Способы обеспечения информационной безопасности сервисов Amazon Web Services

Как и любая другая облачная платформа, Amazon Web Services (далее – AWS) нуждается в четко выстроенной, эшелонированной системе обеспечения информационной безопасности. В данной статье будут рассмотрены основные механизмы обеспечения информационной безопасности при использовании AWS, как действующие со стороны пользователя, так и Amazon.

Аннотация статьи
информационная безопасность
идентификация
система защиты информации
Amazon Web Services
стандарты безопасности
контроль доступа
сервисы безопасности
инциденты информационной безопасности
Ключевые слова

Разделение зон ответственности в обеспечении информационной безопасности

Сетевая инфраструктура, центры обработки данных и многие другие компоненты AWS спроектированы и управляются в полном соответствии со спектром стандартов информационной безопасности, включая SOC 1 / SSAE 16 / ISAE 3402 (ранее SAS 70 Type II), SOC2, SOC3, FISMA, DIACAP, FedRAMP, PCI DSS Level 1, ISO 27001, ITAR, HIPPA и Cloud Security Alliance.

Пользователь, при размещении своего приложения на AWS принимает соглашение, которое описывает разграничение обязанностей по информационной безопасности. Основная цель AWS – обеспечение информационной безопасности хостов, уровней визуализации и сетевых соединений. Пользователь, в свою очередь отвечает за информационную безопасность всех продуктов, которые он разворачивает на инфраструктуре AWS. На рисунке представлена совокупность зон ответственности в обеспечении информационной безопасности AWS.

Рис. Разграничение зон ответственности в обеспечении информационной безопасности

Таким образом, существует четкое разделение ответственности между AWS и пользователем, которое кратко можно описать следующим образом. AWS обеспечивает безопасность инфраструктуры, центров обработки данных, сетей передачи данных, вычислительных ресурсов и прочих узловых элементов. Пользователи AWS несут ответственность за безопасное использование сервисов AWS, которые считаются неуправляемыми. Проще говоря, AWS отвечает за платформу, пользователь за наполнение.

AWS несет ответственность за:

  1. Обеспечение использования AWS и пользовательских приложений в соответствии с внутренними и внешними политиками информационной безопасности;
  2. Обеспечение сетевой безопасности;
  3. Безопасная настройка управляемых сервисов AWS;
  4. Обеспечение контроля физического доступа к оборудованию /программному обеспечению;
  5. Обеспечение экологической безопасности на случай массовых отключений электроэнергии, землетрясений, наводнений и других стихийных бедствий;
  6. Исправление базы данных;
  7. Защита от эксплойтов AWS нулевого дня и других уязвимостей.

Пользователь несет ответственность за:

  1. Предотвращение или обнаружение случаев взлома учетной записи AWS;
  2. Предотвращение или обнаружение небезопасного поведения привилегированного или обычного пользователя AWS;
  3. Предотвращение загрузки конфиденциальных данных в приложения или совместного использования ими из приложений ненадлежащим образом;
  4. Безопасная настройка сервисов AWS (за исключением управляемых сервисов AWS);
  5. Ограничение доступа к сервисам AWS или пользовательским приложениям только для тех пользователей, которым это необходимо;
  6. Обновление гостевых операционных систем и применение исправлений безопасности;
  7. Обеспечение использования AWS и пользовательских приложений в соответствии с внутренними и внешними политиками;
  8. Обеспечение сетевой безопасности.

Сервисы AWS по обеспечению информационной безопасности

При работе с инфраструктурой AWS распространенными причинами инцидентов безопасности являются:

  • Ошибки, связанные с обслуживанием инфраструктуры (удаление или неправильная модификация, или конфигурация ресурсов).
  • Ошибки при создании приложений (жестко запрограммированные конфигурации, отсутствие корректной обработки ошибок и т.д.)
  • Взломы приложений и инфраструктурные атаки, нацеленные на внутренние уязвимости.

Для предотвращения подобных инцидентов существует система обеспечения информационной безопасности. Инфраструктура обеспечения информационной безопасности сервисов AWS разделена на пять типовых категорий:

  1. Управление идентификацией и разграничением доступа;
  2. Средства обнаружения и реагирования на инциденты информационной безопасности;
  3. Средства защиты сетевых ресурсов и уровня приложений;
  4. Средства обеспечения безопасности данных;
  5. Средства определения соответствия требованиям, установленным для инфраструктуры AWS [1].

Совокупность применения указанных средств позволяет поддерживать высокий уровень обеспечения информационной безопасности и не допускать возникновения инцидентов. Рассмотрим каждую категорию по отдельности.

Управление идентификацией и разграничением доступа. В указанную категорию входят следующие сервисы AWS:

1. Управление идентификацией и доступом AWS. Идентификация – действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов [2]. Сервис выполняет следующие задачи:

  • управление разрешениями и средствами управления доступом;
  • управление идентификационными данными в рамках одной учетной записи AWS или централизованное подключение идентификационных данных к нескольким учетным записям AWS;
  • предоставление временных меток доступа информационной безопасности для приложений, которые обращаются к пользовательским ресурсам AWS;
  • предоставление исключительно минимальных прав доступа, которых хватает для выполнения задач по предназначению.

2. Центр идентификации AWS IAM. Сервис позволяет создавать и управлять пользовательскими идентификаторами доступа, назначать пользователям разрешения и метки доступа. Также, существует возможность интеграции сервиса с решениями других вендоров, таких, как Microsoft Active Directory, Okta, Ping Identity, JumpCloud, Google Workspace и пр.

3. Сервис аутентификации Amazon Cognito, который обеспечивает внедрение в инфраструктуру пользователя функций аутентификации. Аутентификация, это действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации [2]. При помощи указанного сервиса пользователь имеет возможность настраивать параметры аутентификации, хранить идентификационные и аутентификационные данные. Сервис Amazon Cognito, построенный на открытых стандартах идентификации, позволяет удовлетворить различные нормативные требования и легко интегрируется с ресурсами для разработки внешнего и внутреннего интерфейса.

4. Amazon Verified Permissions. Amazon Verified Permissions – это сервис управления разрешениями и авторизации в масштабе, предназначенный для использования в приложениях, которые создают пользователи.

5. AWS Resource Access Manager. AWS RAM позволяет безопасно обмениваться ресурсами между аккаунтами AWS внутри организации или ее структурных подразделений, а также между ролями и пользователями IAM (для поддерживаемых ресурсов).

Средства обнаружения и реагирования на инциденты информационной безопасности. Применение таких средств позволяет своевременно выявить возникновение различных угроз информационной безопасности и отреагировать на них, а также провести расследование причин их возникновения. К таким средствам относятся следующие сервисы безопасности AWS:

  1. Amazon GuardDuty. Сервис предлагает интеллектуальное обнаружение угроз безопасности для аккаунтов AWS, а также постоянно осуществляет мониторинг различных аспектов функционирования AWS, включая рабочие нагрузки, пользователей, базы данных и хранилища. GuardDuty использует различные методы обнаружения аномалий, машинного обучения и поведенческого моделирования. GuardDuty предлагает защиту для различных сервисов AWS, включая Amazon S3, Amazon EKS, Amazon RDS и AWS Lambda.
  2. Автоматизированное управление уязвимостями в программном обеспечении – Amazon Inspector. Amazon Inspector автоматически обнаруживает рабочие нагрузки и сканирует их на предмет уязвимостей и непреднамеренного воздействия на сеть. Amazon Inspector предоставляет автоматизированный сервис для управления уязвимостями в больших масштабах. Сервис постоянно проверяет рабочие нагрузки AWS на наличие уязвимостей в программном обеспечении и сетевой среде.
  3. Сервис управления состоянием облачной безопасности – AWS Security Hub. Security Hub осуществляет непрерывный мониторинг
    и обнаружение отклонений от политик информационной безопасности. Сервис решает задачи контроля соблюдением пользователями требований политик информационной безопасности, а также осуществляет мониторинг достаточности настроек в области обеспечения разграничения доступа.
  4. Amazon Security Lake автоматически централизует данные о безопасности из различных источников, включая среды AWS, поставщиков SaaS, облачные и локальные источники, в специально созданное «озеро данных», которое хранится в аккаунте пользователя. Это позволяет получить более полное представление о данных безопасности на уровне всей организации. В результате пользователь может получить более полное представление о безопасности своей организации и улучшить ее защиту.
  5. Сервис визуализации расследований инцидентов информационной безопасности Amazon Detective. Сервис выполняет задачи по агрегированию данных по нарушениям информационной безопасности, а также имеет возможность осуществлять наглядную визуализацию полученных сведений для упрощения расследования инцидента.
  6. Сервис журналирования и протоколирования AWS CloudTrail отслеживает активность пользователей и использование API в AWS и гибридных средах. AWS CloudTrail фиксирует и объединяет данные об активности пользователей и использования API на единой централизованно управляемой платформе. Сервис предоставляет возможности для проверки активности, хранения событий аудита в течение семи лет и создания отчетов об аудите.
  7. AWS Elastic Disaster Recovery. Сервис позволяет осуществлять масштабируемое восстановление приложений, после устранения последствий инцидентов информационной безопасности.

Средства защиты сетевых ресурсов и уровня веб-приложений. Указанные средства необходимы для обеспечения защиты ресурсов пользователя от различного рода сетевых атак, в том числе на веб-приложения. К этим средствам относятся:

  1. AWS Firewall Manager. Данный сервис обеспечивает централизованную настройку фильтрации трафика с использованием межсетевых экранов.
  2. Сетевой брандмауэр AWS. Сервис решает задачи по фильтрации трафика при доступе к сетевым ресурсам, а также предоставляет возможности по управлению политиками информационной безопасности для учетных записей пользователей.
  3. Сервис защиты от атак «отказ в обслуживании» (DDoS-атак).
  4. Сервис безопасного удаленного доступа AWS Verified Access, который позволяет реализовать функции виртуальной сети при организации доступа пользователя к ресурсам AWS. Таким образом, указанный сервис обеспечивает виртуальный доступ к приложениям AWS без использования VPN для бесперебойной работы пользователей.
  5. AWS WAF. Брандмауэр веб-приложений решает задачи по защитите от распространенных сетевых эксплойтов и ботов, способных повлиять на доступность приложений, привести к инцидентам информационной безопасности или задействовать чрезмерное количество ресурсов [3].

Средства обеспечения данных. Для защиты пользовательских данных существует ряд сервисов AWS, решающих задачи от защиты платежей, до шифрования данных. Сервисы обеспечения безопасности пользовательских данных приведены ниже:

  1. Amazon Macie. Сервис позволяет в автоматическом режиме выявлять конфиденциальные пользовательские данные, в том числе с использованием методов машинного обучения и сопоставление с заранее созданными специальными шаблонами.
  2. Сервис управления ключами AWS KMS. Сервис управления ключами AWS позволяет создавать и контролировать криптографические ключи для приложений и сервисов AWS. AWS KMS используется для шифрования данных, цифровых подписей и генерации, и подтверждения кодов аутентификации сообщений (MAC).
  3. AWS CloudHSM, который является аппаратным модулем информационной безопасности, позволяющим генерировать и использовать криптографические ключи. Данный модуль упрощает процедуру миграцию криптографических ключей в облачное пространство.
  4. AWS Certificate Manager. Сервис позволяет упростить процедуру выработки и использования сертификатов SSL/TLS, а также предоставляет функционал по управлению сертификатами [4].
  5. Cloud Payment HSM. Криптография платежей AWS упрощает реализацию криптографических функций и управление ключами для защиты данных при обработке платежей. Сервис соответствует стандартам [5] индустрии платежных карт и обеспечивает высокую пропускную способность и низкую задержку криптографических функций. Он используется для упрощения обработки платежных карт, автоматизации обмена платежными ключами и консолидации управления криптографическими функциями.
  6. Центр сертификации AWS Private CA. Для реализации требований инфраструктуры открытых ключей в сетях передачи данных необходима выработка криптографических сертификатов. Указанный сервис обеспечивает создание частных сертификатов для идентификации ресурсов и защиты пользовательских данных, создание универсальных конфигураций сертификатов и центров сертификации, автоматизацию управления сертификатами с помощью вызовов API, команд AWS CLI или шаблонов AWS CloudFormation.
  7. Менеджер конфиденциальных данных AWS Secrets Manager. Позволяет обеспечить безопасное шифрование и централизованный аудит конфиденциальных данных, таких как мандаты базы данных и ключи API. Имеет возможность управления доступом к конфиденциальным данным за счет точной настройки AWS Identity and Access Management и политик на основе ресурсов, а также автоматической ротации конфиденциальных данных в соответствии с требованиями информационной безопасности и нормативных актов.

Средства определения соответствия требованиям, установленным для инфраструктуры AWS. Любая система обеспечения информационной безопасности нуждается в периодической внутренней проверке и аудите соответствия принятой политике информационной безопасности [6]. С этой целью AWS предоставляет пользователю вышеуказанные средства. К ним относятся:

  1. AWS Artifact. Централизованный ресурс, который позволяет получить доступ к информации по требованиям к безопасности AWS, а также других вендоров.
  2. AWS Audit Manager. Сервис аудита, который позволяет решить задачу обеспечения соответствия требованиям по объему работы с сервисами AWS за счет готовых и настраиваемых программных платформ, а также средств для автоматического сбора данных.

Таким образом, для комплексного подхода к обеспечению информационной безопасности необходимо использовать совокупность вышеуказанных сервисов.

Заключение

AWS предоставляет огромный инструментарий для разработчиков во всем мире, используя самые передовые технологические решения. При обработке данных в корпоративном облаке используется огромный стек протоколов и стандартов. Огромные массивы данных хранятся в хранилищах AWS. Компрометация этих данных, выход из строя узловых объектов AWS может привести к серьезным угрозам информационной безопасности, что в свою очередь приведет к огромным убыткам. Для обеспечения защиты от подобных ситуаций AWS использует всесторонние решения по информационной безопасности, как программные, так и программно-аппаратные.

В данной статье были рассмотрены основные сервисы AWS, предназначенные для решения задач по обеспечению информационной безопасности. При выстраивании системы защиты пользовательских приложений на AWS необходимо использовать все указанные в статье сервисы, без исключения, а также периодически тестировать и осуществлять внешний и внутренний аудит систем защиты информации.

Текст статьи
  1. Сервисы информационной безопасности AWS [Электронный ресурс]. – Режим доступа: https://aws.amazon.com/ru/products/security/.
  2. ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Общие положения.
  3. Документ: Amazon Web Services: Overview of Security Processes. 2020.
  4. Документ: Amazon Web Services: Overview of Security Processes. 2017.
  5. Стандарт NIST. [Электронный ресурс]. – Режим доступа:https://csrc.nist.gov/projects/risk-management/fisma-background.
  6. Международный стандарт информационной безопасности ISO 27001. [Электронный ресурс]. – Режим доступа: https://www.iso.org/standard/27001
Список литературы