في مدونتنا الأخيرة استكشفنا تاريخ قوائم المراجعة قبل الرحلة لتجنب الفشل الكارثي من الأخطاء البشرية والتكوين الخاطئ. في هذه المدونة ، سنتعمق في فحص أمان التخزين السحابي العام المهم.
هناك خطأ رئيسي في تكوين AWS S3 يتجاهل فرض HTTPS (TLS) للوصول إلى بيانات الحاوية نظرا لأن حركة المرور غير المشفرة عرضة لهجمات الرجل في الوسط التي يمكنها سرقة البيانات أو تعديلها أثناء النقل. يمكن أن يؤدي هذا النوع من الهجمات إلى فقدان بيانات المؤسسة القيمة وانتهاكات الامتثال للوائح مثل PCI DSS و NIST 800-53 (rev 4).
أنتجت أمازون إطار عمل AWS Well-Architected لمساعدة المؤسسات على تحقيق أفضل الممارسات المتعلقة بالتميز التشغيلي والأمان والموثوقية وكفاءة الأداء وتحسين التكلفة. توفر ركيزة الأمان إرشادات لتنفيذ أفضل الممارسات في تصميم أعباء عمل AWS الآمنة وتسليمها وصيانتها.
المسؤولية المشتركة
مفهوم "المسؤولية المشتركة" هو أحد أسس الركيزة الأمنية. وفقا لأمازون ، فإن AWS مسؤولة عن "أمان السحابة" بينما يتحمل عملاؤها مسؤولية "الأمان في السحابة". تشمل مسؤوليات العملاء هذه إدارة الهوية والوصول واكتشاف التهديدات وحماية البنية التحتية وحماية البيانات والاستجابة للحوادث.
حماية البيانات
تشمل حماية البيانات تصنيف البيانات ، بالإضافة إلى حماية البيانات الثابتة والبيانات أثناء النقل. وفقا لأمازون:
البيانات المنقولة هي أي بيانات يتم إرسالها من نظام إلى آخر. يتضمن ذلك الاتصال بين الموارد ضمن عبء العمل الخاص بك بالإضافة إلى الاتصال بين الخدمات الأخرى والمستخدمين النهائيين. من خلال توفير المستوى المناسب من الحماية لبياناتك أثناء النقل، فإنك تحمي سرية وسلامة بيانات عبء العمل الخاص بك.
تسلط أمازون الضوء على أفضل أربع ممارسات لحماية البيانات أثناء النقل:
- تنفيذ إدارة أداة الأمن والحماية Secure Key والشهادات
- فرض التشفير أثناء النقل
- مصادقة اتصالات الشبكة
- أتمتة الكشف عن الوصول غير المقصود إلى البيانات
أمان طبقة النقل
لفرض التشفير أثناء النقل، توفر خدمات AWS نقاط نهاية HTTPS باستخدام TLS للاتصال. تقدم AWS Config العديد من القواعد المدارة المحددة مسبقا والقابلة للتخصيص، والتي يمكن تهيئتها بسهولة لفرض أفضل الممارسات. من بين هذه القواعد s3-bucket-ssl-requests-only، والتي تتحقق مما إذا كانت حاويات Amazon S3 لديها سياسات ترفض صراحة الوصول إلى طلبات HTTP. تعتبر سياسات الحاوية التي تسمح ب HTTPS دون حظر HTTP غير متوافقة.
يمكن للمؤسسات فرض هذه القاعدة باستخدام مفتاح الشرط "aws:SecureTransport ". عندما يكون هذا المفتاح صحيحا ، تم إرسال الطلب عبر HTTPS ، ولكن عندما يكون خاطئا ، تحتاج المؤسسات إلى سياسة حاوية ترفض صراحة الوصول إلى طلبات HTTP.
تقدم أمازون هذا المثال لسياسة الحاوية التي ترفض الوصول عندما يكون "aws:SecureTransport": "خطأ":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
تجنب أخطاء التكوين الشائعة مع OPSWAT
عندما يتعلق الأمر بأخطاء التكوين الشائعة، مثل HTTPS (TLS)، يجب على المؤسسات استخدام قوائم الاختيار للتأكد من أنها تنفذ أفضل الممارسات. يمكن أن تساعد أتمتة هذه العملية باستخدام التكنولوجيا في تجنب الأخطاء اليدوية المكلفة والمستهلكة للوقت.
MetaDefender Storage Security يعزز حل أمان التخزين السحابي الخاص به من خلال قائمة مراجعة أمنية متكاملة ، بحيث يمكن لمتخصصي الأمن السيبراني ضمان عدم تكوين التخزين السحابي لمؤسستهم بشكل خاطئ حيث يتم توفيره والذي يتضمن مراحل التطوير والإنتاج للتخزين السحابي.
يعد فرض HTTPS (TLS) للوصول إلى بيانات الحاوية عنصرا مهما في قائمة الاختيار في MetaDefender Storage Security، لكنها ليست الوحيدة. في المدونات المستقبلية، سنستكشف أخطاء التكوين الرئيسية الأخرى لحماية البيانات في حالة عدم النشاط، بما في ذلك تعيين إصدارات الحاوية، والتشفير من جانب الخادم، وتسجيل الوصول إلى الحاوية.
اتصل بOPSWAT خبير الأمن السيبراني لمعرفة المزيد.
