Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Sprawdź jej szczegóły Polityki Prywatności i Cookies.

Akceptuję arrow

AWS Cloud Adoption Framework a bezpieczeństwo - wyjaśniamy perspektywę Security

21.2.2024 | LCloud
Udostępnij:

AWS Cloud Adoption Framework to zestaw najważniejszych wytycznych i informacji, który porządkuje wymagający proces migracji do chmury. Jednym z kluczowych działów dokumentu jest “Security” opisujący rozbudowany model zapewnienia bezpieczeństwa w infrastrukturze AWS. Prezentujemy Wam artykuł będący kontynuacją serii wpisów o AWS CAF i zarazem wyjaśniający tę kluczową perspektywę.

AWS Cloud Adoption Framework (w skrócie: CAF) to zbiór wytycznych, którego celem jest ułatwienie i uporządkowanie procesu adopcji chmury z zachowaniem jak najlepszych praktyk oraz możliwości uzyskania maksymalnych korzyści. Dokument został podzielony na sześć obszarów, a dzisiaj skupimy się na perspektywie Security opisującej możliwości i zalety chmury AWS w kontekście zachowania bezpieczeństwa, integralności i dostępności.

Rola bezpieczeństwa w świecie chmury obliczeniowej

Bezpieczeństwo odgrywa kluczową rolę w usługach Amazon Web Services i jest fundamentem umożliwiającym organizacjom wdrażanie nowych technologii, między innymi w postaci uczenia maszynowego (Machine Learning) czy sztucznej inteligencji (Artificial Intelligence). Chmury obliczeniowe oparte są o dane i zasoby przechowywane i udostępniane zdalnie, co rodzi dodatkowe wyzwania i potrzeby w tym zakresie. Z tego też powodu bezpieczeństwo powinno być kwestią braną pod uwagę zarówno na samym początku podróży do chmury, jak i na każdym jej kroku. AWS zapewnia kompleksowe i rozbudowane rozwiązania, które pozwalają na stworzenie środowiska budowanego od podstaw z myślą o zapewnieniu najwyższego poziomu bezpieczeństwa.

Wysoki poziom bezpieczeństwa jest realizowany dzięki specjalnemu zestawowi narzędzi obejmujących wiele dziedzin z zakresu Security, a także usług i dobrych praktyk. Dokument AWS CAF opisuje najważniejsze zasady, których wdrożenie w swoim środowisku chmurowym gwarantuje uzyskanie wysokiego poziomu bezpieczeństwa. Warto również podkreślić, że AWS oferuje stałe aktualizacje i nowości z zakresu bezpieczeństwa, dostarczając najnowsze technologie oraz narzędzia, aby organizacje mogły skutecznie dostosowywać się do zmieniającego się krajobrazu zagrożeń cybernetycznych.

Perspektywa Security – główne zasady

AWS Cloud Adoption Framework obejmuje najlepsze praktyki umożliwiające uzyskać najważniejsze cele biznesowe podczas podróży do chmury. Perspektywa Security została podzielona na kilka głównych zasad pozwalających uzyskać i utrzymać wysoki poziom bezpieczeństwa, a także zgodności z prawem i regulacjami.

Zarządzanie i zapewnienie bezpieczeństwa

Zarządzanie bezpieczeństwem to proces opracowywania, utrzymywania i skutecznego komunikowania ról, obowiązków, odpowiedzialności, zasad, procesów i procedur związanych z bezpieczeństwem, chociażby w modelu RACI (Responsible, Accountable, Consulted, Informed) oraz w systemie GRC (Governance, Risk and Compliance). Jasne określenie tych zasad pozwala na efektywne i zintegrowane osiągnięcie bezpieczeństwa, a także umożliwi lepiej zrozumieć dostępne zasoby i zagrożenia.

W przypadku chmury obliczeniowej podstawową czynnością powinno być przeprowadzenie stosownych badań oraz inwentaryzacji, które pozwolą wydrążyć odpowiednie priorytety, standardy i zasady. Co więcej, regularna ocena ryzyka pomoże określić prawdopodobieństwo i wpływ identyfikowanych zagrożeń na organizację. W zapewnieniu odpowiedniego poziomu bezpieczeństwa kluczowym jest także uzyskanie zgodności z wymogami prawnymi i regulacjami, na przykład GDPR (Ogólne Rozporządzenie o Ochronie Danych Osobowych – RODO).

AWS zapewnia zbiór szablonów oraz dokumentów, które ułatwiają wdrożenie odpowiednich mechanizmów oraz polityk bezpieczeństwa odpowiadających zarówno potrzebom branży, jak i regulacjom prawnym.

Zarządzanie dostępami

Dynamicznie zarządzanie dostępami jest podstawą wysokiego poziomu bezpieczeństwa i ograniczenia nieautoryzowanego dostępu. AWS CAF obejmuje opisy najważniejszych koncepcji z zakresu prawidłowego projektowania architektur zarządzania tożsamościami i dostępami.

Dzięki AWS Identity and Access Management (IAM) możemy tworzyć odpowiednie tożsamości oraz nadawać użytkownikom niezbędne uprawnienia, aby mogli zarządzać zasobami AWS. Skuteczne administrowanie tożsamościami i dostępem pomaga potwierdzić, że odpowiednie osoby i maszyny mają dostęp do wymaganych zasobów w razie danej sytuacji czy potrzeby, co wpisuje się w ramy zasady jak najniższego dostępu. Co ważne, AWS wykorzystuje również wieloetapową autoryzację (MFA) dla większej identyfikacji i ograniczaniu nieuprawnionego dostępu.

Zarządzanie podatnościami systemów

Nowe podatności w wykorzystywanych systemach mogą pojawić się wraz z nadchodzącymi aktualizacjami i modyfikacjami, bądź zostają wykryte na późniejszym etapie cyklu życia danego oprogramowania. Dynamiczna reakcja na wykryte zagrożenia (CVE), a także własne działania mające na celu ich identyfikację to jedne z kluczowych czynności, jakie należy utrzymywać w ramach infrastruktury w chmurze.

AWS CAF opisuje wiele ważnych narzędzi dostępnych w ramach usług chmurowych AWS. AWS Config pozwala na monitorowanie stanu konfiguracji i inwentaryzacje zasobów. Amazon Inspector wykorzystamy do zautomatyzowanego skanowania luk bezpieczeństwa w instancjach EC2, kontenerach Amazon ECR (Amazon Elastic Container Registry) i w funkcjach AWS Lambda.

Ochrona infrastruktury

Zabezpieczanie infrastruktury przed przypadkowym i nieuprawnionym dostępem oraz potencjalnymi zagrożeniami znacznie przyczynia się do poprawy poziomu bezpieczeństwa w środowisku chmurowym. Wykorzystując strategię obrony wielowarstwowej opartej o systemy IDS (Intrusion Detection Systems) oraz IPS (Intrusion Prevention Systems) w ramach modelu Zero Trust, jesteśmy w stanie wdrożyć różnorodne mechanizmy mające na celu zabezpieczenie danych i systemów.

Ochrona infrastruktury w chmurze AWS może opierać się na wielu udostępnionych narzędziach. Podstawową metodą jest wykorzystanie wirtualnych chmur prywatnych (VPC) wraz z odpowiednimi podsieciami i tablicami routingu z powiązanymi zakresami adresów IP (CIDR). Należy też wdrożyć odpowiednie listy kontroli dostępu do sieci (NACL) i grupy zabezpieczeń (Security Groups).

W ramach AWS Organizations możemy utworzyć specjalny obszar usług współdzielonych, pozwalających na scentralizowaną i jednolitą kontrolę bezpieczeństwa w całym środowisku oraz zdefiniowanie podstawowych usług wspólnych. AWS Resource Access Manager (AWS RAM) pozwala na udostępnianie zasobów między kontami w określonym środowisku. W ramach projektu usług wspólnych należy również uwzględnić konto lub konta, które będą służyły do centralnego wdrożenia zarządzanych usług bezpieczeństwa. Obejmuje to możliwość korzystania z konsol administracyjnych dla takich usług jak AWS Config, Amazon GuardDuty, Amazon Macie, IAM Identity Center i AWS Security Hub.

Ochrona danych

Podczas podróży do chmury należy ciągle klasyfikować dane na podstawie ich istotności i wrażliwości. Celem jest ciągła ochrona danych przed nieautoryzowanym dostępem i potencjalnymi zagrożeniami. AWS CAF nakierowuje na tworzenie odpowiednich polityk zarządzania cyklem życia danych, a także zaznacza, że ochrona pewnych danych może być związana z wymogami prawnymi.

Wdrożenie odpowiednich technik ochrony danych może być wykonane na kilku poziomach i za pomocą wielu możliwości. Jedną z podstawowych jest szyfrowanie danych zarówno w trakcie transmisji, jak i podczas przechowywania. AWS CAF zwraca również uwagę na opcję przechowywania wrażliwych danych na wielu kontach, a także możliwość wykorzystywania uczenia maszynowego i sztucznej inteligencji do automatycznego odkrywania, klasyfikowania i ochrony danych o charakterze wrażliwym. Ważnym jest również stosowanie odpowiedniego systemu tagów, co znacznie ułatwia kategoryzowanie rozrastających się zasobów.

Bezpieczeństwo aplikacji

W ramach zapewnienia wielowarstwowego bezpieczeństwa, AWS CAF zachęca do wykrywania i eliminowania podatności już w procesie tworzenia oprogramowania. W odpowiednim skanowaniu luk można wykorzystać automatyzacje i narzędzia do statycznej analizy kodu w celu identyfikacji powszechnie znanych problemów.

AWS udostępnia wiele narzędzi ułatwiających tworzenie oprogramowania z naciskiem na bezpieczeństwo. awslabs/git-secrets pomoże znaleźć statyczne dane wrażliwe, chociażby ciągi typu secret. Amazon CodeGuru to usługa, która automatycznie wykona recenzję przygotowanego kodu źródłowego. Ważną usługą jest też AWS Secret Manager, który pozwala w sposób bezpieczny przechowywać hasła i inne dane identyfikacyjne oraz dostępowe, natomiast AWS CloudWatch umożliwi monitorowanie i wykrywanie błędnych konfiguracji zasobów AWS.

Wykrywanie zagrożeń i reakcja na incydenty

W celu zachowania wysokiego poziomu bezpieczeństwa, Amazon Cloud Adoption Framework zwraca uwagę na konieczność identyfikacji zagrożeń i odpowiednią reakcję na incydenty. Wskazuje również na potrzebę określenia celów taktycznych, operacyjnych i strategicznych, a także opracowania ogólnej metodyki monitorowania zagrożeń w różnych źródłach, na przykład w ruchu sieciowym, systemach operacyjnych, aplikacjach, bazach danych i urządzeniach końcowych. Wykrywanie zagrożeń oraz odpowiednia reakcja na incydenty skutkuje ograniczeniem potencjalnych szkód.

Usługi AWS oferują szereg narzędzi dedykowanych do wykrywania zagrożeń. Warto wymienić AWS CloudTrail, usługę do gromadzenia logów, a także Amazon GuardDuty Findings wykrywającą potencjalne luki w bezpieczeństwie i inne zagrożenia. Pozostałe usługi AWS również oferują wiele ważnych informacji oraz logów, mowa tu między innymi o Elastic Load Balancing, Amazon Route 53, Amazon S3 czy VPC Flow Logs. Aby zapewnić odpowiednie polityki zarządzania incydentami, AWS CAF namawia do tworzenia adekwatnych planów, chociażby w postaci runbooków czy playbooków, a także do ciągłej edukacji i rozwoju w zakresie bezpieczeństwa.

Perspektywa Security – jakie są korzyści?

Bezpieczeństwo jest podstawowym budulcem nowoczesnej infrastruktury organizacji. Dokument AWS Cloud Adoption Framework to zbiór najlepszych praktyk oraz wytycznych, a ich wdrożenie przynosi realne korzyści. AWS CAF pomaga w dostosowywaniu zasobów chmurowych do określonych wymagań bezpieczeństwa, a także w jego utrzymaniu poprzez ciągłą edukację, monitoring oraz odpowiednią reakcję na incydenty. Usługi AWS oferują szereg narzędzi, które pozwalają zwiększyć bezpieczeństwo na wielu warstwach.

Wdrożenie AWS Cloud Adoption Framework – z perspektywy Security – wspiera organizacje w budowaniu i utrzymaniu bezpiecznych środowisk chmurowych, które są zgodne z najlepszymi praktykami branżowymi i wymogami prawnymi.

Podsumowanie perspektywy Security

Security to jedna z sześciu perspektyw omawianych w dokumencie AWS Cloud Adoption Framework, ale ciężko nie ustawić jej na pierwszym miejscu, jako fundament każdej nowoczesnej infrastruktury organizacji oraz kluczowy krok w procesie transformacji cyfrowej. Zachowanie wysokiego poziomu bezpieczeństwa może być gwarancją ochrony danych, prywatności klientów oraz utrzymania ciągłości działania usług.

Mimo że istnieje opcja przeniesienia się do chmury bez korzystania z AWS Cloud Adoption Framework, nie jest to zalecane. Istnieje znaczne ryzyko, że migracja do chmury może zakończyć się niepowodzeniem i/lub nie dostarczać maksymalnej ilości korzyści. Aby uzyskać więcej informacji dotyczących efektywnego wykorzystania AWS CAF w procesie udanej migracji do chmury, prosimy o skontaktowanie się z naszymi specjalistami pod adresem kontakt@lcloud.pl.