Советы по безопасности AWS: как заблокировать и защитить свои данные

В июне 2017 года в Интернете появились новости о массовой утечке данных почти 200 миллионов американских избирателей, раскрывающей такие детали, как их имена, номера телефонов, даты рождения, номера телефонов и политические взгляды. На этот раз утечка данных была связана с простой ошибкой пользователя, которая не использовала рекомендуемые настройки безопасности, в результате чего данные остались открытыми на AWS S3, доступными для всех, у кого есть подключение к Интернету. Это стало серьезным напоминанием глобальному аналитическому центру корпоративных ИТ о риске платформ IaaS, таких как AWS. Конечно, Amazon инвестировала миллионы долларов в обеспечение безопасности своих облачных сервисов шифрованием военного уровня, но никогда нельзя исключать сверхмощную кибератаку или сбой неправильной конфигурации. Последствия для предприятий громкие и ясные — ИТ-руководители в целом и лица, принимающие решения в области безопасности данных, в частности, должны понимать, что они не могут просто полагаться на Amazon для обеспечения безопасности своих облачных данных и систем. В этом руководстве мы расскажем о советах и методах безопасности AWS, которые помогут вам сделать ваше облачное хранилище более безопасным, чем раньше.

Зачем вам беспокоиться о безопасности AWS?

Amazon использует модель предоставления бизнес-услуг с общей ответственностью, при которой она берет на себя полную ответственность за свои облачные системы, физические компьютеры, настройку программного обеспечения, соединения и серверы. Он даже включает в себя ответственность за обнаружение и распространение атак кибербезопасности, таких как вторжения и мошеннические попытки доступа. Однако ответственность за управление конфигурациями безопасности полностью лежит на заказчике. Любые системы и подключения, сделанные компанией к AWS, должны быть защищены предприятием самостоятельно. Кроме того, приложения, использующие системы управления идентификацией и доступом (IAM) AWS, регулируются одной и той же системой общей ответственности.

Советы по безопасности AWS: включите CloudTrail

Убедитесь, что CloudTrail включен для всех используемых вами сервисов AWS. Это создает обширные журналы действий для всех видов действий пользователей в сервисах AWS. Основное преимущество заключается в том, что это создает четкий контрольный журнал, который может помочь вам выявить потенциальные кибератаки в процессе, а в некоторых случаях может помочь рассеять попытки атак. Включите все службы в рамках CloudTrail, включая негеографические службы, такие как CloudFront. Также стоит вести мультирегиональное ведение журнала, потому что если вы обнаружите в журналах активность, указывающую на активность в географическом регионе, где вы не используете AWS, это красный сигнал с точки зрения потенциальной кибератаки.

Многофакторная аутентификация в учетной записи root

У вашей корневой учетной записи есть доступ ко всем ресурсам AWS, вот насколько это важно. Многофакторная аутентификация помогает добавить дополнительные уровни защиты, чтобы исключить возможности несанкционированного доступа. Безопасной практикой является наличие защищенного и выделенного устройства для получения одноразовых паролей вместо привязки его к мобильному телефону. Это выделенное устройство также должно быть помещено в ограниченную среду с автоматическими оповещениями, которые помогут вам обнаружить попытки кражи. Когда вы используете мобильный телефон для одноразовых паролей, существует ощутимый риск кражи устройства, который может поставить под угрозу безопасность доступа к вашей учетной записи root.

Вы можете повысить уровень безопасности AWS, настроив многофакторную аутентификацию для удаления сегментов CloudTrail. Это гарантирует, что любой, кто может получить доступ к вашей учетной записи AWS, не сможет манипулировать журналами CloudTrail, чтобы скрыть свои действия.

Надежные пароли

Список советов по безопасности AWS не будет полным, если мы не напомним вам об использовании надежных паролей. Похоже, защитники кибербезопасности никогда не перестанут распространять напоминания об этой хорошо известной, но часто игнорируемой практике. Слабые пароли являются неопровержимым свидетельством слабости системы безопасности в корпоративном подходе к управлению данными и ИТ-системами. Хорошей практикой является обязательное использование 14-символьных паролей, по крайней мере, с одним символом верхнего регистра, одной цифрой и одним символом. Если срок действия пароля превышает 90 дней, требуется немедленная корректировка. Кроме того, ваши пользователи никогда не должны иметь возможность устанавливать те же пароли, что и раньше. Игнорируйте эти правила политики паролей на свой страх и риск!

Виртуальное частное облако: мощное средство обеспечения безопасности

Виртуальное частное облако Amazon — это виртуальная сеть, которая работает в учетной записи AWS вашего предприятия. Такой подход помогает изолировать сеть от других ресурсов. Затем виртуальная сеть по умолчанию не маршрутизируется в Интернет. Самое главное, вы можете применять множество механизмов управления доступом, используя группы безопасности, чтобы свести к минимуму потенциальную поверхность атаки, тем самым обеспечивая безопасность работы с AWS.

Бастионный хост для безопасной оболочки

Рассмотрите возможность внедрения узла-бастиона, чтобы получить доступ к вашим экземплярам Linux, развернутым в частной подсети VPC. Это поможет вам избежать необходимости открывать службу SSH экземпляров Linux, а также поможет централизовать доступ SSH ко всем системам. В целом это дает преимущества в плане минимизации поверхности атаки, контроля доступа, мониторинга и аудита доступа SSH.

Дополнительные возможности для использования и защиты AWS

Помимо приведенных выше советов по безопасности AWS, вот еще несколько:

• Доступ к наиболее часто используемым портам должен быть ограничен; эти порты включают, среди прочего, MSSQL, FTP, SMTP, DNS, MongoDB и CIFS.
• Никогда не позволяйте использовать ключи доступа для корневых учетных записей, потому что это слишком большой риск, учитывая, что любой несанкционированный доступ может парализовать работу вашего предприятия.
• Неиспользуемые, заброшенные и неработающие учетные записи увеличивают зону атаки для вашей учетной записи AWS; убедитесь, что срок действия таких учетных записей автоматически истекает после установленного периода бездействия (например, 90 дней).
• Включите ведение журнала доступа для корзин S3, чтобы упростить отслеживание запросов на доступ; это может помочь избежать нарушений безопасности, а также может помочь в борьбе с одним из них, когда это произойдет.
• Ограничьте доступ к группам безопасности EC2, чтобы избежать кибератак, таких как DDoS, перебор и атака «человек посередине».

В конце концов, это ваша ответственность

AWS повысила свой статус облачного хранилища и вычислительной магистрали, которая помогает глобальному бизнес-механизму оставаться сильным. Если ваше предприятие зависит от AWS для поддержки критически важных приложений, вы просто не можете допустить каких-либо упущений в системе безопасности. Воспользуйтесь советами, рекомендациями и рекомендациями по безопасности AWS, предложенными в этом руководстве, и повысьте безопасность учетной записи AWS вашей компании. Помните, что в конечном итоге это ваша ответственность, а не Amazon.