Встроенная безопасность
Обзор
Автоматизация безопасности, соответствия требованиям и управления на платформе AWS
Встроенная безопасность (SbD) – это подход к обеспечению безопасности, который формализует проектирование аккаунта AWS, автоматизирует системы контроля безопасности и упрощает процессы аудита. Подход SbD, в отличие от аудита безопасности за прошлый период, обеспечивает контроль безопасности, изначально встроенный в процесс управления IT-ресурсами платформы AWS. Использование шаблонов встроенной безопасности (SbD) в AWS CloudFormation позволяет добиться разносторонней и эффективной защиты и обеспечить соответствие требованиям в облаке.
SbD – это подход к обеспечению безопасности и соответствия требованиям в любом масштабе с учетом специфики различных отраслей, стандартов и критериев безопасности. Подход SbD в AWS можно использовать при проектировании функциональных возможностей безопасности и соответствия требованиям на всех этапах, что позволяет клиенту проектировать все компоненты собственной среды AWS: разрешения, ведение журналов, доверительные отношения, принудительное шифрование, использование только одобренных образов машин и многое другое. Подход SbD позволяет автоматизировать интерфейсную часть аккаунта AWS, надежно программируя безопасность и соответствие стандартам в используемых аккаунтах AWS и оставляя в прошлом несоответствие систем ИТ-управления стандартным требованиям.
Подход, основанный на встроенной безопасности (SbD)
Подход SbD формирует обязанности по контролю, принципы автоматизации основ безопасности, настройки безопасности и требования по аудиту клиентом систем управления в своей инфраструктуре, операционных системах, сервисах и приложениях, работающих на AWS. Предлагаемые программой директивные стандартизованные воспроизводимые проекты со встроенной автоматизацией можно развертывать для распространенных примеров использования с учетом стандартов безопасности и требований к аудиту в различных отраслях и для различных рабочих нагрузок.
Компания AWS рекомендует использовать в своем аккаунте AWS встроенную безопасность и соответствие требованиям, следуя представленному ниже подходу из четырех этапов.
Этап 1. Сформируйте требования. Определите политики и опишите системы контроля, наследуемые от AWS. Затем опишите системы контроля, используемые вами в среде AWS, и определите список правил безопасности, которые требуется внедрить в ИТ-среду AWS.
Этап 2. Создайте безопасную среду, соответствующую вашим требованиям и особенностям внедрения. Определите требуемую конфигурацию в виде значений конфигурации AWS, таких как требования к шифрованию (например, принудительное шифрование для объектов S3 на стороне сервера), разрешения для ресурсов (какие роли применимы к определенным средам), список разрешенных к использованию вычислительных образов (на основании фиксированных образов серверов, разрешенных к использованию), а также типы обязательных журналов (например, принудительное применение сервиса CloudTrail для совместимых ресурсов). Поскольку AWS предоставляет разносторонний набор вариантов конфигурации и регулярно добавляет в него новые сервисы, вы сможете найти шаблоны для приведения своей среды в соответствие заданным требованиям безопасности. Данные шаблоны безопасности (в виде шаблонов AWS CloudFormation) предоставляют всеобъемлющий набор правил, который можно внедрять систематически. Компания AWS разработала шаблоны, которые обеспечивают правила безопасности, соответствующие различным инфраструктурам безопасности. Подробнее см. в техническом описании «Знакомство со встроенной безопасностью».
Дополнительную помощь при создании безопасной среды могут оказать опытные архитекторы компании AWS, специалисты AWS Professional Services и решения от наших партнеров. Эти группы специалистов могут работать вместе с вашим персоналом и группами аудита для помощи в реализации высококачественных безопасных сред для прохождения стороннего аудита.
Этап 3. Внедрите созданные шаблоны. AWS Service Catalog дает пользователям возможность принудительно применять в каталоге собственные шаблоны. Этот шаг позволяет гарантировать использование безопасной среды при создании любых новых сред. Он также предотвращает создание сред, которые не соответствуют установленным правилам безопасности среды. Требование обязательного использования определенного шаблона в каталоге гарантирует клиентам, что настроенные механизмы безопасности будут готовы к стороннему аудиту.
Этап 4. Выполните проверочные действия. Развертывание на AWS с помощью Service Catalog и шаблонов безопасной среды помогает создать среду, готовую к аудиту. Правила, определенные в шаблоне, можно использовать как руководство по аудиту. AWS Config позволяет сканировать текущее состояние любой среды, чтобы сравнить его с установленными правилами безопасной среды. Использование защищенных разрешений на доступ к чтению вместе с уникальными скриптами позволяет автоматизировать сбор сведений для проведения аудита. Клиенты могут перейти от традиционных ручных средств административного контроля к реализуемым принудительно на техническом уровне средствам контроля, сохраняя уверенность, что при правильной разработке и применении эти средства контроля функциональны на 100 % в любое время (в отличие от традиционных методов выборочного аудита и проверок состояния на определенный момент).
Такой технический аудит можно расширить за счет предварительных рекомендаций для аудита, таких как поддержка и подготовка аудиторов клиента, чтобы убедиться, что выполняющий аудит персонал понимает уникальные возможности автоматизации аудита, которые предоставляет облако AWS.
Значение встроенной безопасности
Встроенная безопасность позволяет реализовать следующие возможности:
- создание принудительно применяемых функций, недоступных для переопределения пользователями, которые не имеют соответствующего разрешения;
- организация надежной эксплуатации систем контроля;
- непрерывный аудит в режиме реального времени;
- применение политик управления в форме программных скриптов.
Результат обеспечивает автоматизированную среду, поддерживающую функции безопасности, управления и соответствия конкретным требованиям. Вы можете использовать надежную реализацию возможностей, ранее описанных только в политиках, стандартах и нормативах. Кроме того, можно обеспечивать безопасность и соответствие стандартам принудительно, что в итоге приводит к созданию функциональной и надежной модели управления для сред AWS.
