בחלקים הקודמים (חלק א', חלק ב'), למדנו על המאפיינים הראשיים שניתן למצוא בכל הקשור ל-AWS Security בעברית, והשבוע נסיים את הרשימה עד לשלב ה-Recover.
Detect
ע"פ NIST, שלב ה-Detect הוא שלב שנועד לפתח ולהטמיע את הפעילויות לזיהוי אירועי אבטחה. התוצרים משלב זה כוללים לדוגמה את Anomalies and Events, Continuous Monitoring, Detection Processes ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
Amazon GuardDuty
שירות ה-GuardDuty הינו שירות מנוהל לאיתור איומים (Threats). השירות מנטר באופן קבוע את תעבורת הרשת, שאילתות ה-DNS וה-CloudTrails Log כדי לזהות פעילות חשודה או זדונית בכל החשבונות או סביבות העבודה. ההפעלה הראשונית של GuardDuty פשוטה וקלה ואינה דורשת קונפיגורציה מיוחדת (הערה: בהפעלה הראשונית יש להימנע מפעילות חריגה בחשבונות למשך כ-14 ימים כדי לאפשר בניה טובה של ה-Baseline). ה-GuardDuty מזהה איומים מוכרים ולא-מוכרים, כשאת המוכרים הוא מזהה באמצעות חתימות (Feeds) ממגוון מקורות ופרטנרים (ביניהם CrowedStrike ו-ProofPoint) ואת הלא-מוכרים הוא מזהה באמצעות למידת-מכונה. את הממצאים שלו אפשר לתקן אוטומטית ע"י שימוש ב-Lambda או להעביר אל מערכת SIEM להמשך טיפול צוות ה-SOC.
AWS Macie
Macie הוא שירות מבוסס "למידת מכונה" (Machine Learning) שמספק נראות ואבטחה למידע שמאוחסן ב-AWS. השירות יודע לזהות ולסווג אוטומטית מידע רגיש ב-S3 Buckets וגם להגן עליו. Macie מזהה Personally Identifiable Information (PII), Intellectual Property (IP) או מידע רגיש לארגון על בסיס חתימות שהוגדרו לו ומציג את הממצאים ויזואלית, בממשק פשוט ונוח, להמשך טיפול. ניתן להגדיר את Macie כך שיתקן אוטומטית ממצאים בעיתיים או ישלח התראה כאשר מזוהה פעילות חשודה על מידע.
Amazon Inspector
זהו שירות שסוקר את האבטחה ברמת הרשת ו/או ברמת ה-Host. השירות בוחן את הקונפיגרציות של רכיבי התקשורת וה-Hosts, ומוודא שהם לא חורגים מסט חוקים שהוגדרו מראש. סט החוקים יכול להיות גישה חיצונית (מהאינטרנט) לשרתי EC2, חולשות ידועות (CVE), שגיאות קונפיגורציה במערכת ההפעלה (CIS Benchmarks) ופרקטיקות אבטחה מומלצות. כרגע לא ניתן להוסיף חוקים מותאמים, אלא רק לעבוד עם חוקים מובנים של השירות. בדיקות ברמת הרשת לא מצריכות התקנת Agent, אולם אלו של ה-Hosts כן, אבל הוא מינימלי וכמעט שאינו צורך משאבי מערכת.
Respond
ע"פ NIST, שלב ה-Respond הוא שלב שנועד לפתח ולהטמיע את הפעילויות שיש לבצע לגבי אירוע אבטחה שהתרחש. התוצרים משלב זה כוללים לדוגמה Response, Analysis, Mitigation ועוד.
מבחינת השקף של AWS, ה-Respond מתחלק ל-Investigate ו-Automate. אני רוצה לומר משהו קצר על אוטומציה בענן – מדובר לדעתי באחת התכונות המשמעויות ביותר שמקבלים בסביבה זו. אוטומציה מקטינה את הסיכוי לטעות, אוכפת משילות, משפרת את משך הזמן להתמודדות עם אירוע ועוד דברים טובים נוספים. צמצום מעורבות הגורם האנושי בתהליכי האבטחה, ישפר עבורכם משמעותית את ההגנה על הנכסים שלכם בענן.
להלן השירותים המוצעים בקטגוריה הזו:
Investigate
Amazon CloudWatch
ה-AWS CloudWatch הוא עוד אחד מהשירותים הכי בסיסיים וחשובים של AWS. במהותו, ה-CloudWatch אינו רק עבור אבטחה, אלא הוא כלי מרכזי שמנטר שירותים, אוסף לוגים ומטריקות, מציג מידע או התראות לגביהם ויודע לבצע פעולות אקטיביות בתנאים מסוימים. ה-CloudWatch מספק Dashboards ויכולות חיפוש בסיסיות, אבל בשילוב עם שירותים כמו Athena או Elastic Search – מקבלים יכולות תחקור אירועים ברמה גבוהה. ה-CloudWatch הוא כלי חשוב באוטומציה מכיוון שהוא יודע להגיב במגוון דרכים לממצאים שמגיעים אליו ממגוון מקורות.
AWS CloudTrail
גם ה-CloudTrail הוא שירות בסיסי של AWS שמתעד את כל הפעילות שמתבצעת ע"י משתמשים בכל חשבונות ה-AWS ב-Organization. כל פעולה במערכת, כל שימוש ב-API של AWS מתועד ב-CloudTrail וניתן לדעת בדיוק מי ביצע מה ומתי. הלוגים שלו משמשים ל-Governance, Compliance ו-Audit. את הלוגים אפשר לשלוח ל-CloudWatch כדי שיתריע או יפעל בהתאם לחוקים שמוגדרים לו, או לאחסן ב-S3 Bucket בכדי לשמור תיעוד עבור פורנזיקה.
Personal Health Dashboard
כשמו, שירות ה-Personal Health מספק Dashboard מציג את מצב השירותים וסביבות העבודה ב-AWS. השירות מציג התראות על אירועים שקרו ושהשפיעו על שירותים בסביבות העבודה. בנוסף, הוא מספק התראות פרואקטיביות, הנחיות מפורטות לתיקון ותמיכה באוטומציה. השירות משמש גם כיומן רישום ותיעוד של שינויים מתוכננים בסביבות העבודה.
Amazon Route 53
שירות ה-Amazon Route 53 הינו שירות DNS מנוהל בענן, שמשמש עבור תרגום כתובות פנימיות וחיצוניות ל-AWS. ה-DNS במהותו רכיב חשוב בתחום התשתיות ותפקידו ידוע לכל, לכן לא ארחיב עליו עוד.
Automate
Amazon CloudWatch
ראו Amazon CloudWatch למעלה
AWS Lambda
שירותי ה-AWS Lambda וה-AWS Step Functions שייכים לעולם הפיתוח והקוד, לכן אמנע מלהרחיב גם עליהם, אולם אציין שמדובר בשירותים שנועדו להריץ קוד בסביבה/פלטפורמה נבחרת ומנוהלת. חשוב לדעת ששירותים אלו מהווים מרכיב מרכזי מאוד באוטומציה של תהליכי אבטחה, ולכן מומלץ מאוד להשתמש בהם כחלק מאסטרטגיה רחבה יותר של ניהול האבטחה בענן.
AWS Systems Manager
ראו Amazon AWS Systems Manager למעלה
AWS Step Functions
ראו AWS Lambda למעלה
Recover
ע"פ NIST, שלב ה-Respond הוא שלב שנועד לפתח ולהטמיע את הפעילויות המתאימות לתחזוקת תוכניות חוסן ויכולות התאוששות מהירה (Resilience), ולשחזר שירותים שהושפעו מאירוע אבטחה שהתרחש. התוצרים משלב זה כוללים לדוגמה Recovery Planning, Improvements and Communications ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
Amazon S3 Glacier
ה-Amazon S3 Glacier הוא שירות ארכוב מידע לטווח ארוך, שמספק אבטחה ושרידות גבוהה במחיר זול יחסית לשירותי אחסון אחרים. השירות מספק תאימות לסטנדרטים ורגולציות, נעילת מידע ב"כספת" ועוד.
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
בחלקים הקודמים (חלק א', חלק ב'), למדנו על המאפיינים הראשיים שניתן למצוא בכל הקשור ל-AWS Security בעברית, והשבוע נסיים את הרשימה עד לשלב ה-Recover.
Detect
ע"פ NIST, שלב ה-Detect הוא שלב שנועד לפתח ולהטמיע את הפעילויות לזיהוי אירועי אבטחה. התוצרים משלב זה כוללים לדוגמה את Anomalies and Events, Continuous Monitoring, Detection Processes ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
Amazon GuardDuty
שירות ה-GuardDuty הינו שירות מנוהל לאיתור איומים (Threats). השירות מנטר באופן קבוע את תעבורת הרשת, שאילתות ה-DNS וה-CloudTrails Log כדי לזהות פעילות חשודה או זדונית בכל החשבונות או סביבות העבודה. ההפעלה הראשונית של GuardDuty פשוטה וקלה ואינה דורשת קונפיגורציה מיוחדת (הערה: בהפעלה הראשונית יש להימנע מפעילות חריגה בחשבונות למשך כ-14 ימים כדי לאפשר בניה טובה של ה-Baseline). ה-GuardDuty מזהה איומים מוכרים ולא-מוכרים, כשאת המוכרים הוא מזהה באמצעות חתימות (Feeds) ממגוון מקורות ופרטנרים (ביניהם CrowedStrike ו-ProofPoint) ואת הלא-מוכרים הוא מזהה באמצעות למידת-מכונה. את הממצאים שלו אפשר לתקן אוטומטית ע"י שימוש ב-Lambda או להעביר אל מערכת SIEM להמשך טיפול צוות ה-SOC.
AWS Macie
Macie הוא שירות מבוסס "למידת מכונה" (Machine Learning) שמספק נראות ואבטחה למידע שמאוחסן ב-AWS. השירות יודע לזהות ולסווג אוטומטית מידע רגיש ב-S3 Buckets וגם להגן עליו. Macie מזהה Personally Identifiable Information (PII), Intellectual Property (IP) או מידע רגיש לארגון על בסיס חתימות שהוגדרו לו ומציג את הממצאים ויזואלית, בממשק פשוט ונוח, להמשך טיפול. ניתן להגדיר את Macie כך שיתקן אוטומטית ממצאים בעיתיים או ישלח התראה כאשר מזוהה פעילות חשודה על מידע.
Amazon Inspector
זהו שירות שסוקר את האבטחה ברמת הרשת ו/או ברמת ה-Host. השירות בוחן את הקונפיגרציות של רכיבי התקשורת וה-Hosts, ומוודא שהם לא חורגים מסט חוקים שהוגדרו מראש. סט החוקים יכול להיות גישה חיצונית (מהאינטרנט) לשרתי EC2, חולשות ידועות (CVE), שגיאות קונפיגורציה במערכת ההפעלה (CIS Benchmarks) ופרקטיקות אבטחה מומלצות. כרגע לא ניתן להוסיף חוקים מותאמים, אלא רק לעבוד עם חוקים מובנים של השירות. בדיקות ברמת הרשת לא מצריכות התקנת Agent, אולם אלו של ה-Hosts כן, אבל הוא מינימלי וכמעט שאינו צורך משאבי מערכת.
Respond
ע"פ NIST, שלב ה-Respond הוא שלב שנועד לפתח ולהטמיע את הפעילויות שיש לבצע לגבי אירוע אבטחה שהתרחש. התוצרים משלב זה כוללים לדוגמה Response, Analysis, Mitigation ועוד.
מבחינת השקף של AWS, ה-Respond מתחלק ל-Investigate ו-Automate. אני רוצה לומר משהו קצר על אוטומציה בענן – מדובר לדעתי באחת התכונות המשמעויות ביותר שמקבלים בסביבה זו. אוטומציה מקטינה את הסיכוי לטעות, אוכפת משילות, משפרת את משך הזמן להתמודדות עם אירוע ועוד דברים טובים נוספים. צמצום מעורבות הגורם האנושי בתהליכי האבטחה, ישפר עבורכם משמעותית את ההגנה על הנכסים שלכם בענן.
להלן השירותים המוצעים בקטגוריה הזו:
Investigate
Amazon CloudWatch
ה-AWS CloudWatch הוא עוד אחד מהשירותים הכי בסיסיים וחשובים של AWS. במהותו, ה-CloudWatch אינו רק עבור אבטחה, אלא הוא כלי מרכזי שמנטר שירותים, אוסף לוגים ומטריקות, מציג מידע או התראות לגביהם ויודע לבצע פעולות אקטיביות בתנאים מסוימים. ה-CloudWatch מספק Dashboards ויכולות חיפוש בסיסיות, אבל בשילוב עם שירותים כמו Athena או Elastic Search – מקבלים יכולות תחקור אירועים ברמה גבוהה. ה-CloudWatch הוא כלי חשוב באוטומציה מכיוון שהוא יודע להגיב במגוון דרכים לממצאים שמגיעים אליו ממגוון מקורות.
AWS CloudTrail
גם ה-CloudTrail הוא שירות בסיסי של AWS שמתעד את כל הפעילות שמתבצעת ע"י משתמשים בכל חשבונות ה-AWS ב-Organization. כל פעולה במערכת, כל שימוש ב-API של AWS מתועד ב-CloudTrail וניתן לדעת בדיוק מי ביצע מה ומתי. הלוגים שלו משמשים ל-Governance, Compliance ו-Audit. את הלוגים אפשר לשלוח ל-CloudWatch כדי שיתריע או יפעל בהתאם לחוקים שמוגדרים לו, או לאחסן ב-S3 Bucket בכדי לשמור תיעוד עבור פורנזיקה.
Personal Health Dashboard
כשמו, שירות ה-Personal Health מספק Dashboard מציג את מצב השירותים וסביבות העבודה ב-AWS. השירות מציג התראות על אירועים שקרו ושהשפיעו על שירותים בסביבות העבודה. בנוסף, הוא מספק התראות פרואקטיביות, הנחיות מפורטות לתיקון ותמיכה באוטומציה. השירות משמש גם כיומן רישום ותיעוד של שינויים מתוכננים בסביבות העבודה.
Amazon Route 53
שירות ה-Amazon Route 53 הינו שירות DNS מנוהל בענן, שמשמש עבור תרגום כתובות פנימיות וחיצוניות ל-AWS. ה-DNS במהותו רכיב חשוב בתחום התשתיות ותפקידו ידוע לכל, לכן לא ארחיב עליו עוד.
Automate
Amazon CloudWatch
ראו Amazon CloudWatch למעלה
AWS Lambda
שירותי ה-AWS Lambda וה-AWS Step Functions שייכים לעולם הפיתוח והקוד, לכן אמנע מלהרחיב גם עליהם, אולם אציין שמדובר בשירותים שנועדו להריץ קוד בסביבה/פלטפורמה נבחרת ומנוהלת. חשוב לדעת ששירותים אלו מהווים מרכיב מרכזי מאוד באוטומציה של תהליכי אבטחה, ולכן מומלץ מאוד להשתמש בהם כחלק מאסטרטגיה רחבה יותר של ניהול האבטחה בענן.
AWS Systems Manager
ראו Amazon AWS Systems Manager למעלה
AWS Step Functions
ראו AWS Lambda למעלה
Recover
ע"פ NIST, שלב ה-Respond הוא שלב שנועד לפתח ולהטמיע את הפעילויות המתאימות לתחזוקת תוכניות חוסן ויכולות התאוששות מהירה (Resilience), ולשחזר שירותים שהושפעו מאירוע אבטחה שהתרחש. התוצרים משלב זה כוללים לדוגמה Recovery Planning, Improvements and Communications ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
Amazon S3 Glacier
ה-Amazon S3 Glacier הוא שירות ארכוב מידע לטווח ארוך, שמספק אבטחה ושרידות גבוהה במחיר זול יחסית לשירותי אחסון אחרים. השירות מספק תאימות לסטנדרטים ורגולציות, נעילת מידע ב"כספת" ועוד.
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר