Три совета по защите инстансов AWS EC2

В предыдущей статье я поделился некоторыми советами по защите виртуальных частных облаков (VPC). Это основная функция Amazon Web Services (AWS), которая позволяет вам определять логически изолированные виртуальные сети, в которых вы можете предоставлять виртуализированные серверы, службы и приложения в общедоступном облаке Amazon. Защита ваших VPC является основой для обеспечения безопасности других ваших облачных ресурсов, таких как серверы, приложения и данные, в вашей облачной среде AWS. Итак, основываясь на этом фундаменте, я теперь хочу немного рассказать о некоторых способах, которыми вы можете убедиться, что ваши виртуализированные серверы — то, что AWS называет «экземплярами» — должным образом защищены один раз.

Экземпляры AWS размещаются в веб-сервисе AWS под названием Amazon Elastic Compute Cloud (EC2). Эта веб-служба обеспечивает гибкие и масштабируемые вычислительные мощности, что позволяет экономить на оборудовании за счет запуска серверов практически в облаке. Хотя EC2 во многих отношениях безопасен по умолчанию, есть ряд шагов, которые вы можете выполнить как администратор AWS, чтобы убедиться, что ваши виртуальные серверы достаточно безопасны для соответствия требованиям вашего бизнеса.

Основная проблема, конечно же, заключается в том, что серверы в облаке бесполезны для вашей организации, если у вас нет доступа к ним. Таким образом, хотя полная безопасность возможна за счет полной изоляции инстансов EC2 от внешнего мира, это бесполезно с точки зрения бизнеса. Клиенты и сотрудники должны иметь доступ к инстансам EC2, если вы хотите, чтобы они покупали ваш продукт или выполняли свою работу. Кроме того, администраторы должны иметь доступ к этим экземплярам для их настройки, обслуживания, мониторинга и устранения неполадок. Таким образом, ключевой частью защиты экземпляров EC2 является обеспечение безопасности связи между ними и внешним миром.

Однако это не все, что важно. Даже если каналы связи между вашими экземплярами и внешними пользователями и приложениями защищены с точки зрения требований «триады ЦРУ» о конфиденциальности, целостности и доступности данных, остается вопрос о том, какое содержимое данных загружается в ваши экземпляры. Например, если полезной нагрузкой должно быть вредоносное ПО, а на ваших экземплярах не запущено какое-либо программное обеспечение для защиты от вредоносных программ, гостевая операционная система экземпляра может быть скомпрометирована, а вместе с ней и ваши конфиденциальные бизнес-данные.

Конечно, это также касается и базовых физических хостов облака EC2: если хост, на котором запущен ваш инстанс EC2, каким-либо образом скомпрометирован, ваши инстансы также могут быть скомпрометированы. К счастью (или к сожалению, если хотите), обеспечение безопасности физического хоста — это то, чем занимаются только собственные администраторы Amazon. Как клиент AWS, вам нужно беспокоиться только о защите ваших виртуализированных серверов, а не базовых физических серверов, на которых они размещены.

Подготовив почву к этому обсуждению, вот три важных совета, которые помогут вам убедиться, что ваши инстансы EC2 надежно защищены.

Общие сведения о группах безопасности

Как я упоминал в своей предыдущей статье, AWS предоставляет вам два типа виртуальных брандмауэров, которые вы можете использовать для управления входящим и исходящим потоком сетевого трафика в вашей среде. Эти два брандмауэра представляют собой списки контроля доступа к сети (NACL) и группы безопасности. И хотя NACL являются ключом к защите связи с VPC, поскольку они контролируют доступ к подсетям в вашей облачной среде, группы безопасности являются ключом к защите связи с инстансами EC2. Поэтому, чтобы обезопасить свои инстансы EC2, вам нужно начать с того, чтобы убедиться, что вы правильно понимаете, как работают группы безопасности. В Amazon есть хорошее описание того, как можно использовать группы безопасности для защиты входящего трафика для инстансов Linux, и, проработав представленный ими сценарий, вы сможете хорошо понять, как использовать группы безопасности для защиты инстансов других типов. Но основные принципы просты: назначьте одну или несколько групп безопасности для вашего экземпляра, а затем добавьте правила для каждой группы безопасности, чтобы разрешить определенные типы трафика для вашего экземпляра. Делая это, помните об основных правилах управления доступом, а именно: наименьшие привилегии и наименьшие права доступа.

Используйте IAM-роли

Когда вы впервые настраиваете свою среду AWS, вам предоставляются учетные данные безопасности, которые имеют практически неограниченный доступ к вашим ресурсам AWS, включая EC2. Не используйте эти учетные данные AWS по умолчанию для предоставления пользователям, приложениям или службам доступа к вашим экземплярам! Вместо этого используйте AWS Identity and Access Management (IAM), чтобы контролировать, в какой степени пользователи, приложения и службы могут получать доступ к вашим экземплярам и другим используемым ими ресурсам, таким как хранилище. IAM — это мощная и простая в использовании функция AWS, которая позволяет создавать пользователей и группы и назначать им уникальные учетные данные безопасности. IAM также можно использовать для создания политик в формате JSON для выполнения различных задач на экземплярах с использованием API EC2.

Что еще более важно с точки зрения управления безопасностью экземпляра, IAM также позволяет создавать роли. Роли IAM позволяют управлять учетными данными AWS для приложений, работающих на инстансах EC2. Это важно, поскольку приложения, выполняющие вызовы API, должны иметь эти запросы, подписанные действительными учетными данными AWS. Обычно вы создаете роль IAM и назначаете ее своему экземпляру EC2. Роль IAM была настроена для обеспечения безопасного доступа к некоторым другим ресурсам AWS, таким как корзина S3, а необходимые разрешения, требуемые ролью, определяются созданной вами политикой IAM. Затем экземпляр запускается в EC2, и роль IAM создает временные учетные данные, которые экземпляр может использовать для доступа к корзине. Преимущество использования ролей IAM таким образом заключается в том, что долгосрочные учетные данные, хранящиеся в экземпляре, не используются для доступа к корзине; вместо этого используются временные учетные данные, что более безопасно, поскольку долгосрочные учетные данные не раскрываются.

Избегайте вредоносных программ

Защита ваших инстансов EC2 от заражения вредоносным ПО, как я упоминал ранее, является важной частью задачи по обеспечению безопасности ваших инстансов. Здесь вы можете просто применить многие из тех же методов, которые вы используете для защиты физических серверов в вашей серверной комнате или центре обработки данных от вредоносных программ. Это означает, например, что вы должны:

• Убедитесь, что все приложения или другой исполняемый код, который вы развертываете на своем экземпляре, поступает из надежного источника.
• Убедитесь, что образ машины Amazon (AMI), из которого вы запускаете свой экземпляр (если вы используете образы AMI), также получен из надежного источника.
• Убедитесь, что гостевая операционная система на вашем экземпляре надежно защищена в соответствии со стандартными процедурами повышения безопасности для этой конкретной операционной системы.
• Убедитесь, что гостевая ОС и установленные приложения на вашем экземпляре полностью исправлены, а недавно выпущенные исправления применяются своевременно.
• Убедитесь, что на гостевой ОС установлено и работает доверенное антивирусное программное обеспечение, а сигнатуры этого программного обеспечения регулярно обновляются.

И не забудьте сделать резервную копию ваших инстансов EC2.

Наконец, убедитесь, что вы регулярно создаете резервные копии своих экземпляров EC2, чтобы вы могли быстро восстановить их в случае взлома. Помните, что в реальном мире не существует идеальной безопасности. Поэтому, несмотря на все ваши усилия по обеспечению безопасности ваших инстансов, время от времени с ними, вероятно, случаются плохие вещи.