أفضل 10 ممارسات أمان AWS يجب على الشركات اتباعها
نشرت: 2020-12-04يعتبر مفهوم أمن المعلومات مسألة ذات أهمية كبيرة لعملاء Amazon Web Services (AWS). بالإضافة إلى كونها متطلبًا وظيفيًا يحمي المعلومات المهمة للمهمة من أي سرقة لبيانات الحوادث ، أو تسرب ، أو حل وسط ، أو حذف ، فإن ممارسات أمن المعلومات توفر سلامة البيانات.
ومن ثم ، يمكن الاستنتاج بسهولة أن خدمات Amazon Web أو أمان AWS السحابي هي مواضيع مهمة في بيئة الأمن السيبراني في العالم الحالي. من المهم جدًا أن يقوم عدد متزايد من الشركات بتنفيذ خدمات AWS السحابية للتأكد من أن أمن المعلومات الخاص بهم يظل في المستوى المطلوب. في المشهد الحالي ، من الواضح أنه ليس هناك شك في أن إدارة مخاطر Amazon تقدم أفضل ميزات الأمان للمستخدمين الذين يحتفظون بخدمات AWS السحابية.
ومع ذلك ، هناك شيء مهم يجب ملاحظته هنا وهو أن الأمان مسؤولية تعاونية لـ AWS والمستخدمين. يمكنك تنفيذ ممارسة أمان AWS الأساسية ولكن نظرًا لحقيقة إطلاق قدر كبير من الموارد وتعديلها في بنية AWS الأساسية بشكل متكرر ، يجب أن يكون هناك تركيز إضافي يتم الحفاظ عليه لمواكبة أفضل ممارسات أمان السحابة.
في هذه المدونة ، سنرى أفضل 10 ممارسات أمان لـ AWS يجب على الشركات اتباعها كإجراءات مهمة. قبل أن ننتقل إلى أفضل الممارسات ، سنبدأ بفهم ماهية AWS بالتفصيل.
خدمات أمازون ويب
يمكن اعتبار AWS بمثابة نظام أساسي سحابي شامل ومحمي معتمد على نطاق واسع يوفر خدمات عالية الميزات مثل توصيل المحتوى وتخزين قاعدة البيانات وقوة الحوسبة والوظائف الأخرى التي يمكن أن تساعد بشكل كبير في أن تصبح عالمية. كما يقدم حلولاً وأدوات متعددة مثل أدوات تحرير الفيديو السحابية وغيرها الكثير لمؤسسات البرمجيات والمطورين بغرض التوسع والنمو.
قراءة ذات صلة : مقدمة إلى Amazon Web Services
تنقسم خدمة سحابة AWS إلى العديد من الخدمات ويمكن تكوين كل واحدة منها على أساس احتياجات المستخدم. تمكن الخدمات المستخدمين من استضافة مواقع ويب ديناميكية عن طريق تشغيل خدمات الويب والتطبيقات في السحابة أثناء استخدام قواعد البيانات المدارة مثل Oracle أو SQL Server أو حتى MySQL لغرض تخزين المعلومات وتخزين الملفات بأمان على السحابة حتى يتمكنوا من يمكن الوصول إليها من أي مكان.
مع العديد من المزايا التي تقدمها AWS ، هناك مسؤولية مهمة تتمثل في الحفاظ على أمان البيانات في السحابة. الآن بعد أن فهمنا ماهية AWS ، سنقوم بتنفيذها لضمان تعزيز الأمان.
1. فهم نموذج أمان AWS
على غرار مزودي الخدمات السحابية ، تعمل Amazon وفقًا لنموذج المسؤولية المشتركة. من أجل تنفيذ ممارسة الأمان ، فإن فهم هذا النموذج مهم جدًا. نظرًا لتحملها المسؤولية الكاملة عن أمان سحابة AWS في بنيتها التحتية ، فقد جعلت Amazon من أمان النظام الأساسي أولوية مهمة لغرض حماية المعلومات والتطبيقات المهمة.
في مراحله الأولى فقط ، تكتشف أمازون جميع الحوادث المحتملة للاحتيال أو إساءة الاستخدام أثناء الرد المناسب عن طريق إخطار العملاء. ومع ذلك ، فإن العميل مسؤول عن التأكد من تكوين بيئة AWS بأمان وعدم مشاركة البيانات مع أي شخص لا ينبغي مشاركتها معه. وهي تحدد متى يسيء أي مستخدم استخدام AWS ويفرض قواعد الحوكمة المناسبة.
- دور أمازون: تركز أمازون بشكل مفرط على أمان البنية التحتية لـ AWS لأنها تمتلك القليل جدًا من التحكم في كيفية استخدام العملاء لـ AWS. يتضمن الدور الذي تلعبه Amazon حماية خدمات الحوسبة والشبكات والتخزين وقواعد البيانات ضد أي نوع من التدخلات. بالإضافة إلى ذلك ، فإن Amazon مسؤولة أيضًا عن الأمان الإضافي للأجهزة والبرامج والمرافق المادية التي تستضيف خدمات AWS. بدلاً من ذلك ، فإنه يتحمل مسؤولية تكوين الأمان للخدمات المدارة مثل Redshift و Elastic MapReduce و WorkSpaces و Amazon DynamoDB وما إلى ذلك.
- دور العميل: يتحمل عملاء AWS مسؤولية ضمان الاستخدام الآمن لخدمات AWS التي تعتبر بخلاف ذلك غير مُدارة. على سبيل المثال؛ على الرغم من أن Amazon قد أنشأت طبقات متعددة من ميزات الأمان لمنع أي وصول غير مصرح به إلى AWS بما في ذلك المصادقة متعددة العوامل ، إلا أنها تعتمد كليًا على العميل لضمان تشغيل المصادقة متعددة العوامل للمستخدمين.
2. حدد أولويات إستراتيجيتك بالتزامن مع الأدوات وعناصر التحكم
هناك نقاش كبير حول ما إذا كان ينبغي للمرء أن يضع الأدوات والضوابط في المقام الأول أو أن يضع استراتيجية الأمان من ناحية أخرى. قد تبدو الإجابة الصحيحة على هذا وكأنها مناقشة أساسية لأنها معقدة بطبيعتها.
في معظم الأوقات ، يوصى بإنشاء إستراتيجية أمان سحابة AWS في المقام الأول بحيث يمكنك عند الوصول إلى أداة أو عنصر تحكم تقييم ما إذا كانت تدعم استراتيجيتك أم لا. بالإضافة إلى ذلك ، فإنه يمكّنك أيضًا من حماية الأمان في جميع الوظائف التنظيمية بما في ذلك تلك التي تعتمد على AWS. عندما يتم وضع إستراتيجية أمنية أولاً ، فإنها تثبت أنها ذات فائدة كبيرة في مفهوم النشر المستمر.
على سبيل المثال ، عندما تستخدم شركة أداة إدارة التكوين لأتمتة تصحيحات البرامج وتحديثاتها ، فهناك خطة أمان قوية مطبقة. يساعد في تنفيذ المراقبة الأمنية جميعًا من خلال الأدوات منذ اليوم الأول.
3. تعزيز تكوينات أمان CloudTrail
CloudTrail هي خدمة سحابة AWS تساعد في إنشاء ملفات سجل لجميع استدعاءات API التي يتم إجراؤها داخل AWS بما في ذلك مجموعات SDK وأدوات سطر الأوامر ووحدة التحكم في إدارة AWS وما إلى ذلك ، وهي قدرة تمكن المؤسسات من مراقبة الأنشطة في AWS لكل من تدقيق الامتثال وتحقيقات الطب الشرعي اللاحقة.
يتم تخزين ملفات السجل التي تم إنشاؤها في حاوية S3. في حالة تمكن المهاجم الإلكتروني من الوصول إلى حساب AWS ، فإن أحد الأشياء القليلة الأساسية التي يقوم بها هو تعطيل CloudTrail وحذف ملفات السجل. للحصول على أقصى استفادة من CloudTrail ، يجب على المؤسسات المختلفة اتخاذ بعض الإجراءات.
من بينها ، تمكين CloudTrail عبر مواقع جغرافية مختلفة ، كما تمنع خدمة AWS ثغرات مراقبة النشاط. يضمن تشغيل التحقق من صحة ملف سجل CloudTrail لضمان تتبع أي تغييرات يتم إجراؤها على ملف السجل سلامة ملف السجل. من المهم أيضًا تسجيل الدخول للوصول إلى حاوية CloudTrail S3 التي يمكنها تتبع طلبات الوصول والعثور على أي محاولات وصول محتملة. أخيرًا ، يمكن أن يكون تشغيل المصادقة متعددة العوامل لحذف حاويات S3 وتشفير جميع ملفات السجل مقياسًا جيدًا.
4. تكوين سياسة كلمة المرور
يعد حشو بيانات الاعتماد ، وتكسير كلمات المرور ، وهجمات القوة بعضًا من الهجمات الأمنية الشائعة التي يستخدمها مجرمو الإنترنت لاستهداف المؤسسات ومستخدميها. يعد فرض سياسة كلمات مرور قوية في المكان المناسب أمرًا حيويًا لسلامة المؤسسة لأنه يمكن أن يقلل بشكل كبير من أي احتمالات للتهديد الأمني.
كخطوة مهمة في إدارة مخاطر AWS ، يمكنك التفكير في إعداد سياسة كلمة مرور تصف مجموعة من الشروط لإنشاء كلمة مرور وتعديلها وحذفها. على سبيل المثال: تنفيذ المصادقة متعددة العوامل ، وسياسة تجديد كلمة المرور بعد فترة من الوقت ، وأتمتة القفل بعد عدة محاولات تسجيل دخول فشلت ، وما إلى ذلك.
5. تعطيل الوصول إلى الجذر API والمفاتيح السرية
مع مقدمة لهوية AWS وإدارة الوصول ، انتهت الحاجة البسيطة لمستخدمي الجذر الذين لديهم وصول غير محدود. المستخدم الجذر لديه إذن كامل لعرض وتغيير أي شيء داخل البيئة.
في أغلب الأحيان ، يتم إنشاء حسابات المستخدمين الجذر لمنح الوصول إلى النظام للوظائف الإدارية مثل جمع المعلومات حول الفواتير والنشاط. بمساعدة AWS IAM ، يمكن السماح للمستخدمين صراحة بتنفيذ الوظائف لأنه بخلاف ذلك ، لا يُمنح أي مستخدم الوصول التلقائي إلى كل شيء. كقدرة ، يمكّن هذا الشركات من زيادة خفة الحركة دون أي مخاطر إضافية.
ما هو أكثر من ذلك ، أن إزالة الوصول عن بعد من النظام هي خطوة سهلة وبسيطة توفر العديد من مزايا الأمان. إلى جانب إنشاء نظام آمن ككل ، فإنه يساعد أيضًا في تعزيز إنتاجية DevOps وفرق المنتجات الأخرى من خلال تمكين الفرق من العمل بأمان من خلال الراحة والإدارة الفورية لأمن البنية التحتية لـ AWS.
6. تنفيذ إدارة الهوية والوصول
تُعرف IAM باسم خدمة AWS التي تقدم إمكانيات إدارة الوصول والتحكم للمستخدمين لمستخدمي AWS. يمكن لمسؤولي AWS استخدام IAM لإنشاء وإدارة المستخدمين والمجموعات لتطبيق قواعد الأذونات الدقيقة لتقييد الوصول إلى AWS APIs والموارد. لتحقيق أقصى استفادة من IAM ، يجب على المؤسسات القيام بالأمور التالية:
- أثناء إنشاء سياسات IAM ، تأكد من أنها مرتبطة بالأدوار أو المجموعات بدلاً من المستخدمين الفرديين لتقليل مخاطر حصول المستخدم الفردي على أذونات غير ضرورية أو امتيازات مفرطة عن طريق الصدفة.
- تأكد من منح مستخدمي IAM أقل عدد من امتيازات الوصول إلى موارد AWS التي لا تزال تمكنهم من إكمال مسؤوليات وظيفتهم.
- توفير الوصول إلى مورد يستخدم أدوار IAM بدلاً من توفير مجموعة فردية من بيانات الاعتماد للوصول التي تضمن أي بيانات اعتماد محتملة في غير محلها أو تم اختراقها تؤدي إلى وصول غير مصرح به إلى المورد.
- قم بتدوير مفاتيح الوصول IAM بشكل متكرر وقم بتوحيد عدد محدد من الأيام لانتهاء صلاحية كلمة المرور لضمان عدم إمكانية الوصول إلى البيانات باستخدام مفتاح مسروق محتمل.
- تأكد من أن جميع مستخدمي IAM لديهم مصادقة متعددة العوامل مفعلة للحسابات الفردية وتقييد عدد مستخدمي IAM بامتيازات إدارية.
7. تشفير البيانات بانتظام
يجب على كل منظمة إنشاء نسخ احتياطية متكررة من البيانات. في خدمات AWS السحابية ، تعتمد إستراتيجية النسخ الاحتياطي على إعداد تكنولوجيا المعلومات الحالي ومتطلبات الصناعة وطبيعة البيانات. يوفر النسخ الاحتياطي للبيانات نسخًا احتياطيًا مرنًا ويستعيد الحلول التي تحمي بياناتك من أي سرقات إلكترونية وانتهاكات أمنية.
يعد استخدام AWS Backup قابلاً للتطبيق للغاية لأنه يوفر وحدة تحكم مركزية لإدارة وأتمتة النسخ الاحتياطي عبر خدمات AWS. يساعد في دمج Amazon DynamoDB و Amazon EFS و Amazon Storage Gateway و Amazon EBS و Amazon RDS لتمكين النسخ الاحتياطية المنتظمة لمخازن البيانات الرئيسية مثل أنظمة الملفات ووحدات التخزين وقواعد البيانات.
8. سياسات البيانات
لا يتم إنشاء جميع البيانات بمقياس متساو ، مما يعني بشكل أساسي أن تصنيف البيانات بالطريقة الصحيحة مهم لضمان الأمان. من المهم إلى حد ما استيعاب المفاضلات الصعبة بين بيئة أمنية صارمة وبيئة مرنة مرنة. بشكل أساسي ، يتطلب الموقف الأمني الصارم إجراءات مطولة للتحكم في الوصول تضمن أمان البيانات.
ومع ذلك ، يمكن أن يعمل الموقف الأمني في مواجهة بيئات التطوير السريعة والرشاقة حيث يحتاج المطورون إلى وصول الخدمة الذاتية إلى مخازن البيانات. يساعد تصميم نهج لتصنيف البيانات في تلبية مجموعة واسعة من متطلبات الوصول.
لا يجب أن يكون اليوم الذي يتم فيه تصنيف البيانات ثنائيًا كعام أو خاص. يمكن أن تأتي البيانات بدرجات مختلفة من الحساسية مع وجود مستويات متعددة من السرية والحساسية. صمم ضوابط أمان البيانات بمزيج مناسب من الضوابط التحريية والوقائية لمطابقة حساسية البيانات بشكل مناسب.
9. تكوين ثقافة أمنية
إن العمل على أفضل الممارسات الأمنية لخدمات AWS السحابية أشبه بجهد من القمة إلى القاعدة حيث يتحمل كل عضو في المؤسسة المسؤولية الكاملة. في الوقت الحالي على وجه الخصوص عندما يكون هناك نقص في المتخصصين في الأمن السيبراني ، يصعب العثور على أفراد يتمتعون بمهارات في أحدث التقنيات والأدوات.
بغض النظر عما إذا كان لديك فريق أمني ملتزم أو لا يوجد موظفين ، تأكد من تدريب جميع الموظفين على أهمية أمن البيانات والطرق التي يمكنهم من خلالها المساهمة في تعزيز الأمن العام للمؤسسة.
10. الحد من مجموعات الأمن
تعد مجموعات الأمان طريقة مهمة لتمكين وصول الشبكة إلى الموارد المتوفرة على AWS. تأكد من أن المنافذ المطلوبة فقط مفتوحة وأن الاتصال ممكّن من نطاقات الشبكة المعروفة لأن هذا هو الأسلوب الأساسي للأمان.
يمكنك أيضًا استخدام خدمات مثل AWS Firewall Manager و AWS coding للتأكد من أن تكوين مجموعة أمان السحابة الخاصة الافتراضية هو ما تريده برمجيًا. تحلل قواعد إمكانية الوصول إلى الشبكة تكوين الشبكة لتحديد ما إذا كان يمكن الوصول إلى مثيل Amazon EC2 من الشبكات الخارجية.
يمكن أيضًا استخدام الإنترنت و AWS Direct Connect و AWS Firewall Manager لتطبيق قواعد AWS WAF على الموارد المواجهة للإنترنت عبر حسابات AWS المختلفة.
استنتاج
عندما تنتقل إلى البنية التحتية السحابية لـ AWS أو تقوم بتطوير AWS الحالي ، ستكون هناك حاجة لإلقاء نظرة عميقة على سلامة البنية التحتية لـ AWS. بالإضافة إلى ذلك ، يحتاج المستخدمون أيضًا إلى البقاء على اطلاع دائم بالتغييرات الجديدة حتى يمكن اعتماد تدابير أمنية أفضل وأكثر شمولية.
يمكن أن تساعد أفضل الممارسات المذكورة أعلاه كثيرًا في الحفاظ على أمان نظام AWS البيئي. ومع ذلك ، إذا كنت بحاجة إلى المزيد من المساعدة أو الدعم في ضمان ذلك ، فإن الاتصال بفريق Encaptechno يمكن أن يكون مفيدًا للغاية.
تواصل لضمان التنفيذ الفعال للممارسات الأمنية.
