Безопасность AWS

Обзор безопасности AWS

Amazon Web Services (AWS) предоставляет комплексную платформу безопасности с множеством встроенных инструментов и сервисов для защиты облачных ресурсов.

Ключевые принципы безопасности AWS

• Security by Design — безопасность заложена в архитектуру
• Shared Responsibility Model — разделенная ответственность
• Defense in Depth — многоуровневая защита
• Continuous Monitoring — непрерывный мониторинг

IAM (Identity and Access Management)

Основы IAM

Централизованное управление пользователями, группами и разрешениями

Компоненты IAM:

• Users — пользователи (люди или приложения)
• Groups — группы пользователей
• Roles — роли для временного доступа
• Policies — политики разрешений

Политики IAM

JSON-документы, определяющие разрешения

Пример политики:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

Принципы создания политик:

• Principle of Least Privilege — минимальные необходимые права
• Explicit Deny — явные запреты
• Regular Review — регулярный пересмотр
• Testing — тестирование политик

MFA (Multi-Factor Authentication)

Двухфакторная аутентификация для дополнительной безопасности

Типы MFA:

• Hardware MFA — аппаратные токены
• Virtual MFA — приложения (Google Authenticator)
• SMS MFA — SMS-коды
• U2F Security Keys — USB-ключи

VPC (Virtual Private Cloud)

Основы VPC

Изолированная виртуальная сеть в облаке AWS

Компоненты VPC:

• Subnets — подсети (публичные и приватные)
• Route Tables — таблицы маршрутизации
• Internet Gateway — шлюз в интернет
• NAT Gateway — NAT для приватных подсетей
• Security Groups — группы безопасности
• NACLs — списки контроля доступа к сети

Security Groups

Виртуальные файрволы для EC2 инстансов

Правила Security Groups:

• Inbound Rules — входящий трафик
• Outbound Rules — исходящий трафик
• Protocol — протокол (TCP, UDP, ICMP)
• Port Range — диапазон портов
• Source/Destination — источник/назначение

Пример конфигурации:

Inbound Rules:
- HTTP (80) from 0.0.0.0/0
- HTTPS (443) from 0.0.0.0/0
- SSH (22) from 10.0.0.0/16

Outbound Rules:
- All traffic to 0.0.0.0/0

Network ACLs (NACLs)

Сетевые списки контроля доступа на уровне подсети

Особенности NACLs:

• Stateless — не отслеживают состояние соединений
• Subnet Level — применяются к подсетям
• Numbered Rules — правила с номерами
• Default Deny — по умолчанию запрещают

CloudTrail

Основы CloudTrail

Сервис аудита и логирования API вызовов

Что логирует CloudTrail:

• API Calls — все API вызовы
• User Identity — кто сделал вызов
• Source IP — откуда пришел вызов
• Timestamp — когда произошел вызов
• Request/Response — параметры запроса и ответа

Конфигурация CloudTrail

Настройка логирования для различных сервисов

Типы трейлов:

• Management Events — события управления
• Data Events — события с данными
• Insights Events — аномальные события

Настройки:

• Multi-Region — логирование в нескольких регионах
• Log File Validation — проверка целостности
• Encryption — шифрование логов
• Retention — срок хранения

Анализ логов CloudTrail

Использование логов для мониторинга и расследований

Инструменты анализа:

• CloudWatch Logs — централизованное логирование
• S3 — долгосрочное хранение
• Athena — SQL-запросы к логам
• CloudWatch Insights — анализ в реальном времени

GuardDuty

Основы GuardDuty

Сервис обнаружения угроз на основе машинного обучения

Источники данных:

• VPC Flow Logs — сетевой трафик
• CloudTrail Logs — API вызовы
• DNS Logs — DNS-запросы
• Malware Detection — обнаружение вредоносного ПО

Типы угроз:

• Compromised EC2 — скомпрометированные инстансы
• Malicious IPs — подозрительные IP-адреса
• Data Exfiltration — утечка данных
• Unauthorized Access — несанкционированный доступ

Конфигурация GuardDuty

Настройка обнаружения угроз

Настройки:

• Finding Criteria — критерии обнаружения
• Threat Intelligence — база угроз
• S3 Protection — защита S3
• EKS Protection — защита Kubernetes

Реагирование:

• Automated Response — автоматическое реагирование
• Lambda Functions — функции для обработки
• SNS Notifications — уведомления
• Integration — интеграция с SIEM

AWS Config

Основы AWS Config

Сервис оценки, аудита и управления конфигурацией ресурсов

Возможности:

• Configuration History — история изменений
• Compliance Monitoring — мониторинг соответствия
• Change Notifications — уведомления об изменениях
• Remediation — автоматическое исправление

Правила соответствия

Предопределенные и пользовательские правила

Встроенные правила:

• S3 Bucket Public Read — публичный доступ к S3
• EC2 Instance Public IP — публичные IP-адреса
• Security Group Open Ports — открытые порты
• IAM Password Policy — политика паролей

Пользовательские правила:

• Lambda Functions — функции для проверки
• Custom Logic — собственная логика
• Integration — интеграция с внешними системами

AWS Security Hub

Основы Security Hub

Централизованный дашборд для управления безопасностью

Возможности:

• Consolidated Findings — консолидированные находки
• Compliance Standards — стандарты соответствия
• Automated Checks — автоматические проверки
• Integration — интеграция с партнерами

Стандарты соответствия:

• CIS AWS Foundations — базовые стандарты
• PCI DSS — стандарт платежных карт
• SOC 2 — стандарт аудита
• NIST — стандарт NIST

AWS WAF

Основы WAF

Веб-приложение файрвол для защиты веб-приложений

Возможности:

• Rule-based Filtering — фильтрация по правилам
• Rate Limiting — ограничение скорости
• Geographic Filtering — географическая фильтрация
• Bot Protection — защита от ботов

Типы правил:

• AWS Managed Rules — управляемые AWS правила
• Custom Rules — пользовательские правила
• Rate-based Rules — правила на основе скорости
• IP Reputation Rules — правила репутации IP

Шифрование в AWS

Шифрование в покое

Защита данных в хранилищах

Сервисы шифрования:

• S3 — шифрование объектов
• EBS — шифрование томов
• RDS — шифрование баз данных
• DynamoDB — шифрование таблиц

Управление ключами:

• AWS KMS — управление ключами
• Customer Managed Keys — ключи клиента
• AWS Managed Keys — ключи AWS
• CloudHSM — аппаратные модули безопасности

Шифрование в передаче

Защита данных при передаче

Протоколы:

• TLS/SSL — для веб-трафика
• VPN — для подключений
• Direct Connect — для выделенных соединений
• API Gateway — для API

Мониторинг и логирование

CloudWatch

Сервис мониторинга и логирования

Возможности:

• Metrics — метрики производительности
• Logs — централизованное логирование
• Alarms — уведомления и алерты
• Dashboards — дашборды

Интеграция:

• Custom Metrics — пользовательские метрики
• Log Aggregation — агрегация логов
• Automated Actions — автоматические действия
• Third-party Tools — сторонние инструменты

X-Ray

Сервис трассировки распределенных приложений

Возможности:

• Request Tracing — трассировка запросов
• Performance Analysis — анализ производительности
• Error Tracking — отслеживание ошибок
• Service Map — карта сервисов

Лучшие практики

Рекомендации

• Используйте IAM роли вместо пользователей для приложений
• Включайте MFA для всех пользователей
• Настройте CloudTrail для всех регионов
• Используйте Security Groups вместо NACLs
• Включайте GuardDuty для обнаружения угроз
• Настройте Config для мониторинга соответствия
• Шифруйте данные в покое и в передаче
• Регулярно обновляйте системы

Чего избегать

• Использования root пользователя для повседневных задач
• Открытия всех портов в Security Groups
• Игнорирования логов CloudTrail
• Отсутствия мониторинга
• Слабых паролей
• Игнорирования обновлений безопасности
• Отсутствия резервного копирования

Заключение

AWS предоставляет мощные инструменты для обеспечения безопасности облачной инфраструктуры. Успешное использование этих инструментов требует:

• Понимания модели разделенной ответственности
• Правильной настройки IAM и сетевой безопасности
• Настройки мониторинга и логирования
• Регулярного обновления и аудита
• Обучения команды лучшим практикам

Помните: безопасность AWS — это не разовое мероприятие, а постоянный процесс настройки, мониторинга и улучшения. Успех зависит от правильного использования всех доступных инструментов и сервисов.