Με την αυξανόμενη χωρητικότητα και τη μεγάλη ποικιλία υπηρεσιών cloud, οι Υπηρεσίες Web της Amazon έχουν γίνει η πιο δημοφιλής επιλογή για πολλές επιχειρήσεις και οργανισμούς, βοηθώντας τις επιχειρήσεις να παρέχουν κλιμάκωση και οικονομική αποθήκευση στο cloud computing.
Η ασφάλεια του AWS βασίζεται σε ένα μοντέλο κοινής ευθύνης: Η Amazon παρέχει την υποδομή και την ασφάλεια και οι χρήστες είναι υπεύθυνοι για τη διατήρηση της ασφάλειας των εφαρμογών στις οποίες εκτελούνται. Αυτό το μοντέλο επιτρέπει στους χρήστες να αποκτήσουν μεγαλύτερο έλεγχο της κυκλοφορίας των δεδομένων τους, ενθαρρύνοντας τους χρήστες να είναι πιο προληπτικοί. Ωστόσο, προτού προχωρήσετε στη διαδικασία μετεγκατάστασης εφαρμογών, είναι καλή ιδέα να ρίξετε μια ματιά στις παρακάτω συμβουλές για να βοηθήσετε τους χρήστες να αξιοποιήσουν στο έπακρο την ασφάλεια στο AWS.
Κατανόηση της έννοιας της ομάδας ασφαλείας
Η Amazon παρέχει μια λειτουργία εικονικού τείχους προστασίας για να φιλτράρει την κίνηση που διατρέχει το τμήμα cloud σας. Ωστόσο, το τείχος προστασίας AWS διαχειρίζεται με ελαφρώς διαφορετικό τρόπο από το παραδοσιακό τείχος προστασίας. Το κεντρικό στοιχείο του τείχους προστασίας AWS είναι η «ομάδα ασφαλείας», η οποία είναι βασικά ισοδύναμη με την πολιτική που καλούν άλλοι προμηθευτές τείχους προστασίας, δηλαδή το σύνολο κανόνων. Ωστόσο, υπάρχουν βασικές διαφορές μεταξύ των ομάδων ασφαλείας και των παραδοσιακών πολιτικών του τείχους προστασίας, και αυτό πρέπει να κατανοηθεί πλήρως.
Πρώτον, δεν υπάρχουν «ενέργειες» στους κανόνες AWS ότι επιτρέπεται ή εγκαταλείπεται η κυκλοφορία. Αυτό οφείλεται στο γεγονός ότι όλοι οι κανόνες του AWS είναι θετικοί και επιτρέπουν πάντα τη διέλευση της καθορισμένης επισκεψιμότητας, σε αντίθεση με τους παραδοσιακούς κανόνες του τείχους προστασίας.
Δεύτερον, οι κανόνες AWS σάς επιτρέπουν να καθορίσετε μια πηγή κίνησης ή μια διεύθυνση προορισμού όπου οι δύο κανόνες είναι διαφορετικοί. Για τους εισερχόμενους κανόνες, η διεύθυνση προέλευσης δηλώνει από πού προέρχεται η κίνηση, αλλά δεν απαιτεί τη διεύθυνση προορισμού για να πει από πού πηγαίνει. Ο κανόνας εξόδου είναι το αντίθετο: μπορείτε να καθορίσετε τη διεύθυνση προορισμού αντί για τη διεύθυνση προέλευσης. Ο λόγος για αυτό είναι ότι η ομάδα ασφαλείας AWS θα ορίζει πάντα αυτόματα το μη καθορισμένο τέλος (διεύθυνση προέλευσης ή προορισμού, ανάλογα με την κατάσταση) για την παρουσία της εφαρμογής.
Το AWS σας δίνει μεγάλη ευελιξία στην εφαρμογή κανόνων. Μια ομάδα ασφαλείας μπορεί να εφαρμοστεί σε πολλές περιπτώσεις, όπως μπορείτε να εφαρμόσετε μια παραδοσιακή πολιτική ασφαλείας σε πολλά τείχη προστασίας. Το AWS σάς επιτρέπει επίσης να το αντιστρέψετε: Η εφαρμογή πολλών ομάδων ασφαλείας στην ίδια παρουσία σημαίνει ότι η παρουσία κληρονομεί κανόνες από όλες τις σχετικές ομάδες ασφαλείας. Αυτή είναι μία από τις πολλές δυνατότητες που προσφέρει η Amazon, επιτρέποντάς σας να δημιουργήσετε ομάδες ασφαλείας για συγκεκριμένες λειτουργίες ή λειτουργικά συστήματα και στη συνέχεια, να τα συνδυάσετε και να τις ταιριάξετε με τις ανάγκες της επιχείρησής σας.
Διαχείριση εξερχόμενης επισκεψιμότητας
Φυσικά, το AWS θα διαχειρίζεται την εξερχόμενη κίνηση, αλλά η διαχείριση είναι κάπως διαφορετική από τη συνηθισμένη προσέγγιση, επομένως προσέξτε. Κατά τη διάρκεια της αρχικής διαδικασίας ρύθμισης, οι χρήστες AWS δεν κατευθύνονται αυτόματα στις ρυθμίσεις εξερχόμενης κυκλοφορίας. Από προεπιλογή, επιτρέπεται όλη η εξερχόμενη κίνηση.
Προφανώς, πρόκειται για μια μη ασφαλή ρύθμιση που μπορεί να οδηγήσει σε απώλεια δεδομένων της εταιρείας, επομένως συνιστάται η δημιουργία κανόνων που θα σας επιτρέπουν να καθορίσετε μόνο την εξερχόμενη κίνηση για να προστατεύσετε πραγματικά κρίσιμα δεδομένα. Επειδή ο Οδηγός εγκατάστασης AWS δεν εκκινεί αυτόματα για εξερχόμενες ρυθμίσεις, πρέπει να δημιουργήσετε και να εφαρμόσετε αυτούς τους κανόνες χειροκίνητα.
Έλεγχος και συμμόρφωση
Μόλις αρχίσετε να χρησιμοποιείτε το AWS στα προϊόντα σας, πρέπει να θυμάστε ότι αυτές οι εφαρμογές βρίσκονται τώρα υπό το πρίσμα της συμμόρφωσης και του εσωτερικού ελέγχου. Η Amazon προσφέρει μερικές ενσωματωμένες λειτουργίες που βοηθούν στη συμμόρφωση και τον έλεγχο όπως: Amazon CloudWatch, παρόμοια με τους διακομιστές καταγραφής και το Amazon CloudTrail, το οποίο καταγράφει και ελέγχει τις κλήσεις API σας. Ωστόσο, εάν χρησιμοποιείτε περιβάλλον υβριδικού κέντρου δεδομένων, θα χρειαστείτε πρόσθετα εργαλεία συμμόρφωσης και ελέγχου.
Η επιχείρησή σας θα υπόκειται σε διαφορετικούς κανονισμούς ανάλογα με τον κλάδο στον οποίο βρίσκεστε και τον τύπο των δεδομένων που αντιμετωπίζετε. Για παράδειγμα, εάν ασχολείστε με στοιχεία πιστωτικών καρτών, υπόκεινται στον κανονισμό της Βιομηχανίας Κάρτας Πληρωμών (PCI). Επομένως, εάν θέλετε να επεξεργαστείτε αυτά τα ευαίσθητα δεδομένα με την πλατφόρμα cloud AWS, χρειάζεστε το σωστό προϊόν διαχείρισης ασφάλειας ενός τρίτου μέρους για να έχετε τις ίδιες δυνατότητες αναφοράς με το κανονικό τείχος προστασίας.
Τα πιο σημαντικά πράγματα που πρέπει να λάβετε από μια λύση τρίτων είναι η ορατότητα όλων των ομάδων ασφαλείας και ολόκληρου του υβριδικού περιουσιακού στοιχείου, καθώς και η ανάλυση και ο έλεγχος ολοκληρωμένης ασφάλειας και περιβάλλοντος που μπορεί να παρέχει η τοπική σας υποδομή ασφαλείας.
Η ασφάλεια όλων όσων τοποθετούνται στο περιβάλλον AWS είναι δική σας ευθύνη. Λαμβάνοντας υπόψη όλα τα παραπάνω, θα μπορείτε να προστατεύσετε τα δεδομένα σας και να συμμορφωθείτε με τις απαιτήσεις καθώς χρησιμοποιείτε το AWS.
