• Home
  • Blog
  • Bezpieczeństwo danych w AWS. Co to właściwie oznacza?

CLOUD, TECHNOLOGIE

10.05.2021 - Przeczytasz w 5 min.

Bezpieczeństwo danych w AWS. Co to właściwie oznacza?

10.05.2021 - Przeczytasz w 5 min.

W dzisiejszych czasach bezpieczeństwo odgrywa bardzo ważną rolę w różnych dziedzinach naszego życia. W wielu badaniach można zauważyć tendencję wśród przedsiębiorców, do coraz szybszego podejmowania działań w kierunku zaistnienia w świecie online. Nawet jeśli jeszcze nie istnieją w sieci, wiedzą, że aby zaistnieć muszą to zmienić. Po to, by zabezpieczyć swój biznes na przyszłość. Tendencję tą potwierdzają działania takich graczy jak AWS, Google Cloud czy Azure, gdzie przedsiębiorcy wybierają głównie gotowe rozwiązania chmurowe.

RST Blog - AWS bezpieczeństwo danych

Czy wiesz, kto i jak dba o bezpieczeństwo biznesu w chmurze?

Jeśli chcesz dowiedzieć się więcej o bezpieczeństwie danych, koniecznie obejrzyj wystąpienie Pawła (Senior Developera w RST):

Poznaj zagadnienia związane z bezpieczeństwem danych w AWS

Szukając informacji odnośnie chmur obliczeniowych, nie raz można natrafić na stwierdzenie ,,inwestycja tego rodzaju w architekturę niesie ze sobą bardzo duże, nieskończone bezpieczeństwo”, ale co to właściwie oznacza? Czym jest to bezpieczeństwo w kontekście chmury AWS?

Przyjmijmy, że bezpieczeństwo chmury oznacza, że moje dane, usługi i moja infrastruktura w chmurze są chronione, jednocześnie, w sposób ciągły, dostarczając wartość biznesową.

 

Czy usługi, które oferuje AWS są bezpieczne?

Obecnie AWS oferuje ponad 175 usług, za moment pewnie będzie ich jeszcze więcej, więc kto za to wszystko odpowiada?

AWS RST Software Blog

Kto i jak odpowiada za bezpieczeństwo mojego biznesu w chmurze AWS?

Na szczęście nie musimy się nad tym zastanawiać – za bezpieczeństwo dbamy i my i AWS, zgodnie z modelem współdzielenia odpowiedzialności.

AWS odpowiada za bezpieczeństwo i ochronę swojej międzykontynentalnej infrastruktury (okablowanie, budynki, dyski twarde, odpowiednie warunki w serwerowni, ochronę przeciwpożarową, za cały obszar związany z fizycznym aspektem do danych).

AWS odpowiada również za dostępność swoich usług i narzędzi, które nam oferuje (za wirtualizację fizycznych maszyn, daje wiele narzędzi, które pozwalają użytkownikom lepiej zadbać o bezpieczeństwo).

Shared Responsibility Model 

AWS Shared Responsibility Model

Za co więc jesteśmy odpowiedzialni my?

Głównie za odpowiednie zarządzanie prawami dostępu do naszych usług, kont, sieci oraz za aktualizację narzędzi, z których korzystamy, aplikacji, systemów operacyjnych. Odpowiadamy również za konfigurowanie naszych sieci (prywatnych i publicznych), za dbanie o odpowiednie reguły dostępu (monitoring, reagowanie w przypadku zagrożeń), szyfrowanie swoich danych (nasze dane są zapisane na wielu dyskach twardych w wielu różnych miejscach). 

 

Jak zadbać o bezpieczeństwo naszych danych? Od czego zacząć? Poznaj 3 podstawowe usługi AWS

AWS Identity & Access Management (IAM)

Moduł ten odpowiada za uwierzytelnianie, odpowiada na pytanie kim jest użytkownik oraz odpowiada za autoryzację, czy dany użytkownik może wykonać daną akcję. Każda usługa i narzędzie w AWS korzysta z IAM, stanowi mechanizm pozwalający zdefiniować bardzo szczegółowe poziomy dostępu (to jedna z 4 darmowych usług dostępnych w AWS, jednakże pozostałe 3 są w teorii darmowe, powodują działania na naszym koncie, które mogą już w przyszłości generować koszta).

 

Elementy procesu uwierzytelniania i autoryzacji w kontekście bezpieczeństwa danych w AWS

  • AWS account root user (konto główne, administratora) służy do logowania fizycznemu użytkownikowi, ma pełny, nieograniczony dostęp do wszystkich usług i zasobów w AWS.
  • IAM User – konta użytkownika reprezentują osobę lub usługę, którzy za jego pomocą wchodzą w interakcje z zasobami platformy AWS. Dane do autoryzacji użytkownika są stałe (login, hasło, acces key, sercret key). Możemy wymusić zmiany hasła co jakiś czas, ale dane autoryzacyjne są związane trwale z danym kontem. Co w tym niezwykłego? Wiąże się z tym rola.
  • IAM Roles – nie definiuje uprawnienia, a sposób uwierzytelniania. To operator/użytkownik/maszyna z czasowymi danymi uwierzytelniającymi. IAM Roles może być przejęta przez dowolnego użytkownika, w celu tymczasowego uzyskania dostępu do danej operacji. W AWS wszystkie akcje są odwołaniami do API – co oznacza, że takie żądanie musi być uwierzytelnione i autoryzowane.

 

  • IAM User  oraz IAM Roles to sposoby uwierzytelnienia, nie autoryzacji! Zatem co odpowiada za naszą kontrolę uprawnień?
  • IAM Policies – to obiekty zapisane w formacie Json, struktura tych dokumentów umożliwia definiowanie dostępów na bardzo szczegółowym poziomie. Każde żądanie wysyłane do API AWS jest weryfikowane m.in.: czy dana osoba może wykonać daną akcję, czy dana osoba może wykonać akcję na danym zasobie, czy dana osoba może wykonać akcję z danego źródła, w danym przedziale czasu, itd.
    Warunków umożliwiających zabranie lub nadanie komuś dostępów jest bardzo wiele. IAM Policies mogą być przypisywane do zarówno do ról, do użytkowników jak i do grup użytkowników, które są ostatnim elementem pozwalającym na szybkie zarządzanie naszymi kolekcjami uprawnień.
  • IAM Groups – użytkownik może należeć do wielu grup, grupa może zawierać wielu użytkowników, co istotne – grupy nie zagnieżdżają się.

Poznając elementy składowe mechanizmu chroniącego nasze konta no i nasze dane przed niepowołanym dostępem, co możemy z tym zrobić? Użytkownicy, role, polityki. Co to wszystko oznacza?

Koniecznie zobacz fragment prezentacji, gdzie dowiesz się m.in. (8m44sek): jak wgrywać nowe pliki do BUcketa S3, jak nadać role konkretnym grupom, czym są sieci prywatne, czym jest bastion, ssh, AWS SSO czy Service Control Policies. Co daje nam AWS Organization, jak możemy zarządzać dużą ilością kont użytkowników.

AWS Key Management Service

Zajmuje się szyfrowaniem i deszyfrowaniem naszych danych, większość usług, takich jak w AWS jak EC2, S3, bazy danych RDS wspiera te zabezpieczenia. Jak to rozwiązanie działa i jak zabezpiecza nasze dane? 

AWS KMS to Master Key (główny klucz służący do szyfrowania Data Key) oraz Data Key (klucz służący do szyfrowania porcji danych) co opisuje teoria kryptografii, jako hierarchiczną architekturę kluczy. Ten model jest realizowany po stronie AWS. Wiele z usług oferowanych przez AWS z automatu wspiera użycie szyfrowania danych za pomocą KMS.

Przykład ustawienia szyfrowania dla blokowego systemu plików EBS podpiętego do dowolnej instancji SS2 lub ustawienia szyfrowania podczas tworzenia nowego Bucketa S3 znajdziesz w prezentacji (16min58sek).

 

O co właściwie chodzi w deszyfrowaniu?

Przy wykorzystaniu IAM Roles wykonujemy zapytanie o dane do Bucketa S3, zakładając że są zaszyfrowane Kluczem typu Master. Gdy dane są przechowywane w formie zaszyfrowanej, potrzebne nam są dodatkowe uprawnienia IAM Policy, które umożliwia autorowi żądania na skorzystanie z klucza, za pomocą którego te dane zostały zaszyfrowane. Bez tego  uprawnienia, pomimo dostępu do Bucketa i znajdujących się w nim obiektów, API zwróci nam błąd dostępu. 

Tak naprawdę podczas przetwarzania tego żądania usługa S3 podejmuje próbę deszyfracji  danych, nie jest to wprost widoczne po stronie użytkownika (są widoczne w Cloud Trail lub Audit Log – takie próby będą zauważalne).

Jeśli ktoś nie chce ufać mechanizmom szyfrowania danych po stronie AWS, zawsze może zaszyfrować te dane lokalnie po stronie aplikacji, wysłać w formie zaszyfrowanej i później po stronie aplikacji – odkodowywać.

Amazon VPC

To już ostatni, omawiany mechanizm dbającym o nasze bezpieczeństwo, służący do tworzenia logicznych, odseparowanych przestrzeni sieciowych wewnątrz platformy AWS, w których zarządzamy swoimi zasobami. Każda przestrzeń jest niezależnym bytem, posiada własną adresację IP w wersji 4 lub 6, którą mamy możliwość zdefiniować.

Jest domyślnie odseparowana od każdej innej sieci, w tym od dostępu z internetu. w VPC mamy pełną kontrolę nad konfiguracją sieciową (możemy dzielić naszą przestrzeń na różne podsieci lub wydzielać części publiczne, w których będziemy uruchamiać serwery webowe lub części prywatne, w których będziemy chcieli uruchamiać dane jak bazy danych lub serwery aplikacyjne, do których nikt z zewnątrz nie będzie miał dostępu).

W jaki sposób wiąże się to z bezpieczeństwem w AWS?

Możemy tworzyć publiczne i prywatne podsieci, możemy tak skonfigurować podsieć prywatną, aby nikt nie mógł do niej się podłączyć (komunikacja jednostronna), możemy tworzyć Security groups oraz Network access control list czy np tworzyć AWS

 

Powyższe mechanizmy pozwalają nam zadbać o bezpieczeństwo danych, usług, infrastruktury, ale jeszcze więcej informacji możecie znaleźć w dokumentacji dostępnej od AWS:

  • 5 filarów AWS Well-Architected Framework (Security)
  • AWS Security Competency Partners 
  • inne usługi aws.amazon.com/products/security

Tutaj przeczytasz więcej o 5 filarach AWS Well-Architected Framework (Security) Kamila Herbika.

 

Teraz możemy wrócić do pytania: czy moja chmura nie rozwieje się przy większym podmuchu?

Moim zdaniem nie – większość ścieżek i problemów już została przetarta i rozwikłana, stąd dobre praktyki, zalecenia i sugestie, które Amazon w bardzo przejrzysty sposób dostarcza nam – osobom współodpowiedzialnym za bezpieczeństwo danych i infrastruktury.

AWS oferta cloud

RST Software Masters – AWS Select Consulting Partner z wieloletnim doświadczeniem w budowaniu mikroserwisów. Łączymy wiedzę na temat automatyzacji i robotyzacji procesów biznesowych z ponad 20 letnim doświadczeniem w tworzeniu wysoko skalowalnego oprogramowania w chmurze.

Ocena artykułu

Udostępnij

RST Software Masters

Paweł Grzesiecki

Technical Team Lead

Doświadczony backend developer w RST Software Masters. Absolwent wydziału informatyki i zarządzania na Politechnice Wrocławskiej. Wyznawca proof of concept oraz prostych i skutecznych rozwiązań. W czasie swojego 8-letniego doświadczenia zawodowego pracował m.in. z NodeJS, PHP, Python, GoLang realizując projekty dla klientów, u których kluczowe było zorientowanie na duży ruch użytkowników. W wolnym czasie interesuje się fizyką, kosmologią oraz szeroko pojętą historią Europy.

Dziękujemy!

Twój email został wysłany.

Nasz serwis internetowy używa plików cookies do prawidłowego działania strony. Korzystanie z serwisu bez zmiany ustawień dla plików cookies oznacza, że będą one zapisywane w pamięci urządzenia. Ustawienia te można zmieniać w przeglądarce internetowej. Więcej informacji udostępniamy w Polityce plików cookies.