Доступ оператора в AWS

Многие базовые системы и сервисы AWS разработаны с нулевым доступом операторов, включая Сервис управления ключами AWS (AWS KMS), Amazon EC2 (через AWS Nitro System), AWS Lambda, Эластичный сервис Amazon Kubernetes (Amazon EKS) и AWS Wickr. Эти сервисы не имеют технических средств доступа операторов AWS к данным клиентов. Вместо этого управление системами и службами осуществляется с помощью автоматизации и безопасных API, которые защищают данные клиентов от непреднамеренного или даже принудительного раскрытия.

AWS всегда использовала модель наименьших привилегий, чтобы свести к минимуму количество людей, имеющих доступ к системам, обрабатывающим данные клиентов. Это означает, что каждый сотрудник Amazon имеет доступ только к минимальному набору систем, необходимых для выполнения поставленной задачи или служебных обязанностей, на то ограниченное время, в течение которого это необходимо. Любой доступ к системам, в которых хранятся или обрабатываются данные или метаданные клиентов, регистрируется, отслеживается на предмет аномалий и проверяется. AWS защищает от любых действий, которые могут отключить или обойти эти средства управления.

Мы также применяем принцип наименьших привилегий к системе и сервисам AWS. AWS превосходит отраслевые стандарты в этой области. Управление идентификацией и доступом AWS (IAM) дает клиентам четко формулировать разрешения, используя роли IAM. Это позволяет клиентам тщательно контролировать, кто к чему имеет доступ. Мы также добавляем дополнительный уникальный уровень безопасности под названием Forward Access Sessions (FAS), который гарантирует, что конфиденциальные разрешения криптографически зависят от авторизации пользователя. Сервисы AWS, такие как Amazon EC2 и Amazon Simple Storage Service (Amazon S3), также позволяют клиентам шифровать свои данные, поэтому даже AWS не может использовать ключи шифрования клиента без прямой авторизации клиента. FAS подтверждает, дал ли заказчик разрешение на эту операцию. Кроме того, эти действия, известные как операции «от имени» сервиса, регистрируются и становятся видимыми для клиентов в AWS CloudTrail. По замыслу, не существует ключа суперпользователя, позволяющего сервисам AWS получать доступ к ресурсам клиентов в другом сервисе без явной авторизации.

Чтобы предотвратить неконтролируемый доступ операторов к системам, содержащим данные клиентов, AWS разработала свои системы таким образом, чтобы все административные операции регистрировались и отслеживались централизованно. Все действия можно отследить детально, вплоть до человека, выполняющего действие; нет общих учетных записей рабочей группы, обеспечивающих анонимность. Отслеживаются необычные действия в режиме реального времени, включая возможные ошибки или подозрительные действия, а руководителям и руководящим группам AWS, а также независимому Центру безопасности AWS периодически предоставляются сводки обо всех таких действиях. Этот мониторинг многоуровневый, включая агенты регистрации на хосте, которые быстро передают локальные события за пределы хоста в централизованную систему агрегирования журналов, управляемую Центром безопасности AWS, и оповещения в реальном времени, если по какой-либо причине агент на хосте перестает работать. Это дополняется мониторингом на уровне сети, мониторингом бастионных служб и другими средствами контроля.

Персонал AWS выполняет все операции через безопасные интерфейсы, которые обеспечивают операторам современные и безопасные рабочие станции, аппаратные токены безопасности, проверенные на соответствие FIPS, и правильную аутентификацию. Эти интерфейсы предоставляют операторам AWS временные краткосрочные учетные данные, а также отслеживают всю активность с помощью механизмов, которые нельзя переопределить или обойти. Эти безопасные операторские интерфейсы позволяют выполнять только ограниченные операции, не раскрывающие данные клиентов, и требуют одобрения конфиденциальных операций несколькими лицами.

Если возникает необходимость в доступе к внутренним ресурсам, на которых могут храниться или обрабатываться данные клиентов, например для устранения неполадок или устранения проблем, связанных с услугой, мы добавляем дополнительный уровень контроля для ограничения, оценки и мониторинга доступа операторов.

Сотрудники службы поддержки AWS, которые помогают клиентам с их запросами на поддержку, не имеют доступа к данным клиентов. Все разрешения AWS IAM, используемые в целях поддержки, полностью документированы и доступны из выделенных ролей, которые каждый клиент AWS может отключить. Любое использование этих выделенных ролей также регистрируется в AWS CloudTrail.

AWS управляет защищенными центрами обработки данных, чтобы снизить риск взлома сети, кражи или других физических атак. При проверке запросов на доступ мы используем принцип наименьших привилегий. В этих запросах должно быть указано, к какому уровню центра обработки данных требуется доступ, и они должны быть ограничены по времени. Ни один электронный носитель не разрешается выносить за пределы центров обработки данных AWS без физического уничтожения или криптографического стирания с использованием методов, описанных в NIST 800-88. Сервисы и системы AWS поддерживают постоянное шифрование сети, памяти и хранилища. Во многих случаях существует два или более уровней непрерывного шифрования, гарантирующих доступ к данным только для систем, отвечающих за обработку этих данных для клиентов.

AWS применяет организационные и технические системы сдержек и противовесов, чтобы ни одно событие безопасности не осталось незамеченным и ни одно лицо или группа не смогли нарушить важные меры безопасности. Системы контроля доступа AWS и системы мониторинга доступа намеренно независимы и управляются отдельными командами.

При разработке AWS мы предусмотрели всесторонние меры безопасности, включая контроль изменений, неизменяемые возможности ведения журналов, разделение обязанностей, многостороннее подтверждение, механизмы условной авторизации и операционные инструменты, доступные в режиме «от руки». Эти меры безопасности выходят за рамки стандартных методов безопасности, поэтому действия, предпринимаемые операторами AWS, безопасны, прозрачны, регистрируются и проверяются.

Мы внедрили группы разрешений для распределения доступа к ресурсам, инструмент разрешений для управления членством в группах разрешений и инструменты безопасности, позволяющие авторизованным операторам выполнять обслуживание системы и устранять неполадки без прямого доступа к сервисным ресурсам. Мы также автоматически обновляем членство по мере смены ролей или ухода сотрудников из компании.