AWS, безопасность на основе модели общей ответственности (часть 2)

Опубликовано: 7 Марта, 2023
AWS, безопасность на основе модели общей ответственности (часть 2)

Введение

Для обеспечения соблюдения требований безопасности и поддержания соответствия заказчик должен иметь четкое представление о своих обязанностях и обеспечивать их надлежащее выполнение. Результат безопасности и достижимые эталонные показатели безопасности зависят от сторон, как клиента, так и AWS, которые играют свою роль.

Хотя сервисы AWS спроектированы так, чтобы их было легко использовать, а инфраструктура разработана и работает очень хорошо (как отмечалось в первой части серии статей), существует значительное количество обязательств, которые клиент должен понимать и выполнять, если он хочет обеспечить безопасность среды. и используемые услуги обеспечивают безопасность; конфиденциальность, надежность и доступность.

В зависимости от используемого типа услуги, а также в зависимости от конфиденциальности данных клиента и уровней приемлемости риска, обязанности клиента будут меняться соответствующим образом. Управляемые сервисы AWS также предполагают другой набор обязанностей.

Для реализации безопасности, когда ответственность разделена между поставщиком и клиентом (как здесь), ключевыми являются глубокие знания.

Amazon Web Services отвечает за защиту базовой глобальной инфраструктуры и основных служб, поддерживающих облако, а вы, как клиент, несете ответственность за все остальное, что вы размещаете поверх облака или подключаете к облаку.

Разные услуги означают разные обязанности

Обязанности клиентов варьируются от одного сервиса AWS к другому в рамках широкого спектра предлагаемых сервисов. Некоторые службы предлагают больший контроль, чем другие, и, следовательно, на них ложится больше ответственности.

Услуги «инфраструктура как услуга» позволяют клиенту лучше контролировать услугу, но при этом на клиента возлагается больше ответственности. Типы сервисов IaaS AWS включают Amazon EC2 и Amazon S3.

В обязанности EC2 входит:

  • Исправление ОС на инстансах и установленного на них ПО
  • Настройка брандмауэра для управления доступом к экземплярам
  • Настройка подсетей VPC

В обязанности S3 входит:

  • Политики контроля доступа
  • Шифрование хранимых данных
  • Процедуры резервного копирования и архивирования

Сервисы AWS «платформа как услуга» предполагают меньшую ответственность клиентов (Amazon RDS, Redshift, Workspaces), поскольку они подпадают под зонтик управляемых сервисов, и AWS берет на себя большую часть ответственности за них. Многие обязанности, с которыми вы сталкиваетесь при использовании услуг IaaS, не выполняются при использовании PaaS.

Существуют определенные функции безопасности, которые вы всегда должны настраивать независимо от используемой службы. В ваших интересах защитить свои учетные данные, управлять доступом к учетным записям пользователей и надлежащим образом регистрировать действия.

Это всего лишь несколько примеров, показывающих, как различные сервисы AWS требуют разного пользовательского ввода, тем не менее, они показывают, что при определении ваших обязанностей по обеспечению безопасности следует уделять особое внимание отдельным сервисам.

Часть ответственности клиента заключается в обеспечении того, чтобы цепочка безопасности была завершена и поддерживалась при использовании сервисов AWS. Вы должны нести ответственность за все, чем вы манипулируете на платформе AWS, а также за все, что связано с использованием и управлением создаваемых вами виртуализированных серверов.

AWS не имеет контроля над виртуальными экземплярами клиента, за исключением того, что они обеспечивают их изоляцию, и, таким образом, виртуальный сервер становится ответственностью клиента. Весь контент клиентов (учетные записи и данные) находится под полным контролем клиента, и поэтому в их интересах обеспечить его безопасность и постоянное соблюдение прав собственности на данные.

AWS предлагает большой набор средств безопасности и элементов управления, которые заказчик может применять и использовать. Существуют инструменты, доступные для каждой службы, которую вы решите использовать в AWS, но клиенты несут ответственность за то, чтобы решить, какие инструменты использовать или средства управления для их внедрения и использования, а также обеспечить их точное и безотказное применение.

Меры безопасности, которые вы решили реализовать, будут зависеть от характера ваших данных и от того, насколько уязвимыми вы считаете свои данные. Лучший подход — обращаться с виртуальным сервером так же, как с локальным сервером, с преимуществом в том, что вам не нужно беспокоиться о физических тонкостях (об этом позаботится AWS — это их доля в модели ответственности).

Заказчику также необходимо тщательно рассмотреть следующее:

  • Какие данные они предпочитают хранить на AWS
  • Под какой юрисдикцией (в какой стране) хранится контент
  • Формат их данных на AWS (зашифрованы ли они) и как обеспечить целостность этих данных.
  • Как контролируется и управляется доступ к их данным
  • Что следует и чего не следует делать для обеспечения соблюдения правил и законов страны, в которой они проживают

В обязанности заказчика входит:

  • Шифрование данных и аутентификация на стороне клиента
  • Шифрование на стороне сервера
  • Защита сетевого трафика
  • Настройка ОС, сети и брандмауэра
  • Платформа и управление приложениями
  • Данные клиентов
  • IAM клиента

Рекомендации по обеспечению безопасности для клиентов

Следующие рекомендации по обеспечению безопасности рекомендуются для обеспечения надлежащего выполнения обязательств по обеспечению безопасности ваших клиентов и поддержания цепочки безопасности.

Ваша учетная запись маршрута обязательна, поскольку она дает неограниченный доступ к вашим ресурсам AWS. Это должно эффективно управляться, чтобы обеспечить его безопасность. Рекомендуется ограничить использование этой учетной записи и вместо этого создавать и использовать группы для доступа к ресурсам.

Группы могут быть созданы на основе политики для каждого требования и при этом; уровни доступа можно контролировать и контролировать.

Многофакторная аутентификация также рекомендуется для дополнительной безопасности.

Крайне важно, чтобы ваши системы и программное обеспечение работали в виртуальной среде с исправлениями и обновлениями. Доступны инструменты, помогающие автоматизировать необходимые процедуры. Клиенты должны убедиться, что они остаются в курсе этого, и убедиться, что это остается приоритетной практикой.

Amazon предлагает функции шифрования для шифрования на стороне сервера, поэтому данные могут быть зашифрованы до того, как они попадут в центр обработки данных.

Рекомендуется также шифровать данные при хранении и передаче, чтобы обеспечить их безопасность при хранении и перемещении по сети, всегда гарантируя, что вы используете лучшие доступные решения для шифрования.

Управление ключами шифрования является фундаментальным компонентом защиты ваших данных. Важно, чтобы ваши ключи шифрования оставались под вашим исключительным контролем — это означает, что ими должны управлять вы и только вы. Это единственный способ гарантировать, что у вас есть исключительный доступ к вашим зашифрованным данным (даже в облаке) и что вы сохраняете соответствие требованиям. Ни AWS, ни другие третьи стороны не должны иметь доступа к вашим ключам шифрования.

Контроль доступа к вашему контенту важен, и это может привести к потенциально разрушительным последствиям, если не будет безопасного подхода. По умолчанию все настроено на «приватный режим». То, как вы решите поделиться своими данными, является вашей прерогативой. Если вы решите это сделать, очень важно принять правильные меры предосторожности и убедиться, что это делается безопасным образом.

Вы можете решить дополнительно повысить свою безопасность, используя VPN для связи ваших виртуальных экземпляров с вашим сайтом сотрудничества.

Вывод

Модель общей ответственности AWS эффективна тем, что совместно поставщик и клиент могут достичь уровней безопасности, которые, вероятно, были бы недостижимы, если бы они работали поодиночке.

Для достижения успеха при таком подходе ключевое значение имеет четкое осознание заказчиком своих обязанностей, а также глубокое понимание вашей уникальной системы безопасности и рисков.

Всегда рассматривайте каждую услугу отдельно в отношении того, как лучше всего обеспечить их безопасность и добиться успеха, завершив цепочку общей ответственности за безопасность.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023