طرق لتأمين البنية التحتية السحابية لـ AWS من الهجوم

نشرت: 2022-05-07

مع انتقال المزيد والمزيد من الشركات إلى السحابة ، أصبحت أهمية تأمين البنية التحتية لـ AWS واضحة بشكل متزايد. بينما توفر AWS العديد من ميزات الأمان التي يمكن أن تساعد في حماية أنظمتك ، فإن الأمر متروك لك في النهاية لتنفيذها بشكل صحيح والحفاظ على البنية التحتية الخاصة بك محدثة. سيناقش منشور المدونة هذا بعضًا من أفضل الطرق لتأمين البنية التحتية السحابية لـ AWS من الهجوم. يمكنك النظر في كيفية تعرض البنية الأساسية الخاصة بك ، كما هو مذكور في ثغرات Log4Shell.

افهم أنواع الهجمات على AWS

قبل أن تتمكن من تأمين بيئة AWS الخاصة بك بشكل مناسب ، من الضروري فهم أنواع الهجمات. هناك نوعان رئيسيان من الهجمات على AWS:

  1. هجمات البنية التحتية: تستهدف هذه الهجمات البنية التحتية الأساسية لحساب AWS ، مثل مثيلات Amazon EC2 أو حاويات Amazon S3.
  2. هجمات التطبيقات: تستهدف هذه الهجمات التطبيقات التي تعمل على AWS ، مثل تطبيق الويب أو واجهة برمجة التطبيقات.

تعد هجمات التطبيقات أكثر شيوعًا من هجمات البنية التحتية ، ولكن يجب التعامل مع كليهما على محمل الجد.

تنفيذ المصادقة متعددة العوامل

هاكر
تتمثل إحدى أفضل الطرق لحماية حساب AWS الخاص بك في تمكين المصادقة متعددة العوامل (MFA). يضيف MFA طبقة إضافية من الأمان من خلال مطالبتك بإدخال رمز من جهاز MFA الفعلي واسم المستخدم وكلمة المرور. هذا يجعل الأمر أكثر صعوبة على المهاجمين للوصول إلى حسابك ، حتى لو كان لديهم بيانات الاعتماد الخاصة بك.
بمجرد تمكين MFA ، تأكد من مطالبته لجميع المستخدمين الذين يحتاجون إلى الوصول إلى الموارد الحساسة في حسابك. بالإضافة إلى ذلك ، يجب عليك أيضًا التفكير في استخدام أدوار IAM مع أسلوب العائالت المتعددة MFA عندما يكون ذلك ممكنًا. تسمح لك أدوار IAM بمنح وصول مؤقت للمستخدمين دون منحهم بيانات اعتمادك. يمكن أن يؤدي استخدام أدوار IAM مع MFA إلى حماية حسابك من الوصول غير المصرح به.
هناك عدة طرق مختلفة لتطبيق أسلوب العائالت المتعددة MFA لحساب AWS الخاص بك. أحد الخيارات الشائعة هو استخدام رمز مصادقة متعدد العوامل (MFA) من Amazon Web Services (AWS). هذا الرمز هو جهاز مادي يُنشئ رمزًا فريدًا يجب عليك إدخاله عند تسجيل الدخول إلى حساب AWS الخاص بك. خيار آخر هو استخدام تطبيق Google Authenticator على هاتفك الذكي. يمكن لهذا التطبيق إنشاء رموز لحسابات متعددة ، بما في ذلك حساب AWS الخاص بك.
أخيرًا ، يمكنك أيضًا استخدام الرموز المميزة للأجهزة من شركات مثل Symantec أو RSA. تتصل هذه الرموز المميزة بجهاز الكمبيوتر الخاص بك وتقوم بإنشاء رمز ستحتاج إلى إدخاله عند تسجيل الدخول إلى حساب AWS الخاص بك.

تقييد الوصول إلى الموارد الهامة

هناك خطوة مهمة أخرى في تأمين البنية الأساسية لـ AWS وهي تقييد الوصول إلى الموارد الأساسية. يمكنك القيام بذلك عن طريق استخدام سياسات IAM والسياسات القائمة على الموارد.
تسمح لك سياسات IAM بالتحكم في من يمكنه الوصول إلى حساب AWS الخاص بك وما يمكنه فعله بهذا الوصول. على سبيل المثال ، يمكنك إنشاء سياسة تسمح لبعض المستخدمين فقط بمشاهدة سجلات CloudTrail أو تسمح فقط لمستخدمين معينين بتشغيل مثيلات EC².
تشبه السياسات القائمة على الموارد سياسات IAM ، لكنها تطبق على مستوى الموارد. على سبيل المثال ، يمكنك إنشاء سياسة قائمة على الموارد تسمح فقط لمستخدمين معينين بالوصول إلى موضوع SNS أو تسمح فقط لمستخدمين معينين بحذف كائنات من حاوية S33. بتقييد الوصول إلى الموارد الهامة ، يمكنك المساعدة في منع المستخدمين غير المصرح لهم من الوصول إلى البيانات الحساسة أو تغيير البنية التحتية الخاصة بك.

استخدم مجموعات الأمان وقوائم التحكم في الوصول للشبكة

هجوم القراصنة
بالإضافة إلى استخدام سياسات IAM والسياسات القائمة على الموارد ، يجب عليك أيضًا التفكير في استخدام مجموعات الأمان وقوائم التحكم في الوصول للشبكة.
تعمل مجموعات الأمان كجدار حماية لمثيلات EC2 ، مما يسمح لك بالتحكم في حركة المرور المسموح بها في مثيلاتك وخارجها. توفر قوائم ACL للشبكة وظائف مماثلة لـ VPCs الخاصة بك. من خلال تكوين ميزات الأمان هذه بشكل صحيح ، يمكنك تقييد الوصول إلى بنية AWS الأساسية الخاصة بك.
أخيرًا ، يجب عليك أيضًا التأكد من تقوية أنظمتك بأفضل ممارسات الأمان. يتضمن ذلك أشياء مثل استخدام كلمات مرور قوية ، والحفاظ على تحديث برامجك ، ونسخ بياناتك احتياطيًا. باتباع أفضل الممارسات ، يمكنك المساعدة في منع المهاجمين من الوصول إلى نظامك أو بياناتك.

عزز أنظمتك بأفضل الممارسات الأمنية

أخيرًا ، يجب عليك أيضًا التأكد من تقوية أنظمتك بأفضل ممارسات الأمان. يتضمن ذلك أشياء مثل استخدام كلمات مرور قوية ، والحفاظ على تحديث برامجك ، ونسخ بياناتك احتياطيًا. باتباع أفضل الممارسات ، يمكنك المساعدة في منع المهاجمين من الوصول إلى نظامك أو بياناتك.
تتضمن بعض أفضل ممارسات الأمان الأكثر أهمية ما يلي:
  1. استخدام كلمات مرور قوية
  2. تحديث برامجك باستمرار
  3. النسخ الاحتياطي لبياناتك
  4. تشفير البيانات الحساسة أثناء النقل
  5. تشفير البيانات الحساسة في حالة السكون

قم بانتظام بمراجعة البنية التحتية الخاصة بك بحثًا عن نقاط الضعف

يعد التدقيق المنتظم لبنيتك التحتية بحثًا عن نقاط الضعف خطوة مهمة أخرى في تأمين بيئة AWS الخاصة بك. يمكن أن تساعدك العديد من الأدوات في القيام بذلك ، بما في ذلك Amazon Inspector و AWS Config.
Amazon Inspector هي خدمة تقييم أمان آلية تساعدك على تحديد الثغرات الأمنية المحتملة في بيئة AWS الخاصة بك. يقوم المفتش بتقييم امتثال أنظمتك مقابل معايير الأمان المختلفة ، مثل معايير PCI-DSS و CIS.
AWS Config هي خدمة توفر لك مخزونًا من موارد AWS وتتتبع تغييرات التكوين لهذه الموارد بمرور الوقت. باستخدام Config ، يمكنك تدقيق البنية الأساسية الخاصة بك للتأكد من توافقها مع السياسات الداخلية أو اللوائح الخارجية.

استخدم CloudTrail لاكتشاف النشاط غير المصرح به

هاكر مع كمبيوتر محمول
بالإضافة إلى تدقيق البنية التحتية الخاصة بك ، يجب أن تفكر أيضًا في استخدام CloudTrail لاكتشاف النشاط غير المصرح به. CloudTrail هي خدمة تسجل مكالمات AWS API التي يتم إجراؤها في حسابك وتسليمها إلى موضوع Amazon SNS أو قائمة انتظار Amazon SQS. يمكن بعد ذلك مراقبة استدعاءات واجهة برمجة التطبيقات هذه بحثًا عن نشاط مريب ، مثل محاولة شخص ما حذف البيانات الهامة من حاوية S33. يمكن أن يساعد استخدام CloudTrail في ضمان اكتشاف أي نشاط غير مصرح به في بيئة AWS والتعامل معه بسرعة.

راقب السلوك المشبوه باستخدام Amazon GuardDuty

GuardDuty هي خدمة الكشف عن التهديدات التي تحلل البيانات من مصادر مختلفة ، مثل سجلات CloudTrail و VPC Flow Logs ، لتحديد النشاط الضار أو غير المصرح به.
إذا اكتشف GuardDuty نشاطًا مشبوهًا ، فسوف يرسل تنبيهًا إلى موضوع Amazon SNS أو قائمة انتظار Amazon SQS التي قمت بتكوينها. يسمح لك هذا بالتحقيق واتخاذ الإجراءات اللازمة للتخفيف من أي تهديدات بسرعة. علاوة على ذلك ، يتكامل GuardDuty مع خدمات أمان AWS الأخرى ، مثل Amazon Macie و AWS Security Hub.