Главная
АИ #50 (180)
Статьи журнала АИ #50 (180)
Способы обеспечения информационной безопасности сервисов Amazon Web Services

Способы обеспечения информационной безопасности сервисов Amazon Web Services

Рубрика

Информационные технологии

Ключевые слова

Amazon Web Services
информационная безопасность
стандарты безопасности
идентификация
контроль доступа
сервисы безопасности
система защиты информации
инциденты информационной безопасности

Аннотация статьи

Как и любая другая облачная платформа, Amazon Web Services (далее – AWS) нуждается в четко выстроенной, эшелонированной системе обеспечения информационной безопасности. В данной статье будут рассмотрены основные механизмы обеспечения информационной безопасности при использовании AWS, как действующие со стороны пользователя, так и Amazon.

Текст статьи

Разделение зон ответственности в обеспечении информационной безопасности

Сетевая инфраструктура, центры обработки данных и многие другие компоненты AWS спроектированы и управляются в полном соответствии со спектром стандартов информационной безопасности, включая SOC 1 / SSAE 16 / ISAE 3402 (ранее SAS 70 Type II), SOC2, SOC3, FISMA, DIACAP, FedRAMP, PCI DSS Level 1, ISO 27001, ITAR, HIPPA и Cloud Security Alliance.

Пользователь, при размещении своего приложения на AWS принимает соглашение, которое описывает разграничение обязанностей по информационной безопасности. Основная цель AWS – обеспечение информационной безопасности хостов, уровней визуализации и сетевых соединений. Пользователь, в свою очередь отвечает за информационную безопасность всех продуктов, которые он разворачивает на инфраструктуре AWS. На рисунке представлена совокупность зон ответственности в обеспечении информационной безопасности AWS.

Рис. Разграничение зон ответственности в обеспечении информационной безопасности

Таким образом, существует четкое разделение ответственности между AWS и пользователем, которое кратко можно описать следующим образом. AWS обеспечивает безопасность инфраструктуры, центров обработки данных, сетей передачи данных, вычислительных ресурсов и прочих узловых элементов. Пользователи AWS несут ответственность за безопасное использование сервисов AWS, которые считаются неуправляемыми. Проще говоря, AWS отвечает за платформу, пользователь за наполнение.

AWS несет ответственность за:

  1. Обеспечение использования AWS и пользовательских приложений в соответствии с внутренними и внешними политиками информационной безопасности;
  2. Обеспечение сетевой безопасности;
  3. Безопасная настройка управляемых сервисов AWS;
  4. Обеспечение контроля физического доступа к оборудованию /программному обеспечению;
  5. Обеспечение экологической безопасности на случай массовых отключений электроэнергии, землетрясений, наводнений и других стихийных бедствий;
  6. Исправление базы данных;
  7. Защита от эксплойтов AWS нулевого дня и других уязвимостей.

Пользователь несет ответственность за:

  1. Предотвращение или обнаружение случаев взлома учетной записи AWS;
  2. Предотвращение или обнаружение небезопасного поведения привилегированного или обычного пользователя AWS;
  3. Предотвращение загрузки конфиденциальных данных в приложения или совместного использования ими из приложений ненадлежащим образом;
  4. Безопасная настройка сервисов AWS (за исключением управляемых сервисов AWS);
  5. Ограничение доступа к сервисам AWS или пользовательским приложениям только для тех пользователей, которым это необходимо;
  6. Обновление гостевых операционных систем и применение исправлений безопасности;
  7. Обеспечение использования AWS и пользовательских приложений в соответствии с внутренними и внешними политиками;
  8. Обеспечение сетевой безопасности.

Сервисы AWS по обеспечению информационной безопасности

При работе с инфраструктурой AWS распространенными причинами инцидентов безопасности являются:

  • Ошибки, связанные с обслуживанием инфраструктуры (удаление или неправильная модификация, или конфигурация ресурсов).
  • Ошибки при создании приложений (жестко запрограммированные конфигурации, отсутствие корректной обработки ошибок и т.д.)
  • Взломы приложений и инфраструктурные атаки, нацеленные на внутренние уязвимости.

Для предотвращения подобных инцидентов существует система обеспечения информационной безопасности. Инфраструктура обеспечения информационной безопасности сервисов AWS разделена на пять типовых категорий:

  1. Управление идентификацией и разграничением доступа;
  2. Средства обнаружения и реагирования на инциденты информационной безопасности;
  3. Средства защиты сетевых ресурсов и уровня приложений;
  4. Средства обеспечения безопасности данных;
  5. Средства определения соответствия требованиям, установленным для инфраструктуры AWS [1].

Совокупность применения указанных средств позволяет поддерживать высокий уровень обеспечения информационной безопасности и не допускать возникновения инцидентов. Рассмотрим каждую категорию по отдельности.

Управление идентификацией и разграничением доступа. В указанную категорию входят следующие сервисы AWS:

1. Управление идентификацией и доступом AWS. Идентификация – действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов [2]. Сервис выполняет следующие задачи:

  • управление разрешениями и средствами управления доступом;
  • управление идентификационными данными в рамках одной учетной записи AWS или централизованное подключение идентификационных данных к нескольким учетным записям AWS;
  • предоставление временных меток доступа информационной безопасности для приложений, которые обращаются к пользовательским ресурсам AWS;
  • предоставление исключительно минимальных прав доступа, которых хватает для выполнения задач по предназначению.

2. Центр идентификации AWS IAM. Сервис позволяет создавать и управлять пользовательскими идентификаторами доступа, назначать пользователям разрешения и метки доступа. Также, существует возможность интеграции сервиса с решениями других вендоров, таких, как Microsoft Active Directory, Okta, Ping Identity, JumpCloud, Google Workspace и пр.

3. Сервис аутентификации Amazon Cognito, который обеспечивает внедрение в инфраструктуру пользователя функций аутентификации. Аутентификация, это действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации [2]. При помощи указанного сервиса пользователь имеет возможность настраивать параметры аутентификации, хранить идентификационные и аутентификационные данные. Сервис Amazon Cognito, построенный на открытых стандартах идентификации, позволяет удовлетворить различные нормативные требования и легко интегрируется с ресурсами для разработки внешнего и внутреннего интерфейса.

4. Amazon Verified Permissions. Amazon Verified Permissions – это сервис управления разрешениями и авторизации в масштабе, предназначенный для использования в приложениях, которые создают пользователи.

5. AWS Resource Access Manager. AWS RAM позволяет безопасно обмениваться ресурсами между аккаунтами AWS внутри организации или ее структурных подразделений, а также между ролями и пользователями IAM (для поддерживаемых ресурсов).

Средства обнаружения и реагирования на инциденты информационной безопасности. Применение таких средств позволяет своевременно выявить возникновение различных угроз информационной безопасности и отреагировать на них, а также провести расследование причин их возникновения. К таким средствам относятся следующие сервисы безопасности AWS:

  1. Amazon GuardDuty. Сервис предлагает интеллектуальное обнаружение угроз безопасности для аккаунтов AWS, а также постоянно осуществляет мониторинг различных аспектов функционирования AWS, включая рабочие нагрузки, пользователей, базы данных и хранилища. GuardDuty использует различные методы обнаружения аномалий, машинного обучения и поведенческого моделирования. GuardDuty предлагает защиту для различных сервисов AWS, включая Amazon S3, Amazon EKS, Amazon RDS и AWS Lambda.
  2. Автоматизированное управление уязвимостями в программном обеспечении – Amazon Inspector. Amazon Inspector автоматически обнаруживает рабочие нагрузки и сканирует их на предмет уязвимостей и непреднамеренного воздействия на сеть. Amazon Inspector предоставляет автоматизированный сервис для управления уязвимостями в больших масштабах. Сервис постоянно проверяет рабочие нагрузки AWS на наличие уязвимостей в программном обеспечении и сетевой среде.
  3. Сервис управления состоянием облачной безопасности – AWS Security Hub. Security Hub осуществляет непрерывный мониторинг
    и обнаружение отклонений от политик информационной безопасности. Сервис решает задачи контроля соблюдением пользователями требований политик информационной безопасности, а также осуществляет мониторинг достаточности настроек в области обеспечения разграничения доступа.
  4. Amazon Security Lake автоматически централизует данные о безопасности из различных источников, включая среды AWS, поставщиков SaaS, облачные и локальные источники, в специально созданное «озеро данных», которое хранится в аккаунте пользователя. Это позволяет получить более полное представление о данных безопасности на уровне всей организации. В результате пользователь может получить более полное представление о безопасности своей организации и улучшить ее защиту.
  5. Сервис визуализации расследований инцидентов информационной безопасности Amazon Detective. Сервис выполняет задачи по агрегированию данных по нарушениям информационной безопасности, а также имеет возможность осуществлять наглядную визуализацию полученных сведений для упрощения расследования инцидента.
  6. Сервис журналирования и протоколирования AWS CloudTrail отслеживает активность пользователей и использование API в AWS и гибридных средах. AWS CloudTrail фиксирует и объединяет данные об активности пользователей и использования API на единой централизованно управляемой платформе. Сервис предоставляет возможности для проверки активности, хранения событий аудита в течение семи лет и создания отчетов об аудите.
  7. AWS Elastic Disaster Recovery. Сервис позволяет осуществлять масштабируемое восстановление приложений, после устранения последствий инцидентов информационной безопасности.

Средства защиты сетевых ресурсов и уровня веб-приложений. Указанные средства необходимы для обеспечения защиты ресурсов пользователя от различного рода сетевых атак, в том числе на веб-приложения. К этим средствам относятся:

  1. AWS Firewall Manager. Данный сервис обеспечивает централизованную настройку фильтрации трафика с использованием межсетевых экранов.
  2. Сетевой брандмауэр AWS. Сервис решает задачи по фильтрации трафика при доступе к сетевым ресурсам, а также предоставляет возможности по управлению политиками информационной безопасности для учетных записей пользователей.
  3. Сервис защиты от атак «отказ в обслуживании» (DDoS-атак).
  4. Сервис безопасного удаленного доступа AWS Verified Access, который позволяет реализовать функции виртуальной сети при организации доступа пользователя к ресурсам AWS. Таким образом, указанный сервис обеспечивает виртуальный доступ к приложениям AWS без использования VPN для бесперебойной работы пользователей.
  5. AWS WAF. Брандмауэр веб-приложений решает задачи по защитите от распространенных сетевых эксплойтов и ботов, способных повлиять на доступность приложений, привести к инцидентам информационной безопасности или задействовать чрезмерное количество ресурсов [3].

Средства обеспечения данных. Для защиты пользовательских данных существует ряд сервисов AWS, решающих задачи от защиты платежей, до шифрования данных. Сервисы обеспечения безопасности пользовательских данных приведены ниже:

  1. Amazon Macie. Сервис позволяет в автоматическом режиме выявлять конфиденциальные пользовательские данные, в том числе с использованием методов машинного обучения и сопоставление с заранее созданными специальными шаблонами.
  2. Сервис управления ключами AWS KMS. Сервис управления ключами AWS позволяет создавать и контролировать криптографические ключи для приложений и сервисов AWS. AWS KMS используется для шифрования данных, цифровых подписей и генерации, и подтверждения кодов аутентификации сообщений (MAC).
  3. AWS CloudHSM, который является аппаратным модулем информационной безопасности, позволяющим генерировать и использовать криптографические ключи. Данный модуль упрощает процедуру миграцию криптографических ключей в облачное пространство.
  4. AWS Certificate Manager. Сервис позволяет упростить процедуру выработки и использования сертификатов SSL/TLS, а также предоставляет функционал по управлению сертификатами [4].
  5. Cloud Payment HSM. Криптография платежей AWS упрощает реализацию криптографических функций и управление ключами для защиты данных при обработке платежей. Сервис соответствует стандартам [5] индустрии платежных карт и обеспечивает высокую пропускную способность и низкую задержку криптографических функций. Он используется для упрощения обработки платежных карт, автоматизации обмена платежными ключами и консолидации управления криптографическими функциями.
  6. Центр сертификации AWS Private CA. Для реализации требований инфраструктуры открытых ключей в сетях передачи данных необходима выработка криптографических сертификатов. Указанный сервис обеспечивает создание частных сертификатов для идентификации ресурсов и защиты пользовательских данных, создание универсальных конфигураций сертификатов и центров сертификации, автоматизацию управления сертификатами с помощью вызовов API, команд AWS CLI или шаблонов AWS CloudFormation.
  7. Менеджер конфиденциальных данных AWS Secrets Manager. Позволяет обеспечить безопасное шифрование и централизованный аудит конфиденциальных данных, таких как мандаты базы данных и ключи API. Имеет возможность управления доступом к конфиденциальным данным за счет точной настройки AWS Identity and Access Management и политик на основе ресурсов, а также автоматической ротации конфиденциальных данных в соответствии с требованиями информационной безопасности и нормативных актов.

Средства определения соответствия требованиям, установленным для инфраструктуры AWS. Любая система обеспечения информационной безопасности нуждается в периодической внутренней проверке и аудите соответствия принятой политике информационной безопасности [6]. С этой целью AWS предоставляет пользователю вышеуказанные средства. К ним относятся:

  1. AWS Artifact. Централизованный ресурс, который позволяет получить доступ к информации по требованиям к безопасности AWS, а также других вендоров.
  2. AWS Audit Manager. Сервис аудита, который позволяет решить задачу обеспечения соответствия требованиям по объему работы с сервисами AWS за счет готовых и настраиваемых программных платформ, а также средств для автоматического сбора данных.

Таким образом, для комплексного подхода к обеспечению информационной безопасности необходимо использовать совокупность вышеуказанных сервисов.

Заключение

AWS предоставляет огромный инструментарий для разработчиков во всем мире, используя самые передовые технологические решения. При обработке данных в корпоративном облаке используется огромный стек протоколов и стандартов. Огромные массивы данных хранятся в хранилищах AWS. Компрометация этих данных, выход из строя узловых объектов AWS может привести к серьезным угрозам информационной безопасности, что в свою очередь приведет к огромным убыткам. Для обеспечения защиты от подобных ситуаций AWS использует всесторонние решения по информационной безопасности, как программные, так и программно-аппаратные.

В данной статье были рассмотрены основные сервисы AWS, предназначенные для решения задач по обеспечению информационной безопасности. При выстраивании системы защиты пользовательских приложений на AWS необходимо использовать все указанные в статье сервисы, без исключения, а также периодически тестировать и осуществлять внешний и внутренний аудит систем защиты информации.

Рецензент — Рахматуллина Т. Г.

Список литературы

  1. Сервисы информационной безопасности AWS [Электронный ресурс]. – Режим доступа: https://aws.amazon.com/ru/products/security/.
  2. ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Общие положения.
  3. Документ: Amazon Web Services: Overview of Security Processes. 2020.
  4. Документ: Amazon Web Services: Overview of Security Processes. 2017.
  5. Стандарт NIST. [Электронный ресурс]. – Режим доступа:https://csrc.nist.gov/projects/risk-management/fisma-background.
  6. Международный стандарт информационной безопасности ISO 27001. [Электронный ресурс]. – Режим доступа: https://www.iso.org/standard/27001

Поделиться

975

Шершень К. В. Способы обеспечения информационной безопасности сервисов Amazon Web Services // Актуальные исследования. 2023. №50 (180). Ч.I.С. 77-81. URL: https://apni.ru/article/7756-sposobi-obespecheniya-informatsionnoj-bezopas

Обнаружили грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики)? Напишите письмо в редакцию журнала: info@apni.ru

Похожие статьи

Актуальные исследования

#52 (234)

Прием материалов

21 декабря - 27 декабря

осталось 6 дней

Размещение PDF-версии журнала

1 января

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

17 января