Мы продолжаем цикл материалов о работе в облаках на примере AWS. Итак, вы спланировали переход в облако, посчитали стоимость и оценили риски, и пришла пора согласовать свои действия с ответственными за информационную безопасность, скорее всего безопасники предложат перенести опыт построения классических инфраструктур на облачные реалии и почти наверняка, окажутся не совсем правы. Разберемся почему.
-----------------------------------
Вы можете переместить все, или почти все свои существующие решения в облако. Не сложно сделать образ межсетевого экрана, загрузить и развернуть его в облаке и продолжать работать как раньше, наверняка можно переместить DLP(Data Leakage Prevention), антивирусы и прочие решения, на которые уже потрачены деньги и лицензии еще не истекли. Но с другой стороны, я бы предложил присмотреться к тем механизмам, которые предлагает сама облачная платформа. Если это не совсем базовый VPS хостинг, где кроме межсетевого экрана, скорее всего, ничего нет, то вы можете попробовать использовать то, что предлагает платформа.
AWS Web Application Firewall (WAF)
Вы наверняка уже используете какое-то решение для защиты веб-сервера, может быть, это NGFW (Next Generation Firewall) с функциями WAF, возможно, какое-то выделенное решение. В AWS тоже есть свой WAF (Web Application Firewall), который можно развернуть на уровне CloudFront, балансировщике нагрузки или API шлюзе. Делает он примерно то же, что и все другие WAF – вы пишите правила, блокирующие трафик по тем или иным шаблонам, также, есть готовые шаблоны для известных атак, правда, они будут стоить дополнительных денег. Задача стандартная – не допустить вредный трафик на ваш веб-сервер или веб-приложение.
В чем плюс? Ответственность за работоспособность WAF лежит на AWS, а вы отвечаете только за корректность правил. Это заметно проще, чем поддерживать собственный WAF, особенно если вы его когда-то собрали на базе ПО с открытым исходным кодом, а специалист, который это сделал, давно недоступен.
AWS Shield
AWS Shield – это решение для защиты от DDoS, т.е. распределенных атак на отказ в обслуживании. Крайне полезное решение в современных реалиях. Опять же, пока вы размещали веб-приложение где-то у себя, скорее всего, вы использовали (если использовали) устройства, решающие эту задачу. Но подобные устройства могут защитить от атаки с определенным и весьма небольшим количеством трафика. AWS Shield решает эту задачу для вас, мощности инфраструктуры AWS хватит, чтобы обработать куда больше трафика.
При этом, в AWS есть свой магазин, где можно купить решения по защите от DDoS от вендоров, к которым вы привыкли: F5, PaloAlto, Fortinet и прочие, здесь тоже присутствуют.
AWS Athena
AWS Athena – это относительно новый сервис в AWS, который позволяет искать данные в S3-хранилищах с помощью языка запросов SQL. Дело в том, что очень многие организации начинают свой путь в облака как раз с создания хранилищ. Это относительно дёшево и эффективно, но вот поддерживать порядок в таких хранилищах без процедур или специального ПО крайне затруднительно.
AWS Athena – это сервис, соответственно вам самостоятельно не потребуется разворачивать какое-то решение. Вы будете просто писать запросы, например, через веб-интерфейс и получать результаты.
Отличный пример использования AWS Athena – это быстрый анализ логов. Например, вы складываете логи CloudTrail в S3-хранилище. С помощью AWS Athena можно искать записи не в конкретном логе, а во всех файлах, находящихся в папке хранилища.
AWS Macie
AWS Macie немного похожа на AWS Athena по принципу работы, но задача у неё немного другая. Она позволяет обнаруживать, классифицировать и защищать чувствительную информацию внутри AWS. В AWS Macie есть готовые шаблоны для поиска, например, персональных данных, банковских карт и других подобных данных. А кроме этого, Macie позволяет обнаруживать доступ к этим данным и создавать оповещения, если появляется риск утечки. Это очень похоже на то, как работают DLP-системы в вашей сети, но здесь это служба, которая не требует установки.
Сейчас набирает популярность целое направление – DCAP (Data-Centric Audit and Protection). Подобные решения как раз и позволяют ответить на вопрос, какие данные и где у вас сейчас хранятся.
AWS GuardDuty
AWS GuardDuty – это служба, обеспечивающая обнаружение угроз. В широком смысле. Её можно сравнить с IPS (Intrusion Prevention System, ) и HIPS (Host-based Intrusion Prevention System). AWS GuardDuty непрерывно мониторит ваши ресурсы и пытается обнаружить подозрительную активность либо конкретные неправомерные действия. Для этого она использует в том числе и логи: CloudTrail, VPC Flow и DNS, пытаясь найти что-то подозрительное. Все обнаруженные проблемы попадут в CloudWatch, где вы сможете получить необходимую информацию и подумать, что можно предпринять.
GuardDuty может обнаруживать: подозрительную активность процессора и диска (вдруг кто-то вас взломал и майнит криптовалюту), попытки подбора паролей (например, по RDP), попытки подключения к подозрительным доменам и другое. Но важно помнить, что это всё же не замена антивирусу. Никто не настаивает на том, что нужно отказаться от уже используемого антивирусного решения, тем более, что, скорее всего, вы без проблем перенесете его в облако. Но это хорошая опция, если конкретный продукт вы пока не выбрали, а работать нужно прямо сейчас.
AWS Artifact
AWS Artifact – это центральный хаб для доступа ко всей информации, которая касается комплаенса: всевозможные отчёты, оповещения и сертификаты. И мы можем использовать все эти данные, чтобы продемонстрировать соблюдение требований к регуляторам, с которыми нам так или иначе придётся сталкиваться. Это, конечно, очень зависит от того, в какой организации вы работаете. Если вы знакомы с аббревиатурами SOC, PCI или ISO, то примерно понимаете, о чём речь.
Обычно этими вопросами занимаются отдельные специалисты в компании, и естественно, что для них создали отдельный инструмент. Работает он довольно просто – вы находите нужный вам отчёт для регулятора и просите AWS Artifact сформировать этот отчёт.
Мы ещё не поговорили про удостоверяющий центр, VPC Endoints, Cognito, Amazon Inspector, CloudHSM и ещё десятки продуктов, которые доступны в AWS и которые можно бесплатно протестировать. Я очень рекомендую потратить немного времени и поизучать, что предлагает платформа. Возможно, решение именно вашей задачи уже придумано, осталось только найти и нажать нужную кнопку.
Материал подготовил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
