_Начало работы с AWS

_Модель общей ответственности AWS

  • Ответственность AWS — безопасность облака (инфраструктуры)
  • Также он несет ответственность за обеспечение безопасности оборудования, программного обеспечения, оборудования и сети.
  • Управляемые сервисы, такие как RDS, Lambda, S3, DynamoDB и т. д.

_Ответственность Заказчика

  • Экземпляры EC2, управление ОС, брандмауэр, конфигурация сети, IAM
  • Шифрование в EBS, S3, БД

_Общие элементы управления

  • Если вам нужна какая-либо помощь от третьей стороны, то необходимо позаботиться о многих операциях, связанных с безопасностью, тогда это будет называться общим контролем.
  • Управление исправлениями, управление конфигурациями, информирование и обучение находятся под общим контролем.

_Управление исправлениями

  • Управление исправлениями — это процесс распространения и применения обновлений программного обеспечения. Эти исправления часто необходимы для исправления ошибок, то есть уязвимостей или ошибок в программном обеспечении.
  • Исправление патча в основном устраняет уязвимость, закрывая дверь для этой уязвимости.

_Зачем нам нужно управление исправлениями?

  • Безопасность.Управление исправлениями устраняет уязвимости в вашем программном обеспечении и приложениях, которые подвержены кибератакам, помогая нам снизить риск безопасности.
  • Время безотказной работы системы. Управление исправлениями обеспечивает актуальность программного обеспечения и приложений и их бесперебойную работу, поддерживая безотказную работу системы.
  • Соответствие. В связи с продолжающимся ростом числа кибератак регулирующие органы часто требуют от организаций поддерживать определенный уровень соответствия.
  • Улучшения функций: управление исправлениями может выходить за рамки исправления программных ошибок, а также включать обновления функций/функций.

_Модель общей ответственности соответствия требованиям AWS



Модель общей ответственности — Amazon Web Services (AWS)
Безопасность и соответствие требованиям — это общая ответственность между AWS и клиентом. Эта общая модель может помочь облегчить…aws.amazon.com



_Что такое соответствие?

Это набор правил, установленных какой-то организацией, которым должны следовать все.

_GDPR (Общее положение о защите данных)

Общее положение о защите данных (ЕС) (GDPR) – это нормативный акт в законодательстве ЕС о защите данных и конфиденциальности в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). ).

_RDS

_Ваша ответственность

  • Проверьте порты, IP-адреса, группы безопасности — входящие и исходящие правила в базе данных.
  • В базе данных — создание пользователей и назначение прав, доступ к базе данных
  • Шифрование данных
  • Разрешить только SSL-соединение

_ответственность AWS

  • Управляйте своим экземпляром EC2, отключайте доступ по SSH или добавляйте в белый список (разрешая только отдельный IP-адрес для доступа) любой отдельный IP-адрес.
  • Автоматическое исправление ОС и базы данных
  • Экземпляры на диске и гарантируют его функции

_S3

_Ваша ответственность

  • Базовая конфигурация
  • Определите политики корзины (общедоступные настройки)
  • Кому мы предоставляем доступ к пользователям и ролям IAM
  • Включить шифрование

_ответственность AWS

  • Неограниченное хранилище должно быть предоставлено
  • Шифрование внутри корзины S3 (до включения шифрования данные уже зашифрованы в S3)
  • Разделение данных (какие данные должны предоставляться какому клиенту)
  • AWS гарантирует, что без соответствующего разрешения ни один сотрудник не сможет получить доступ к этим данным.

_Что такое ДДОС?

Распределенный отказ в обслуживании

Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети путем переполнения цели или окружающей ее инфраструктуры потоком интернет-трафика.

ATTACKER — — — 1 — — -2 — — 3 — — 4 — -5(Multiple Master Machine) — — — так много ботов (зальет трафик) — — — — Сервер приложений

_Защита от DDOS для AWS

1) Экран AWS

а) Стандартный → без дополнительных затрат
б) Расширенный → защита от DDOS 24/7

2) АМС ВАФ

Фильтрует конкретный запрос на основе правил

3) Облачный фронт

  • Есть пользователь, который пытается получить доступ к какому-то URL-адресу/веб-сайту в браузере, т.е. поднимает запрос для DNS, т.е. Route 53 отвечает за DNS-запрос. Будет реализован щит AWS в Route 53, далее будет распределяться нагрузка на DNS с помощью Cloud Front Distribution.
  • В этом дистрибутиве у нас есть AWS WAF, который будет активирован. Если ваше соединение использует VPC или любые другие настройки любого другого облака, соответственно, оно будет определять группы безопасности, здесь AWS Shield снова интегрирован, тогда это зависит от того, использовали ли вы общедоступные или частные подсети.

Поток:

Пользователь — — — Route53 (AWS Shield) — — — — Облачное переднее распространение (AWS WAF) — — — — Группа безопасности (AWS Shield) — — — — Частные/общедоступные подсети

_Что такое DDoS-атака?



Что такое DDOS-атака и как защитить свой сайт от нее
Методы защиты и смягчения последствий с помощью управляемой службы защиты от распределенного отказа в обслуживании (DDoS), веб-доступа…aws.amazon.com



_AWS Щит

1) Стандартная версия

  • Бесплатный сервис, который активируется для каждого клиента AWS
  • Пакеты SYN / UDP переполняются для воздействия DDOS, атак отражения и других атак 3-го и 4-го уровня (сетевого и транспортного уровня).

2) Расширенная версия

  • Здесь у нас есть DDOS Mitigation, проверенный 24/7, доступный вместе с поддержкой (3000 долларов США в месяц и для каждой организации)
    Он будет защищать атаки на EC2, ELB, Cloud Front, Route53.
  • У них есть специальная команда для этого, которая называется (DRP Team) — группа реагирования на DDOS.

_AWS WAF

  • Защитите свои веб-приложения, размещенные на уровне 7 (уровень приложений-http).
  • Он позаботится о ALB (балансировщик нагрузки приложений), шлюзе API, Cloudfront.

_Web ACL (список управления доступом)

  • Web ACL имеет множество правил, и мы можем применить все эти правила к IP-адресу, заголовку HTTP, строкам URL.
  • Защита от распространенных атак: SQL-инъекция, межсайтовый скриптинг (XSS)
  • Опция Geo-match (заблокируйте регион/страны, где вы не хотите показывать свой продукт)

_Что такое тестирование на проникновение/пентестинг

Полный процесс называется оценкой уязвимостей и тестированием на проникновение (VAPT).

  • Тест на проникновение, также известный как тест на проникновение, представляет собой смоделированную кибератаку на вашу компьютерную систему для проверки на наличие уязвимостей, которые можно использовать. В контексте безопасности веб-приложений тестирование на проникновение обычно используется для усиления брандмауэра веб-приложений (WAF).
  • Пентестирование может включать в себя попытку взлома любого количества прикладных систем (например, интерфейсов прикладных протоколов (API), интерфейсных/внутренних серверов) для выявления уязвимостей, таких как недезинфицированные входные данные, которые подвержены атакам путем внедрения кода.

Можно попробовать тестирование пера на:

  • EC2 — — Шлюзы NAT (пользователи VPC) и ELB
  • РДС
  • Облачный фронт
  • Аврора
  • Шлюзы API
  • Лямбда-функции AWS
  • Световой парус
  • Бобовый стебель

_AWS Запрещенные действия

1. Обход зоны DNS через зону хостинга Amazon route 53
2. DOS- и DDOS-атаки на экземпляры или приложения
3. Флудинг портов
4. Флудинг протоколов
5. Флудинг запросов ( Флудинг запросов на вход, флуд запросов API)

_0-дневная уязвимость

[email protected]



Тестирование на проникновение — Amazon Web Services (AWS)
Проверка среды AWS на соответствие определенным стандартам безопасности Клиенты AWS могут провести оценку безопасности…aws.amazon. ком





Модель общей ответственности — Amazon Web Services (AWS)
Безопасность и соответствие требованиям — это общая ответственность между AWS и клиентом. Эта общая модель может помочь облегчить…aws.amazon.com



_DATA в состоянии покоя VS DATA в пути

  • Предположим, у нас есть зашифрованные данные в состоянии покоя (в EFS), и эти данные находятся между тем, как они шифруются при передаче, а загрузка называется данными в пути.
  • После шифрования данные помещаются в хранилище, т.е. в корзину S3.
  • Зашифрованные данные в состоянии покоя EFS — — Зашифрованы при передаче при загрузке — — Зашифрованы в состоянии покоя на S3
  • Данные, которые хранятся или архивируются на устройстве, называются неактивными данными.
  • Данные в пути (в движении) здесь данные передаются из одного помещения AWS в другое, например экземпляр EC2, DynamoDB.
  • Данные передаются по сети, то есть когда данные находятся в сети, это называется данными в пути.

_Зачем нам именно KMS?

Мы хотим шифровать данные в обоих состояниях (данные в состоянии покоя и данные в пути), чтобы защитить их, для этого мы используем ключи шифрования. И эти ключи шифрования присутствуют в модуле AWS KMS.

_AWS KMS (Служба управления ключами)

  • Служба управления ключами AWS (AWS KMS) позволяет создавать, управлять и контролировать криптографические ключи в ваших приложениях.
  • Он управляет ключами шифрования для нас

_Шифрование услуги OPT IN

  • база данных RDS
  • ЭФС
  • Базы данных красного смещения
  • Ковши S3
  • Объемы EBS

_Автоматически включенный зашифрованный сервис AWS

  • Ковш S3
  • Журналы Cloudtrail
  • Шлюз хранения

_Облачный HSM

Cloud HSM — это служба аппаратного модуля безопасности (HSM), размещенная в облаке, которая позволяет размещать ключи шифрования и выполнять криптографические операции в кластере.

_Методологии шифрования

KMS — ›AWS управляет программным обеспечением для шифрования
Облачный HSM — › Оборудование для шифрования, предоставленное AWS
Выделенное оборудование — › Управление аппаратной безопасностью

_Как добавить новый ключ с помощью AWS KMS и интегрировать его в ресурсы AWS?

  • Сначала перейдите на панель инструментов AWS и выполните поиск AES KMS.

  • Здесь вы увидите, что можно добавить три типа ключей,
  1. Управляемые ключи AWS
  2. Ключи, управляемые клиентом
  3. Пользовательское хранилище ключей

В зависимости от ваших требований вы можете выбрать один из типов, представленных здесь

  • Управляемые ключи AWS — это ключи, которые присутствуют по умолчанию.

  • Это пользовательские ключи. Если вы хотите определить ключ с вашими собственными политиками и собственными правилами, выберите ключи, управляемые клиентом.

  • И если вы хотите интегрировать в него какое-либо оборудование, выберите собственное хранилище ключей, например AWS HSM.

  • Здесь мы добавим пользовательский ключ
  • Выберите тип ключа и использование ключа в зависимости от требований.

  • Затем выберите происхождение материала ключа и регион ключа, если вы хотите ключ одного региона или ключ нескольких регионов.

  • Затем добавьте метки для ключа, поместите описание и нажмите «Далее».

  • Здесь вам нужно дать разрешение любому пользователю IAM, если вы хотите дать разрешение

  • Затем выберите это разрешение в соответствии с вашими потребностями и нажмите «Далее».

  • Проверьте указанные политики — › Далее, а затем Завершить процесс.
  • Таким образом будет создан ваш ключ KMS.

_Использование этого ключа KMS

  • Предположим, если вы хотите добавить какой-либо том EBS или любой другой ресурс AWS, то после создания AWS KMS появится опция шифрования.
  • Там вы можете проверить и выбрать ключ KMS, который был создан, чтобы данные в нем могли быть зашифрованы как в состоянии данных в движении, так и в состоянии покоя.

  • Таким образом, мы можем очень просто интегрировать эти ключи в различные ресурсы AWS.

_Менеджер сертификатов AWS (ACM)

  • AWS Certificate Manager (ACM) — это сервис, который позволяет легко предоставлять, управлять и развертывать общедоступные и частные сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для использования с сервисами AWS и вашими внутренними подключенными ресурсами.
  • SSL/TLS-сертификат
  • Сертификат TLS предоставляется бесплатно.
  • Интеграция — ELB, Cloudfront, API и шлюз API

_AWS менеджер секретов

  • AWS Secrets Manager помогает управлять, извлекать и менять учетные данные базы данных, ключи API и другие секреты на протяжении всего их жизненного цикла.
  • Хранит зашифрованные учетные данные для RDS DB, DOC DB, REDSHIFT, API KEY или Token.
  • Храните здесь и простые текстовые пароли.
  • Ротация пароля может производиться на основе часов, минут, дней.

_AWS-совместимость

  • AWS Compliance позволяет клиентам понять, какие надежные средства управления используются в AWS для обеспечения безопасности и защиты данных в облаке AWS.

_Что такое соответствие?

Это набор правил, установленных какой-то организацией, которым должны следовать все.

Артефакты AWS используются для:

  • Отчеты об артефактах — можно загрузить AWS security and Compliance
    — ISO 27001
    — PCI: индустрия платежных карт (банковский сектор и сектор финансовых технологий)
    — SOC: система и организация контроль
  • Артефактные соглашения — BAA (Дополнение к деловому партнеру)
    HIPAA (Активация переносимости и подотчетности медицинского страхования)

_Еще несколько ресурсов Cloud sec

1. GuardDuty
2. Inspector
3. Config
4. Amazon Macie
5. Security Hub
6. Amazon Detective

_Root Права пользователя

  • Пользователь root может быть создан с учетной записью, которая создается в первый раз
  • Имеет полный доступ ко всем сервисам AWS
  • Не забудьте заблокировать ключи доступа пользователя root к вашей учетной записи AWS.
  • Действия, которые может выполнять только пользователь root:
  1. Изменить настройки и информацию учетной записи (ваше имя, адрес электронной почты, пароль пользователя root, ключи доступа root)
    2. Просмотреть налог и счет-фактуру
    3. Закрыть учетную запись AWS
    4. Восстановить разрешения IAM < br /> 5. Измените или отмените любой из ваших планов поддержки AWS.
    6. Настройте корзину Amazon S3, чтобы включить MFA. ИДЕНТИФИКАТОР.

Если этот пост был полезен, подпишитесь и нажмите кнопку аплодисментов 👏 ниже, чтобы выразить свою поддержку 😄

_ Спасибо за прочтение💚

_Раджани 🌻✨