ایمن سازی محیط AWS شما در سال 2025 چگونه است؟

وقتی به چشم‌انداز دیجیتال امروزی نگاه می‌کنید، بسیار مهم‌تر از همیشه است که اطمینان حاصل شود که محیط‌های ابری ما در برابر عوامل بد خارجی و داخلی ایمن هستند.

صبر کن میگی… بازیگرای بد داخلی حتما این چیزی نیست؟

بسیاری از شرکت‌ها در حال حاضر زمان و هزینه خود را صرف بررسی کارکنان خود می‌کنند (مخصوصاً در بریتانیا، در بقیه دنیا مطمئن نیستم)، از طریق مراجع ارائه‌شده، بررسی‌های BPSS، حتی تا جایی که بررسی امنیت دولت بریتانیا سیستم هایی که روی آنها کار می کنند به آن نیاز دارند. این به همان اندازه ای است که می توانید انجام دهید، با این حال همه ما در زندگی خود تصمیمات مشکوک گرفته ایم و متأسفانه، زمانی که فردی تحت فشار، ناراضی و غیره است، نمی توان گفت که چه کاری ممکن است انجام دهد، بنابراین باید اطمینان حاصل کنیم که محافظت می کنیم. در داخل تا جایی که می توانیم.

مبانی

1 – یک طرح امنیتی جامع تهیه کنید

قبل از غواصی در شیوه های خاص، داشتن یک برنامه امنیتی کاملاً تعریف شده ضروری است. طرح شما باید مواردی مانند اهداف امنیتی شما، خطرات بالقوه شناسایی شده و پروتکل هایی برای واکنش به حادثه ایجاد کند. هنگامی که این مورد را ایجاد کردید، می توانید به سیاست های امنیتی خاص و استانداردهای پیکربندی برای زیرساخت AWS، خدمات AWS و برنامه های خود بپردازید.

2 – مدیریت هویت و دسترسی

مدیریت هویت و دسترسی (IAM) ستون فقرات امنیت AWS است، بنابراین پیاده‌سازی سیاست‌ها و پیکربندی‌های قوی IAM به این معنی است که 90٪ در آنجا هستید.

بنابراین وقتی در مورد IAM صحبت می کنیم به چه حوزه هایی می خواهیم نگاه کنیم؟

• حساب‌های روت خود را ایمن کنید – MFA را فعال کنید، دسترسی برنامه‌ریزی شده را حذف کنید، از رمزهای عبور قوی استفاده کنید و نسبت به افرادی که دسترسی دارند و چه دسترسی‌هایی دارند سختگیر باشید.

• اصل حداقل امتیاز – این باید در جلو و مرکز هر خط‌مشی مجوز باشد، که ما فقط به کاربران یا برنامه‌ها/سرویس‌ها مجوزهایی را می‌دهیم که برای انجام وظایفشان نیاز دارند.

• MFA..MFA…MFA – از طریق خط‌مشی‌ها اطمینان حاصل کنید که همه کاربران باید MFA را فعال کنند تا بتوانند هر کاری را در حساب انجام دهند.

• نقش‌ها و خط‌مشی‌های IAM – نقش‌های IAM باید برای برنامه‌ها و سرویس‌ها استفاده شوند، بنابراین از اعتبارنامه‌های کدگذاری سخت استفاده نمی‌شود، همراه با این، سیاست‌های IAM با مجوزهایی که با استفاده از اصل حداقل امتیاز تعریف شده‌اند. همچنین می‌توانیم از خط‌مشی‌های مرزی مجوزها برای تعیین محدودیت‌های سطوح امتیازی که به نقش‌های IAM اضافه می‌شوند (به ویژه برای حساب‌های توسعه‌دهنده مفید) استفاده کنیم. بازنگری منظم نقش‌ها و خط‌مشی‌ها برای اطمینان از اینکه نقش‌ها همچنان مورد نیاز هستند و خط‌مشی‌ها همچنان در صورت لزوم محافظت می‌کنند، توصیه می‌شود.

• ممیزی های منظم – این اغلب بیش از حد مورد بررسی قرار می گیرد، می دانم که قبلاً به آن اشاره کرده ام، اما بسیار مهم است که به طور منظم کاربران پیکربندی شده و نقش های IAM را بررسی کنید و خط مشی های IAM را اختصاص دهید تا اطمینان حاصل کنید که هنوز در حال استفاده هستند و سیاست ها فقط مجوزهای لازم را می دهند. . خط‌مشی‌های IAM باید مرتباً مورد بازبینی قرار گیرند تا اطمینان حاصل شود که آنها به کاربران یا نقش‌هایی اختصاص داده شده‌اند و در صورت عدم انجام کارهای خانه‌داری و حذف آنها. شاید این چیزی باشد که بتوانید با استفاده از AWS CLI و Python یا شاید Lambda آن را خودکار کنید، شاید کسی قبلاً این کار را انجام داده باشد… اگر نظر دارید پیوندی برای کمک به دیگران دارید.

3 – رمزگذاری داده ها در حالت استراحت و در حال انتقال

• داده در حالت استراحت – تعداد کمی از سرویس های AWS Storage وجود دارند که این روزها به طور پیش فرض رمزگذاری نشده اند، تا همین اواخر… فکر می کنم (حافظه من به خوبی سابق نیست) S3 و EBS تنها سرویس هایی بودند که به‌طور پیش‌فرض رمزگذاری نشدند، با این حال AWS S3 را در سال 2023 به‌روزرسانی کرد تا اطمینان حاصل کند که تمام سطل‌های جدید ایجاد شده به‌طور پیش‌فرض رمزگذاری شده‌اند، که EBS را به عنوان تنها سرویسی می‌گذارد که به‌طور پیش‌فرض رمزگذاری نشده است و نیاز دارد. کاربر را فعال کند. بنابراین AWS شما را در آنجا تحت پوشش قرار داده است، برای تمام داده‌های شما در حالت استراحت، فقط باید به یاد داشته باشید که آن را روشن کنید… و همیشه می‌توانید از AWS Systems Manager و AWS Config برای بررسی سرویس‌هایی استفاده کنید که نیاز به فعال‌سازی دستی رمزگذاری دارند و به شما هشدار می‌دهند. و در صورت نیاز اقدام کنید.

• رمزگذاری در حین انتقال – اطمینان از اینکه همه ارتباطات شما بین برنامه‌ها و سرویس‌های AWS به نظر عقل سلیم می‌آید، اما می‌تواند وسوسه‌انگیز باشد، به‌ویژه زمانی که عناصر AWS شما همگی در VPC و زیرشبکه‌های یکسانی هستند که از رمزگذاری در حین انتقال چشم‌پوشی کنید، هرچند در AWS ممکن است مواردی ظاهر شوند. همه آنها با هم هستند بسیار بعید است و ترافیک شما از یک شبکه داخلی برای صحبت استفاده می کند، بنابراین مطمئن شوید که ترافیک رمزگذاری شده است اساسا.

• سرویس مدیریت کلید AWS – استفاده از سرویس مدیریت کلید AWS (KMS) می‌تواند کلید اجرای موفقیت‌آمیز رمزگذاری داده‌ها در حالت استراحت باشد، به شما امکان می‌دهد کلیدها را از طریق AWS ایجاد و مدیریت کنید، می‌توانید مواد رمزنگاری خود را بیاورید یا در صورت نیاز اگر نیازهای خاصی دارید، حتی می توانید یک Cloud HSM را راه اندازی کنید.

4 – نظارت و پاسخ به تهدیدات

• دید کلیدی است – اگر نسبت به رویدادهایی که در محیط شما در حال وقوع است کور هستید، نمی توانید اقدام کنید. حداقل باید AWS Cloud Trail را فعال کنید و راه‌اندازی CloudWatch را داشته باشید، CloudTrail تضمین می‌کند که هنگام فراخوانی AWS API، اقداماتی را که در حساب‌های AWS خود انجام می‌دهند، مشاهده کنید. CloudWatch این امکان را به شما می دهد که ببینید با بارهای کاری شما چه می گذرد و در صورت استقرار CloudWatch Logs Agent می تواند گزارش های برنامه را وارد کند.

• تشخیص تهدیدها – بنابراین ما قابلیت مشاهده داریم، اما حجم عظیمی از اطلاعات وجود دارد، در واقع من معتقدم که این اطلاعات بیشتر از آن چیزی است که یک انسان بتواند به طور موثر پردازش کند. پس چه کار می کنید، خوب اینجاست که ما از Guard Duty و AWS Security Hub استفاده می کنیم. با Guard Duty می‌توانیم از یادگیری ماشینی قدرتمند برای تشخیص تهدید هوشمند برای محیط AWS شما استفاده کنیم. Guard Duty را می توان با AWS Security Hub ترکیب کرد تا یک پورتال متمرکز برای هشدارهای امنیتی و بررسی های انطباق خودکار ارائه دهد.

5 – بیایید خودکار کنیم

• ردیابی پیکربندی – پس هنگامی که محیط خود را همانطور که باید برای بهترین شیوه ها و غیره پیکربندی کردید، چگونه متوجه می شوید که چیزی تغییر کرده است؟ خوب ما CloudTrail داریم اما این فقط به شما می گوید که چه دستوراتی اجرا شده اند. اینجا جایی است که AWS Config وارد می شود، AWS Config پیکربندی های شما را ردیابی می کند و چندین عملکرد دارد که می توانید از آنها استفاده کنید، اولین مورد ردیابی پیکربندی و هشدار است، بنابراین اگر یک پیکربندی وجود دارد. تغییراتی که می‌توانید از تغییرات آگاه شوید تا بتوانید عمل کنید، اما دومین عملکردی که می‌توانید آن را با آن جفت کنید، AWS Systems Manager است. (SSM) اتوماسیون، به طوری که هنگامی که یک پیکربندی خاص اصلاح می شود، می توان SSM را راه اندازی کرد و برای اصلاح پیکربندی ها اقدام کرد.

• Lambda فقط برای برنامه های بدون سرور نیست – Lambda بسیار همه کاره است و می تواند به روشی مبتنی بر رویداد برای پاسخگویی خودکار به تهدیدات امنیتی استفاده شود. یک مورد استفاده عالی برای لامبدا، جداسازی نمونه های در معرض خطر یا لغو کلیدهای دسترسی است.

• SSM می تواند کار سختی را انجام دهد – به روز نگه داشتن حجم کاری با جدیدترین وصله های امنیتی می تواند خسته کننده باشد، اما مدیر پچ SSM می تواند بار را کاهش دهد و اطمینان حاصل کند که بارهای کاری شما در برابر جدیدترین آسیب پذیری ها محافظت می شود و با اتوماسیون می توان این موارد را در یک زمان برنامه ریزی کرد. که برای کسب و کار شما بهترین است

با اجرای موارد فوق می توانید امنیت محیط AWS خود را به میزان قابل توجهی افزایش دهید. به یاد داشته باشید که امنیت یک فرآیند مداوم است که نیاز به نظارت و بهبود مستمر دارد.

اگر جواهرات دیگری دارید، فکر می‌کنید دیگران از آن‌ها در کامنت‌ها استفاده کنند.

در وبلاگ بعدی من نگاهی به برخی از بهبودهای محیطی خواهیم داشت که فراتر از اصول اولیه هستند تا پیشرفت های امنیتی بیشتری را ارائه دهند.