Поиск по сайту:

Как заблокировать свои ресурсы AWS

AWS — это очень безопасная экосистема, но они не могут гарантировать, что все, что вы делаете в облаке, будет безопасным. Эта ответственность лежит на вас, хотя AWS попытается подтолкнуть вас в правильном направлении.

В этом руководстве рассказывается о том, что вы должны сделать из консоли AWS, чтобы сделать вашу сеть и учетную запись более безопасными. В дополнение ко всему здесь вам нужно убедиться, что ваши собственные приложения, работающие на ваших серверах EC2 (или иным образом), сами по себе безопасны. Например, включение HTTPS на веб-сервере или обновление зависимостей и программ.

Используйте двухфакторную аутентификацию для своей учетной записи AWS

Ваша основная учетная запись AWS контролирует все ваши ресурсы AWS; если кто-то получит к нему доступ, он получит полный контроль над вашими ресурсами и сможет удалить все. Вы должны убедиться, что ваш метод входа в систему — это не просто пароль, который можно украсть.

AWS предлагает несколько методов многофакторной аутентификации. Самым простым в использовании является виртуальное устройство MFA, которое использует такие приложения, как Google Authenticator и Authy, чтобы превратить ваш телефон в виртуальный брелок. AWS также поддерживает аппаратные ключи от YubiKEy и Gemalto, но они стоят денег. В качестве альтернативы вы можете использовать SMS, но только для администраторов, которых вы добавляете, а не для вашей учетной записи root.

Нажмите на имя своей учетной записи в верхней строке меню и выберите «Мои учетные данные безопасности».

В разделе «Многофакторная аутентификация» нажмите «Активировать MFA».

Выберите «Виртуальное устройство MFA» и откройте приложение для проверки подлинности на своем телефоне.

AWS покажет вам QR-код, который вы должны отсканировать с помощью своего приложения для проверки подлинности, чтобы связать их вместе. Затем вы можете начать вводить коды; AWS запросит два последовательных кода, поэтому вам придется подождать 30 секунд между ними. Нажмите «Назначить MFA», когда закончите.

Теперь, когда вы выходите из системы, при повторном входе вам будет предложено ввести код с телефона.

Если вы настраиваете физический брелок, вам просто нужно подключить его, чтобы связать, а затем подключать каждый раз, когда вы хотите войти в систему.

Закройте свои брандмауэры

Всякий раз, когда вы создаете новый экземпляр EC2, вам будет предложено выбрать группу безопасности или создать новую. Эта группа безопасности является брандмауэром и определяет, какие порты будут открыты. По умолчанию AWS открывает порт 22 (для SSH) для всех входящих IP-адресов и разрешает весь исходящий трафик.

Это означает, что любой может попытаться пройти аутентификацию через SSH, что не является серьезной проблемой (поскольку AWS использует ключи SSH по умолчанию), но хорошей практикой является ограничение большей части трафика вашим IP-адресом, если у него нет причин быть открытым для всего мира.

Нажмите «Группы безопасности» на боковой панели консоли управления EC2, выберите группу, которую использует ваш экземпляр, выберите «Входящие» и нажмите «Изменить». Кроме того, вы можете получить доступ к этой группе безопасности с панели «Экземпляры», щелкнув ее в свойстве «Группы безопасности».

Отсюда вы можете редактировать правила для этой группы безопасности. Исходящий обычно можно оставить открытым, но входящий следует оставить как можно более закрытым. Нажмите на правило SSH и переключите источник с «Где угодно» на «Мой IP», что должно закрыть его.

Вам не нужно беспокоиться о том, что ваш IP-адрес изменится и вас заблокируют, так как вы всегда можете сбросить его с консоли AWS.

Если у вас есть несколько экземпляров, взаимодействующих друг с другом, например сервер базы данных, который подключается к серверу API, вы должны защитить соединение между ними, разрешив только защищенный трафик между двумя экземплярами. Никто другой не должен иметь возможности общаться с базой данных, кроме сервера API, за исключением вашего IP-адреса для целей управления.

Вам не нужно указывать отдельные IP-адреса вручную, поскольку AWS позволит вам разрешить трафик на все устройства, которым назначена определенная группа безопасности. Если у вас есть несколько серверов баз данных, вы можете дать им всем группу безопасности «база данных» и разрешить вашему API-серверу общаться с чем угодно с этой группой безопасности. Вы также можете разрешить все в определенной подсети, что требует использования VPC AWS.

Настройка пользователей IAM

Пользователи AWS Identity and Access Management (IAM) — это способ разрешить доступ к вашей учетной записи без предоставления полных разрешений. Если у вас есть доступ к вашим ресурсам AWS нескольким людям, вы должны предоставить им доступ через пользователя IAM. Вы никогда не должны давать доступ к своей учетной записи root.

Однако пользователи IAM предназначены не только для других людей; если у вас есть код, которому требуется доступ к вашей учетной записи AWS, вы должны разрешить доступ через пользователя IAM. Некоторые сервисы AWS будут использовать пользователей IAM для работы с ресурсами в вашей учетной записи.

AWS также рекомендует использовать пользователя IAM с правами администратора для выполнения всех ваших обычных задач. Таким образом, вы можете заблокировать учетные данные своей учетной записи root и использовать их только в случае крайней необходимости, в основном для обслуживания учетной записи.

Пользователям IAM можно назначать очень специфические разрешения, поэтому вы можете быть уверены, что в случае компрометации одного из них это не повлияет на всю вашу инфраструктуру. Вы также можете назначать эти разрешения группам ролей и назначать роли пользователям.

Вы можете создавать новых пользователей IAM с помощью консоли управления IAM. Им будет предоставлен случайно сгенерированный пароль, который они будут вынуждены изменить при первом входе в систему. Вы должны применить политику паролей IAM, чтобы убедиться, что эти пароли безопасны.

Проводите регулярные проверки безопасности

Вы должны периодически проверять свою безопасность, чтобы убедиться, что вы ничего не пропустили. AWS предоставляет очень подробный контрольный список именно для этой цели.

В этом контрольном списке вы должны удалить старые ресурсы, которые больше не используются, и просмотреть свои политики безопасности для различных служб. Основными источниками небезопасности являются изменения в том, как вы используете AWS, например, если вы начали использовать новый сервис, прекратили использовать старый или люди ушли. В каждом случае вам следует пересматривать свои политики доступа.

Если вы не используете AWS для учетной записи организации, вероятно, нет необходимости проходить весь этот контрольный список, но вы все равно должны взять за привычку время от времени просматривать свои политики безопасности.