وصول المُشغّل على AWS

تم تصميم العديد من أنظمة AWS وخدماتها الأساسية بطريقة يُحظر معها وصول المُشغّل، ومن هذه الخدمات خدمة الإدارة الرئيسية من AWS ‏(AWS KMS)، وAmazon EC2 (من خلال AWS Nitro System) وAWS Lambda وخدمة Kubernetes المرنة بـ Amazon ‏(Amazon EKS) وAWS Wickr. لا تحتوي هذه الخدمات على أي وسائل تقنية تُمكّن مُشغّلي AWS من الوصول إلى بيانات العملاء. وبدلاً من ذلك، تتم إدارة الأنظمة والخدمات عبر الأتمتة وواجهات برمجة التطبيقات الآمنة التي تحمي بيانات العملاء من حالات الكشف غير المقصود أو حتى من حالات الكشف القسري.

لطالما استخدمت AWS "نموذج امتيازات أقل" لتقليل عدد الأشخاص الذين يمكنهم الوصول إلى الأنظمة التي تعالج بيانات العملاء. وهذا يعني أننا نتأكد من أن كل مستخدم من مستخدمي Amazon لديه حق الوصول فقط إلى الحد الأدنى من الأنظمة المطلوبة للقيام بالمهمة الموكلة إليه أو في حدود مسؤوليته الوظيفية، وأن يقتصر هذا الوصول على الوقت الذي يكون فيه هذا الامتياز مطلوبًا. يتم تسجيل أي وصول إلى الأنظمة التي تخزن أو تعالج بيانات العملاء أو بيانات التعريف الوصفية ومراقبتها بحثًا عن الأخطاء وتدقيقها. تحمي AWS من أي إجراءات من شأنها تعطيل عناصر التحكم هذه أو تجاوزها.

كما نطبق مبدأ "الامتيازات الأقل" على وضعية أنظمة AWS وخدماتها. تتفوق AWS على معايير الصناعة في هذا المجال. تعمل إدارة الهوية والوصول في AWS ‏(AWS IAM) على تمكين العملاء من صياغة الأذونات الدقيقة باستخدام أدوار IAM - وهذا يُمكّن العملاء من التحكم التام في من يمكنه الوصول وإلى ماذا يصل. نضيف أيضًا طبقة أمان إضافيةً وفريدةً تُسمّى Forward Access Sessions (FAS) (جلسات الوصول بالواجهة) والتي تضمن أن تكون الأذونات الحساسة مستندةً بشكل مشفر إلى تفويض من العميل. كما تتيح خدمات AWS مثل Amazon EC2 و Amazon Simple Storage Service (Amazon S3) للعملاء تشفير بياناتهم حتى لا تتمكن AWS من استخدام مفاتيح التشفير الخاصة بالعميل بدون تفويض مباشر من العميل. يتم فرض ذلك من قبل طبقة FAS التي تُثبت أن العميل قد أذن بهذه العملية. بالإضافة إلى ذلك، يتم تسجيل هذه الإجراءات، المعروفة باسم "نيابة عن" عمليات الخدمة، وجعلها مرئيةً للعملاء في AWS CloudTrail. حسب التصميم، لا يوجد مفتاح مستخدم خارق (super-user) الذي يسمح لخدمات AWS بالوصول إلى موارد العملاء في خدمة أخرى بدون إذن ضمني منه.

لمنع وصول المُشغّل غير الخاضع للمراقبة إلى الأنظمة التي تحتوي على بيانات العملاء، صممت AWS أنظمتنا بطريقة تضمن تسجيل جميع العمليات الإدارية ومراقبتها مركزيًا. يمكن تتبع جميع إجراءات المُشغّل بتفاصيل دقيقة وصولاً إلى معرفة العنصر البشري الحقيقي المنفذ للإجراء؛ ولا توجد حسابات جماعية مشتركة توفر إخفاء الهوية. يتم في الوقت الفعلي مراقبة الوصول بحثًا عن أي نشاط غير معتاد، بما في ذلك الأخطاء المحتملة أو الأنشطة المشبوهة، ويتم تزويد المديرين والفرق القيادية لدى مُشغّلي AWS وكذلك منظمة الأمان المستقلة لدى AWS بملخصات دورية حول جميع هذه الأنشطة. هذه المراقبة متعددة المستويات، تتضمن "وكلاء تسجيل على المضيف" يدفعون بسرعة الأحداث المحلية خارج المضيف إلى نظام تجميع سجلات مركزي يديره فريق أمان AWS، وتنبيهات في الوقت الفعلي إذا توقف "الوكيل المضيف" عن العمل لأي سبب من الأسباب. ويُستكمل ذلك من خلال المراقبة على مستوى الشبكة، ومراقبة خدمة bastion، وعناصر التحكم الأخرى.

يقوم موظفو AWS بإجراء جميع العمليات من خلال واجهات آمنة تضمن حصول المُشغّلين على محطات عمل محدثة وآمنة، ورموز أمان للأجهزة معتمدة من FIPS، وتجري مصادقتها بشكل صحيح. توفر هذه الواجهات لمُشغّلي AWS بيانات اعتماد مؤقتة قصيرة الأجل، وتراقب أيضًا جميع الأنشطة باستخدام آليات لا يمكن تجاوزها أو تخطيها. واجهات المُشغّل الآمنة هذه لا تتيح سوى عمليات محدودة لا تكشف عن بيانات العميل، وتشترط الموافقة من عدة أشخاص عند تنفيذ عمليات حساسة.

إذا أصبح من الضروري الوصول إلى الموارد الداخلية التي تخزن بيانات العميل أو تعالجها، مثل استكشاف المشكلات المتعلقة بالخدمة وإصلاحها، فإننا نضيف طبقة تحكم إضافيةً لتقييد وصول المُشغّل وتقييمه ومراقبته.

لا يمكن لموظفي دعم AWS support، الذين يساعدون العملاء في طلبات الدعم، الوصول إلى بيانات العملاء. جميع أذونات AWS IAM المستخدمة في الدعم تكون موثقةً بالكامل ويتم الوصول إليها من خلال أدوار مخصصة يمكن تعطيلها من قبل كل عميل من عملاء AWS. يتم أيضًا تسجيل أي استخدام لهذه الأدوار المخصصة في AWS CloudTrail.

تدير AWS مراكز بيانات آمنة للحد من مخاطر التنصت على الشبكة أو السرقة أو الهجمات المادية الأخرى. نحن نستخدم مبدأ "الامتيازات الأقل" لفحص طلبات الوصول. هذه الطلبات يجب أن تحدد "طبقة مركز البيانات" التي يحتاج الفرد إلى الوصول إليها، وأن يكون هذا الوصول محدد زمنيًا. لا يُسمح بإخراج أي وسائط تخزين إلكترونية من مراكز بيانات AWS بدون تدميرها ماديًا أو محوها بطريقة مشفرة باستخدام أساليب وتقنيات مذكورة بالتفصيل في NIST 800-88. تدعم خدمات AWS وأنظمتها التشفير الدائم للشبكة والذاكرة والتخزين. في كثير من الحالات، يكون هناك طبقتان أو أكثر من التشفير الدائم، مما يضمن حظر الوصول إلى البيانات وإتاحته فقط للأنظمة المسؤولة عن معالجة تلك البيانات للعملاء.

تستخدم AWS ضوابط وتوازنات تنظيمية وفنية تضمن اكتشاف أي حدث أمني يقع، وتضمن عدم تمكن أي فرد أو مجموعة من تدمير ضوابط الأمان المهمة أو اختراقها. إن أنظمة التحكم في الوصول وأنظمة مراقبة الوصول من AWS هي أنظمة مستقلة عن قصد ويتم تشغيلها بواسطة فرق منفصلة.

لقد وضعنا عند تصميم AWS تدابير أمنية دفاعية متعمقة من بينها تغيير عناصر التحكم، وإمكانات تسجيل ثابتة غير قابلة للتعديل، وفصل المهام، وموافقات متعددة الأطراف، وآليات تفويض مؤقتة، وأدوات تشغيلية لا تتطلب التدخل اليدوي. تتفوق إجراءات الأمان هذه على ممارسات الأمان القياسية بحيث تكون الإجراءات التي يتخذها مُشغّلو AWS آمنة وشفافة ومسجّلة ومراجعتها.

لقد نفذنا مجموعات أذونات لتخصيص الوصول إلى الموارد، وأداة أذونات لإدارة عضوية مجموعة الأذونات، وأدوات آمنة تسمح للمشغلين المعتمدين بإجراء صيانة النظام واستكشاف الأخطاء وإصلاحها بدون الوصول المباشر إلى موارد الخدمة. نقوم أيضًا بتحديث العضوية تلقائيًا عندما يقوم الموظفون بتغيير المناصب والأدوار أو الخروج من الشركة.