با حرکت بیشتر شرکت ها به ابر ، چالش های امنیتی جدید در حال ظهور است. هنگام استفاده از ارائه دهندگان خدمات ابری مانند خدمات وب آمازون (AWS)، مهم است که همه چیز را از منابع غلط گرفته تا دسترسی کاربر ، بارهای کار برنامه و داده های به اشتراک گذاشته شده با سیستم عامل های SaaS محافظت کنید.
برای پرداختن به این چالش ها ، چهار دسته اصلی فن آوری های امنیتی ابر پدید آمده است:
- CSPM – مدیریت وضعیت امنیتی ابر
- کاسه – کارگزار امنیتی دسترسی به ابر
- تاریک – مدیریت حق زیرساخت ابری
- CWPP – سکوی محافظت از بار کار ابر
- درج – پلت فرم حفاظت از برنامه Cloud Native
در این پست ، هرکدام را به پایین می شکنیم و کاوش می کنیم چگونه AWS با این مدل ها پشتیبانی یا ادغام می شود، از جمله موارد و ابزار استفاده.
🛡 1. مدیریت وضعیت امنیتی ابر (CSPM)
🎯 هدف
ابزارهای CSPM به طور مداوم منابع ابری را برای شناسایی غلط های غلط و اطمینان از پیروی از سیاست ها یا استانداردهای نظارتی نظارت و ارزیابی می کنند.
✅ قابلیت ها
- تنظیمات ناامن یا غیر سازگار را شناسایی کنید
- اجرای پایه های امنیتی (به عنوان مثال ، CIS ، NIST)
- تنظیم خودکار را فعال کنید
- قابلیت مشاهده چند منطقه ای چند منطقه را فراهم کنید
ابزارهای بومی AWS
- پیکربندی AWS – ردیابی انطباق مبتنی بر قانون
- قطب امنیتی AWS – یافته های امنیتی را جمع می کند
- نگهبان آمازون – تهدیدات ناشی از وضعیت ضعیف را تشخیص می دهد
- مشاور قابل اعتماد AWS – بهترین بررسی های امنیتی
💡 مثال
Security Hub یک سطل S3 را با دسترسی به خواندن عمومی تشخیص می دهد. پیکربندی AWS به طور خودکار باعث اصلاح دسترسی می شود.
🔐 2. کارگزار امنیتی دسترسی به ابر (CASB)
🎯 هدف
سیستم عامل های CASB بین کاربران و خدمات ابری (به طور معمول SaaS) برای اجرای سیاست های امنیتی و نظارت بر انتقال داده ها قرار می گیرند.
✅ قابلیت ها
- Shadow It Discovery
- اجرای DLP (به عنوان مثال ، اشتراک فایل حساس)
- تشخیص تهدید (به عنوان مثال ، حساب های به خطر افتاده)
- کنترل برنامه OAUTH
🚫 پشتیبانی بومی AWS
AWS CASB بومی را ارائه نمی دهدبشر با این حال ، CASB ها می توانند با:
- AWS iam (برای کنترل دسترسی)
- AWS CloudTrail (برای گزارش های فعالیت کاربر)
- آمازون S3 (برای اجرای DLP)
💡 مثال
یک CASB پرونده ای را که حاوی PII است که در یک حساب Dropbox شخصی بارگذاری می شود ، تشخیص می دهد و انتقال را مسدود می کند.
🔗 فروشندگان محبوب
- Microsoft Defender برای برنامه های ابری
- توری
- McAfee Mvision Cloud
- Palo Alto Prisma SaaS
👤 3. مدیریت زیرساخت ابری (CIEM)
🎯 هدف
CIEM به مدیریت مجوزهای هویت کمک می کند ، اطمینان حاصل می کند که کاربران و بارهای کاری حداقل از اصول دسترسی به امتیاز پیروی می کنند.
✅ قابلیت ها
- دسترسی به حساب ها/خدمات را تجسم کنید
- نقش های بیش از حد یا مجوزهای بلااستفاده را تشخیص دهید
- سیاستهای مربوط به حقوق را خودکار کنید
- دسترسی به شخص ثالث را اداره کنید
ابزارهای بومی AWS
- آنالایزر دسترسی IAM – پرچم ها مجوزهای بلااستفاده یا خطرناک
- دسترسی به مشاور – گزارش مجوزهای مورد استفاده آخر
- مرکز هویت AWS (SSO) – مدیریت دسترسی مرکزی
- سیاست های کنترل خدمات (SCP) – محدودیت های دسترسی گسترده سازمان
💡 مثال
یک تابع لامبدا دارد AdministratorAccess اما فقط پیام ها را به SQS ارسال می کند. آنالایزر دسترسی IAM این را پرچم گذاری می کند ، و به روزرسانی خط مشی پیشنهاد می شود.
🔗 فروشندگان محبوب
- امنیت داده ها
- وابسته به هرمتیک
- سایبرک
- نقطه بادبان
- Microsoft CloudKnox
🧩 4. پلت فرم حفاظت از بار کار ابر (CWPP)
🎯 هدف
CWPP بر ایمن سازی بارهای کاری مانند VM ، ظروف ، توابع بدون سرور اعم از اجرای ابر ، مقدماتی یا هیبریدی تمرکز دارد.
✅ قابلیت ها
- حفاظت از زمان اجرا از EC2 ، ECS ، Lambda و غیره
- نظارت بر یکپارچگی پرونده
- تشخیص ناهنجاری سطح میزبان
- برنامه اجازه/لیست انکار
- آسیب پذیری و تشخیص بدافزار
ابزارهای بومی AWS
- بازرس آمازون – آسیب پذیری ها را در تصاویر EC2 و کانتینر پیدا می کند
- نگهبان آمازون – رفتار و بدافزار مشکوک را تشخیص می دهد
- مدیر سیستم AWS – وصله ها و تنظیمات را مدیریت می کند
- AWS CloudTrail + پیکربندی – زمینه پزشکی قانونی را ارائه دهید و ردیابی را تغییر دهید
CWPP اغلب با CNAPP در عملکرد ، به ویژه در محافظت از زمان اجرا و مدیریت آسیب پذیری ، همپوشانی دارد.
💡 مثال
Guardduty تلاش های ورود غیرمعمول را در یک نمونه EC2 تشخیص می دهد و از مدیر سیستم ها برای مسدود کردن موقت دسترسی و بررسی استفاده می شود.
🔗 فروشندگان محبوب
- روند
- CrowdStrike Falcon Cloud کار
- محاسبات ابر Prisma
- امنیت
- تشییع
5 🔒. پلت فرم حفاظت از برنامه های ابر بومی (CNAPP)
🎯 هدف
CNAPP چندین لایه امنیتی – CSPM ، CWPP (محافظت از بار کار) و CIEM را برای تأمین امنیت کامل پشته در طول عمر برنامه کاربردی متحد می کند.
✅ قابلیت ها
- اسکن آسیب پذیری تصویر/کانتینر
- هویت و تجزیه و تحلیل دسترسی
- حفاظت از بار کاری زمان اجرا
- امنیت شیفت چپ از طریق ادغام CI/CD
ابزارهای بومی AWS
- بازرس آمازون – اسکن آسیب پذیری (EC2 ، ECR)
- نگهبان آمازون – تشخیص تهدید
- قطب امنیتی AWS – هشدارها را متمرکز می کند
- AWS Codingsperer / Codged – تولید/تجزیه و تحلیل کد امن
- آنالایزر دسترسی IAM – ارزیابی هویت
📝 توجه: AWS انجام می دهد نه یک پلت فرم CNAPP واحد ارائه دهید ، اما می توانید با استفاده از این سرویس ها یکی از آنها را بسازید یا یک CNAPP شخص ثالث را ادغام کنید.
💡 مثال
بازرس آمازون یک تصویر کانتینر آسیب پذیر را پرچم گذاری می کند. Guardduty بعداً ترافیک برون مرزی را به یک دامنه ناشناخته تشخیص می دهد. اینها در مرکز امنیتی همبستگی دارند.
🔗 فروشندگان محبوب
- ویزیت
- Prisma Cloud (پالو آلتو)
- امنیت ORCA
- توری
- Microsoft Defender برای ابر
📊 جدول خلاصه
| دسته | عمل | پشتیبانی بومی AWS | نمونه |
|---|---|---|---|
| CSPM | پیکربندی و انطباق | ✅ پیکربندی AWS ، مرکز امنیتی | عمومی سطل S3 با واسطه خودکار |
| کاسه | دید SaaS و DLP | ❌ فقط حزب 3 | بارگذاری PII در Dropbox |
| تاریک | کنترل حق هویت | ✅ آنالایزر IAM ، SSO ، SCPS | نقش های بیش از حد را کشف و رفع کنید |
| CWPP | حفاظت از زمان اجرا بار کار | ✅ بازرس ، نگهبان ، SSM | تلاش های ورود غیرمعمول در EC2 را کشف و مسدود کنید |
| درج | محافظت از چرخه عمر برنامه | ⚠ جزئی (بازرس ، نگهبان) | اسکن تصویر ECR و تهدیدها |
thoughts افکار نهایی
هیچ ابزار یا سکوی واحد نمی تواند محیط ابر شما را به تنهایی تأمین کند. با استفاده از فن آوری هایی مانند CSPMبا کاسهبا تاریکبا CWPPوت درج و ادغام آنها با خدمات بومی AWS، می توانید یک استراتژی امنیتی ابر لایه ای و مقیاس پذیر ایجاد کنید.
🔐 فعال بمانید. به طور مداوم ایمن شوید. ایمن بسازید.
