо из них просочится.

Если вы хотите проверить настройки неиспользуемых пар ключей из консоли, перейдите в EC2 и выберите параметр «Пары ключей» на вкладке «Сеть и безопасность» в левой части экрана. Там будет список пар ключей, и организации нужно будет определить действительные пары ключей из этого списка только после того, как остаток можно будет исключить.

IAM / Доступ к удостоверениям и управление ими

IAM позволяет создавать пользователей и применять их привилегии, позволяя им легко взаимодействовать с ресурсами AWS или получать к ним доступ. Это весьма полезно для обеспечения адекватного доступа к ресурсам AWS. Например, если мы предоставим пользователю право только на чтение определенного ресурса, такого как S3, он сможет только читать содержимое этого ресурса; он не сможет изменять или модифицировать файлы.

Удаление неактивных пользователей

Если добавляется пользователь, который ранее был исключен из организации, или если пользователи, которые в настоящее время не используются, удаляются из организации, поверхность атаки инфраструктуры AWS будет значительно уменьшена. Учитывая возможность того, что пользователи могли использовать простой пароль или если нарушение произошло после того, как они покинули компанию, у которой есть их пароль AWS, и он не знает об этом, необходимо удалить этих бездействующих пользователей из организации.

Следовательно, чтобы удалить неактивного пользователя, мы должны сначала перейти к панели управления IAM в консоли AWS, а затем выбрать вкладку пользователя на левой панели навигации. Как только мы нажмем на вкладку, появится панель инструментов, на которой мы можем наблюдать самые последние действия, совершенные всеми участниками. Мы можем изменить порядок столбцов в столбце «Последнее выполненное действие», чтобы увидеть, какое действие было выполнено последним, а какое нет. Если нет недавних действий, мы можем удалить этих пользователей.

Ротация ключей

Ключи доступа IAM необходимо менять после определенного периода времени, так как это помогает предотвратить доступ к ресурсам AWS из скомпрометированного набора ключей доступа IAM, а также снижает риск непреднамеренного раскрытия ключей и защищает ресурсы.

S3 / Простая служба хранения

Сегменты S3 используются для хранения и извлечения любого количества данных через Amazon Web Services (AWS). В этих корзинах S3 доступно множество функций, включая управление версиями, которые могут быть полезны в случае случайного удаления корзин.

Он используется для хранения данных в объектах, сравнимых с файлами и папками, таких как файлы и папки. Сразу после создания корзины пользователи могут настроить политики доступа к корзине в соответствии с потребностями компании, включая использование службы IAM, политик корзины и списков контроля доступа. Есть несколько рекомендаций, которым следует следовать, чтобы обеспечить безопасность реализации корзины S3; давайте пройдемся по ним.

Шифрование на стороне сервера

В связи с тем, что в корзинах S3 хранятся конфиденциальные данные в состоянии покоя, мы должны убедиться, что корзины S3 соответствуют политике шифрования на стороне сервера. Amazon начинает шифровать данные, как только записывает их в хранилище, и расшифровывает их, когда пользователь запрашивает их, позволяя пользователю получать доступ, понимать и взаимодействовать с этими данными, как только организация включает функции шифрования (SSE/шифрование на стороне сервера). . Поскольку это самая мощная из доступных технологий шифрования, настоятельно рекомендуется использовать SSE.

Следовательно, чтобы использовать эту функцию в интерфейсе AWS, сначала перейдите к консоли S3 и выберите корзину S3, а затем перейдите на вкладку свойств. Вкладка разрешений находится на странице свойств, и именно отсюда мы можем получить доступ к политике редактирования корзины. В результате мы можем редактировать все политики корзины с помощью команды редактирования политики корзины.

Общий доступ «Полный_контроль»

Убедитесь, что функция полного контроля (включение общего доступа) не активирована для общедоступных корзин, чтобы предотвратить нежелательный доступ к вашим данным. Если этот атрибут включен, любой пользователь сможет получить доступ к вашим данным и вносить в них изменения без каких-либо ограничений.

Это включает в себя не только изменение данных, но и внедрение контента злоумышленником, а поскольку все сервисы AWS оплачиваются по мере использования, расходы могут быть понесены как организацией, владеющей корзиной s3, так и организацией, владеющей корзиной s3. ведро.

Как только вы попадете на панель инструментов консоли S3, выберите любую корзину S3, а затем перейдите на вкладку разрешений. С этой точки можно просмотреть все политики в ACL, которые применяются к соответствующему сегменту.

Заключение

Поскольку использование облачной инфраструктуры продолжает расти быстрыми темпами, растет и количество предприятий, которые ее используют. При интеграции облачных сервисов AWS мы должны убедиться, что они реализованы в соответствии с передовыми практиками, чтобы обеспечить безопасность наших данных и инфраструктуры. Могут быть доступны дополнительные лучшие практики, но их внедрение зависит от приоритетов организации и лучших практик, которые она выбирает.