Open in app

Sign in

Write

Sign in

Bezpieczeństwo w Chmurze AWS — Kluczowe Kroki Naprawcze Po AWS Well-Architected Review🛡️

Julia Chotkiewicz
4 min readFeb 26, 2024

Wersja ENG tutaj

AWS Well-Architected Review (WAR) to proces projektowany do oceny infrastruktury chmurowej i aplikacji działających w środowisku AWS, aby zapewnić zgodność z najlepszymi praktykami określonymi w AWS Well-Architected Framework. Podczas przeglądu z klientem identyfikuję potencjalne problemy w ich architekturze, które mogą wpływać na operacje biznesowe, wydajność, niezawodność, bezpieczeństwo, koszty i zrównoważony rozwój (6 filarów), po czym dążę do ustanowienia remediacji, by poprawić bezpieczeństwo środowiska, jak również inne elementy ważne dla klienta. WAR może wydawać się czymś monotonnym lecz tak nie jest, bo każda organizacja ma swoje indywidualne case’y, stak technologiczny oraz inne potrzeby organizacyjne. Dlatego w czasie całego procesu istotne jest indywidualne podejście.

W ciągu ostatnich miesięcy poświęciłam sporo czasu na przeprowadzanie AWS WAR. Omawiany proces nie zawsze jest doceniany, ale z perspektywy rozwoju w chmurze jest niezwykle cennym doświadczeniem. I nie mówię tutaj tylko o tym, co ja osobiście mogę zyskać z takich rozmów i całego procesu WAR, ale przede wszystkim o tym, jak może to pomóc innym w holistycznym podejściu do tego, co oferuje AWS.
W tym artykule przyjrzymy się niektórym z wielu kroków naprawczych dotyczących bezpieczeństwa, zidentyfikowanych na podstawie moich ostatnich doświadczeń z omawianym narzędziem.

Wzmacnianie Zarządzania Tożsamością i Dostępem (IAM)

  • Moc konta root jest niezrównana. Zabezpiecz je silnym, skomplikowanym hasłem i regularnie je aktualizuj.
  • Włącz uwierzytelnianie wieloskładnikowe (MFA) dla konta root i wszystkich kont użytkowników, szczególnie tych z wysokimi uprawnieniami.
  • Twórz i używaj użytkowników IAM z odpowiednimi uprawnieniami zamiast korzystać bezpośrednio z konta root.
  • Regularnie audytuj poświadczenia IAM za pomocą narzędzi takich jak AWS IAM Credential Report i wdrażaj polityki rotacji poświadczeń oraz automatyzację z użyciem usług AWS takich jak AWS IAM, AWS Lambda, AWS Systems Manager Parameter Store i AWS Secrets Manager.
  • Korzystaj z AWS IAM Identity Center (SSO) do jednokrotnego logowania i centralnego zarządzania dostępem.
  • Zdefiniuj polityki dotyczące siły hasła, w tym minimalną długość i użycie różnych typów znaków.
  • Konfiguruj monitorowanie nieudanych prób logowania i szybko reaguj na wszelkie podejrzane działania.
  • Regularnie przeglądaj i aktualizuj uprawnienia dostępu, usuwając niepotrzebne lub przestarzałe uprawnienia, aby zachować zasadę najmniejszych uprawnień.
  • Zapewnij swoim pracownikom szkolenia na temat najlepszych praktyk bezpieczeństwa dotyczących usług AWS i ryzyka związanego z niebezpiecznymi praktykami logowania.

Compliance i Governance

  • Zidentyfikuj i zrozum wszystkie wymagania dotyczące zgodności mające zastosowanie dla Twojej aplikacji, takie jak np. GDPR czy PCI-DSS.
  • Przeprowadź szczegółową analizę zagrożeń i ocenę ryzyka dla środowiska.
  • Wdroż kontrolki, takie jak szyfrowanie danych i MFA, aby osiągnąć cele zgodności.
  • Regularnie weryfikuj skuteczność wdrożonych kontroli i dokumentuj wszystkie procesy i procedury.
  • Podnoś świadomość wśród zespołów na temat polityk bezpieczeństwa, zgodności i najlepszych praktyk.

Wykrywanie Zagrożeń i Reagowanie na Incydenty

  • Subskrybuj kanały informacji o zagrożeniach, w tym listę Common Vulnerabilities and Exposures (CVE), aby być na bieżąco z nowymi zagrożeniami.
  • Rozważ użycie AWS GuardDuty, AWS Security Hub i Amazon CloudWatch do automatycznego monitorowania i alarmowania o nietypowych działaniach.
  • Rozwijaj i regularnie aktualizuj plan reagowania na incydenty. To przygotowanie jest kluczowe dla szybkiej i skutecznej reakcji na incydenty bezpieczeństwa, minimalizując potencjalny wpływ na operacje biznesowe.
  • Rozważ dodatkowe narzędzia od partnerów AWS lub zewnętrznych firm do bardziej kompleksowej analizy zagrożeń i ochrony.

Monitorowanie i Audyt Bezpieczeństwa

  • Regularnie przeglądaj biuletyny bezpieczeństwa AWS i stosuj najlepsze praktyki oraz wytyczne AWS, w tym te w ramach AWS Well-Architected Framework.
  • Użyj AWS Config i innych narzędzi AWS do ciągłego monitorowania i audytu środowiska AWS.
  • Włącz logowanie dla usług, takich jak Amazon CloudWatch Logs, Amazon S3 Access Logs i AWS CloudTrail. Dostosuj poziom szczegółowości logów i konfiguruj automatyczne narzędzia do monitorowania logów.
  • Zdefiniuj polityki archiwizacji i retencji logów, aby spełnić wymogi regulacyjne i umożliwić długoterminową analizę.
  • Zintegruj logi z narzędziami do analizy zaawansowanego wyszukiwania, raportowania i analizy logów, np. Amazon CloudWatch Logs Insights. Możesz użyć tych narzędzi stron trzecich, takich jak Splunk czy Elasticsearch.
  • Planuj regularne przeglądy logów, aby identyfikować potencjalne zagrożenia lub błędy konfiguracji.

Ochrona Danych i Szyfrowanie

  • Utwórz precyzyjny katalog danych, klasyfikując dane na podstawie wrażliwości i znaczenia, aby dostosować środki ochrony.
  • Regularnie audytuj dane, aby zapewnić zgodność z politykami bezpieczeństwa i regulacjami.
  • Zidentyfikuj i zabezpiecz dane osobowe (PII) za pomocą szyfrowania i innych mechanizmów ochrony.
  • Użyj AWS KMS do zarządzania kluczami szyfrowania, wdrażając rotację kluczy i precyzyjną kontrolę dostępu do kluczy.
  • Konfiguruj polityki dostępu do danych z IAM i monitoruj dostęp do danych, aby zapobiec nieautoryzowanym próbom.
  • Zdefiniuj procedury usuwania danych, które nie są już potrzebne, wykorzystując narzędzia takie jak np. Amazon S3 Lifecycle do automatycznego wykonywania tego zadania.
  • Zapewnij szyfrowanie danych w spoczynku i w transmisji, stosując odpowiednie środki bezpieczeństwa, aby chronić klucze przed nieautoryzowanym dostępem.

Bezpieczeństwo Sieci i Aplikacji

  • Wdroż solidne kontrole dostępu do sieci za pomocą list kontroli dostępu do sieci (NACLs) i Security Groups.
  • Użyj AWS Web Application Firewall (WAF) i/lub innych środków ochrony stron trzecich dla ochrony aplikacji internetowych.
  • Regularnie skanuj pod kątem podatności za pomocą AWS Inspector i utrzymuj aktualizacje oprogramowania.
  • Zminimalizuj liczbę wystawionych punktów końcowych i usług, stosując zasadę najmniejszych uprawnień.

Bezpieczeństwo i Odporność Infrastruktury

  • Ustal regularny harmonogram testów penetracyjnych, aby identyfikować podatności i poprawiać postawę bezpieczeństwa.
  • Wykorzystaj AWS CloudFormation, Terraform i/ lub inne narzędzia infrastructure as code (IaC) do kontrolowanych i powtarzalnych wdrożeń.
  • Wdroż praktyki CI/CD za pomocą np. AWS CodePipeline z AWS CodeDeploy, Jenkins lub GitLab do automatycznego testowania i wdrażania.
  • Stosuj kluczowe zasady bezpieczeństwa w procesach wdrażania, przeprowadzaj regularne audyty i używaj automatycznych narzędzi do ciągłego skanowania podatności.

Podsumowując, AWS Well-Architected Review to coś więcej niż tylko ocena, to plan działania mający na celu poprawę postawy bezpieczeństwa i zgodności w Twoim środowisku chmurowym. Dzięki wdrożeniu zidentyfikowanych działań naprawczych organizacje (w tym Twoja) mogą nie tylko zmniejszyć ryzyko, ale także zoptymalizować wydajność i niezawodność, zapewniając bezpieczną i odporną infrastrukturę chmurową.

--

--

Julia Chotkiewicz

Written by Julia Chotkiewicz

22 Followers

Cloud Security Engineer | AWS Community Builder | AWS Certified | Talks about #aws, #cloud, #security, and #cybersecurityawareness

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams