• Home
  • Blog
  • Bezpiecze艅stwo danych w AWS. Co to w艂a艣ciwie oznacza?

CLOUD, TECHNOLOGIE

10.05.2021 - Przeczytasz w 5 min.

Bezpiecze艅stwo danych w AWS. Co to w艂a艣ciwie oznacza?

10.05.2021 - Przeczytasz w 5 min.

W dzisiejszych czasach bezpiecze艅stwo odgrywa bardzo wa偶n膮 rol臋 w r贸偶nych dziedzinach naszego 偶ycia. W wielu badaniach mo偶na zauwa偶y膰 tendencj臋 w艣r贸d przedsi臋biorc贸w, do coraz szybszego podejmowania dzia艂a艅 w kierunku zaistnienia w 艣wiecie online. Nawet je艣li jeszcze nie istniej膮 w sieci, wiedz膮, 偶e aby zaistnie膰 musz膮 to zmieni膰. Po to, by zabezpieczy膰 sw贸j biznes na przysz艂o艣膰. Tendencj臋 t膮 potwierdzaj膮 dzia艂ania takich graczy jak AWS, Google Cloud czy Azure, gdzie przedsi臋biorcy wybieraj膮 g艂贸wnie gotowe rozwi膮zania chmurowe.

AWS bezpiecze艅stwo danych

Czy wiesz, kto i jak dba o bezpiecze艅stwo biznesu w chmurze?

Je艣li chcesz dowiedzie膰 si臋 wi臋cej o bezpiecze艅stwie danych, koniecznie obejrzyj wyst膮pienie Paw艂a (Senior Developera w RST):

Poznaj zagadnienia zwi膮zane z bezpiecze艅stwem danych w AWS

Szukaj膮c informacji odno艣nie chmur obliczeniowych, nie raz mo偶na natrafi膰 na stwierdzenie ,,inwestycja tego rodzaju w architektur臋 niesie ze sob膮 bardzo du偶e, niesko艅czone bezpiecze艅stwo鈥, ale co to w艂a艣ciwie oznacza? Czym jest to bezpiecze艅stwo w kontek艣cie chmury AWS?

Przyjmijmy, 偶e bezpiecze艅stwo chmury oznacza, 偶e moje dane, us艂ugi i moja infrastruktura w chmurze s膮 chronione, jednocze艣nie, w spos贸b ci膮g艂y, dostarczaj膮c warto艣膰 biznesow膮.

 

Czy us艂ugi, kt贸re oferuje AWS s膮 bezpieczne?

Obecnie AWS oferuje ponad 175 us艂ug, za moment pewnie b臋dzie ich jeszcze wi臋cej, wi臋c kto za to wszystko odpowiada?

AWS RST Software Blog

Kto i jak odpowiada za bezpiecze艅stwo mojego biznesu w chmurze AWS?

Na szcz臋艣cie nie musimy si臋 nad tym zastanawia膰 – za bezpiecze艅stwo dbamy i my i AWS, zgodnie z modelem wsp贸艂dzielenia odpowiedzialno艣ci.

AWS odpowiada za bezpiecze艅stwo i ochron臋 swojej mi臋dzykontynentalnej infrastruktury (okablowanie, budynki, dyski twarde, odpowiednie warunki w serwerowni, ochron臋 przeciwpo偶arow膮, za ca艂y obszar zwi膮zany z fizycznym aspektem do danych).

AWS odpowiada r贸wnie偶 za dost臋pno艣膰 swoich us艂ug i narz臋dzi, kt贸re nam oferuje (za wirtualizacj臋 fizycznych maszyn, daje wiele narz臋dzi, kt贸re pozwalaj膮 u偶ytkownikom lepiej zadba膰 o bezpiecze艅stwo).

Shared Responsibility Model聽

AWS Shared Responsibility Model

Za co wi臋c jeste艣my odpowiedzialni my?

G艂贸wnie za odpowiednie zarz膮dzanie prawami dost臋pu do naszych us艂ug, kont, sieci oraz za aktualizacj臋 narz臋dzi, z kt贸rych korzystamy, aplikacji, system贸w operacyjnych. Odpowiadamy r贸wnie偶 za konfigurowanie naszych sieci (prywatnych i publicznych), za dbanie o odpowiednie regu艂y dost臋pu (monitoring, reagowanie w przypadku zagro偶e艅), szyfrowanie swoich danych (nasze dane s膮 zapisane na wielu dyskach twardych w wielu r贸偶nych miejscach).聽

 

Jak zadba膰 o bezpiecze艅stwo naszych danych? Od czego zacz膮膰?聽Poznaj 3 podstawowe us艂ugi AWS

AWS Identity & Access Management (IAM)

Modu艂 ten odpowiada za uwierzytelnianie, odpowiada na pytanie kim jest u偶ytkownik oraz odpowiada za autoryzacj臋, czy dany u偶ytkownik mo偶e wykona膰 dan膮 akcj臋. Ka偶da us艂uga i narz臋dzie w AWS korzysta z IAM, stanowi mechanizm pozwalaj膮cy zdefiniowa膰 bardzo szczeg贸艂owe poziomy dost臋pu (to jedna z 4 darmowych us艂ug dost臋pnych w AWS, jednak偶e pozosta艂e 3 s膮 w teorii darmowe, powoduj膮 dzia艂ania na naszym koncie, kt贸re mog膮 ju偶 w przysz艂o艣ci generowa膰 koszta).

 

Elementy procesu uwierzytelniania i autoryzacji w kontek艣cie bezpiecze艅stwa danych w AWS

  • AWS account root user (konto g艂贸wne, administratora) s艂u偶y do logowania fizycznemu u偶ytkownikowi, ma pe艂ny, nieograniczony dost臋p do wszystkich us艂ug i zasob贸w w AWS.
  • IAM User – konta u偶ytkownika reprezentuj膮 osob臋 lub us艂ug臋, kt贸rzy za jego pomoc膮 wchodz膮 w interakcje z zasobami platformy AWS. Dane do autoryzacji u偶ytkownika s膮 sta艂e (login, has艂o, acces key, sercret key). Mo偶emy wymusi膰 zmiany has艂a co jaki艣 czas, ale dane autoryzacyjne s膮 zwi膮zane trwale z danym kontem. Co w tym niezwyk艂ego? Wi膮偶e si臋 z tym rola.
  • IAM Roles – nie definiuje uprawnienia, a spos贸b uwierzytelniania. To operator/u偶ytkownik/maszyna z czasowymi danymi uwierzytelniaj膮cymi. IAM Roles mo偶e by膰 przej臋ta przez dowolnego u偶ytkownika, w celu tymczasowego uzyskania dost臋pu do danej operacji. W AWS wszystkie akcje s膮 odwo艂aniami do API – co oznacza, 偶e takie 偶膮danie musi by膰 uwierzytelnione i autoryzowane.

 

  • IAM User聽 oraz IAM Roles to sposoby uwierzytelnienia, nie autoryzacji! Zatem co odpowiada za nasz膮 kontrol臋 uprawnie艅?
  • IAM Policies – to obiekty zapisane w formacie Json, struktura tych dokument贸w umo偶liwia definiowanie dost臋p贸w na bardzo szczeg贸艂owym poziomie. Ka偶de 偶膮danie wysy艂ane do API AWS jest weryfikowane m.in.: czy dana osoba mo偶e wykona膰 dan膮 akcj臋, czy dana osoba mo偶e wykona膰 akcj臋 na danym zasobie, czy dana osoba mo偶e wykona膰 akcj臋 z danego 藕r贸d艂a, w danym przedziale czasu, itd.
    Warunk贸w umo偶liwiaj膮cych zabranie lub nadanie komu艣 dost臋p贸w jest bardzo wiele. IAM Policies mog膮 by膰 przypisywane do zar贸wno do r贸l, do u偶ytkownik贸w jak i do grup u偶ytkownik贸w, kt贸re s膮 ostatnim elementem pozwalaj膮cym na szybkie zarz膮dzanie naszymi kolekcjami uprawnie艅.
  • IAM Groups – u偶ytkownik mo偶e nale偶e膰 do wielu grup, grupa mo偶e zawiera膰 wielu u偶ytkownik贸w, co istotne – grupy nie zagnie偶d偶aj膮 si臋.

Poznaj膮c elementy sk艂adowe mechanizmu chroni膮cego nasze konta no i nasze dane przed niepowo艂anym dost臋pem, co mo偶emy z tym zrobi膰? U偶ytkownicy, role, polityki. Co to wszystko oznacza?

Koniecznie zobacz fragment prezentacji, gdzie dowiesz si臋 m.in. (8m44sek): jak wgrywa膰 nowe pliki do BUcketa S3, jak nada膰 role konkretnym grupom, czym s膮 sieci prywatne, czym jest bastion, ssh, AWS SSO czy Service Control Policies. Co daje nam AWS Organization, jak mo偶emy zarz膮dza膰 du偶膮 ilo艣ci膮 kont u偶ytkownik贸w.

AWS Key Management Service

Zajmuje si臋 szyfrowaniem i deszyfrowaniem naszych danych, wi臋kszo艣膰 us艂ug, takich jak w AWS jak EC2, S3, bazy danych RDS wspiera te zabezpieczenia. Jak to rozwi膮zanie dzia艂a i jak zabezpiecza nasze dane?聽

AWS KMS to Master Key (g艂贸wny klucz s艂u偶膮cy do szyfrowania Data Key) oraz Data Key (klucz s艂u偶膮cy do szyfrowania porcji danych) co opisuje teoria kryptografii, jako hierarchiczn膮 architektur臋 kluczy. Ten model jest realizowany po stronie AWS. Wiele z us艂ug oferowanych przez AWS z automatu wspiera u偶ycie szyfrowania danych za pomoc膮 KMS.

Przyk艂ad ustawienia szyfrowania dla blokowego systemu plik贸w EBS podpi臋tego do dowolnej instancji SS2 lub ustawienia szyfrowania podczas tworzenia nowego Bucketa S3 znajdziesz w prezentacji (16min58sek).

 

O co w艂a艣ciwie chodzi w deszyfrowaniu?

Przy wykorzystaniu IAM Roles wykonujemy zapytanie o dane do Bucketa S3, zak艂adaj膮c 偶e s膮 zaszyfrowane Kluczem typu Master. Gdy dane s膮 przechowywane w formie zaszyfrowanej, potrzebne nam s膮 dodatkowe uprawnienia IAM Policy, kt贸re umo偶liwia autorowi 偶膮dania na skorzystanie z klucza, za pomoc膮 kt贸rego te dane zosta艂y zaszyfrowane. Bez tego聽 uprawnienia, pomimo dost臋pu do Bucketa i znajduj膮cych si臋 w nim obiekt贸w, API zwr贸ci nam b艂膮d dost臋pu.聽

Tak naprawd臋 podczas przetwarzania tego 偶膮dania us艂uga S3 podejmuje pr贸b臋 deszyfracji聽 danych, nie jest to wprost widoczne po stronie u偶ytkownika (s膮 widoczne w Cloud Trail lub Audit Log – takie pr贸by b臋d膮 zauwa偶alne).

Je艣li kto艣 nie chce ufa膰 mechanizmom szyfrowania danych po stronie AWS, zawsze mo偶e zaszyfrowa膰 te dane lokalnie po stronie aplikacji, wys艂a膰 w formie zaszyfrowanej i p贸藕niej po stronie aplikacji – odkodowywa膰.

Amazon VPC

To ju偶 ostatni, omawiany mechanizm dbaj膮cym o nasze bezpiecze艅stwo, s艂u偶膮cy do tworzenia logicznych, odseparowanych przestrzeni sieciowych wewn膮trz platformy AWS, w kt贸rych zarz膮dzamy swoimi zasobami. Ka偶da przestrze艅 jest niezale偶nym bytem, posiada w艂asn膮 adresacj臋 IP w wersji 4 lub 6, kt贸r膮 mamy mo偶liwo艣膰 zdefiniowa膰.

Jest domy艣lnie odseparowana od ka偶dej innej sieci, w tym od dost臋pu z internetu. w VPC mamy pe艂n膮 kontrol臋 nad konfiguracj膮 sieciow膮 (mo偶emy dzieli膰 nasz膮 przestrze艅 na r贸偶ne podsieci lub wydziela膰 cz臋艣ci publiczne, w kt贸rych b臋dziemy uruchamia膰 serwery webowe lub cz臋艣ci prywatne, w kt贸rych b臋dziemy chcieli uruchamia膰 dane jak bazy danych lub serwery aplikacyjne, do kt贸rych nikt z zewn膮trz nie b臋dzie mia艂 dost臋pu).

W jaki spos贸b wi膮偶e si臋 to z bezpiecze艅stwem w AWS?

Mo偶emy tworzy膰 publiczne i prywatne podsieci, mo偶emy tak skonfigurowa膰 podsie膰 prywatn膮, aby nikt nie m贸g艂 do niej si臋 pod艂膮czy膰 (komunikacja jednostronna), mo偶emy tworzy膰 Security groups oraz Network access control list czy np tworzy膰 AWS

 

Powy偶sze mechanizmy pozwalaj膮 nam zadba膰 o bezpiecze艅stwo danych, us艂ug, infrastruktury, ale jeszcze wi臋cej informacji mo偶ecie znale藕膰 w dokumentacji dost臋pnej od AWS:

  • 5 filar贸w AWS Well-Architected Framework (Security)
  • AWS Security Competency Partners聽
  • inne us艂ugi aws.amazon.com/products/security

Tutaj przeczytasz wi臋cej o 5 filarach AWS Well-Architected Framework (Security) Kamila Herbika.

 

Teraz mo偶emy wr贸ci膰 do pytania: czy moja chmura nie rozwieje si臋 przy wi臋kszym podmuchu?

Moim zdaniem nie – wi臋kszo艣膰 艣cie偶ek i problem贸w ju偶 zosta艂a przetarta i rozwik艂ana, st膮d dobre praktyki, zalecenia i sugestie, kt贸re Amazon w bardzo przejrzysty spos贸b dostarcza nam – osobom wsp贸艂odpowiedzialnym za bezpiecze艅stwo danych i infrastruktury.

RST Software Masters 鈥 AWS Select Consulting Partner聽聽z wieloletnim do艣wiadczeniem w budowaniu mikroserwis贸w. 艁膮czymy wiedz臋 na temat automatyzacji i robotyzacji proces贸w biznesowych z ponad 20 letnim do艣wiadczeniem w tworzeniu wysoko skalowalnego oprogramowania w chmurze.

Ocena artyku艂u

Udost臋pnij

RST Software Masters

Pawe艂 Grzesiecki

Technical Team Lead

Do艣wiadczony backend developer w RST Software Masters. Absolwent wydzia艂u informatyki i zarz膮dzania na Politechnice Wroc艂awskiej. Wyznawca proof of concept oraz prostych i skutecznych rozwi膮za艅. W czasie swojego 8-letniego do艣wiadczenia zawodowego pracowa艂 m.in. z NodeJS, PHP, Python, GoLang realizuj膮c projekty dla klient贸w, u kt贸rych kluczowe by艂o zorientowanie na du偶y ruch u偶ytkownik贸w. W wolnym czasie interesuje si臋 fizyk膮, kosmologi膮 oraz szeroko poj臋t膮 histori膮 Europy.

Nasz serwis internetowy u偶ywa plik贸w cookies do prawid艂owego dzia艂ania strony. Korzystanie z serwisu bez zmiany ustawie艅 dla plik贸w cookies oznacza, 偶e b臋d膮 one zapisywane w pami臋ci urz膮dzenia. Ustawienia te mo偶na zmienia膰 w przegl膮darce internetowej. Wi臋cej informacji udost臋pniamy w聽Polityce plik贸w cookies.