AWS هو نظام بيئي آمن للغاية ، لكن لا يمكنهم ضمان أن ما تفعله في السحابة سيكون آمنًا. هذه المسؤولية متروكة لك ، على الرغم من أن AWS ستحاول دفعك في الاتجاه الصحيح.
يغطي هذا الدليل ما يجب عليك فعله من وحدة تحكم AWS لجعل شبكتك وحسابك أكثر أمانًا. بالإضافة إلى كل شيء هنا ، ستحتاج إلى التأكد من أن التطبيقات الخاصة بك التي تعمل على خوادم EC2 (أو غير ذلك) هي نفسها آمنة. على سبيل المثال ، تمكين HTTPS على خادم ويب ، أو الحفاظ على تبعيات وبرامجك محدثة.
استخدم المصادقة الثنائية لحساب AWS الخاص بك
يتحكم حساب AWS الرئيسي الخاص بك في جميع موارد AWS الخاصة بك ؛ إذا تمكن شخص ما من الوصول إليها ، فسيكون لديه سيطرة كاملة على مواردك ، ويمكنه حذف كل شيء. ستحتاج إلى التأكد من أن طريقة تسجيل الدخول ليست مجرد كلمة مرور بسيطة يمكن سرقتها.
تقدم AWS بعض طرق المصادقة متعددة العوامل. أسهل استخدامًا هو جهاز Virtual MFA ، والذي يستخدم تطبيقات مثل Google Authenticator و Authy لتحويل هاتفك إلى مفتاح افتراضي. تدعم AWS أيضًا مفاتيح الأجهزة من YubiKEy و Gem alto ، لكن هذه تكلف مالًا. بدلاً من ذلك ، يمكنك استخدام الرسائل القصيرة ، ولكن فقط للمستخدمين الإداريين الذين تضيفهم ، وليس حساب الجذر الخاص بك.
انقر فوق اسم حسابك في شريط القائمة العلوي ، وحدد "بيانات اعتماد الأمان الخاصة بي."
ضمن "المصادقة متعددة العوامل" ، انقر على "تنشيط MFA".
حدد "Virtual MFA Device" وافتح تطبيق المصادقة على هاتفك.
ستُظهر لك AWS رمز QR الذي يجب عليك مسحه ضوئيًا باستخدام تطبيق المصادقة الخاص بك لربط الاثنين معًا. ثم يمكنك البدء في إدخال الرموز ؛ ستطلب AWS رمزين متتاليين ، لذا سيتعين عليك الانتظار 30 ثانية بينهما. انقر على "Assign MFA" عند الانتهاء.
الآن عند تسجيل الخروج ، ستتم مطالبتك بإدخال رمز من هاتفك عند تسجيل الدخول مرة أخرى.
إذا كنت تقوم بإعداد سلسلة مفاتيح فعلية ، فكل ما عليك فعله هو توصيلها لربطها ، ثم توصيلها في كل مرة تريد فيها تسجيل الدخول.
أغلق جدران الحماية الخاصة بك
عندما تنشئ مثيل EC2 جديدًا ، سيُطلب منك اختيار مجموعة أمان أو إنشاء مجموعة جديدة. مجموعة الأمان هذه عبارة عن جدار حماية ، وتحدد المنافذ التي سيتم فتحها. بشكل افتراضي ، يفتح AWS المنفذ 22 (لـ SSH) لجميع عناوين IP الواردة ، ويسمح لجميع حركات المرور بالخروج.
هذا يعني أنه يمكن لأي شخص محاولة المصادقة عبر SSH ، وهي ليست مشكلة كبيرة (نظرًا لأن AWS تستخدم مفاتيح SSH افتراضيًا) ، ولكن من الممارسات الجيدة تقييد معظم حركة المرور إلى عنوان IP الخاص بك ما لم يكن هناك سبب لذلك. منفتحة على العالم.
انقر فوق "مجموعات الأمان" في الشريط الجانبي لوحدة التحكم في إدارة EC2 ، وحدد المجموعة التي يستخدمها المثيل الخاص بك ، وحدد "الوارد" ، ثم انقر فوق "تحرير". بدلاً من ذلك ، يمكنك الوصول إلى مجموعة الأمان هذه من لوحة المثيلات بالنقر فوقها ضمن خاصية "مجموعات الأمان".
من هنا ، يمكنك تعديل القواعد لمجموعة الأمان هذه. عادة ما يكون من الجيد ترك الصادر مفتوحًا ، ولكن يجب ترك الوارد مغلقًا قدر الإمكان. انقر فوق قاعدة SSH وقم بتبديل المصدر من "Anywhere" إلى "My IP" ، والذي يجب أن يغلقه.
لا داعي للقلق بشأن تغيير IP الخاص بك وإغلاقك ، حيث يمكنك دائمًا إعادة تعيينه من وحدة تحكم AWS.
إذا كانت لديك مثيلات متعددة تتحدث مع بعضها البعض ، مثل خادم قاعدة البيانات الذي يتصل بخادم API ، فيجب عليك تأمين الاتصال بينها من خلال السماح فقط بحركة المرور الآمنة بين المثلين. يجب ألا يتمكن أي شخص آخر من التحدث إلى قاعدة البيانات باستثناء خادم واجهة برمجة التطبيقات ، باستثناء عنوان IP الخاص بك لأغراض الإدارة.
لست مضطرًا إلى تحديد عناوين IP الفردية يدويًا ، لأن AWS ستتيح لك السماح بحركة المرور لجميع الأجهزة المخصصة لمجموعة أمان معينة. إذا كان لديك خوادم قاعدة بيانات متعددة ، فيمكنك منحهم جميعًا مجموعة أمان "قاعدة البيانات" ، والسماح لخادم واجهة برمجة التطبيقات (API) الخاص بك بالتحدث إلى أي شيء مع مجموعة الأمان تلك. يمكنك أيضًا السماح بكل شيء في شبكة فرعية محددة ، الأمر الذي يتطلب منك استخدام AWS's VPC.
إعداد مستخدمي IAM
يُعد مستخدمو AWS Identity and Access Management (IAM) وسيلة للسماح بالوصول إلى حسابك دون إعطاء أذونات كاملة. إذا كان لديك عدة أشخاص يصلون إلى موارد AWS الخاصة بك ، فيجب أن تمنحهم حق الوصول من خلال مستخدم IAM.يجب ألا تمنح حق الوصول إلى حساب الجذر الخاص بك.
مستخدمو IAM ليسوا فقط لأشخاص آخرين ؛ إذا كان لديك رمز يحتاج إلى الوصول إلى حساب AWS الخاص بك ، فيجب أن تسمح بالوصول من خلال مستخدم IAM. ستستفيد بعض خدمات AWS من مستخدمي IAM للعمل على الموارد في حسابك.
توصي AWS أيضًا باستخدام مستخدم IAM بإذن المسؤول لجميع مهامك العادية. بهذه الطريقة ، يمكنك قفل بيانات اعتماد حساب الجذر الخاص بك واستخدامه فقط عندما يكون ذلك ضروريًا للغاية ، وغالبًا ما يكون لصيانة الحساب.
يمكن تعيين أذونات محددة جدًا لمستخدمي IAM ، لذا يمكنك التأكد من أنه في حالة تعرض أحدهم للخطر ، فلن يؤثر ذلك على البنية الأساسية بالكامل. يمكنك أيضًا تعيين هذه الأذونات لمجموعات الدور ، وتعيين الأدوار للمستخدمين.
يمكنك إنشاء مستخدمي IAM جدد من خلال وحدة إدارة IAM. سيتم منحهم كلمة مرور يتم إنشاؤها عشوائيًا ، وسيضطرون إلى تغييرها عند تسجيل الدخول لأول مرة. يجب عليك تطبيق IAM Password Policy للتأكد من أن كلمات المرور هذه آمنة.
إجراء عمليات تدقيق أمنية منتظمة
يجب عليك مراجعة الأمان بشكل دوري للتأكد من عدم وجود أي شيء فاتك. توفر AWS قائمة تحقق شاملة للغاية لهذا الغرض بالتحديد.
تقوم قائمة التحقق هذه بحذف الموارد القديمة التي لم تعد قيد الاستخدام ومراجعة سياسات الأمان الخاصة بك للخدمات المختلفة. تتمثل المصادر الرئيسية لانعدام الأمان في التغييرات في كيفية استخدامك لخدمة AWS ، مثل ما إذا كنت قد بدأت في استخدام خدمة جديدة ، أو توقفت عن استخدام خدمة قديمة ، أو تركت الناس. في كل حالة ، يجب عليك مراجعة سياسات الوصول الخاصة بك.
إذا كنت لا تستخدم AWS لحساب مؤسسي ، فربما ليس من الضروري الانتقال إلى قائمة التحقق بأكملها هذه ، ولكن لا يزال يتعين عليك الاعتياد على مراجعة سياسات الأمان الخاصة بك بين الحين والآخر.
