Я хочу получать информацию о встроенной безопасности
Встроенная безопасность

Встроенная безопасность (SbD) – это подход к обеспечению безопасности, который формализует проектирование аккаунта AWS, автоматизирует системы контроля безопасности и упрощает процессы аудита. Подход SbD, в отличие от аудита безопасности за прошлый период, обеспечивает контроль безопасности, изначально встроенный в процесс управления IT-ресурсами платформы AWS. Используя шаблоны встроенной безопасности сервиса CloudFormation, можно повысить эффективность и расширить механизмы безопасности и соответствия требованиям в облаке.

Механизм SbD включает четырехэтапный подход к обеспечению безопасности и соответствия требованиям в необходимом масштабе с учетом различных отраслей, стандартов и критериев безопасности. Подход SbD в AWS можно использовать при проектировании возможностей безопасности и соответствия требованиям на всех этапах, что позволяет клиенту проектировать все компоненты клиентской среды AWS: разрешения, запись журналов, доверительные отношения, принудительное шифрование, использование только одобренных образов машин и многое другое. Подход SbD позволяет пользователям автоматизировать клиентскую структуру аккаунта AWS, надежно программируя безопасность и соответствие стандартам в аккаунтах AWS и устраняя устаревший подход несоответствия систем контроля ИТ-ресурсов стандартам.


Подход SbD определяет обязанности по контролю, автоматизацию основных правил безопасности, конфигурацию безопасности и аудит клиентом систем контроля для клиентской инфраструктуры, операционных систем, сервисов и приложений, работающих на платформе AWS. Такие стандартизованные, автоматизированные, директивные и воспроизводимые проекты можно развертывать для распространенных примеров использования, стандартов безопасности и требований к аудиту с учетом различных областей и рабочих нагрузок.

Компания AWS рекомендует использовать в своем аккаунте AWS встроенную безопасность и соответствие требованиям, следуя представленному ниже подходу в четыре этапа.

Этап 1. Сформируйте требования. Охарактеризуйте свои политики, затем документально зафиксируйте элементы управления, наследуемые от AWS. Затем опишите системы контроля, используемые вами в среде AWS, и определите список правил безопасности, которые требуется внедрить в ИТ-среду AWS

Этап 2. Создайте «безопасную среду», соответствующую вашим требованиям и особенностям внедрения. Определите требуемую конфигурацию в виде значений конфигурации AWS, таких как требования к шифрованию (принудительное шифрование для объектов S3 на стороне сервера), разрешения для ресурсов (какие роли применимы к определенным средам), список разрешенных к использованию вычислительных образов (на основании фиксированных образов серверов, которые были разрешены к использованию), а также используемый тип обязательных журналов (например, принудительное применение сервиса CloudTrail для совместимых ресурсов). Поскольку платформа AWS предоставляет готовый набор параметров конфигурации (причем новые сервисы выпускаются регулярно), вы сможете найти шаблоны для приведения вашей среды в соответствие требованиям контроля безопасности. Данные шаблоны безопасности (в виде шаблонов AWS CloudFormation) обеспечивают всеобъемлющий набор правил, который можно внедрять систематически. Компания AWS разработала шаблоны, которые обеспечивают правила безопасности, соответствующие различным инфраструктурам безопасности. Для получения более подробной информации ознакомьтесь с техническим описанием «Знакомство со встроенной безопасностью».

Дополнительную помощь при создании безопасной среды могут оказать опытные архитекторы компании AWS, команда AWS Professional Services и наши партнеры-эксперты в области преобразования ИТ. Эти группы специалистов могут работать вместе с вашим персоналом и командами аудита для концентрации усилий и помощи в реализации высококачественных безопасных клиентских сред для прохождения стороннего аудита.

Этап 3. Внедрите созданные шаблоны. Включите каталог сервисов и настройте принудительное использование шаблона в каталоге. Этот этап обеспечивает принудительное использование вашей безопасной среды в новых создаваемых средах и предотвращает создание любым пользователем среды, которая не соответствует правилам безопасности вашей безопасной среды. Такой подход эффективно задействует остальные конфигурации безопасности клиентского аккаунта, относящиеся к системам контроля, для подготовки к аудиту.

Этап 4. Выполните проверочные действия. Развертывание AWS с использованием каталога сервисов и шаблоны «безопасной среды» помогают создать готовую к аудиту среду. Правила, определенные в шаблоне, можно использовать как руководство по аудиту. AWS Config позволяет сохранить текущее состояние любой среды, которое впоследствии можно сравнить с правилами вашей безопасной среды. Это обеспечивает возможности сбора данных аудита с помощью безопасных разрешений с доступом на чтение, а также уникальных скриптов, которые позволяют автоматизировать аудит для сбора данных. Клиенты смогут перейти от традиционных ручных средств административного контроля к реализуемым принудительно на техническом уровне средствам контроля, будучи уверенными, что при правильной разработке и определении масштаба эти средства контроля функциональны на 100 % в любое время (в отличие от традиционных методов выборки для аудита и проверок состояния на определенный момент).

Такой технический аудит можно расширить за счет предварительных рекомендаций для аудита, таких как поддержка и подготовка аудиторов клиента, чтобы убедиться, что персонал, выполняющий аудит, понимает уникальные возможности автоматизации аудита, которые предоставляет облако AWS.

Безопасность облака AWS
Встроенная безопасность облака AWS

Значение встроенной безопасности для AWS

Подход SbD направлен на достижение следующих целей:

• создание принудительных функций, недоступных для переопределения пользователями, которые не имеют разрешения на изменение этих функций;
• организация надежной эксплуатации систем контроля;
• возможность непрерывного аудита в режиме реального времени;
• техническое описание политик управления.

Результат представляет собой автоматизированную среду, поддерживающую функции безопасности, управления и соответствия требованиям конкретной среды. Клиенты могут использовать надежную реализацию функций, ранее описанных в политиках, стандартах и нормативах. Кроме того, клиенты могут обеспечивать безопасность и соответствие стандартам принудительно, что в итоге приводит к созданию функциональной и надежной модели управления для клиентских сред AWS.


Техническая документация

Ознакомьтесь с понятиями, представленными в техническом описании по встроенной безопасности.

Пройдите самостоятельное обучение «Аудит архитектуры AWS». В данном курсе описаны возможности и интерфейсы AWS, в частности те, которые имеют отношение к параметрам конфигурации, доступным аудиторам и владельцам систем контроля безопасности.

Ознакомьтесь с дополнительными доступными ресурсами.
a. Amazon Web Services: знакомство с процессами безопасности
б. Вводные сведения об аудите использования AWS (техническое описание)
c. «Federal Financial Institutions Examination Council (FFIEC)», руководство по проведению аудита
d. «SEC – Cybersecurity Initiative», руководство по проведению аудита
e. «CJIS Security Policy», руководство по проведению аудита

 

Ресурсы по встроенной безопасности

 

Свяжитесь с нами