آنچه باید درباره گزارش تست نفوذ AWS (سرویس ابری آمازون) بدانید
در دنیای دیجیتال امروزی رایانش ابری نقش بسیار مهمی را در سازمانها ایفا میکند. در سالهای اخیر نرخ و سرعت پذیرش فناوریهای مبتنی بر ابر به صورت چشمگیری افزایش یافته است. سازمانهای ارایهدهنده نیز تلاش میکنند تا از رقبای خود پیشی گرفته و محصولات ابریشان را به کسبوکارهای مختلف در سراسر جهان ارایه کنند. بنابراین با توجه به حرکت گسترده کسبوکارها به سرویسهای ابری، امنیت این سرویسها از اهمیت بسیار بالایی برخوردار بوده و طرحهای بسیار زیادی نیز برای حفظ و تأمین امنیت آنها ارایه گردیده است. تست نفوذ AWS از جمله رویکردهای امنیتی ارایه شده جهت سنجش و ارزیابی میزان امنیت محصولات ابری شرکت آمازون میباشد.
در بین کلیه راهکارهای ابری موجود، وبسرویسهای آمازون AWS (مخفف Amazon Web Services) بیشترین سهم بازار را در اختیار داشته و حدود 35 درصد از این صنعت را به خود اختصاص میدهند. AWS شامل مجموعهای از سرویسهای مختلف جهت رایانش از راه دور است. این سرویسها که در ترکیب با یکدیگر یک پلتفرم رایانهای توزیعشده را تشکیل میدهند برای کسبوکارهای آنلاین بسیار کاربردی بوده و کار کردن با آنها نیز آسان است.
از طرفی وبسرویسهای آمازون شامل یکسری تدابیر و سیاستهای امنیتی برای مقابله با حملات سایبری پیشرفته و نفوذهای دادهای هستند. از این رو سازمانها جهت حفاظت از دادههایشان و ایمنسازی پایگاههای داده خود در برابر هکرها به استفاده از این سرویسها رو آوردهاند. AWS همچنین یک راهکار تست نفوذ جامع و کامل را در اختیار سازمانها قرار میدهد. به این ترتیب سازمانها میتوانند بهراحتی چنین راهکاری را اجرا نموده و پس از شناسایی آسیبپذیریهای موجود در زیرساخت ابر و پیش از سوءاستفاده هکرها، آنها را اصلاح کنند.
AWS چیست؟
AWS یا همان وبسرویسهای آمازون مجموعهای وسیع از سرویسهای رایانشی، ذخیره، پایگاه داده، تحلیل، برنامههای کاربردی و غیره ارایه کرده که به سازمانها برای حرکت سریعتر، کاهش هزینههای فناوری اطلاعات و افزایش مقیاس برنامههای کاربردی کمک میکنند.
مجموعه وبسرویسهای آمازون شامل سرورهای میزبانی شده[1] (Amazon EC2)، سرویسهای پایگاه داده[2] (Amazon RDS)، شبکه تحویل محتوا[3] (Amazon CloudFront)، سرویسی برای استقرار برنامههای نرمافزاری، سرویس پلتفرمها[4] (Amazon S3) و چندین سرویس دیگر هستند. AWS همچنین از مدلهای ارایه نرمافزار به صورت سرویس یا SaaS (مخفف Software as a Service)، ارایه پلتفرم به صورت سرویس یا PaaS (مخفف Platform as a Service) و ارایه زیرساخت به صورت سرویس یا IaaS (مخفف Infrastructure as a Service) هم پشتیبانی میکند.
اگرچه سرویسهای ابر آمازون از امنیت نسبتاً بالایی برخوردار هستند ولی در هر صورت محیطهای ابری در بین کاربران بسیار زیادی به اشتراک گذاشته شده و دسترسی به آنها نیز توسط افراد غیرمجاز و از طریق ابزارهای پیشرفته شاید کار چندان سختی نباشد. از این رو جهت حفاظت از این محیطها باید یکسری طرحهای امنیتی پیادهسازی و اجرا شوند.
سرویس امنیتی AWS (AWS Security) چیست؟
AWS Security مجموعهای از سیاستها، ابزارها و امکاناتی است که در راستای ایمنسازی AWS و توسط آمازون باید مورد استفاده قرار بگیرند. کاربران چنین کنترلهای امنیتی را مدیریت نمیکنند و هیچگونه نظارتی بر روی آنها ندارند.
تعدادی از ابزارهای امنیتی ارایه شده توسط آمازون به شرح زیر هستند.
1. AWS Inspector
این ابزار امنیتی ابتدا امنیت برنامههای کاربردی را از طریق ارزیابی پیکربندیهای سمت سرور ارزیابی نموده، سپس میزان انطباق نمونههای فعال آنها با سیاستهای امنیتی که در AWS تعریف شدهاند را میسنجد.
Inspector عملیات متعددی را جهت انجام بررسیهای امنیتی بر روی زیرساخت و برنامههای کاربردی شما انجام داده و گزارش کاملی درباره منابع AWS شما، در اختیارتان قرار میدهد. بررسی سرویسهای [5]EC2، VPC[6]، گروهها و کاربران سیستم IAM[7] و سیاستهای آن از جمله اقدامات امنیتی انجام شده توسط این راهکار هستند. همچنین بررسیهایی از تنظیمات کنترل دسترسی به منابع AWS و اینکه آیا از اصول توصیه شده امنیتی و استانداردهای قانونی پیروی شده یا خیر، انجام میشود.
2. قطب امنیتی AWS
AWS Security Hub یا قطب امنیتی AWS یک سرویس مدیریت وضعیت امنیتی است که به صورت خودکار میزان پیروی از سیاستهای امنیتی را بررسی و هشدارها را جمعآوری میکند. این سرویس همچنین قابلیت کاهش خطر و امکان نظارت مرکزی جامع از وضعیت امنیتی منابع AWS را به صورت خودکار فراهم میکند. بنابراین میتوانید در سریعترین زمان ممکن با مخاطرات امنیتی مقابله کنید.
یک کاربر میتواند از قطب امنیتی AWS برای نظارت بر چندین حساب کاربری و مدیریت آنها استفاده کند. این ابزار به صورت کامل از طریق کنسول مدیریت AWS مدیریت شده و قابلیت ادغام با ابزارهای نظارتی موجود شما را دارد.
3. AWS Macie
ابزار Amazon Macie امکان پیدا کردن، طبقهبندی و حفاظت از دادههای حساس در Amazon S3، Amazon EBS، Amazon Glacier، Amazon Redshift، Amazon Athena، Amazon WorkSpaces و Amazon Elasticsearch Service را فراهم میسازد. این ابزار همچنین یک گزارش بازرسی جامع از دسترسیهای صورت گرفته به دادهها را تولید کرده و میتوانید با استفاده از آن دسترسی به دادهها را کنترل نمایید.
تست نفوذ AWS چیست؟
یک تست نفوذ جامع شامل ارزیابی دقیق امنیت محیط ابر است. AWS سرویس تست نفوذ را همراه سرویسهایی ابری که توسط کاربران مدیریت میشوند به مشتریان ارایه میدهد. سازمانها با استفاده از چنین سرویسی میتوانند میزان ایمنی منابع AWS خودشان را سنجیده و آسیبپذیریهای موجود را شناسایی و رفع کنند.
آیا AWS مجوز اجرای تست نفوذ را به کاربران میدهد؟
کاربران وبسرویسهای آمازون امکان اجرای تست نفوذ بر روی سرویسهای زیر را دارند:
- نمونههای Amazon EC2، درگاههای NAT(مخفف Network Address Translation) و تعدیلکنندههای بار انعطافپذیر
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- درگاههای API آمازون
- قابلیتهای Lambda Edge و AWS Lambda
- منابع Amazon Lightsail
- محیطهای Amazon Elastic Beanstalk
سرویسهای AWS که امنیت آنها باید مورد بررسی قرار بگیرد
در ادامه به سرویسهای وبسرویسهای آمازون (AWS) که باید بررسی شوند اشاره شده است:
1. سرویسهای مدیریتی
- آشنایی با نحوه استفاده و پیادهسازی AWS
- شناسایی تجهیزات و تعریف مرزهای AWS
- سیاستهای دسترسی
- شناسایی، بررسی و ارزیابی مخاطرات
- مستندسازی و ثبت فهرست موجودی
- افزودن AWS به فرایند ارزیابی مخاطرات
- سیاست برنامه و امنیت فناوری اطلاعات
2. مدیریت شبکه
- کنترلهای امنیتی شبکه
- پیوندهای فیزیکی
- اعطا و فسخ دسترسیها
- تفکیک محیط
- مستندسازی و فهرست موجودی
- دفاع لایهای در برابر حملات محرومسازی از سرویس توزیع شده
- کنترلهای مقابله با کدهای مخرب
3. کنترل رمزنگاری
- دسترسی به کنسول AWS
- دسترسی API AWS
- تونلهای IPSec
- مدیریت کلید SSL
- حفاظت از پینهای ساکن
4. نظارت و ثبت گزارش
- ذخیره مرکزی گزارشها
- بازبینی سیاستها، اصلاح آنها و افزودن یک سیاست جدید در صورت نیاز
- بررسی گزارش اعتبارنامههای IAM
- تجمیع دادهها از چندین منبع
- تشخیص و واکنش به نفوذ
گزارش تست نفوذ AWS
گزارش تست نفوذ AWS خروجی تست نفوذی است که بر روی محیط AWS و توسط متخصص اجرای این تست انجام میشود. این گزارش که حاوی همه یافتههای تست نفوذ است در قالب خاصی نوشته شده و در قالب PDF، HTML و ایمیل تحویل داده میشود. کاربران با استناد به این گزارش میتوانند آسیبپذیریهای موجود را شناسایی نموده و در اسرع وقت اقدامات اصلاحی لازم برای رفع این آسیبپذیریها را انجام دهند.
گزارش تست نفوذ AWS شامل موارد زیر است:
- یک بررسی جامع و عمیق از زیرساخت AWS شما
- توصیههایی کاربردی جهت ارتقای زیرساخت AWS
- بازبینی کامل تنظیمات امنیتی و پبکربندی حساب شما
- نتایج کامل بررسیها، خلاصهای از یافتهها و همچنین یک اثبات مفهوم [8](POC) برای هر یافته است.
آیا گزارش تست نفوذ AWS از اهمیت زیادی برخوردار است؟
گزارش تست نفوذ AWS یک گزارش جامع و حاوی همه یافتهها در قالبی سازماندهی شده و قابل درک است. این گزارش نمای کلی از آسیبپذیریها را با اثبات مفهوم در اختیار قرار داده و توصیههایی را نیز برای رفع آنها مطرح میکند. شما از طریق گزارش تست نفوذ AWS میتوانید آسیبپذیریهای موجود را شناسایی و در اسرع وقت رفع کنید.
این گزارش شامل همه روشهای قابل استفاده مهاجمان برای دسترسی به محیط AWS بوده و آسیبپذیریهای موجود را نیز اولویتبندی میکند. شما با استفاده از چنین اطلاعاتی میتوانید با مجرمان سایبری مقابله و آسیبپذیریها را بر اساس رتبه و اولویتشان رفع کنید.
در مجموع گزارش تست نفوذ AWS درک نسبتاً کاملی از محیط AWS را به شما داده و از دسترسیهای غیرمجاز به سرویسهای آمازون شما، جلوگیری میکند.
یک گزارش تست نفوذ AWS جامع شامل چه اطلاعاتی است؟
گزارش تست نفوذ باید دقیق و شفاف باشد و قابلیت انتقال اطلاعات و همچنین یک درک کامل از وضعیت موجود را به خوانندگان داشته باشد. هر گزارش تست نفوذ AWS شامل نتایج یک تست نفوذ، مجموعهای از توصیهها و پرسشها است که باید به آنها پاسخ داده شود. هدف اصلی از ارایه چنین گزارشی به تیم امنیتی بهبود وضعیت زیرساخت ابر AWS است.
از جمله اطلاعاتی که باید در چنین گزارشی وجود داشته باشند، میتوان به این موارد اشاره کرد:
- اطلاعات مربوط به وضعیت امنیتی سرویسهای AWS و آسیبپذیریهای موجود در آنها؛
- تشریح دقیق آسیبپذیری؛
- رتبه CVSS[9] برای آسیبپذیری و میزان وخامت آن؛
- تأثیر آسیبپذیری بر کسبوکار؛
- میزان زمان از کار افتادگی سرویس مدنظر برای رفع آسیبپذیری؛
- گامهای اصلاح آسیبپذیری.
چه افرادی مسئولیت آمادهسازی گزارش تست نفوذ AWS را بر عهده دارند؟
گزارش تست نفوذ AWS توسط تیم تخصصی که این کار را انجام میدهند و دارای مهارتهای خاصی هم هستند تولید میشود. البته این گزارش توسط شخصی که تست نفوذ را اجرا کرده نوشته نمیشود چون ممکن است در این صورت کلیه مخاطبان (از جمله مشتری، تیم مشتری، مدیریت و حتی وکلای مشتری) قادر به درک آن نباشند. همچنین احتمال دارد در آینده از این گزارش به عنوان مرجعی برای انجام سایر تستهای نفوذ استفاده شود.
بنابراین زبان نوشتاری این گزارش نباید چندان پیچیده باشد. هرچقدر که گزارش تست نفوذ به زبان سادهتر و واضحتر نوشته شود، امکان درک آن نیز راحت تر خواهد بود.
[1] وب هاستینگ (Web Hosting) یا میزبانی وب شامل فراهم نمودن فضایی برای ذخیره محتوای وبسایت کاربر بر روی آن است.
[2] این سرویسها امکان ایجاد یک پایگاه داده و همچنین انجام عملیات منطقی بر روی دادهها را در بستر ابر و با کمترین هزینه فراهم میکنند.
[3] این سرویس اطلاعات را در سریعترین زمان ممکن و در محیطی امن به مشتری ارایه میدهد.
[4] این سرویس امکان ذخیره دادههای مختلف و دسترسی به آنها در هر مکان و زمانی را از راه دور محیا میکند.
[5] این سرویس امکان راهاندازی هر تعداد سرور مجازی و سرور اختصاصی، پیکربندی امنیت و شبکه و مدیریت ذخیرهسازی استفاده کنید.
[6] یک ابر خصوصی مجازی که در یک فضای ابری عمومی تعبیه شده است.
[7] سیستم مدیریت هویت و دسترسی
[8] Proof of concept: اثبات مفهوم در مفهوم کلی به آزمایش اولیه یک ایده، روش یا محصول برای نشان دادن پتانسیل و امکانپذیری آن با ویژگیهای دنیای واقعی اشاره دارد. در اینجا به امکان سوء استفاده از آسیب پذیری های سرویس ها در شرایط واقعی(و نه شرایط تست)، اشاره دارد.
[9] سیستم امتیازدهی آسیبپذیری عام
منبع: getastra