Услуги Amazon Web Services или AWS Cloud Security является решающим предметом в современной среде кибербезопасности. Больше предприятий принимает облачные услуги и переход на AWS. Учитывая нынешний ландшафт, нет сомнений, что Amazon Web Services (AWS) предлагает Лучшие функции безопасности AWS пользователи полностью защищены свои инфраструктуры.
Но безопасность — это общая ответственность AWS, а также пользователей. Возможно, вы внедрили основные практики безопасности AWS. Тем не менее, поскольку большой объем ресурсов запускается и модифицируется в вашей облачной инфраструктуре AWS регулярно, возможно, что вы могли бы пропустить несколько лучших практик обеспечения безопасности AWS.
Что такое AWS?
Amazon Web Services (AWS) — это широко используемая комплексная и обеспеченная облачная платформа, которая предлагает полностью оборудованные услуги, такие как вычислительная мощность, доставку контента, хранение баз данных и другие функции, чтобы помочь предприятиям глобально. AWS предлагает множество решений и инструментов для разработчиков программного обеспечения и предприятий, которые помогут им понять их работу и расти.
AWS разделен на разные услуги, и каждая услуга может быть настроена в соответствии с потребностями пользователя. Это позволяет пользователям размещать динамические веб-сайты путем выполнения серверов веб-и приложений в облаке; Используйте управляемые базы данных, такие как Oracle, MySQL или SQL Server для хранения информации; И надежно хранить файлы на облаке, чтобы они могли получить доступ к ним из любого места.
С доставленными преимуществами, которые предлагает AWS, приходит ответственность за поддержание безопасности, чтобы ваши данные были в безопасности в облаке.
Давайте рассмотрим больше о лучших практиках облачной безопасности AWS и как вы можете реализовать их для обеспечения повышения безопасности.
Лучшие практики для обеспечения AWS Cloud Security
1. Поместите свою стратегию сначала и определите, поддерживает ли он различные инструменты и элементы управления.
Там много Дебаты Вокруг независимо от того, должны ли вы поставить инструменты и элементы управления на месте сначала или настроить стратегию безопасности. Хотя это может показаться нижестоящим обсуждением, ответ более сложный. Обычно рекомендуется сначала установить стратегию безопасности, чтобы при доступе к инструменту или управлению вы можете оценить, и насколько хорошо он поддерживает вашу стратегию.
Более того, он позволяет выпекать безопасность во всех организационных функциях, в том числе полагаться на AWS. Первая стратегия безопасности на месте сначала также имеет большую помощь с постоянным развертыванием.
Например, если ваша компания использует инструменты управления конфигурацией, такие как Anisible, шеф-повар и т. Д. Для автоматизации программных исправлений и обновлений, то наличие сильной стратегии безопасности на месте поможет вам реализовать мониторинг безопасности на всех инструментах с одного дня.
2. Обеспечить прозрачную, последовательную облачную безопасность контроля и процедуры.
Большинство последних атак S3 связаны с нарушениями ведра S3, которые содержали конфиденциальную информацию, и которые были установлены на «публику». Тем не менее, ведра S3 по умолчанию установлены на «частные», то есть только конкретные пользователи с привилегиями могут получить доступ к этим ведрам.
Чтобы обеспечить безопасность данных в ведра S3 или в облаке, создайте набор четко написанных и последовательных контролей и процедур безопасности. Они должны определить тип данных, которые можно хранить в облаке, построить иерархию для классификации конфиденциальных данных, и определить, кто должен иметь доступ к ним доступ.
3. Примените безопасность всем слоям.
Убедитесь, что вы применяете безопасность всем слоям. Наличие всего одного брандмауэра в инфраструктуре недостаточно. Скорее, имеют виртуальные брандмауэры на всех ваших виртуальных сетях для контроля и мониторинга сетевого трафика для защиты вашей инфраструктуры и операционной системы. Вы можете легко установить эти брандмауэры от AWS Marketplace.
4. Используйте рычаги родных облачных ресурсов безопасности.
Развертывая инструменты, такие как Amazon Cloudfront в вашем приложении, вы можете Защитите свои веб-приложения размещены в любом месте мира. Существует множество местных инструментов безопасности AWS, таких как AWS Shield, Guard Duty и Cloud Watch с готовностью доступен, что может помочь вам защитить вашу облачную среду.
Кроме того, стандартные рамки соответствия, такие как изображения Amazon Machine (AMIS) и серии ISO/IEC 27000, которые являются предварительно настроены с различными встроенными элементами соответствия, могут предложить значительную переднюю работу, которую уже сделано для вас.
5. Разработать культуру безопасности.
Поддержание безопасности должно быть усилие в верхнем до Ниже с каждым членом Организации, принимающей ответственность за нее. Особенно в сегодняшнее время, когда есть Отсутствие профессионалов кибербезопасности И трудно найти людей, которые опытны в новейших технологиях и инструментах.
Есть ли у вас специальная команда по безопасности или нет сотрудников Infosec вообще, убедитесь, что вы тренируете всех своих сотрудников о важности безопасности и того, как они могут способствовать укреплению общей безопасности организации.
6. Мониторинг доступа пользователя для вашей базы данных.
Важно, чтобы вы контролировали доступ к пользователю для вашей базы данных и определите их цель. Например, намекайте на все административные задачи, чтобы обеспечить реализующуюся после перехода в облако.
Кроме того, если ваше приложение использует внешние источники данных, рассмотрим использование таких элементов управления, как проверка целостности данных, а также шифрование данных, для поддержания целостности данных и конфиденциальности.
7. Настройте политику пароля.
Протяженность пароля, атаки грубой силы, а также начинка для учетных данных — это некоторые из наиболее распространенных атак безопасности, которые киберпреступники используют для целевых организаций и их пользователей. Наличие сильной политики паролей на месте имеет решающее значение для безопасности вашей организации, поскольку она может значительно снизить вероятность нарушения безопасности.
Рассмотрите возможность создания политики пароля, которая описывает набор условий для создания пароля, модификации и удаления. Например, внедрение многофакторной аутентификации, автоматизированная блокировка после нескольких неудачных попыток входа в систему или политику обновления пароля через определенный период времени (например, 60 дней).
8. Используйте инструменты генератора паролей для создания сложных, безопасных паролей.
Если у вас есть надежный политик паролей, используйте генераторы паролей для создания сложных безопасных паролей, которые менее вероятно, будут взломаны злоумышленником.
AWS позволяет вам обеспечить применение политики сложных паролей в разделе «Пароль Password». Наличие смеси верхних и нижних случаев, числовых и специальных символов поможет вам создать относительно более безопасный пароль по сравнению с вашим именем или вашим именем.
9. Шифровать конфиденциальную информацию.
Шифрование вашей конфиденциальной информации может пройти долгий путь в обеспечении ваших данных. Это довольно легко и просто включить шифрование в AWS, особенно если вы выбрали свое собственное шифрование, которое предоставляет HTTPS и Close-End SSL/TLS для APIS и AWS Service. Как вы можете зашифровать конфиденциальные данные?
Вы также можете использовать масштабируемое управление ключом для создания, определения, поворота и аудита ваших клавиш шифрования в одном месте. Для шифрования на стороне клиента используйте AWS шифрование с EBS, RDS и S3 или Azure Secure Security Server Server Server (SWSW) с файлами и лобмиками. Убедитесь, что данные, хранящиеся на S3 VIA SSL, зашифрованы конечные точки для защиты данных в транзите.
10. Не используйте истекшие сертификаты.
Сохраняйте свои сертификаты SSL/TLS, обновляемые по мере более старой версии, не могут быть совместимы с службами AWS, что может привести к ошибкам для пользовательских приложений или эльба, влияющих на общую безопасность и производительность вашей компании.
11. Регулярно резервное копирование ваших данных.
Каждая организация должна создавать регулярные резервные копии своих данных. В AWS ваша стратегия резервного копирования зависит от существующей установки IT, характер ваших данных и требований отрасли. Как вы можете сделать резервную копию ваших данных в AWS?
AWS предлагает гибкие решения для резервного копирования и восстановления для защиты ваших данных против кибер-кражи и нарушений безопасности. Вы можете использовать резервную копию AWS, который предоставляет централизованную консоль для управления и автоматизации резервных копий всех услуг AWS.
Он объединяет Amazon RDS, Amazon EFS Amazon, Amazon Dynamodb, AWS Storage Gateway и Amazon EBS, чтобы включить регулярные резервные копии ключевых хранилищ данных, таких как базы данных, файловые системы и объемы хранения.
12. Используйте шифрование EBS.
Шифрование Amazon EBS обеспечивает простое решение шифрования, которое не требует, чтобы вы построить, поддерживать и защищать собственную ключевую инфраструктуру управления для ваших ресурсов EBS.
Шифрование происходит на серверах, хостинговых экземпляров EC2 и обеспечивает безопасность как передач данных, так и для передачи данных, так и для хранения данных EBS. С шифрованием Amazon EBS вы можете зашифровать как объемы данных, так и загрузки экземпляра EC2.
13. Блокировка ваших учетных данных корневой учетной записи.
Учетные данные корневой учетной записи позволяют пользователям полный доступ к ресурсам в системе, однако это делает систему уязвимы для нарушений безопасности Отказ
Вместо того, чтобы ключи доступа к корневым счетом, реализуйте идентификатор и пользователь управления доступа (IAM), который определяет и управляет привилегиями доступа и ролями отдельных пользователей сети. Кроме того, используйте многофакторную аутентификацию (MFA) для повышения безопасности, поскольку он добавляет дополнительный слой защиты.
14. Держите свою политику и практики AWS в курсе.
Важным способом обеспечения вашей облачной инфраструктуры AWS является создание последовательных политик безопасности, которые могут следовать каждому человеку. Реализация четких и лаконичных практик безопасности вы можете защитить свою облачную среду AWS от распределенных отвязку услуг (DDOS) атак, несанкционированного использования/доступа, вредоносных программ, хакеров и других рисков.
Убедитесь, что вы документируете все свои политики и процессы AWS и храните их в обычном месте, как общий диск во внутренней сети, где каждый человек может получить доступ к ним. Продолжайте обновлять этот документ регулярно с последним подходом облачного безопасности, чтобы убедиться, что все ваши сотрудники, сторонние поставщики, торговые партнеры и заинтересованные стороны остаются на одной странице.
15. Используйте отчетность уязвимости.
С ростом количества атак кибербезопасности, сейчас важно для бизнеса, чтобы оценить свою инфраструктуру и Определите уязвимости это может привести их к риску. В AWS пользователи рекомендуются избегать ввода паролей, нажав на ссылки или загрузки вложений по электронной почте, который выглядит подозрительно. Что если пользователи обнаруживают подозрительную активность или электронные письма?
Пользователи могут напрямую сообщить о подозрительных электронных письмах в систему Amazon. Не только это предупреждает о потенциальных облачных нарушениях безопасности против вашей организации, но также создает культуру безопасности и создает осведомленность среди пользователей.
Вы также можете сообщить о потенциальных взломах и фишинговых мошенничествах властям, таких как Локальный офис ФБР, Центр жалоба в Интернете или секретную службу США.
16. Убедитесь, что все ваши серверы исправлены.
Убедитесь, что вы исправляете все ваши облачные серверы AWS, даже если они не являются публично доступными. Есть много доступных инструментов, которые могут помочь вам автоматизировать и управлять процессом исправления ваших облачных серверов AWS.
Например, AWS Systems Manager Chatch Manager позволяет автоматизировать и управлять экземплярами, связанными с обоими AWS Security, так и другими типами обновлений. С помощью менеджера PATCH вы можете применить патчи в массив экземпляров Amazon EC2, виртуальных машин (VMS) и ваших локальных серверов.
17. Используйте ключевые политики для контроля доступа к CMSS.
Каждый CMK в KMS KMS имеет ключевую политику, связанную с ней, которая определяет использование и управление ключевыми разрешениями. Политика ключей по умолчанию позволяет пользователю определять принципов и включить пользователя root в учетной записи для определения политик IAM.
Чтобы обеспечить лучшую практику безопасности AWS, измените ключевую политику по умолчанию в соответствии с требованиями вашей компании. Кроме того, внедрение наименьших привилегий доступа, который ограничивает доступ пользователей только к этим ресурсам, которые они абсолютно требуют доступа к выполнению законных бизнес-функций.
18. Реализация протоколов и политик прочной сетевой безопасности.
Часто люди имеют председательствующий представление о том, что AWS предлагает инфраструктуру корпоративного класса, позаботится о безопасности. В то время как сеть AWS предоставляет значительные элементы управления безопасностью и позволяют организациям настроить такие настройки, как порты брандмауэра и элементы управления доступом, которые в одиночку не достаточно, чтобы полностью защитить вашу сеть полностью.
Усовершенствованные вредоносные программы могут нацелить свои AWS через атаки SQL впрыска, сетевой трафик, ботнеты и скрипты на сайт. Кроме того, если один виртуальный сервер AWS скомпрометируется, он может повлиять на другие уязвимые серверы, работающие в той же среде.
Как вы можете защитить свои AWS от кибер-атак?
Чтобы обеспечить более высокую безопасность, интегрировать «разделяемую модель ответственности», которая определяет вашу ответственность от безопасности Amazon. Например, реализовать аутентификацию целостности данных, как на стороне на стороне серверов, так и на стороне клиента, проверка сети, аутентификация и шифрование.
Принесите свою службу безопасности в начале процесса, чтобы обеспечить безопасность, позаботится от первого дня. Не предполагайте, что облачная безопасность AWS будет вмешиваться в ловкость вашей организации.
19. Выберите регионы для управления задержкой сети и нормативно-правовой соблюдения.
AWS предоставляет информацию о государстве и стране, где каждый регион проживает. Убедитесь, что вы управляете сетевой задержкой и нормативным соответствием в соответствии с регионами.
20. Мониторинг доступа к пользователю для консоли управления AWS.
Консоль управления AWS — это похоже на расширенную панель инструментов на сайте, откуда вы можете полностью контролировать и управлять всеми вашими ресурсами AWS и экземплярами. Некоторые из ключевых функций, которые AWS Management Console предлагает, создает новые виртуальные машины, удаляя любые текущие виртуальные машины или изменение других услуг AWS.
Наличие доступа к этой консоли аналогична ключевым ключам в царство. Убедитесь, что вы отслеживаете доступ к пользователю к консоли управления AWS и обнаруживаете несанкционированный доступ.
21. Используйте AMIS для компонентов платформы.
Вместо того, чтобы настроить сервер Linux или машины WordPress с нуля, используйте изображения Amazon Machine (AMIS), чтобы запустить экземпляр. Один AMI может помочь вам запустить несколько экземпляров с той же конфигурацией.
Вы также можете использовать разные AMIS, чтобы запустить экземпляры с различными конфигурациями. Использование AMI поможет вам сохранить время и усилия, необходимые для настройки конфигурации безопасности AWS, а также снижают риски.
Последние мысли
Когда вы переходите на облачную инфраструктуру AWS или выращивать существующие AWS, вам нужно будет глубже посмотреть в безопасность вашей инфраструктуры AWS. Пользователям также необходимо обновить о последних изменениях, которые усыновляют лучшие, более полные меры безопасности. Это были всего лишь несколько лучших практик безопасности AWS, которые вы можете реализовать, чтобы поддерживать сильную безопасность для вашей экосистемы AWS.
Этот пост был первоначально опубликован на CypressDataDefense.com .
Оригинал: «https://dev.to/joywinter90/21-best-practices-for-aws-cloud-security-2jab»