Рекомендации по безопасности для AWS (IaaS) EC2 (часть 2)

Опубликовано: 8 Марта, 2023
Рекомендации по безопасности для AWS (IaaS) EC2 (часть 2)

Введение

Как отмечалось в первом выпуске этой серии, AWS является одной из самых безопасных общедоступных облачных платформ и предлагает непревзойденную основу для предприятий с безопасностью центра обработки данных, которую было бы сложно обеспечить собственными силами.

Уровень успеха определяется наличием глубоких знаний об AWS и ясностью ролей ответственности при использовании сервиса. Однако Amazon предлагает безопасную основу (они защищают серверную часть), и именно организации несут полную ответственность за обеспечение безопасности всего, что развернуто над AWS, за эффективную настройку конфигураций и заполнение любых пробелов с помощью дополнительных инструментов. Вы также несете ответственность за безопасность своих экземпляров. Для этого может потребоваться поддержка сторонних инструментов или технологий.

Amazon предлагает свои собственные барьеры безопасности, однако эти меры безопасности не настолько всеобъемлющи, как могли бы быть, и их можно было бы улучшить; некоторые сторонние альтернативы, созданные специально для поддержки AWS, оказались более подходящими для этой цели, особенно для корпоративного использования.

Сторонняя поддержка безопасности для Amazon EC2 расширяется в определенных областях безопасности (брандмауэры и шифрование), но некоторые области (безопасность моментальных снимков), где потенциальный риск для данных остается проблемой.

Amazon рекомендует использовать дополнительные передовые методы при использовании своих услуг. В частности, при рассмотрении EC2 мы рассмотрим дополнительные шаги, которые можно предпринять для достижения наилучшего уровня успеха.

Рекомендации по улучшению безопасности AWS EC2

В первой части этой серии мы упомянули несколько проблем, с которыми предприятия могут столкнуться при использовании EC2, в том числе:

  • Резиденция/местоположение и юрисдикция данных
  • Безопасность данных
  • Политики шифрования и управление ключами
  • Контроль доступа
  • Долгосрочная отказоустойчивость шифрования

Мы рассмотрим способы решения этих проблем с помощью функций, доступных через Amazon, и дальнейших шагов, которые может использовать предприятие.

Одной из основных проблем является несанкционированный доступ. Предприятия обеспокоены тем, что их данные могут быть скомпрометированы в результате несанкционированного доступа.

Что касается EC2, этот доступ будет осуществляться через интерфейс AWS и API-интерфейсы, благодаря этому доступу можно настраивать и контролировать облако, а также получать доступ к данным.

Amazon предлагает возможности для защиты от этого, однако необходимо устранить любые пробелы (которые не всегда очевидны) в процедурах предотвращения и мониторинга.

Предприятия могут включить следующие шаги для дальнейшего управления доступом и снижения этого риска.

  • Многофакторная аутентификация для защиты учетной записи root. Управляя доступом к корневой учетной записи, вы можете сохранить контроль над управлением AWS.
  • Создайте отдельные учетные записи администратора с помощью Amazon IAM и также используйте многофакторную аутентификацию для этих учетных записей. Снижение вероятности взлома учетных записей по сравнению с защитой только паролем.
  • Имейте отдельные учетные записи AWS для каждого обязательства (тестирование, производство, разработка) путем разделения учетных записей, чтобы риск также был разделен.
  • Объедините мониторинг с многофакторной аутентификацией
  • Для учетных записей суперадминистраторов используйте минимальные привилегии, управление доступом и политики на основе ролей.
  • Управляйте доступом к AWS и API, используя федерацию удостоверений, пользователей и роли IAM.
  • Создание политик и процедур управления учетными данными для любых обстоятельств (создание, ротация, распространение и отзыв учетных данных).
  • Используйте роли для доступа к нескольким учетным записям
  • Используйте роли IAM для подключения экземпляров и других компонентов AWS.
  • Никогда не делитесь своими ключами безопасности, при необходимости создайте временный ключ, чтобы избежать совместного использования главного ключа.
  • Перерабатывайте ключи каждые пару месяцев и создавайте новые ключи, включая мастер-ключ.
  • Избегайте встраивания ключей безопасности и секретных ключей в код приложения, используйте инструменты для устранения статических учетных данных.
  • Включите все инструменты мониторинга, предоставляемые Amazon (CloudWatch, CloudTrail, Config)
  • Разверните сторонние инструменты мониторинга, чтобы заполнить пробелы. Это могут быть инструменты для SIEM и управления журналами.
  • Рассмотрите возможность использования портала управления вместо прямого доступа к AWS, чтобы улучшить контроль и управление доступом.

Чтобы лучше защитить ваши данные, важно, чтобы виртуальная инфраструктура была защищена. У вас не может быть одного без другого.

Amazon предоставляет инструменты для этого, однако ответственность за их настройку лежит на предприятии.

Обязательно регулярно делайте резервные копии своих данных, то, что они находятся в облаке, не означает, что они не могут быть скомпрометированы, повреждены или потеряны.

Для поддержки безопасности рекомендуется следующее

  • Обеспечьте исправление, обновление и безопасность вашей ОС и приложений на ваших экземплярах
  • Используйте группы безопасности и виртуальные частные облака (VPC) для защиты сети
  • Внедрите наименее разрешающие правила для вашей группы безопасности.
  • VPC позволяет запускать несколько отдельных частных сетей.
  • Запустите свои инстансы в VPC, если это еще не сделано автоматически
  • Разместите важные компоненты, которые не должны быть общедоступными, в частных подсетях.
  • Избегайте использования групп безопасности по умолчанию для ваших экземпляров.
  • Тщательно создайте группы безопасности для каждого экземпляра, это делается при запуске и не может быть изменено на более позднем этапе.
  • Разделяйте компоненты приложения по группам безопасности, предотвращая горизонтальные атаки
  • Доступ внешнего администратора должен быть ограничен IP-адресами, используемыми администратором.
  • Сведите общедоступные подсети к минимуму, где это возможно
  • Изолируйте подсети с помощью списков контроля доступа.
  • Рассмотрите возможность подключения через VPN перед подключением к инстансам.
  • Отслеживайте события и подготовьте процедуру реагирования

Для обеспечения безопасности данных и хоста IAM, вероятно, является лучшей формой защиты. Опять же, Amazon предоставляет множество функций, помогающих защитить ваши данные и экземпляры, но для заполнения любых пробелов могут потребоваться дополнительные сторонние инструменты.

  • Очень важно иметь место для реагирования на инциденты для скомпрометированных экземпляров.
  • Шифрование необходимо. Зашифруйте свои данные. Amazon предоставляет шифрование для своих служб хранения (EBS, S3), но вы можете предпочесть использовать стороннее решение для защиты другим способом.
  • Amazon имеет доступ к ключам шифрования в своей службе управления ключами, и этого может быть недостаточно для всех предприятий. Альтернативой является использование AWS Cloud HSM, где ключи доступны только вам. Помните, что если вы потеряете свои ключи, Amazon не сможет получить к ним доступ.

Для улучшения управления вашими экземплярами можно предпринять следующие шаги.

  • Запустите экземпляры EC2 в стандартном чистом образе AMI.
  • Поддерживайте согласованность и простоту именования экземпляров, используя стандартные соглашения об именовании.
  • Чтобы гарантировать, что конечные пользователи не будут затронуты, назначьте эластичный IP-адрес для ваших экземпляров, когда это необходимо.
  • Экземпляры должны быть остановлены, когда они не используются
  • Не храните важные данные во временном хранилище, чтобы предотвратить потерю данных при запуске и остановке экземпляра.
  • Включите защиту от завершения, чтобы предотвратить случайное завершение работы экземпляров EC2.
  • Контролируйте свои инстансы, чтобы эффективно управлять любыми проблемами и любыми недостаточно используемыми инстансами.

  • Используйте независимые тома Amazon EBS для ОС и данных, чтобы том, содержащий данные, сохранялся после завершения работы инстанса.
  • Используйте хранилище экземпляров для хранения только временных данных, данные в хранилище экземпляров удаляются при завершении или завершении экземпляра.
  • Разверните критически важные компоненты вашего приложения в нескольких зонах доступности и соответствующим образом реплицируйте свои данные, в некоторых случаях рекомендуется даже реплицировать между поставщиками/поставщиками.
  • Создайте резервную копию своего экземпляра, вы можете использовать моментальные снимки EBS или альтернативный инструмент резервного копирования.
  • Делайте регулярные снимки EBS
  • Сделайте резервную копию наших снимков EBS
  • Часто проверяйте процедуру восстановления ваших инстансов и томов Amazon EBS, если они не работают. Если вы не тестируете восстановление, у вас нет действительной резервной копии.
  • Регулярно проверяйте свои моментальные снимки, создавая тома, подключаясь к экземплярам для проверки целостности данных.
  • Зашифруйте дисковые тома и данные, чтобы конфиденциальными были как хранящиеся данные, так и данные в пути.

Сторонняя поддержка

Сторонним инструментам было рекомендовано поддерживать AWS EC2, чтобы улучшить сервис, заполнив пробелы во внешнем интерфейсе и в верхней части сервиса AWS. В частности, есть несколько областей, в которых поддержка третьих сторон может быть полезной.

Инструментам мониторинга Amazon не хватает корреляции и анализа данных. Сторонние инструменты необходимы для достижения всесторонних возможностей мониторинга. Вы можете использовать SIEM, инструменты управления журналами и оповещения, созданные для поддержки AWS, чтобы восполнить любые пробелы.

Эти инструменты должны работать с API-интерфейсами Amazon и могут сканировать экземпляры, а также получать доступ к среде AWS.

Это полезно для автоматической настройки и обновления экземпляров, а также обеспечивает постоянное соответствие экземпляров конфигурациям безопасности.

Повысьте безопасность хоста для AWS EC2 с помощью сторонних инструментов. Используя предполагаемый совместимый инструмент для:

  • Обнаружение несанкционированных изменений в экземплярах (инструмент мониторинга целостности хоста)
  • Ведение журнала и оповещение о нарушении политики, оповещение об ошибке приложения (инструмент ведения журнала и оповещения)
  • Центральный сервер журналов
  • Устранение пробелов, вызванных ограничениями на группы безопасности (инструменты хост-брандмауэра)

Эти инструменты отлично подходят для дополнительной защиты от DDoS-атак и защиты ваших экземпляров.

Вывод

Эти шаги могут быть предприняты для повышения безопасности при использовании AWS, это вовсе не исчерпывающий набор рекомендаций, существует множество других процедур, которые можно предпринять для дополнительной защиты AWS EC2.

Следует подчеркнуть, что Amazon предоставляет различные инструменты и варианты, помогающие защитить их и без того очень надежную основу, но организации должны убедиться, что они знают о любых пробелах в безопасности и должным образом устраняют их.

Обладая хорошим знанием работы AWS и EC2, можно соблюдать правильные меры безопасности и внедрять правильные процедуры настройки, а также приобретать любые сторонние инструменты безопасности для большего успеха и безопасности при использовании сервиса.

Важно отметить, что для дополнительной защиты вашей облачной установки или платформы могут потребоваться дополнительные сторонние решения, и что у вас должна быть полная восстанавливаемая резервная копия, желательно на другой платформе, чтобы вы сохраняли полный контроль над своими данными и их независимость.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023