Як забезпечити безпеку в хмарному середовищі за допомогою AWS

Незалежно від того, де ви перебуваєте під час своєї подорожі у хмару – чи ваша організація тільки починає думати про сервіси з міграції у хмару з локальної мережі, чи ви використовуєте хмарні сервіси протягом багатьох років – безпека завжди є критичним пріоритетом. Але оскільки додавати нові сервіси та розвиватися в хмарі дуже легко, існує постійний ризик того, що ви можете пропустити деякі важливі запобіжні заходи.

Гарна безпека означає впровадження правильних технологій, але вона також залежить від людей і процесів. Залиште прогалини в будь-якій із цих областей, і ймовірність порушення безпеки чи іншого збою зросте. Вам також потрібно стежити за швидкими змінами в інструментах, можливостях і загрозах, щоб переконатися, що ви не створюєте жодних вразливостей у міру зростання вашого бізнесу.

Хороша новина полягає в тому, що Amazon Web Services (AWS) пропонує широкий спектр сервісів, які допоможуть вам бути в курсі ваших потреб у безпеці. Як і преміум-партнер AWS Premier Partner, який має досвід роботи з цими сервісами, SoftwareOne може допомогти вам створити комплексний фундаментбезпеки в хмарному середовищі.

Міграція у хмару потребує надійного фундаменту безпеки

Якщо ви ще не користуєтеся хмарними технологіями, але думаєте про перехід на AWS, команда SoftwareOne допоможе вам правильно почати роботу за допомогою Програми прискорення міграції на AWS (MAP). Це охоплює сервіс AWS Well-Architected, який надає багато корисної інформації про стратегії безпеки для вашої організації, а також допомагає зрозуміти, якими будуть ваші витрати.

Сервіс AWS Well-Architected також може допомогти, якщо ви вже працюєте в хмарі, але хочете оптимізувати свої практики з безпеки. Це відносно швидкий процес, який можна виконати за день або два.

Ключова річ, яку слід розуміти, коли ви переходите у хмарне середовище, полягає в тому, що гіперскейлери інвестують значні кошти в захист своєї інфраструктури. Це означає, що проблеми з безпекою частіше зводяться до того, як користувачі налаштовують і керують додатками у цій хмарній інфраструктурі.

Завдяки Моделі Спільної Відповідальності (Shared Responsibility Model) AWS відповідає за безпеку хмари, тобто захищає все обладнання, програмне забезпечення та іншу інфраструктуру, на якій працюють ваші хмарні сервіси. Клієнти, з іншого боку, відповідають за безпеку в хмарі. Це означає конфігурацію та керування сервісами відповідно до найкращих практик з безпеки, таких як використання управління ідентифікацією з багатофакторною автентифікацією, шифрування конфіденційних даних, налаштування доступів, щоб користувачі могли отримувати доступ лише до завдань, необхідних для їх роботи (принцип найменших привілеїв), і регулярна ротація паролів та ключів доступу.

Щоб глибше зануритися у ваші потреби в безпеці, SoftwareOne може провести оцінку стану безпеки, яка дозволить детально визначити прогалини. Ця оцінка, яку ми запровадили близько чотирьох років тому, передбачає комплексну комбінацію воркшопів із зацікавленими сторонами, автоматизованого сканування вашого середовища AWS і перевірки вручну. Наприкінці ви отримаєте звіт на 80–90 сторінок, який містить оцінку вашої поточної продуктивності у багатьох аспектах безпеки, а також коротко-, середньо- та довгострокові рекомендації щодо посилення ваших практик збезпеки.

Інструменти AWS для будь-яких потреб безпеки хмарних обчислень

Який би підхід ви не обрали, ми зазвичай використовуємо стандартний набір інструментів AWS для безпеки в хмарі, а потім можемо впроваджувати інші сервіси або налаштовувати конфігурації відповідно до конкретних потреб безпеки вашої організації:

1. Одним зі стандартних інструментів є AWS Security Hub. Цей сервіс забезпечує єдиний екран для перегляду активності у вашому хмарному середовищі. Моніторинг можна налаштувати за різними правилами. Наприклад, ви можете автоматизувати перевірки на відповідність загальним стандартам, таким як Центр безпеки в Інтернеті (Center for Internet Security, CIS) або Стандарт безпеки даних індустрії платіжних карток (Payment Card Industry Data Security Standard, PCI DSS). Роблячи це, ви можете щодня переглядати свій рівень дотримання таких правил.
2. AWS Config є ще одним важливим сервісом для моніторингу відповідності та безпеки. Ця служба постійно перевіряє та оцінює конфігурації ваших хмарних ресурсів і попереджає вас про можливі проблеми. Наприклад, якщо ви створюєте правило, яке вимагає зашифрувати всі конфіденційні дані, AWS Config визначить, коли хтось у вашій організації запускає незашифрований екземпляр, та поділиться цією інформацією з AWS Security Hub, який потім може створити для вас заявку на опрацювання.
3. Ще один важливий сервіс для безпеки – AWS CloudTrail. Цей інструмент відстежує та записує активність і використання API в усіх ваших облікових записах користувачів AWS, а також генерує журнали, які можна використовувати для демонстрації вашої відповідності нормативним базам, таким як PCI DSS, Системні й Організаційні Засоби Контролю (System and Organization Controls, SOC) і Закон про Перенесення й Підзвітність Медичного Страхування (Health Insurance Portability and Accountability Act, HIPAA).

Еволюція рівнів захисту від загроз за допомогою сервісів AWS

Оскільки поява загроз ніколи не припиняється, важливо постійно оновлювати та розширювати заходи безпеки вашої організації. AWS і SoftwareOne усвідомлюють, наскільки це важливо, і ми постійно додаємо нові можливості, щоб не відставати від мінливого середовища загроз.

AWS Control Tower, запущений у 2019 році, допомагає безпечно налаштувати середовище з кількома обліковими записами в AWS Cloud. Це – шаблонний інструмент із попередньо налаштованими захисними екранами та вбудованим керуванням. Це майже те саме, що мати експерта за викликом, який автоматично створює всі ваші облікові записи AWS відповідно до передових практик. Ще більш комплексне рішення можна знайти за допомогою Foundational Landing Zone від SoftwareOne. Завдяки такому підходу консультанти SoftwareOne створюють основне середовище для хмари AWS, яке не лише відповідає найкращим практикам, але й може бути розширене за потреби для забезпечення майбутнього зростання.

AWS також надає постійно вдосконалювані можливості виявлення загроз через Amazon GuardDuty, яка використовує Machine Learning для створення моделі вашого хмарного середовища та розуміння того, що є нормальним, а що аномальним.

Тут, у SoftwareOne, ми працюємо над створенням системи, яка автоматизуватиме деякі процеси вимірювання в нашій оцінці стану безпеки. Це дасть нашим клієнтам більше інформації про те, як їхнє середовище безпеки порівнюється з іншими в їхній галузі.

Подібні інновації є важливими, тому що, попри те, що хмарні гіперскейлери, як-от AWS, підтримують і надають вказівки щодо найкращих практик хмарної безпеки та забезпечують дуже високий рівень захисту, ваше середовище може швидко стати дуже розгалуженим і складним, коли ви додаватимете більше сервісів і розвиватиметесь. Автоматичний моніторинг, Machine Learning, Infrastructure as code та інші передові можливості допомагають переконатися, що ви правильно налаштували всі свої сервіси, увімкнули належні рівні захисту та дотримувались найкращих практик безпеки, аварійного відновлення та відповідності.