Защитите сервисы и ресурсы с помощью AWS Identity and Access Management (часть 4)

• Защитите сервисы и ресурсы с помощью AWS Identity and Access Management (часть 3)
• Защитите сервисы и ресурсы с помощью AWS Identity and Access Management (часть 5)

Введение

В этой статье, состоящей из нескольких частей, мы обсуждаем, как использовать AWS Identity and Access Management (IAM) для создания пользователей и групп и управления ими, а также для назначения им разрешений, чтобы детально контролировать, как они могут получить доступ к вашим ресурсам AWS. В части 1 мы говорили об основах IAM: как это работает, о пользователях и группах, аутентификации и учетных данных. Затем мы представили концепцию политик IAM. Во второй части мы более подробно изучили тему политик, разрешений и ролей IAM, а также то, как интегрировать IAM в федеративную среду. В части 3 мы продолжили обсуждение политик с некоторыми особенностями работы с управляемыми политиками с помощью Консоли управления AWS и интерфейса командной строки AWS.

Введение в CloudTrail

Возможно, вы не знакомы с Amazon CloudTrail, поскольку это один из множества сервисов, предлагаемых AWS. CloudTrail важен для пользователей AWS, которым необходимо отслеживать изменения и выполнять анализ безопасности, а это почти все мы в этом строго регулируемом ИТ-мире, в котором мы живем сегодня. Если на вашу организацию распространяются правительственные или отраслевые требования по соблюдению требований, CloudTrail может помочь вам предоставить информацию, которая неизбежно будет запрошена для аудита соответствия.

Даже если вам посчастливилось работать в компании, которая по закону или договору не обязана документировать и доказывать, что вы реализовали определенные уровни безопасности, разумной деловой практикой является поддержание высокой степени прозрачности того, что делают ваши пользователи. делают. В конце концов, преднамеренные или непреднамеренные компрометации со стороны пользователей сегодня составляют большой процент причин нарушений безопасности.

CloudTrail записывает вызовы API для вашей учетной записи и записывает эту информацию в журналы, которые затем предоставляет вам. Это означает много полезной информации о звонящем пользователе и самом звонке: личность пользователя, исходный IP-адрес, с которого поступил звонок, время совершения звонка, параметры запроса и ответ, который был возвращен. используемым сервисом AWS. Сюда входят вызовы, сделанные через Консоль управления, утилиты командной строки, SDK и службы более высокого уровня.

CloudTrail поддерживает длинный список сервисов AWS, включая EC2, EBS, CloudFront и Glacier, RDS, Redshift и другие базы данных, Amazon Virtual Private Cloud, Simple Que Service и Simple Notification Service, AWS Directory Service и целый ряд других. включая, что наиболее важно для этого обсуждения, AWS IAM.

Набор функций CloudTrail

Что это значит для вас как администратора AWS? Это означает, что у вас есть гораздо больше информации и контроля над тем, что происходит с вашими сервисами AWS. Вы можете определить, какой пользователь выполнил определенное действие, или выявить закономерности поведения конкретных пользователей. Вы можете узнать, какие пользователи получают доступ к определенным службам и когда. Вы также можете увидеть, какие действия пользователи, возможно, пытались выполнить и не смогли сделать из-за отсутствия соответствующих разрешений, что может дать представление о попытках инсайдеров обойти ваши ограничения.

Файлы журнала доставляются вам быстро, что может быть важно в случае действий, которые могут привести к нарушениям безопасности, и вы можете настроить CloudTrail для отправки вам уведомления при доставке файла журнала. Вы также можете настроить его для отправки уведомлений SNS, если выполняется определенное действие. С помощью CloudWatch вы можете настроить мониторинг событий CloudTrail и получать уведомления по электронной почте, когда происходят указанные события. Amazon предоставляет редактируемые шаблоны CloudFormation, чтобы упростить предопределение фильтров метрик CloudWatch и сигналов тревоги для этой цели.

Файлы журналов хранятся в службе хранилища S3, и если у вас большое количество файлов, вы даже можете настроить ее так, чтобы старые файлы журналов автоматически архивировались в долговременное хранилище Amazon Glacier, что обойдется вам дешевле (но извлечение займет больше времени). Вы можете объединять файлы журналов по учетным записям и регионам в одну и ту же корзину S3, чтобы упростить их поиск и доступ к ним.

Говоря о стоимости, хорошая новость заключается в том, что CloudTrail бесплатен. Ну вроде. Дополнительная плата за использование службы ведения журнала не взимается. Плохая новость заключается в том, что вам платить за использование пространства хранения Amazon S3, которое используют журналы, а также за использование службы Simple Notification Service, если вы хотите получать уведомления, хотя обычно количество ресурсов, которые будут использоваться от CloudTrail невелика, и дополнительные сборы составят незначительную сумму (Amazon заявляет, что для большинства клиентов это значительно меньше десяти долларов в месяц). Конечно, ваш пробег может варьироваться — эй, Verizon говорит, что их типичному клиенту никогда не понадобится больше 2 ГБ мобильных данных в месяц, но мой муж и я находим, что мы несколько нетипичны. CloudTrail также интегрируется с CloudWatch, и при совместном использовании CloudTrail применяются стандартные цены на журналы CloudWatch и другие сборы.

Как использовать CloudTrail

Служба CloudTrail доступна в качестве опции в вашей учетной записи AWS, но по умолчанию она отключена, поэтому вам необходимо сначала включить ее, чтобы начать ее использовать. Вы можете легко включить его с помощью Консоли управления AWS, и это займет всего пару кликов.

Когда вы включаете CloudTrail, вы делаете это для определенного региона, поэтому, если вы используете более одного региона для AWS, вам нужно будет включить его для каждого региона отдельно. Как упоминалось ранее, вы можете объединить все журналы из разных регионов в одну корзину S3, но это не обязательно. Вы можете иметь отдельные корзины для каждого региона, если хотите. Однако имейте в виду, что не все регионы поддерживают CloudTrail. На момент написания этой статьи он поддерживается в следующих регионах США, Европы, Азиатско-Тихоокеанского региона и Южной Америки:

• Восток США
• Запад США
• США GovCloud
• ЕС (Ирландия)
• ЕС (Франкфурт-на-Майне)
• AP Северо-восток
• AP Юго-восток
• ЮАР Восток

Безопасность

Конечно, с любым облачным сервисом безопасность всегда вызывает беспокойство. Как часто мы слышали истории о программном обеспечении и услугах, которые были разработаны для обеспечения соответствия требованиям безопасности, но в конечном итоге сами по себе создавали риски для безопасности? Вся эта информация, собранная CloudTrail о ваших действиях пользователя, может быть использована против вас киберпреступником, поэтому имеет смысл беспокоиться и хотеть точно знать, насколько безопасны эти данные.

Файлы журналов, созданные CloudTrail, по умолчанию шифруются перед перемещением в корзину(и) хранилища Amazon S3. Вы можете использовать многофакторную аутентификацию S3 (MFA), которую мы обсуждали в предыдущей статье, для повышения уровня безопасности файлов журналов. В частности, в S3 есть функция MFA Delete, которая не позволит никому безвозвратно удалить версию объекта или изменить состояние версии корзины, если они не предоставят две формы проверки подлинности.

Две формы проверки подлинности, необходимые для удаления MFA, состоят из ваших обычных учетных данных безопасности (имя пользователя и пароль) и второго фактора, который представляет собой число, созданное путем объединения действительного серийного номера и шестизначного кода, отображаемого в утвержденной проверке подлинности. устройства, разделенные пробелом. Устройство аутентификации может быть виртуальным устройством, созданным в программном обеспечении, работающем на смартфоне или планшете, или может быть одним из двух типов аппаратных устройств аутентификации: брелком или картой дисплея. Аппаратные устройства можно приобрести на Amazon менее чем за двадцать долларов каждое. Виртуальное устройство является бесплатным и может использоваться с любым приложением TOTP (одноразовый пароль на основе времени).

Примечание:
Имейте в виду, что только владелец корзины Amazon S3 может включить удаление MFA для корзины.

В дополнение к этим защитным механизмам вы также можете применять политики корзины IAM или S3 к данным в корзинах.

Что регистрируется

Вам может быть интересно, какие именно данные IAM регистрируются CloudTrail. Ниже приведены некоторые примеры:

• События входа: когда пользователи или учетная запись AWS входят в сервисы AWS, в журнал записываются как неудачные, так и успешные события входа. Некоторая информация о неудачных попытках входа не регистрируется, если эта информация потенциально может привести к нарушению безопасности (например, пользователь случайно вводит свой пароль в поле имени пользователя).
• Запросы API к службе IAM и AWS Security Token Service: все аутентифицированные запросы API регистрируются с одним исключением (DecodeAuthorizationMessage). Запросы, не прошедшие проверку подлинности, не регистрируются.
• Запросы API к другим сервисам AWS. Информация о пользователе регистрируется, когда пользователь входит в другой поддерживаемый сервис Amazon, например EC2 или EBS.

Резюме

В этой части 4 нашей серии, посвященной AWS Identity and Access Management, мы представили и обсудили сервис ведения журналов CloudTrail и то, как он работает с IAM, чтобы вам было проще отслеживать действия и события пользователей как в целях безопасности и контроля, так и в качестве часть контрольного следа соответствия. В следующий раз, в части 5, мы собираемся завершить серию несколькими советами по устранению распространенных проблем с IAM.

• Защитите сервисы и ресурсы с помощью AWS Identity and Access Management (часть 3)
• Защитите сервисы и ресурсы с помощью AWS Identity and Access Management (часть 5)