آنچه باید درباره گزارش تست نفوذ AWS (سرویس ابری آمازون) بدانید

در دنیای دیجیتال امروزی رایانش ابری نقش بسیار مهمی را در سازمان‌ها ایفا می‌کند. در سال‌های اخیر نرخ و سرعت پذیرش فناوری‌های مبتنی بر ابر به صورت چشمگیری افزایش یافته است. سازمان‌های ارایه‌دهنده نیز تلاش می‌کنند تا از رقبای خود پیشی گرفته و محصولات ابری‌شان را به کسب‌وکارهای مختلف در سراسر جهان ارایه کنند. بنابراین با توجه به حرکت گسترده کسب‌وکارها به سرویس‌های ابری، امنیت این سرویس‌ها از اهمیت بسیار بالایی برخوردار بوده و طرح‌های بسیار زیادی نیز برای حفظ و تأمین امنیت آنها ارایه گردیده است. تست نفوذ AWS از جمله رویکردهای امنیتی ارایه شده جهت سنجش و ارزیابی میزان امنیت محصولات ابری شرکت آمازون می‌باشد.

در بین کلیه راهکارهای ابری موجود، وب‌سرویس‌های آمازون AWS (مخفف Amazon Web Services) بیشترین سهم بازار را در اختیار داشته و حدود 35 درصد از این صنعت را به خود اختصاص می‌دهند. AWS شامل مجموعه‌ای از سرویس‌های مختلف جهت رایانش از راه دور است. این سرویس‌ها که در ترکیب با یکدیگر یک پلتفرم رایانه‌ای توزیع‌شده را تشکیل می‌دهند برای کسب‌وکارهای آنلاین بسیار کاربردی بوده و کار کردن با آنها نیز آسان است.

از طرفی وب‌سرویس‌های آمازون شامل یکسری تدابیر و سیاست‌های امنیتی برای مقابله با حملات سایبری پیشرفته و نفوذهای داده‌ای هستند. از این رو سازمان‌ها جهت حفاظت از داده‌های‌شان و ایمن‌سازی پایگاه‌های داده خود در برابر هکرها به استفاده از این سرویس‌ها رو آورده‌اند. AWS همچنین یک راهکار تست نفوذ جامع و کامل را در اختیار سازمان‌ها قرار می‌دهد. به این ترتیب سازمان‌ها می‌توانند به‌راحتی چنین راهکاری را اجرا نموده و پس از شناسایی آسیب‌پذیری‌های موجود در زیرساخت ابر و پیش از سوءاستفاده هکرها، آنها را اصلاح کنند.

AWS چیست؟

AWS یا همان وب‌سرویس‌های آمازون مجموعه‌ای وسیع از سرویس‌های رایانشی، ذخیره، پایگاه داده، تحلیل، برنامه‌های کاربردی و غیره ارایه کرده که به سازمان‌ها برای حرکت سریع‌تر، کاهش هزینه‌های فناوری اطلاعات و افزایش مقیاس برنامه‌های کاربردی کمک می‌کنند.

مجموعه وب‌سرویس‌های آمازون شامل سرورهای میزبانی شده[1] (Amazon EC2)، سرویس‌های پایگاه داده[2] (Amazon RDS)، شبکه تحویل محتوا[3] (Amazon CloudFront)، سرویسی برای استقرار برنامه‌های نرم‌افزاری، سرویس پلتفرم‌ها[4] (Amazon S3) و چندین سرویس دیگر هستند. AWS همچنین از مدل‌های ارایه نرم‌افزار به صورت سرویس یا SaaS (مخفف Software as a Service)، ارایه پلتفرم به صورت سرویس یا PaaS (مخفف Platform as a Service) و ارایه زیرساخت به صورت سرویس یا IaaS (مخفف Infrastructure as a Service) هم پشتیبانی می‌کند.

اگرچه سرویس‌های ابر آمازون از امنیت نسبتاً بالایی برخوردار هستند ولی در هر صورت محیط‌های ابری در بین کاربران بسیار زیادی به اشتراک گذاشته شده و دسترسی به آنها نیز توسط افراد غیرمجاز و از طریق ابزارهای پیشرفته شاید کار چندان سختی نباشد. از این رو جهت حفاظت از این محیط‌ها باید یکسری طرح‌های امنیتی پیاده‌‌سازی و اجرا شوند.

سرویس امنیتی AWS (AWS Security) چیست؟

AWS Security مجموعه‌ای از سیاست‌ها، ابزارها و امکاناتی است که در راستای ایمن‌سازی AWS و توسط آمازون باید مورد استفاده قرار بگیرند. کاربران چنین کنترل‌های امنیتی را مدیریت نمی‌کنند و هیچ‌گونه نظارتی بر روی آنها ندارند.

تعدادی از ابزارهای امنیتی ارایه شده توسط آمازون به شرح زیر هستند.

1. AWS Inspector

این ابزار امنیتی ابتدا امنیت برنامه‌های کاربردی را از طریق ارزیابی پیکربندی‌های سمت سرور ارزیابی نموده، سپس میزان انطباق نمونه‌های فعال آنها با سیاست‌های امنیتی که در AWS تعریف شده‌اند را می‌سنجد.

Inspector عملیات متعددی را جهت انجام بررسی‌های امنیتی بر روی زیرساخت و برنامه‌های کاربردی شما انجام داده و گزارش کاملی درباره منابع AWS شما، در اختیارتان قرار می‌دهد. بررسی سرویس‌های [5]EC2، VPC[6]، گروه‌ها و کاربران سیستم IAM[7] و سیاست‌های آن از جمله اقدامات امنیتی انجام شده توسط این راهکار هستند. همچنین بررسی‌هایی از تنظیمات کنترل دسترسی به منابع AWS و اینکه آیا از اصول توصیه شده امنیتی و استانداردهای قانونی پیروی شده یا خیر، انجام می‌شود.

2. قطب امنیتی AWS

AWS Security Hub یا قطب امنیتی AWS یک سرویس مدیریت وضعیت امنیتی است که به صورت خودکار میزان پیروی از سیاست‌های امنیتی را بررسی و هشدارها را جمع‌آوری می‌کند. این سرویس همچنین قابلیت کاهش خطر و امکان نظارت مرکزی جامع از وضعیت امنیتی منابع AWS را به صورت خودکار فراهم می‌کند. بنابراین می‌توانید در سریع‌ترین زمان ممکن با مخاطرات امنیتی مقابله کنید.

یک کاربر می‌تواند از قطب امنیتی AWS برای نظارت بر چندین حساب کاربری و مدیریت آنها استفاده کند. این ابزار به صورت کامل از طریق کنسول مدیریت AWS مدیریت شده و قابلیت ادغام با ابزارهای نظارتی موجود شما را دارد.

3. AWS Macie

ابزار  Amazon Macie امکان پیدا کردن، طبقه‌بندی و حفاظت از داده‌های حساس در Amazon S3، Amazon EBS، Amazon Glacier، Amazon Redshift، Amazon Athena، Amazon WorkSpaces و Amazon Elasticsearch Service را فراهم می‌سازد. این ابزار همچنین یک گزارش بازرسی جامع از دسترسی‌های صورت گرفته به داده‌ها را تولید کرده و می‌توانید با استفاده از آن دسترسی به داده‌ها را کنترل نمایید.

تست نفوذ AWS چیست؟

یک تست نفوذ جامع شامل ارزیابی دقیق امنیت محیط ابر است. AWS سرویس تست نفوذ را همراه سرویس‌هایی ابری که توسط کاربران مدیریت می‌شوند به مشتریان ارایه می‌دهد. سازمان‌ها با استفاده از چنین سرویسی می‌توانند میزان ایمنی منابع AWS خودشان را سنجیده و آسیب‌پذیری‌های موجود را شناسایی و رفع کنند.

آیا AWS مجوز اجرای تست نفوذ را به کاربران می‌دهد؟

کاربران وب‌سرویس‌های آمازون امکان اجرای تست نفوذ بر روی سرویس‌های زیر را دارند:

1. نمونه‌های Amazon EC2، درگاه‌های NAT(مخفف Network Address Translation) و تعدیل‌کننده‌های بار انعطاف‌پذیر
2. Amazon RDS
3. Amazon CloudFront
4. Amazon Aurora
5. درگاه‌های API آمازون
6. قابلیت‌های Lambda Edge و AWS Lambda
7. منابع Amazon Lightsail
8. محیط‌های Amazon Elastic Beanstalk

سرویس‌های AWS که امنیت آنها باید مورد بررسی قرار بگیرد

در ادامه به سرویس‌های وب‌سرویس‌های آمازون (AWS) که باید بررسی شوند اشاره شده است:

1. سرویس‌های مدیریتی

• آشنایی با نحوه استفاده و پیاده‌سازی AWS
• شناسایی تجهیزات و تعریف مرزهای AWS
• سیاست‌های دسترسی
• شناسایی، بررسی و ارزیابی مخاطرات
• مستندسازی و ثبت فهرست موجودی
• افزودن AWS به فرایند ارزیابی مخاطرات
• سیاست برنامه و امنیت فناوری اطلاعات

2. مدیریت شبکه

• کنترل‌های امنیتی شبکه
• پیوندهای فیزیکی
• اعطا و فسخ دسترسی‌ها
• تفکیک محیط
• مستندسازی و فهرست موجودی
• دفاع لایه‌ای در برابر حملات محروم‌سازی از سرویس توزیع شده
• کنترل‌های مقابله با کدهای مخرب

3. کنترل رمزنگاری

• دسترسی به کنسول AWS
• دسترسی API AWS
• تونل‌های IPSec
• مدیریت کلید SSL
• حفاظت از پین‌های ساکن

4. نظارت و ثبت گزارش

• ذخیره مرکزی گزارش‌ها
• بازبینی سیاست‌ها، اصلاح آنها و افزودن یک سیاست جدید در صورت نیاز
• بررسی گزارش اعتبارنامه‌های IAM
• تجمیع داده‌ها از چندین منبع
• تشخیص و واکنش به نفوذ

گزارش تست نفوذ AWS

گزارش تست نفوذ AWS خروجی تست نفوذی است که بر روی محیط AWS و توسط متخصص اجرای این تست انجام می‌شود. این گزارش که حاوی همه یافته‌های تست نفوذ است در قالب خاصی نوشته شده و در قالب PDF، HTML و ایمیل تحویل داده می‌شود. کاربران با استناد به این گزارش می‌توانند آسیب‌پذیری‌های موجود را شناسایی نموده و در اسرع وقت اقدامات اصلاحی لازم برای رفع این آسیب‌پذیری‌ها را انجام دهند.

گزارش تست نفوذ AWS شامل موارد زیر است:

• یک بررسی جامع و عمیق از زیرساخت AWS شما
• توصیه‌هایی کاربردی جهت ارتقای زیرساخت AWS
• بازبینی کامل تنظیمات امنیتی و پبکربندی حساب شما
• نتایج کامل بررسی‌ها، خلاصه‌ای از یافته‌ها و همچنین یک اثبات مفهوم [8](POC) برای هر یافته است.

آیا گزارش تست نفوذ AWS از اهمیت زیادی برخوردار است؟

گزارش تست نفوذ AWS یک گزارش جامع و حاوی همه یافته‌ها در قالبی سازماندهی شده و قابل درک است. این گزارش نمای کلی از آسیب‌پذیری‌ها را با اثبات مفهوم در اختیار قرار داده و توصیه‌هایی را نیز برای رفع آنها مطرح می‌کند. شما از طریق گزارش تست نفوذ AWS می‌توانید آسیب‌پذیری‌های موجود را شناسایی و در اسرع وقت رفع کنید.

این گزارش شامل همه روش‌های قابل استفاده مهاجمان برای دسترسی به محیط AWS بوده و آسیب‌پذیری‌های موجود را نیز اولویت‌بندی می‌کند. شما با استفاده از چنین اطلاعاتی می‌توانید با مجرمان سایبری مقابله و آسیب‌پذیری‌ها را بر اساس رتبه‌ و اولویت‌شان رفع کنید.

در مجموع گزارش تست نفوذ AWS درک نسبتاً کاملی از محیط AWS را به شما داده و از دسترسی‌های غیرمجاز به سرویس‌های آمازون‌ شما، جلوگیری می‌کند.

یک گزارش تست نفوذ AWS جامع شامل چه اطلاعاتی است؟

گزارش تست نفوذ باید دقیق و شفاف باشد و قابلیت انتقال اطلاعات و همچنین یک درک کامل از وضعیت موجود را به خوانندگان داشته باشد. هر گزارش تست نفوذ AWS شامل نتایج یک تست نفوذ، مجموعه‌ای از توصیه‌ها و پرسش‌ها است که باید به آنها پاسخ داده شود. هدف اصلی از ارایه چنین گزارشی به تیم امنیتی بهبود وضعیت زیرساخت ابر AWS است.

از جمله اطلاعاتی که باید در چنین گزارشی وجود داشته باشند، می‌توان به این موارد اشاره کرد:

1. اطلاعات مربوط به وضعیت امنیتی سرویس‌های AWS و آسیب‌پذیری‌های موجود در آنها؛
2. تشریح دقیق آسیب‌پذیری؛
3. رتبه CVSS[9] برای آسیب‌پذیری و میزان وخامت آن؛
4. تأثیر آسیب‌پذیری بر کسب‌وکار؛
5. میزان زمان از کار افتادگی سرویس مدنظر برای رفع آسیب‌پذیری؛
6. گام‌های اصلاح آسیب‌پذیری.

چه افرادی مسئولیت آماده‌سازی گزارش تست نفوذ AWS را بر عهده دارند؟

گزارش تست نفوذ AWS توسط تیم تخصصی که این کار را انجام می‌دهند و دارای مهارت‌های خاصی هم هستند تولید می‌شود. البته این گزارش توسط شخصی که تست نفوذ را اجرا کرده نوشته نمی‌شود چون ممکن است در این صورت کلیه مخاطبان (از جمله مشتری، تیم مشتری، مدیریت و حتی وکلای مشتری) قادر به درک آن نباشند. همچنین احتمال دارد در آینده از این گزارش به عنوان مرجعی برای انجام سایر تست‌های نفوذ استفاده شود.

بنابراین زبان نوشتاری این گزارش نباید چندان پیچیده باشد. هرچقدر که گزارش تست نفوذ به زبان ساده‌تر و واضح‌تر نوشته شود، امکان درک آن نیز راحت تر خواهد بود.

 

[1] وب هاستینگ (Web Hosting) یا میزبانی وب شامل فراهم نمودن فضایی برای ذخیره محتوای وب‌سایت کاربر بر روی آن است.

[2] این سرویس‌ها امکان ایجاد یک پایگاه داده و همچنین انجام عملیات منطقی بر روی داده‌ها را در بستر ابر و با کمترین هزینه فراهم می‌کنند.

[3] این سرویس اطلاعات را در سریع‌ترین زمان ممکن و در محیطی امن به مشتری ارایه می‌دهد.

[4] این سرویس امکان ذخیره داده‌های مختلف و دسترسی به آنها در هر مکان و زمانی را از راه دور محیا می‌کند.

[5] این سرویس امکان راه‌اندازی هر تعداد سرور مجازی و سرور اختصاصی، پیکربندی امنیت و شبکه و مدیریت ذخیره‌سازی استفاده کنید.

[6] یک ابر خصوصی مجازی که در یک فضای ابری عمومی تعبیه شده است.

[7] سیستم مدیریت هویت و دسترسی

[8] Proof of concept: اثبات مفهوم در مفهوم کلی به آزمایش اولیه یک ایده، روش یا محصول برای نشان دادن پتانسیل و امکان‌پذیری آن با ویژگیهای دنیای واقعی اشاره دارد. در اینجا به امکان سوء استفاده از آسیب پذیری های سرویس ها در شرایط واقعی(و نه شرایط تست)، اشاره دارد.

[9] سیستم امتیازدهی آسیب‌پذیری عام

 

منبع: getastra