[ This article was originally published here ]
Bulutun en büyük yararının, yalnızca birkaç fare tıklamasıyla sınırsız kaynakların döndürülebilmesi olduğu sözünü hiç duydunuz mu? Eğer öyleyse, bu sözü tamamen unutarak en iyi şekilde hizmet etmiş olursunuz. Bulut kaynaklarının birkaç fare tıklamasıyla döndürülebilmesi, olması gerektiği anlamına gelmez. Bunun yerine, herhangi bir şeyi bulutta başlatmadan önce dikkatli değerlendirme ve planlama bir gerekliliktir. Aksi takdirde, şirketiniz veya devlet kurumu kolayca önlenebilecek bir güvenlik hatası nedeniyle haberlerde yer alabilir.
Bu blog dizisi, herhangi bir kuruluşun siber güvenlik hazırlıklarını anında ve önemli ölçüde iyileştirmek için uygulayabileceği üç Amazon Web Services (AWS) güvenlik adımına odaklanacak. Özellikle, 1) Kimlik ve Erişim Yönetiminin (IAM) düzgün şekilde ayarlanması, 2) AWS kaynaklarına doğrudan İnternet erişiminden kaçınma ve 3) aktarılan veya bekleyen veriler için şifreleme konularını ele alacağız. AWS’de yeni olan veya mevcut müşteriler için yeni olan varlıklar için bu adımlar izlenebilir. Kuruluşunuzun zaten bu kolay kılavuzu izleyip izlemediğini öğrenmek için okumaya devam edin.
1. Adım: IAM’yi doğru şekilde kullanın
AWS’ye göre IAM, hesap yöneticilerinin “AWS’deki hizmetlere ve kaynaklara kimin veya neyin erişebileceğini belirlemesine, ayrıntılı izinleri merkezi olarak yönetmesine ve AWS genelinde izinleri iyileştirmek için erişimi analiz etmesine” olanak tanır. . Varlıklar ilk kez bir AWS hesabı oluşturduğunda, var olan tek kullanıcı kök kullanıcıdır. Bu kullanıcı meşhur “krallığın anahtarlarına” sahiptir ve kelimenin tam anlamıyla Fortune 500 şirketlerine rakip olacak bulut ortamlarını kısa sürede başlatabilir. Buna karşılık, bir Fortune 500 ile orantılı faturalar da hızla tahakkuk ettirilebilir. Buna göre, aşağıda tartışacağımız gibi, kök hesabı korumak çok önemli bir ilk adımdır.
Kök hesabı koruyun
Yeterince karmaşık bir parola oluşturmaya ek olarak, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi gerekir. MFA, üçüncü taraf bir kimlik doğrulama mekanizması kullanılarak elde edilir. Kullanıcı adları ve parolalar endişe verici bir sıklıkta çalındığından, oturum açma kimlik bilgilerinin MFA ile birleştirilmesi, bir hesabın ele geçirilmesini çok daha zorlaştırır. Bunun nedeni, kötü niyetli kullanıcının bir kullanıcının oturum açma adını, parolasını bilmesi ve kullanıcının üçüncü taraf kimlik doğrulama mekanizmasına sahip olması gerekmesidir. İkincisi güvenli bir şekilde korunduğu sürece, hesabın güvenliğinin aşılması neredeyse imkansızdır (Not: MFA ile kimliği doğrulanan oturumların güvenliği, siteler arası betik çalıştırma (XSS) saldırıları yoluyla yine de ele geçirilebilir. Daha sonra öğreneceğimiz gibi, AWS, XSS’ye karşı bir savunma sunar).
AWS, aşağıdaki MFA mekanizmalarını destekler: Sanal MFA cihazları (ör. Google Authenticator, Twilio Authy vb.); FIDO güvenlik anahtarı (yani, bir USB cihazı); ve Donanım MFA cihazı (yani, rasgele sayılar üreten fiziksel bir cihaz). . Elverişli bir şekilde, Sanal MFA tam anlamıyla dakikalar içinde kurulabilir ve bununla ilgili hiçbir maliyeti yoktur.
Ayrıca, AWS kök hesabı programatik erişim anahtarlarıyla oluşturulmuşsa hemen silinmelidir. MFA yerinde olsa bile, bu anahtarlar yanlış ellere geçerse, her şeyi ve her şeyi başlatmak için kullanılabilirler. Bu tuşlar “Tanrı modu”na benzer. Anahtarları yanlışlıkla GitHub gibi bir depoya göndermek kadar basit bir şey, bir saldırganın bir hesabı ele geçirmesi için gereken tek şeydir. Bu nedenle, bunları silmek ve izinleri IAM kullanıcılarına, gruplarına ve rollerine bölerek en az ayrıcalık ilkesini izlemek gerekir. Şimdi bu IAM ilkelerinin her birinin güvenli bir şekilde nasıl oluşturulacağını tartışalım.
IAM kullanıcıları oluşturun
Tüm AWS kullanıcıları aynı oturum açma kimlik bilgilerini paylaşsaydı, bireysel eylemler için sorumluluk mümkün olmazdı. Örneğin, kök oturum açma hesabına on kişinin erişimi varsa ve hesap, Bitcoin madenciliği örneklerini sağlamak için kullanılmışsa, suçluyu belirlemek imkansız olacaktır.
Uygun bir şekilde AWS, varlıklara AWS konsolu aracılığıyla bireysel kullanıcı hesapları sağlama olanağı sağlar (kullanıcılar AWS CLI ve AWS API’de de oluşturulabilir). AWS, oluşturulan her kullanıcı için, kullanıcının AWS kaynaklarıyla ne yapma yetkisine sahip olduğunu ayrıntılı bir düzeyde belirtmenize olanak tanır. Örneğin, pazarlama departmanındaki bir kullanıcının bir S3 klasörü içindeki belirli bir klasöre salt okuma erişimine ihtiyacı varsa, bu işlevi etkinleştirmek için bir IAM politikası oluşturulabilir. En az ayrıcalık ilkesini izleyerek, kullanıcı yalnızca işini yapmak için ihtiyaç duyduğu şeye erişebilir. Bir kullanıcının AWS içinde yapabileceklerini sınırlayarak, güvenliği ihlal edilmiş bir hesabın veya hoşnutsuz çalışanın neden olabileceği hasarın patlama yarıçapını azaltma etkisine sahiptir.
Neyse ki, AWS işin pek çoğunu üstlendi ve şimdiden iş görevlerine özgü IAM politikaları oluşturdu. Hesap yöneticilerinin yalnızca, kullanıcıları rollerine uygun ilkelerle ilişkilendirmesi gerekir. Bir ilkenin özelleştirilmesi gerekiyorsa AWS, bu işlemi nispeten basit hale getiren araçlar da sağlar. IAM kullanıcıları oluşturma hakkında daha fazla bilgi edinmek için burayı tıklayın: .
Ancak, yüzlerce veya binlerce IAM kullanıcısı olan işletmeler için politikaları her bir kullanıcıyla manuel olarak ilişkilendirmek mümkün değildir. Özellikle iş görevleri sık sık değişiyorsa. Neyse ki AWS, bu sorunu IAM gruplarıyla ele aldı.
IAM grupları oluşturun
Çalışanlar tam olarak aynı iş görevlerini yerine getiriyorsa ve aynı AWS kaynaklarına erişmeleri gerekiyorsa bir IAM Grubuna yerleştirilmelidirler. IAM grubu, kendisiyle ilişkili ve belirli AWS kaynaklarına erişim sağlayan bir ilkeye (veya ilkelere) sahiptir. Bu nedenle, IAM grubuyla ilişkili her IAM kullanıcısının aynı kaynaklara erişimi vardır ve aynı kısıtlamalara tabidirler. Ayrıca, grupla ilişkili politikadaki değişiklikler anında yürürlüğe girecek şekilde uygulanır. Bu nedenle, IAM grupları, son kullanıcı yönetimini uygun ve verimli hale getirir. IAM grupları oluşturma hakkında daha fazla bilgi edinmek için burayı tıklayın: .
Bu noktada, EC2 bulut sunucuları gibi AWS kaynaklarının diğer AWS kaynaklarına nasıl güvenli bir şekilde erişebileceğini veya active directory (AD) olan varlıkların, yinelenen AWS kullanıcı hesaplarının oluşturulmasını nasıl engelleyebileceğini merak ediyor olabilirsiniz. Bu soruların cevabı IAM rolleridir.
IAM rolleri oluşturun
EC2 bulut sunucuları veya Lambda işlevleri gibi AWS kaynakları, diğer AWS kaynaklarına erişmek, bunları oluşturmak, güncellemek veya sonlandırmak için önceden belirlenmiş izinlerle bir IAM rolü üstlenebilir. Aynı şekilde, bir Web Kimliği Sağlayıcı (ör. Facebook, Google vb.), kurumsal Active Directory veya başka bir AWS hesabıyla federe olan kullanıcılar, aynı işlevselliğe sahip bir IAM rolü üstlenebilir. Kullanıcılar ve gruplarla ilişkili IAM politikaları gibi, bir IAM rolü de bir AWS kaynağının veya birleştirilmiş kullanıcının neler yapıp yapamayacağı konusunda aynı düzeyde ayrıntılı kontrol sağlar.
Böylece, bir rol üstlenen AWS kaynakları için, bir IAM kullanıcısının kimlik bilgilerinin bir uygulamada sabit olarak kodlanmasıyla ilişkili güvenlik etkilerinden kaçınılabilir. Ayrıca, AD veya diğer Web Kimliği Sağlayıcılarına sahip kuruluşlar, kullanıcılarının ayrı AWS oturum açma kimlik bilgileri oluşturmasını gerektirmez. IAM rolleri hakkında daha fazla bilgi edinmek için burayı tıklayın: .
Artık AWS IAM’nin temellerini ve en önemli yönlerini bildiğinize göre (bu yazarın görüşüne göre), dizideki bir sonraki blog, AWS hesabınızın güvenliğini sağlamayla ilgili bir sonraki adıma, yani kaynaklarınıza doğrudan İnternet erişimini sınırlamaya geçecektir.
reklam