Широкое внедрение облачных решений, в частности Amazon Web Services (AWS), вызвало обеспокоенность по поводу безопасности. AWS разработала различные службы мониторинга безопасности для решения этих проблем. Это исследование посвящено оценке эффективности четырех инструментов мониторинга безопасности AWS (GuardDuty, Inspector, Security Hub и Trusted Advisor) в выявлении и предотвращении угроз безопасности в общедоступных облачных средах. Тесты были проведены в лабораторных условиях для анализа возможностей каждого инструмента. Результаты показали, что выбранные инструменты мониторинга безопасности обеспечивают хороший базовый охват различных областей безопасности в AWS cloud, включая поведение пользователей, поведение экземпляра EC2 и статистику потоков. Однако в силу возмозностей технологии не предполагалось обеспечить 100 %-ный охват каждой среды. Установка таких систем проста во внедрении и использовании, и для получения значительных преимуществ не требуются экспертные знания. В целом, это исследование дает ценную информацию об эффективности инструментов мониторинга безопасности AWS и может помочь организациям повысить уровень безопасности в общедоступных облачных средах.
Ключевые слова: AWS, GuardDuty, Inspector, Security Hub, мониторинг информационной безопасности, Trusted Advisor.
Использование общедоступных облачных сервисов быстро растет, и AWS является одним из ведущих поставщиков облачных сервисов. Однако с расширением использования общедоступного облака проблемы безопасности стали серьезной проблемой. Безопасность данных и приложений, размещенных в облаке, является серьезной проблемой для организаций, использующих общедоступные облачные сервисы. Нарушения безопасности могут привести к потере данных, юридической ответственности и ущербу репутации. Поэтому важно иметь эффективные меры безопасности для предотвращения и обнаружения угроз безопасности в общедоступных облачных средах AWS.
За последние пять лет в нескольких публикациях подчеркивалась важность мониторинга безопасности в общедоступных облачных средах. о данным аналитиков из Gartner, к 2025 году свыше 85 % компаний перейдут на стратегию, где облачные технологии будут в центре внимания, поскольку без них полное осуществление цифровых стратегий станет невозможным, при этом безопасность и соответствие требованиям будут главными проблемами для организаций, переходящих в облако [1]. В 2020 году Альянс по облачной безопасности опубликовал свой отчет «Основные угрозы облачным вычислениям», в котором неправильная настройка и контроль изменений были названы двумя основными рисками облачной безопасности [2].
Несмотря на эти предупреждения, многие организации продолжают бороться за внедрение эффективного мониторинга безопасности в своих общедоступных облачных средах. Традиционные инструменты и процессы обеспечения безопасности могут не подходить для динамичного характера облачных сред, что затрудняет поддержание видимости и контроля. В результате растет потребность в исследованиях для выявления эффективных методов мониторинга безопасности, которые могут быть применены в общедоступных облачных средах AWS. В этой статье представлено исследование по мониторингу безопасности в общедоступных облачных средах AWS с акцентом на четыре из этих служб, а именно GuardDuty, Inspector, Security Hub и Trusted Advisor. Целью данного исследования является пердоставление обзора указанных выше служб, их функций и областей, которые они охватывают.
Компоненты безопасности A WS
AWS предлагает широкий спектр служб безопасности, охватывающих различные домены, аналогично другим своим сервисам. Это исследование сосредоточено на безопасности общедоступного облака AWS и, следовательно, выбранные службы безопасности, а именно Inspector, GuardDuty, Security Hub и Trusted Advisor будут рассмотрены в последующих разделах. Тем не менее, прежде чем углубляться в специфику этих сервисов, следует ознакомиться с общим обзором безопасности AWS.
На конференции AWS re:Inforce в 2019 году Бекки Вайс представила схему обеспечения безопасности AWS, изображенную на рис. 1 [3]. На иллюстрации показано, что AWS security можно разделить на три основные категории: управление разрешениями, шифрование данных и контроль сетевой безопасности.
Рис. 1. Компоненты информационной безопасности AWS [1, с. 3]
Управление разрешениями является краеугольным камнем безопасности AWS, позволяя организациям эффективно контролировать доступ к ресурсам AWS. Вайс подчеркнул важность реализации принципа наименьших привилегий, при котором пользователям предоставляются только разрешения, необходимые для выполнения назначенных задач. Такой подход сводит к минимуму риск несанкционированного доступа и потенциальных утечек данных. AWS Identity and Access Management (IAM) играет ключевую роль в управлении разрешениями, предлагая детальный контроль над разрешениями пользователей с помощью политик и ролей. Организациям рекомендуется регулярно пересматривать и аудировать конфигурации IAM для обеспечения соответствия передовым методам обеспечения безопасности и меняющимся бизнес-требованиям.
Шифрование данных необходимо для защиты конфиденциальности и целостности данных в средах AWS. Вайс подчеркнул важность шифрования данных как при передаче, так и в состоянии покоя для снижения риска несанкционированного перехвата или доступа. AWS предоставляет надежные механизмы шифрования, включая AWS Key Management Service (KMS) для управления ключами шифрования и AWS CloudHSM для аппаратного управления ключами. Используя шифрование, организации могут защитить конфиденциальные данные от потенциальных угроз, тем самым укрепляя свою систему безопасности и соблюдая нормативные требования.
Эффективные средства контроля сетевой безопасности необходимы для защиты ресурсов AWS от внешних угроз и попыток несанкционированного доступа. Вайс выступал за внедрение комплексных мер сетевой безопасности, таких как виртуальное частное облако (VPC), группы безопасности и списки контроля доступа к сети (NACL), для обеспечения строгого контроля доступа и фильтрации трафика. Кроме того, AWS предлагает набор управляемых служб безопасности, включая AWS WAF (брандмауэр веб-приложений) и AWS Shield, для защиты от распространенных веб-атак и DDoS-атак (распределенный отказ в обслуживании). Применяя комплексный подход к сетевой безопасности, организации могут укрепить свою инфраструктуру AWS против широкого спектра киберугроз.
Придерживаясь этих основополагающих принципов и используя надежные службы безопасности AWS, организации могут создать устойчивую систему безопасности в своих средах AWS, тем самым защищая от потенциальных угроз и обеспечивая конфиденциальность, целостность и доступность своих информационных ресурсов.
Сервисы информационной безопасности AWS
GuardDuty
Выявление потенциальных угроз, как существующих, так и возникающих, всегда было важнейшим аспектом кибербезопасности. Учитывая растущую актуальность этой области, Amazon внедрила GuardDuty для удовлетворения потребности в обнаружении угроз.
GuardDuty использует машинное обучение, обнаружение аномалий и анализ угроз для анализа огромных объемов данных журнала с нескольких конечных точек и генерации предупреждений на основе заранее определенных критериев. Данные журнала, необходимые для обнаружения, получены из трех источников: журналов событий CloudTrail, журналов потока VPC и журналов DNS. CloudTrail отслеживает историю вызовов API для учетной записи пользователя, в то время как журналы потоков VPC собирают информацию о входящем и исходящем трафике на интерфейсах VPC, а журналы DNS отслеживают запросы и ответы DNS. На основе полученных данных журнала GuardDuty генерирует выводы о безопасности, которые запускаются, когда данные соответствуют определенным предопределенным критериям. [4] Архитектура GuardDuty показана на рис. 2.
Рис. 2. Архитектура Guard Duty [2, с. 5]
GuardDuty может быть включен для каждой учетной записи AWS, и выставление счетов зависит от объема проанализированных журналов. Пользователи также могут приглашать другие учетные записи для привязки к своей учетной записи в GuardDuty, при этом одна учетная запись выступает в качестве основной, а другие — в качестве участников. Однако GuardDuty имеет определенные ограничения, например, пользователи не могут создавать пользовательские результаты, а максимальное количество участников ограничено 1000 [5].
Inspector
Amazon Inspector — это инструмент оценки безопасности, предназначенный для оценки защищенности инстансов Amazon EC2. Он позволяет пользователям выполнять оценку безопасности в широком масштабе, причем область действия устанавливается пользователем или для отдельных инстансов. Для проведения этих оценок на хостах устанавливаются агенты Inspector, которые отслеживают поведение системы и собирают данные о конфигурации.
По завершении оценки пользователи получают отчет с перечислением потенциальных угроз безопасности и неправильных настроек, а также рекомендации по устранению. Inspector имеет встроенную библиотеку, состоящую из наборов правил, отчетов и информации об уязвимостях, которые постоянно обновляются специальной командой Amazon [6].
Пользователи могут настраивать шаблоны оценки, чтобы определить, какие правила использовать, куда отправлять результаты и объем оценки. Мощные функции Inspector делают его подходящим как для начинающих, так и для опытных пользователей. К инструменту можно получить доступ через консоль на основе браузера, и пользователи могут писать свои собственные сценарии, используя инструменты командной строки AWS. Кроме того, Inspector имеет собственные SDK и API для пользователей, которые хотят взаимодействовать с ним программно [7].
Security Hub
Security Hub — это инструмент централизованного управления различными продуктами безопасности в среде AWS. Он упрощает управление несколькими службами безопасности, организуя оповещения о безопасности и проблемы на основе пользовательских конфигураций. Он выполняет автоматические проверки соответствия в фоновом режиме и выдает результаты, если есть какие-либо отклонения от наилучших практик.
Security Hub использует формат AWS Security Finding для выявления проблем безопасности и предлагает целостное представление о средах безопасности за счет интеграции данных о безопасности из нескольких источников. Security Hub может быть интегрирован с CloudWatch, что позволяет автоматизировать процессы устранения проблем безопасности.
Пользователи могут настраивать действия, которые могут выполняться автоматически при обнаружении нарушений безопасности, такие как отправка результатов в SIEMs или SOAR, системы продажи билетов или SNS. Security Hub может быть включен в любой учетной записи, и пользователи могут приглашать других пользователей подключаться к их службе Security Hub. Он собирает данные о безопасности в средах AWS от различных служб безопасности, и эти данные можно систематизировать и архивировать на срок до 90 дней [8]. Аналитические данные также можно использовать для группировки связанных данных о безопасности для лучшей наглядности. Security Hub предлагает свои собственные результаты, но пользователи также могут создавать свои собственные индивидуальные результаты.
Trusted Advisor
Trusted Advisor — это сервис, предлагаемый Amazon, который предоставляет рекомендации и лучшие практики в различных категориях AWS, включая безопасность. Он был запущен в 2013 году и в настоящее время состоит из пяти категорий: оптимизация затрат, производительность, отказоустойчивость, ограничения обслуживания и безопасность. Пользователи могут бесплатно получить доступ к семи основным проверкам безопасности, а также бесплатно включить уведомления Trusted Advisor для получения уведомлений о результатах по электронной почте. Сервис является частью консоли управления AWS, и пользователи также могут взаимодействовать с ним через API.
Бесплатная версия Trusted Advisor включает в себя несколько проверок безопасности, таких как разрешения корзины S3, использование IAM и MFA для учетной записи root. Платные версии предлагают расширенные области, связанные с безопасностью, такие как управление ключами и SSL-сертификаты [9]. Результаты проверки Trusted Advisor могут быть отправлены непосредственно в CloudWatch, где могут быть созданы пользовательские правила для запуска различных действий, таких как автоматизация процессов смягчения последствий или отправка уведомлений. Amazon предоставила тринадцатиэтапное руководство по созданию правила событий CloudWatch для Trusted Advisor, которое можно найти на их веб-сайте. Помимо соображений безопасности, Trusted Advisor также может быть полезен для оптимизации затрат, производительности и стабильности системы. Он предлагает безопасную платформу с присущими ей функциями безопасности и возможностью настройки, что делает его популярным выбором для крупных корпораций, учреждений и финансовых организаций.
Материалы и методы исследования
В исследовании, проведенном для оценки эффективности решений AWS для мониторинга безопасности, использовалась комбинация качественных и количественных методов. Сначала был проведен опрос для сбора информации об использовании организациями инструментов мониторинга безопасности AWS. Опрос был разослан 200 специалистам по ИТ-безопасности, и 97 респондентов заполнили его. Вопросы опроса охватывали такие темы, как типы используемых средств безопасности, частота использования инструментов и уровень удовлетворенности инструментами.
В дополнение к опросу исследователи провели серию экспериментов, чтобы оценить эффективность нескольких решений для мониторинга безопасности AWS. В частности, они оценили эффективность Amazon GuardDuty, AWS Security Hub, AWS Trusted Advisor и Amazon Inspector. Эти инструменты были выбраны потому, что они являются одними из наиболее часто используемых решений для мониторинга безопасности AWS и охватывают целый ряд вариантов использования в сфере безопасности.
Эксперименты включали моделирование различных угроз безопасности и атак, таких как сканирование сети, портов и заражение вредоносными программами, а затем использование инструментов мониторинга для обнаружения этих угроз и реагирования на них. Исследователи оценивали инструменты на основе нескольких показателей, включая точность обнаружения, время отклика и простоту использования.
Результаты исследования показали, что большинство опрошенных организаций (75 %) используют решения AWS для мониторинга безопасности. Из них наиболее часто используемыми решениями были AWS CloudTrail (69 %), Amazon CloudWatch (59 %) и Amazon GuardDuty (49 %). Исследователи обнаружили, что GuardDuty является наиболее эффективным инструментом для обнаружения угроз безопасности с точностью обнаружения 97,5 % и временем отклика менее 1 минуты. Security Hub и Trusted Advisor также показали хорошие результаты, с показателями точности обнаружения 90 % и 85 % соответственно.
Однако исследователи обнаружили, что у этих инструментов есть некоторые ограничения. Например, GuardDuty и Security Hub предоставляют только оповещения и рекомендации и не предлагают автоматические ответы на угрозы. Trusted Advisor предоставляет только рекомендации и не предлагает никаких возможностей оповещения или реагирования. Inspector, хотя и эффективен при обнаружении уязвимостей, оказался более сложным в настройке и использовании, чем другие инструменты.
Результаты и обсуждение
Результаты исследования показывают, что внедрение служб мониторинга безопасности в общедоступном облаке AWS, таких как GuardDuty, SecurityHub, Trusted Advisor и Inspector, может значительно повысить уровень безопасности облачных сред. Эти службы предоставляют рекомендации по обнаружению угроз и устранению неполадок в режиме реального времени, автоматизированные проверки соответствия требованиям и оценки уязвимостей.
Было установлено, что GuardDuty особенно эффективен при обнаружении вредоносной активности и потенциальных угроз облачным средам, таких как скомпрометированные экземпляры EC2, попытки несанкционированного доступа и подозрительный сетевой трафик. С другой стороны, было установлено, что SecurityHub эффективен для консолидации результатов проверки безопасности из нескольких сервисов AWS, а также для обеспечения автоматической проверки соответствия ресурсов AWS.
Было установлено, что Trusted Advisor полезен для предоставления рекомендаций в режиме реального времени по повышению безопасности, оптимизации затрат и повышению производительности ресурсов AWS. С другой стороны, было установлено, что Inspector эффективен при выявлении уязвимостей в системе безопасности в экземплярах EC2 и предоставлении приоритетных рекомендаций по исправлению.
Заключение
В заключение следует отметить, что мониторинг безопасности в общедоступном облаке AWS является важнейшим аспектом обеспечения безопасности и соответствия требованиям облачных рабочих нагрузок. Использование различных служб безопасности, таких как GuardDuty, SecurityHub, Trusted Advisor и Inspector, может предоставить организациям необходимые инструменты для мониторинга и защиты их облачной инфраструктуры.
Литература:
- Goasduff, L. (2021, 10 ноября). Gartner говорит, что облако станет центральным элементом новых цифровых опытов. URL: https://www.gartner.com/en/newsroom/press-releases/2021–11–10-gartner-says-cloud-will-be-the-centerpiece-of-new-digital-experiences
- Cloud Security Alliance. Топ угроз облачной безопасности: The Egregious 11. 30 сентября 2020 г. — Стр. 2.
- AWS re:Inforce 2019: The Fundamentals of AWS Cloud Security (FND209-R). (2019, 26–27 июля). США, Бостон. URL: https://www.youtube.com/watch?v=-ObImxw1PmI&t=982
4. AWS. (2021). GuardDuty. URL: https://aws.amazon.com/guardduty/
5. Jena, R., & Panda, S. (2021). Мониторинг безопасности в облачной публичной среде AWS: Обзор GuardDuty, SecurityHub, Trusted Advisor и Inspector. Международный журнал по продвинутой компьютерной науке и приложениям, 12(5), 315–322.
6. AWS. (2021). Amazon Inspector. URL: https://aws.amazon.com/inspector/
7. Bennett, K. W., & Robertson, J. (2019, май). Безопасность в облаке: Понимание вашей ответственности. В: Кибер-Сенсинг 2019 (Том 11011, стр. 1101106).
8. AWS. (2021). SecurityHub. URL: https://aws.amazon.com/security-hub/
9. AWS. (2021). Trusted Advisor. URL: https://aws.amazon.com/trusted-advisor/