Начало работы с AWS (часть 13)

- Начало работы с AWS (часть 2)
- Начало работы с AWS (часть 3)
- Начало работы с AWS (часть 4)
- Начало работы с AWS (часть 5)
- Начало работы с AWS (часть 6)
- Начало работы с AWS (часть 7)
- Начало работы с AWS (часть 8)
- Начало работы с AWS (часть 9)
- Начало работы с AWS (часть 10)
- Начало работы с AWS (часть 11)
- Начало работы с AWS (часть 12)
- Начало работы с AWS (часть 14)
Введение
Мы почти подошли к концу этой короткой серии статей о том, как начать работу с Amazon Web Services (AWS) с их предложением Free Tier. Поэтому может быть полезно обобщить то, что мы уже рассмотрели в предыдущих статьях этой серии, и именно для этого предназначена таблица ниже:
Статья | Тема |
Часть 1 | Уровень бесплатного пользования AWS |
Часть 2 | Инструменты управления AWS |
Часть 3 | Защита вашей учетной записи AWS |
Часть 4 | Управление идентификацией и доступом (IAM) |
Часть 5 | IAM-консоль |
Часть 6 | Создание пользователей |
Часть 7 | Многофакторная аутентификация (MFA) |
Часть 8 | Разрешения |
Часть 9 | Политики |
Часть 10 | Пользовательские политики |
Часть 11 | Пользовательские политики (продолжение) |
Часть 12 | Роли и делегирование |
Таблица 1
Как видно из приведенной выше таблицы, большая часть этой серии была посвящена тому, как вы можете использовать веб-службу управления идентификацией и доступом (IAM) для централизованного управления пользователями, группами, ролями, разрешениями и учетными данными вашей среды AWS. Поскольку большинство организаций, использующих AWS в коммерческих целях, будут использовать командный подход, в который входят разработчики приложений, тестировщики и администраторы, важно понимать, как можно должным образом защитить и администрировать многопользовательские среды AWS. Именно для этого и предназначен IAM, поэтому мы потратили так много времени на его подробное изучение.
Однако любая система аутентификации и контроля доступа безопасна настолько, насколько она может быть эффективно проверена. Это связано с тем, что проблемы, как непреднамеренные (случайные), так и преднамеренные (злонамеренные), просто будут возникать время от времени, поэтому важно иметь запись о том, что произошло, чтобы вы могли впоследствии изучить и проанализировать это. В этой статье кратко рассматривается тема аудита вашей среды IAM в более крупной среде AWS. Как мы увидим, есть несколько способов сделать это в зависимости от того, какая информация вам может понадобиться в вашей ситуации.
Отчеты об учетных данных
Еще в части 5 этой серии мы упоминали, что IAM включает опцию под названием «Отчет об учетных данных», которая позволяет вам загрузить отчет, в котором перечислены все пользователи вашей учетной записи и состояние их различных учетных данных. Чтобы загрузить отчет об учетных данных, начните с выбора пункта меню «Отчет об учетных данных» в левой части консоли IAM, как показано здесь:
Рис. 1. Как загрузить отчет об учетных данных с помощью консоли IAM.
Когда вы нажимаете кнопку «Загрузить отчет», создается отчет об учетных данных, который загружается с console.aws.amazon.com через веб-браузер на рабочую станцию администратора. Этот отчет представлен в формате значений, разделенных запятыми (CSV). Имя файла отчета включает дату и время (по Гринвичу), например . Затем вы можете открыть отчет в Microsoft Excel. На момент написания статьи столбцы (свойства), включенные в отчет об учетных данных, были следующими:
- пользователь
- арн
- user_creation_time
- password_enabled
- password_last_used
- password_last_changed
- password_next_rotation
- mfa_active
- ключ доступа_1_активный
- access_key_1_last_rotated
- access_key_1_last_used_date
- access_key_1_last_used_region
- access_key_1_last_used_service
- ключ доступа_2_активный
- access_key_2_last_rotated
- access_key_2_last_used_date
- access_key_2_last_used_region
- access_key_2_last_used_service
- cert_1_active
- cert_1_last_rotated
- cert_2_active
- cert_2_last_rotated
Одним из полезных свойств является свойство password_last_used, которое позволяет вам увидеть, когда IAM в последний раз аутентифицировал учетные данные пользователя. Например, когда я просматриваю это свойство для пользователей Bob_Smith и Mary_Jones в своей среде AWS, отчет показывает, что Боб прошел аутентификацию совсем недавно, но Мэри не использовала AWS пару месяцев:
- Боб_Смит — 2015-06-10T19:20:09+00:00
- Мэри_Джонс — 2015-04-03T00:48:37+00:00
Конечно, подобный ручной аудит утомителен, но он может быть полезен в небольших средах AWS. Но есть и другие доступные варианты, и сейчас мы их кратко рассмотрим.
Ведение журнала событий IAM
Другой метод аудита вашей среды включает использование сервиса AWS под названием CloudTrail. CloudTrail регистрирует события входа и аутентифицированные вызовы API для сервисов AWS и записывает информацию в файлы журналов, которые хранятся в корзинах Amazon Simple Storage Service (Amazon S3) (контейнерах масштабируемого хранилища объектов). Как администратор вашей среды AWS вы можете изучить эти файлы журналов, чтобы ответить на такие вопросы, как:
- Кто обращался к конкретному сервису AWS?
- Когда пользователь или приложение обращались к сервису?
- Какие запросы API были отправлены к сервису?
CloudTrail регистрирует аутентифицированные запросы, такие как использование IAM для создания нового пользователя, отображения списка групп, удаления определенной роли и т. д. CloudTrail не регистрирует запросы без проверки подлинности, если для выполнения запроса не использовались учетные данные пользователя.
CloudTrail также регистрирует события входа, например, когда пользователь входит в AWS Marketplace или входит в Консоль управления AWS для выполнения какой-либо административной задачи. И хотя CloudTrail регистрирует неудачные попытки входа, он не записывает текст, введенный пользователем в поле имени пользователя в диалоговом окне входа в AWS. Это делается для того, чтобы избежать ситуаций, когда пользователь случайно вводит свой пароль в поле имени пользователя вместо поля пароля. Если это произойдет, и текст, введенный пользователем, будет записан, кто-то, изучающий журнал, сможет узнать пароль пользователя.
Чтобы узнать, как включить CloudTrail в вашей среде и использовать его для ведения журнала событий IAM, см. Руководство пользователя AWS CloudTrail.
Экспорт настроек IAM
Если вы хотите провести аудит безопасности своей среды AWS, вы также можете экспортировать настройки IAM. При экспорте настроек IAM фактически создается снимок пользователей, групп и ролей, созданных вами в IAM. Делая это периодически, вы можете сравнивать моментальные снимки и искать изменения, которые могут указывать на проблемы с безопасностью вашей среды. Экспорт параметров IAM также указывает, какие политики управления доступом привязаны к пользователям, группам и ролям в вашей среде.
Экспорт настроек IAM можно выполнить с помощью командной строки AWS, выполнив команду get-account-authorization. Вывод этой команды форматируется в нотации объектов JavaScript (JSON). (Синтаксис JSON был кратко описан в части 9 этой серии.) Вы можете узнать больше об экспорте настроек IAM в этом посте блога безопасности Amazon AWS.
Руководство по аудиту AWS
Если вы собираетесь проводить аудит безопасности своей среды AWS, хорошо иметь план. Как и в случае с аудитом любой ИТ-среды, важно проводить аудит того, что вам нужно, но не слишком много, иначе «шум», который вы собираете, может затруднить поиск необходимой информации о вашей среде. В связи с этим у Amazon есть полезная коллекция руководств по аудиту безопасности AWS, и вы должны как минимум тщательно изучить эти рекомендации, прежде чем внедрять какой-либо собственный план аудита.
Сторонние решения
Наконец, существует ряд сторонних решений для аудита и мониторинга различных аспектов вашей среды AWS. Следующий краткий список предназначен для представления того, что доступно в настоящее время, но ни в коем случае не является исчерпывающим:
- Scout2 — это инструмент с открытым исходным кодом, который помогает оценить состояние безопасности сред AWS.
- У Tenable есть подключаемый модуль Nessus, который позволяет проводить аудит инфраструктуры AWS.
- Security Monkey — это решение для мониторинга и анализа безопасности наших конфигураций Amazon Web Services.
Также доступны такие решения, как Xsuite, которые обеспечивают не только аудит, но и полное решение для управления идентификацией для вашей среды AWS.
- Начало работы с AWS (часть 2)
- Начало работы с AWS (часть 3)
- Начало работы с AWS (часть 4)
- Начало работы с AWS (часть 5)
- Начало работы с AWS (часть 6)
- Начало работы с AWS (часть 7)
- Начало работы с AWS (часть 8)
- Начало работы с AWS (часть 9)
- Начало работы с AWS (часть 10)
- Начало работы с AWS (часть 11)
- Начало работы с AWS (часть 12)
- Начало работы с AWS (часть 14)