كيفية إنشاء بنية أساسية آمنة لـ AWS

كل يوم، تنتقل المزيد من الشركات من البنية التحتية التقليدية لتكنولوجيا المعلومات، في حين أدى الوباء فقط إلى تسريع اعتماد التقنيات السحابية بين القوى العاملة عن بُعد. تم قبول الخدمات السحابية مثل Amazon Web Services (AWS) على نطاق واسع كقناة للحوسبة السحابية وتقديم البرامج والتطبيقات إلى السوق العالمية، بطريقة فعالة من حيث التكلفة وآمنة. ومع ذلك، يميل مستهلكو السحابة إلى التخلي عن المسؤولية تجاه تأمين البنية التحتية السحابية الخاصة بهم.

يتشارك مقدمو الخدمات السحابية والمستهلكون مسؤولية ضمان تجربة آمنة ومأمونة على السحابة. في حين أن مزودي الخدمة مسؤولون عن البنية التحتية الأساسية التي تمكّن السحابة، فإن المستخدمين مسؤولون عن البيانات التي تنتقل إلى السحابة ومن يمكنه الوصول إليها.

ال إطار AWS جيد التصميم هو دليل/ورقة بيضاء صادرة عن Amazon حول المفاهيم الأساسية لـ AWS ومبادئ التصميم وأفضل الممارسات المعمارية. يعد الأمان أحد الركائز الخمس التي يستند إليها هذا الإطار، حيث يدعم حقيقة أن حماية بياناتك وتحسين الأمان أمر بالغ الأهمية لمستخدمي AWS. تهدف هذه المدونة إلى تلخيص ورقة بيضاء حول عمود الأمان وناقش:

• مبادئ التصميم لـ AWS
• عدد قليل من سيناريوهات حالات الاستخدام، و
• نوصي بطرق تنفيذ بنية AWS الأساسية المصممة بشكل آمن.

توفر AWS مجموعة متنوعة من الخدمات السحابية، للحساب والتخزين وإدارة قواعد البيانات وما إلى ذلك، وتركز البنية الجيدة عادةً على الأساليب الفعالة للوصول إلى ذروة الأداء والتصميم القابل للتطوير وتقنيات توفير التكاليف. لكن جوانب تصميم البنية التحتية السحابية الأخرى تُعطى أهمية أكبر، في كثير من الأحيان، مقارنة بالبعد الأمني.

يمكن تقسيم أمان البنية التحتية السحابية إلى خمس مراحل:

1. التحقق من الهوية وإدارة الوصول فيما يتعلق بموارد AWS.
2. اكتشاف الهجمات وتحديد التهديدات المحتملة والتشكيلات الخاطئة.
3. التحكم في الوصول من خلال تحديد حدود الثقة وتطبيق أفضل الممارسات في العملية.
4. تصنيف جميع البيانات وحماية البيانات في جميع الولايات: الراحة والعبور.
5. الاستجابة للحوادث: آليات محددة مسبقًا للاستجابة والتخفيف من أي حادث أمني سطحي.

نموذج المسؤولية المشتركة

كما ذكرت سابقًا، تقع على عاتق المستخدم ومزود خدمة AWS مسؤولية جماعية لتأمين البنية التحتية السحابية. من المهم وضع ذلك في الاعتبار أثناء استكشاف تفاصيل التنفيذ المختلفة ومبادئ التصميم.

توفر AWS الكثير من أدوات المراقبة والحماية وتحديد التهديدات لتقليل العبء التشغيلي لمستخدميها، ومن المهم جدًا فهم الخدمة المناسبة واختيارها لتحقيق بيئة آمنة جيدًا.

تقدم AWS خدمات متعددة ذات طبيعة وحالات استخدام مختلفة مثل EC2 وLambda. تحتوي كل من هذه الخدمات السحابية على مستويات مختلفة من التجريد التي تمكن المستخدمين من التركيز على المشكلة التي سيتم حلها بدلاً من تشغيلها. تختلف حصة مسؤوليات كل طرف بالمثل بناءً على مستوى التجريد. مع المستويات الأعلى من التجريد، تنتقل حصة المسؤولية عن توفير الأمان في السحابة بشكل أكبر إلى مزودي الخدمة (مع بعض الاستثناءات).

إدارة وفصل حسابات المستخدمين لتنظيم عبء العمل

استنادًا إلى طبيعة العمليات التي يتم تشغيلها على AWS وحساسية البيانات التي تتم معالجتها، يمكن أن تتغير أعباء العمل. يجب فصلها بحدود منطقية وتنظيمها في حسابات مستخدمين متعددة للتأكد من عزل البيئات المختلفة. على سبيل المثال، تشتمل بيئة الإنتاج عادةً على سياسات أكثر صرامة، والمزيد من متطلبات الامتثال، ويجب عزلها لبيئات التطوير والاختبار.

من المهم ملاحظة أنه يجب عدم استخدام حساب المستخدم الجذري لـ AWS للعمليات الشائعة. وباستخدام منظمات AWS، يمكن للمرء تبسيط الأمور وإنشاء مستخدمين متعددين تحت نفس المؤسسة، مع سياسات وأدوار وصول مختلفة. كما أنه مثالي لتمكين المصادقة متعددة العوامل، خاصة على الحساب الجذر.

إدارة الهوية والأذونات

يمكن الوصول إلى موارد AWS من قبل البشر (مثل المطورين أو مستخدمي التطبيقات) أو الأجهزة (مثل مثيل EC2 أو وظائف Lambda). يعد إعداد وإدارة آلية التحكم في الوصول بناءً على هوية مقدم الطلب أمرًا مهمًا للغاية، حيث يمكن أن يكون هؤلاء الأفراد الذين يسعون للوصول جزءًا خارجيًا أو داخليًا من المنظمة.

يجب منح كل حساب حق الوصول إلى موارد وإجراءات مختلفة باستخدام أدوار IAM (إدارة الهوية والوصول)، مع السياسات التي تحدد قواعد التحكم في الوصول. استنادًا إلى هوية حساب المستخدم وIAM المرفق، يمكن تعطيل بعض الوظائف الهامة. على سبيل المثال، رفض بعض التغييرات من جميع حسابات المستخدمين، مع استثناءات للمشرف. أو منع جميع المستخدمين من حذف سجلات تدفق Amazon VPC.

بالنسبة لكل هوية تتم إضافتها على مؤسسة AWS، يجب منحهم حق الوصول إلى مجموعة من الوظائف الضرورية فقط لإنجاز المهام المطلوبة. سيحد هذا من الوصول غير المقصود إلى الوظائف. والسلوكيات غير المتوقعة الناشئة عن أي هوية لن يكون لها سوى تأثير ضئيل.

الاستفادة من خدمات AWS لمراقبة مشكلات الأمان واكتشافها

يعد جمع السجلات التي تم إنشاؤها من كل مكون من مكونات عبء العمل وتحليلها بشكل منتظم أمرًا مهمًا للغاية لاكتشاف أي سلوك غير متوقع أو تكوين خاطئ أو تهديد محتمل. ومع ذلك، لا يكفي جمع السجلات وتحليلها. يمكن أن يكون حجم السجلات الواردة ضخمًا، ويجب إعداد تدفق التنبيه وإعداد التقارير جنبًا إلى جنب مع نظام التذاكر المتكامل. تقدم AWS خدمات مثل هذه لضمان العمليات الآلية والسهلة:

• كلاود تريل: يوفر سجل الأحداث لنشاط حساب AWS الذي يتضمن جميع خدمات AWS ووحدة التحكم الإدارية ومجموعات SDK و CLI وما إلى ذلك.
• التكوين: يتيح التقييم الآلي والتدقيق والتقييم لتكوين كل مورد من موارد AWS.
• واجب الحراسة: خدمة المراقبة الأمنية المستمرة التي تحدد النشاط الضار الذي يظهر داخل بيئات AWS من خلال تحليل بيانات السجل والبحث عن الأنماط التي قد تشير إلى أي نوع من تصعيد الامتيازات أو بيانات الاعتماد المكشوفة أو الاتصالات القائمة بعناوين IP الضارة أو المجالات.
• مركز الأمان: يقدم عرضًا شاملاً للحالة الأمنية للبنية التحتية لـ AWS من خلال تمكين التجميع وتحديد الأولويات وإلغاء البيانات المكررة لتنبيهات الأمان من خدمات AWS المتعددة وحتى منتجات الجهات الخارجية.

حماية البنية التحتية: الشبكات والحوسبة

برامج قديمة والتبعيات التي عفا عليها الزمن ليست غير عادية ومن الضروري تصحيح جميع الأنظمة في البنية التحتية. يمكن القيام بذلك يدويًا بواسطة مسؤولي النظام، ولكن من الأفضل استخدام AWS Systems Manager Patch Manager الذي يقوم بشكل أساسي بأتمتة عملية تطبيق التصحيحات على نظام التشغيل والتطبيقات وتبعيات التعليمات البرمجية.

من الضروري إعداد مجموعات أمان AWS بالطريقة الصحيحة، خاصة خلال المرحلة التي تنمو فيها البنية التحتية بمعدل سريع. غالبًا ما تسوء الأمور عند إضافة مجموعات أمان غير منظمة وفوضوية إلى البنية التحتية. يجب التعامل بحذر مع إنشاء مجموعات الأمان وتخصيصها، حيث إن مجرد التغاضي الطفيف يمكن أن يؤدي إلى الكشف عن الأصول الهامة ومخازن البيانات على الإنترنت. يجب أن تحدد مجموعات الأمان بوضوح قواعد حركة الدخول والخروج، والتي يمكن تعيينها ضمن إعدادات حركة المرور الصادرة.

إذا كان من الضروري الكشف عن بعض الأصول على الإنترنت، فتأكد من حماية شبكتك من هجمات DDoS. تساعد خدمات AWS مثل Cloudfront وWAF وShield على تمكين حماية DDoS في طبقات متعددة.

حماية البيانات

يعد تصنيف جميع البيانات المخزنة في مواقع متعددة داخل البنية التحتية أمرًا ضروريًا. ما لم يكن من الواضح ما هي البيانات الأكثر أهمية وتلك التي يمكن الكشف عنها مباشرة على الإنترنت، فإن إعداد آليات الحماية يمكن أن يكون مهمة بعض الشيء. يجب تصنيف البيانات الموجودة داخل جميع مخازن البيانات المختلفة من حيث الحساسية والحرجة. إذا كانت البيانات حساسة بدرجة كافية لمنع الوصول المباشر من المستخدمين، فسيتم وضع سياسات وآليات «العمل عن بعد».

توفر AWS خدمات تخزين بيانات متعددة، وأكثرها شيوعًا هي أقراص S3 وEBS. يمكن عادةً العثور على بيانات التطبيق داخل مخازن البيانات المستضافة ذاتيًا على وحدات تخزين EBS. أيضًا، يجب تشفير جميع البيانات الحساسة التي تدخل في حاويات S3 بشكل صحيح قبل ذلك. في الواقع، سيكون من الأفضل تمكين التشفير افتراضيًا على هذه العناصر.

تعد حماية البيانات أثناء النقل مهمة أيضًا، وللقيام بذلك، يلزم إجراء اتصالات آمنة، والتي يمكن الحصول عليها باستخدام تشفير TLS. يجب أن يكون التأكد من نقل البيانات عبر قنوات آمنة كافيًا. يعد مدير شهادات AWS أداة جيدة لإدارة شهادات SSL/TLS.

الاستعداد والاستجابة للحوادث الأمنية بالطريقة الصحيحة

بمجرد إعداد جميع الأتمتة ووضع عناصر التحكم في الأمان، يصبح تصميم خطط الاستجابة للحوادث وكتب التشغيل أسهل. يجب أن تغطي الخطة الجيدة خطوات الاستجابة والتواصل والتعافي بعد أي حادث أمني. هذا هو المكان الذي تلعب فيه السجلات واللقطات والنسخ الاحتياطية ونتائج GuardDuty دورًا مهمًا. إنها تجعل المهمة أكثر كفاءة نسبيًا. بشكل عام، يجب أن يكون الهدف هو الاستعداد للحادث قبل حدوثه وتكرار وتدريب الفريق بأكمله على اتباع خطة الاستجابة للحوادث بدقة.