Подобно другим крупным «облачным» платформам, AWS не является «пуленепробиваемой» средой. Так или иначе, вам придется применять инструменты, позволяющие снизить риски, связанные с размещением данных и ресурсов компании в «облаке» AWS. В решении этой задачи могут помочь шесть перечисленных в статье средств безопасности с открытым исходным кодом.
Стоит ли удивляться тому, что «облачная» платформа не является абсолютно защищенной средой? Конечно, нет, особенно если ваше предприятие уже некоторое время использует «облачные» сервисы. Если вы отслеживаете состояние находящихся в «облаке» данных или ресурсов своей компании, то вы должны иметь уверенный практический навык применения методов и процедур обеспечения безопасности. Иначе придется отыскивать бреши в протоколах в авральном порядке, уже после того как случилась атака или утечка данных.
Помочь в поиске средств, позволяющих снизить риски, связанные с хранением данных в «облаке», могут полезные инструменты для среды веб-служб Amazon (AWS), которая в силу широкой популярности является особенно удобной мишенью для хакеров.
Предлагаемый список инструментов был составлен по результатам запроса предложений от сообщества AWS и поиска средств обеспечения безопасности с открытым исходным кодом, которые были затем подвергнуты тестированию для выявления наиболее эффективных.
AWS Scout2. Позволяет администратору AWS оценивать имеющиеся средства обеспечения безопасности своей среды. Используя API AWS, он осуществляет сбор данных настроек для проверки вручную и автоматически выделяет области высокого риска. Scout2 автоматически выдает консолидированное представление поверхности атаки.
CloudSploit Scans. Проект с открытым исходным кодом, предназначенный для обнаружения угроз безопасности учетной записи AWS. Реализованные в нем сценарии предназначены для работы с учетной записью AWS; они возвращают набор потенциальных ошибок в настройках и угроз безопасности.
CloudTracker. Выявляет пользователей и роли IAM с завышенными привилегиями путем сравнения журналов CloudTrail с текущими политиками IAM. Для этого в ходе просмотра журналов CloudTrail устанавливаются вызовы API, сделанные субъектом. Результаты этого анализа сравниваются с предоставленными субъекту привилегиями IAM для определения избыточных привилегий.
CloudMapper. Позволяет анализировать среды AWS. Первоначальным назначением инструмента было создание сетевых графиков и их отображение в браузере. Теперь CloudMapper дополнен следующими возможностями:
- отображение ресурсов, находящихся в открытом доступе;
- отображение ресурсов, которые могут взаимодействовать с другими ресурсами;
- проверка архитектуры защиты от отказа зоны доступности;
- построение отчета о количестве областей, используемых учетной записью.
Security Monkey. Отслеживает изменения политик в отношении учетных записей AWS и Google Cloud Platform и при обнаружении небезопасных настроек генерирует соответствующие оповещения. Поддержка доступна для публичного и частного «облака» OpenStack. Также Security Monkey может отслеживать организации, группы и репозитории на GitHub.
Cloud Custodian. Обработчик правил для управления арсеналом средств AWS. Он дает пользователям возможность определять политики, позволяющие организовать хорошо управляемую «облачную» инфраструктуру, безопасную и оптимизированную с точки зрения затрат. Cloud Custodian объединяет множество специализированных сценариев, используемых организациями, в единый облегченный гибкий инструмент с унифицированными измеримыми показателями и функциями отчетности. Cloud Custodian способен в реальном времени обеспечивать соблюдение политик безопасности (таких, как шифрование и требования доступа) и политик тегов, а также рационализацию затрат посредством выявления неиспользуемых ресурсов.