Wat is AWS Security Framework?

Cloudtechnologie heeft de afgelopen jaren de wereld veroverd. Technologiegedreven bedrijven zijn gemigreerd naar de cloud of zijn bezig met de migratie naar de cloud. Een van de belangrijkste redenen voor deze snelle ontwikkeling is het gebruiksgemak, minder druk om de infrastructuur te beheren, geen schaalbaarheidsproblemen meer en kostenefficiëntie. Elke medaille heeft twee kanten, en dat geldt ook voor cloudtechnologie. Cloudtechnologie kent zijn eigen uitdagingen. De grootste daarvan is cloudbeveiliging.

AWS, ook bekend als Amazon Web Services, is een cloudserviceprovider en heeft in 2024 het grootste marktaandeel. AWS heeft momenteel 32% van het marktaandeel in handen, en de reden voor dit grote marktaandeel is niet de voordelen die cloudtechnologie biedt, maar het aantal tools en integratiemogelijkheden dat het biedt. AWS heeft diensten voor bijna alles wat u maar kunt bedenken, inclusief het verzenden van berichten, het beheren van gebruikers, het creëren van virtuele machines, enz.

In deze blogpost bespreken we wat het AWS Security Framework is, hoe het werkt en waarom bedrijven het überhaupt nodig hebben. We bespreken ook verschillende manieren om uw web- en serverloze applicaties te beveiligen, samen met verschillende tools en technologieën die AWS aanbiedt voor het automatiseren van het DevSecOps-proces.

Identiteits- en toegangsbeheer in AWS

Bedrijven met honderden werknemers hebben een goede tool nodig om hun identiteiten en hun toegang tot verschillende bronnen te beheren. Werknemers moeten bepaalde toegangsniveaus hebben op basis van de bronnen of gegevens die ze nodig hebben, en om dat te bereiken hebben we IAM nodig. In dit gedeelte bespreken we hoe AWS IAM werkt.

1. AWS Identiteits- en toegangsbeheer (IAM): IAM wordt door bedrijven gebruikt om de toegang tot AWS-bronnen of gegevens die in AWS zijn opgeslagen om veiligheidsredenen te controleren. IAM-functionaliteiten zijn toegankelijk via de AWS-gebruikersinterface of API. Deze tool helpt beheerders om gebruikers, toegangssleutels en machtigingen centraal te beheren, waardoor ze meer kunnen doen en rommel kunnen verminderen.
2. AWS Single Sign-On (SSO): AWS-accounts en -applicaties kunnen ook vanuit één bron worden beheerd met behulp van de cloudbasis, de AWS Single Sign-On (SSO)-service, die het beheer van SSO AWS-accounts eenvoudiger maakt.
3. AWS-organisaties voor beveiliging van meerdere accounts: Een organisatie kan meerdere AWS-accounts hebben onder de root- of hoofdaccount. De AWS-organisatieservice wordt aangeboden om al deze accounts te beheren. Dit wordt meestal gebruikt wanneer bedrijven kleine bedrijven overnemen of wanneer sommige teams afzonderlijke accounts aanmaken op basis van het gebruiksscenario.

AWS-netwerkbeveiliging en gegevensbescherming implementeren

Netwerkbeveiliging is een proces dat wordt gebruikt om gevoelige informatie op netwerken (die van bron naar bestemming wordt verzonden) te beschermen. Netwerkbeveiliging kan op verschillende manieren worden geïmplementeerd, bijvoorbeeld door gebruik te maken van hardware, software en protocollen, met als uiteindelijk doel gegevens te beschermen. Enkele van de tools die AWS biedt voor gegevensbescherming zijn:

Virtual Private Cloud

Amazon Virtual Private Cloud (VPC) helpt bij het creëren van geïsoleerde secties binnen de cloud die worden afgeschermd van de rest van de cloud. Deze geïsoleerde netwerken isoleren de bronnen die in het netwerk worden gebruikt en bieden zowel openbare als privé-subnetten, die helpen om gevoelige bronnen te beschermen tegen directe internettoegang.

Beveiligingsgroepen en netwerktoegangscontrolelijsten

AWS biedt twee tools om het verkeer binnen de VPC te controleren. De eerste is Security Groups, waarbij AWS een soort virtuele firewall biedt die op instanceniveau werkt en ervoor zorgt dat deze kan worden geconfigureerd voor inkomend verkeer en het uitgaande verkeer kan controleren met behulp van IP-bereik, poort, protocol, enz. De andere is Network Access Control Lists (NACL's). Deze regels werken op netwerkniveau, in dit geval op subnetniveau, en controleren zowel inkomend als uitgaand verkeer.

AWS Private Link en VPC-eindpunten

Als een organisatie of klant toegang wil tot AWS-services zonder gebruik te maken van het openbare internet, kunnen ze AWS PrivateLink gebruiken, een van de VPC-eindpunten. Met PrivateLink kunnen klanten veilig toegang krijgen tot services en kunnen ze ook toegang krijgen tot VPC-bronnen vanuit de AWS-services en VPC-eindpuntservices.

Gegevensversleuteling

AWS Data Encryption is een van de belangrijkste beveiligingstools die helpt bij het beschermen van gevoelige gegevens, zowel in de rustfase (data at rest) als in de transitfase (data in motion). Om de gegevens in rust te beschermen, kunnen AWS-services zoals Amazon EBS, S3 en RDS worden gebruikt om de gegevens die ze bevatten automatisch te versleutelen (het direct inschakelen van versleuteling werkt mogelijk niet voor complexe gevallen van gegevensopslag). In het andere geval, wanneer de gegevens in transit zijn, kunnen SSL/TLS-protocollen samen met VPN-verbindingen worden gebruikt om te voorkomen dat aanvallers gegevens onderscheppen.

AWS Certificate Manager

Om de versleutelingstechnieken soepel te laten werken in AWS, wordt AWS Certificate Manager (ACM) gebruikt. ACM helpt bij het leveren, beheren en implementeren van SSL/TLS-certificaten en het beheren van de verlenging ervan. Dit wordt veel gebruikt door bedrijven die AWS gebruiken om webapplicaties te implementeren.

Soorten AWS-beveiligingsframeworks

Enkele van de belangrijkste soorten beveiligingsframeworks die door AWS worden aangeboden, zijn:

1. AWS Cloud Adoption Framework (CAF)

AWS CAF helpt providers om een beveiligingsperspectief te ontwikkelen en best practices voor gegevensbeveiliging te definiëren. Het is meer gericht op het laten zien aan bedrijven hoe ze de juiste mix van beveiliging en bedrijfsvoering kunnen waarborgen, IAM-oplossingen moeten worden geïmplementeerd en hoe bedrijven kunnen voldoen aan de federale naleving van overheidsinstanties. Het raamwerk is meer een gids die bedrijven laat zien hoe ze beveiliging kunnen implementeren en integreren in hun bedrijfsvoering.

2. Nalevingsraamwerken

AWS heeft een formeel beveiligings- en nalevingsprogramma met een aantal vastomlijnde vereisten. AWS heeft een aantal infrastructuurdiensten ontworpen om ervoor te zorgen dat organisaties voldoen aan hun wettelijke verplichtingen, zoals PCI DSS (Payment Card Industry Data Security Standard for the Payment Card Industry), HIPAA en SOC2.

3. AWS Control Tower

AWS Control Tower is een dienst die dienstverleners helpt bij het opzetten van een veilige en conforme AWS-omgeving met meerdere accounts. Deze dienst kan worden gebruikt om belangrijke accountrollen en de basis van diensten in te stellen die mogelijkheden toevoegen om accounts te delen, toegang te krijgen tot cloudgegevens en oplossingen voor problemen met accountinstellingen te beheren.

4. Data Protection Framework

AWS biedt richtlijnen en diensten om de gevoelige en PII-gegevens van het bedrijf te helpen beschermen. Dit omvat de bescherming van gegevens in rust en in beweging. Dit kan worden gedaan door middel van gegevensbeheer, waaronder beheer van encryptiesleutels, monitoring, toegangscontroles en patronen in het gebruik van apparaten.

5. Kader voor incidentrespons

Incidentrespons is een plan dat door bedrijven wordt gebruikt om een beveiligingsincident te beheren, erop te reageren en ervan te herstellen. AWS-gebruikers kunnen een solide incidentresponsplan opstellen met behulp van AWS CloudTrail voor het controleren van API-gebruik, Amazon GuardDuty voor het detecteren van bedreigingen en AWS Systems Manager voor het automatiseren van responsacties.

6. Gedeeld verantwoordelijkheidsmodel

Dit is geen raamwerk, maar een belangrijk concept dat moet worden begrepen in termen van AWS-beveiliging. Volgens dit model ligt de verantwoordelijkheid voor het beveiligen van gegevens niet alleen bij de cloudprovider, maar ook bij de eindgebruiker.

AWS-tools voor beveiligingsmonitoring, logboekregistratie en naleving

AWS biedt meerdere services voor logboekregistratie, monitoring en naleving. Enkele daarvan zijn:

#1. AWS CloudTrail

AWS CloudTrail wordt gebruikt voor beveiligingsmonitoring en auditing. Het biedt een logboek voor elke actie die mogelijk is uitgevoerd op een AWS-service door een gebruiker, rol of een AWS-service zelf.

#2. Amazon CloudWatch

Amazon CloudWatch helpt bij het monitoren van de resources en applicaties die de gebruiker op AWS uitvoert. Het wordt gebruikt om AWS-resources te monitoren, zoals Amazon EC2-instances, Amazon Dynamo DB-tabellen en nog veel meer.

#3. AWS Config

AWS Config helpt bij het bijhouden van de configuratie van AWS-resources die door gebruikers in hun accounts worden gebruikt. Het vergelijkt in feite de configuraties van gebruikers met de gewenste instellingen, wat helpt om de veiligheid en naleving als einddoel te handhaven.

#4. AWS Artifact

Om nalevingsgerelateerde informatie te verkrijgen uit de beveiligings- en nalevingsrapporten en online overeenkomsten van AWS, biedt AWS de AWS Artifact-service aan. Deze service biedt gebruikers meerdere nalevingsdocumenten, waaronder AWS ISO-certificeringen, Payment Card Industry (PCI)-rapporten en Service Organization Control (SOC)-rapporten.

#5. AWS Control Tower

AWS Control Tower biedt een raamwerk dat door ondernemingen wordt gebruikt om een AWS-omgeving met meerdere accounts op te zetten. Het zorgt ervoor dat u een compliant en goed beheerd beleid voor meerdere accounts hebt door een uniform beleid te handhaven voor alle accounts en organisatie-eenheden.

#6. AWS Audit Manager

AWS Audit Manager is een service die uw AWS-gebruik monitort, zodat u gemakkelijker risico's en naleving van regelgeving en industrienormen kunt beoordelen. Het verzamelt automatisch bewijsmateriaal, waardoor er minder handmatig werk nodig is om een audit voor te bereiden.

Detectie van bedreigingen en incidentrespons in AWS-omgevingen

Het is belangrijk om beveiligingsrisico's snel te kunnen detecteren en erop te kunnen reageren. AWS biedt hiervoor onder andere de volgende tools:

• Amazon GuardDuty

AWS biedt gebruikers een intelligente dienst voor dreigingsdetectie, genaamd Amazon GuardDuty. Deze tool controleert continu op dreigende activiteiten of ongeoorloofd gedrag in het AWS-account. Deze service kan een onbeperkt aantal records uit de AWS-gegevensbronnen analyseren door gebruik te maken van machine learning, anomaliedetectie en geïntegreerde dreigingsinformatie.

• AWS Security Hub

Er kunnen zich meerdere beveiligingsproblemen voordoen in uw AWS-omgeving. Om de meest kritieke problemen te identificeren, kan de beheerder gebruikmaken van AWS Security Hub, dat een totaaloverzicht biedt van de beveiligingsstatus en de waarschuwingen voor kritieke bedreigingen organiseert en prioriteert.

• Amazon Detective

Voor veel snellere beveiligingsonderzoeken kunnen organisaties Amazon Detective gebruiken, dat machine learning en grafentheorie gebruikt om een gekoppelde set gegevens uit de AWS-bronnen op te bouwen.

• Amazon Macie

Gegevensbescherming is een absolute noodzaak voor elke organisatie. Amazon biedt Amazon Macie, dat gebruikmaakt van machine learning en patroonherkenning om de gevoelige gegevens in AWS te beschermen. Het kan ook een lijst geven van Amazon S3-buckets die mogelijk de gegevens bevatten en niet versleuteld of openbaar toegankelijk zijn (ook wel verkeerd geconfigureerd genoemd).

• AWS IoT Device Defender

Bij het gebruik van IoT-apparaten moeten organisaties voorzichtig zijn met zaken als identiteitscertificaten die door meerdere apparaten worden gedeeld of apparaten met abnormaal hoog uitgaand verkeer, wat erop kan wijzen dat ze deelnemen aan een DDoS-aanval. Deze problemen worden automatisch opgelost door AWS IoT Device Defender, waardoor de hardware-infrastructuur wordt beveiligd.

Hoe u web- en serverloze applicaties in AWS kunt beveiligen

Webservices zijn tegenwoordig heel gewoon. Ontwikkelaars gebruiken een webserver om applicaties te implementeren, maar serverloos is een nieuw concept. In serverloze omgevingen hoeven ontwikkelaars de infrastructuur niet te beheren of te onderhouden; dat wordt allemaal gedaan door de cloudprovider. Laten we eens kijken naar de belangrijkste services en hun rol bij het beveiligen van uw web- en serverloze applicaties:

1. AWS WAF (Web Application Firewall)

Veelvoorkomende web-exploits kunnen de beschikbaarheid van uw applicatie beïnvloeden, de veiligheid ervan in gevaar brengen of ook leiden tot overmatig verbruik van bronnen. AWS WAF beschermt onze applicatie tegen al deze bedreigingen. Het stelt gebruikers in staat om beveiligingsregels te creëren om botverkeer te controleren en veelvoorkomende aanvalspatronen te blokkeren, zoals SQL-injectie of cross-site scripting.

2. Amazon Inspector

Een van de AWS-services die ons helpt om ervoor te zorgen dat we aan de regels voldoen, is Amazon Inspector, dat de blootstelling, kwetsbaarheden en best practices van de applicatie analyseert. Amazon Inspector biedt een gedetailleerd rapport van al deze zaken en hun ernst. Deze rapporten bevatten ook suggesties voor het oplossen van de problemen.

3. AWS Shield

AWS Shield is een Distributed Denial of Service (DDoS)-beveiligingsservice die tot doel heeft de downtime en latentie van applicaties tot een minimum te beperken. Het beveiligt applicaties die op AWS draaien tegen alle soorten DDOS-aanvallen.

4. AWS Firewall Manager

AWS Firewall Manager maakt het eenvoudiger om AWS WAF, AWS Shield Advanced en Amazon VPC-beveiligingsgroepen centraal te configureren en te beheren voor al uw accounts en applicaties. AWS Firewall Manager maakt het eenvoudiger om meerdere beveiligingsregels te beheren en workloads continu te beschermen.

5. AWS Network Firewall

AWS Network Firewall maakt het eenvoudig om netwerkbeveiliging in te voeren voor alle Amazon Virtual Private Clouds. Met AWS Network Firewall kunt u beveiligingsbeleid opstellen met firewallregels die gedetailleerde controle bieden over het netwerkverkeer in uw VPC's.

Verschillende tools voor het implementeren van beveiligingsautomatisering en DevSecOps

Het is belangrijk om beveiligingsautomatisering te integreren in het DevOps-proces voor een hoger niveau van robuuste beveiliging. Enkele AWS-tools die ons daarbij helpen, zijn:

• AWS Systems Manager

AWS Systems Manager is een beheerservice waarmee u automatisch software-inventaris kunt verzamelen, patches voor besturingssystemen kunt toepassen, systeemimages kunt maken en Windows- en Linux-besturingssystemen kunt configureren.

• AWS CloudFormation

AWS CloudFormation biedt een gemeenschappelijke taal waarmee u AWS- en externe applicatiebronnen in uw cloudomgeving kunt definiëren en inrichten. Op het gebied van beveiliging stelt CloudFormation u in staat om beveiligingsmaatregelen te definiëren als onderdeel van uw infrastructuursjablonen en deze af te dwingen zonder dat er extra werk nodig is.

• Integratie met CI/CD-pijplijnen

Bedrijven gebruiken CI/CD-pijplijnen om applicaties te bouwen, te testen en te implementeren. De volgende AWS-services en -mogelijkheden kunnen worden geïntegreerd met uw bestaande CI/CD-pijplijnen om de algehele beveiliging van de bouwcyclus te helpen verbeteren.

1. AWS CodePipeline helpt bij het beheren van het releaseproces en integreert beveiligingscontroles in verschillende stadia.
2. Amazon CodeGuru Reviewer kan geautomatiseerde codebeoordelingen uitvoeren om beveiligingskwetsbaarheden te identificeren en passende oplossingen voor te stellen.
3. AWS CodeBuild kan worden geconfigureerd om beveiligingsscans en -tests uit te voeren als onderdeel van het bouwproces.
4. De Amazon ECR-scan bij push-functie kan containerimages automatisch scannen op kwetsbaarheden wanneer ze naar de satisfactory- of containerregistratie worden gepusht.

• AWS Security Hub Automated Response and Remediation

Met automatische respons en herstel van AWS Security Hub kunt u automatisch actie ondernemen op beveiligingsbevindingen. Het is gebaseerd op AWS Systems Manager Automation-documenten om veelvoorkomende beveiligingsproblemen op te lossen. Als Security Hub bijvoorbeeld een te permissieve beveiligingsgroepsregel detecteert, kan het de regel automatisch bewerken om de toegang te beperken.

Best practices voor AWS Security

AWS wordt veel gebruikt en is daarom een belangrijk doelwit voor aanvallers. Laten we enkele best practices bespreken die moeten worden geïmplementeerd bij het gebruik van AWS Security.

#1. Implementatie van toegang met minimale rechten

Het principe van minimale rechten houdt in dat gebruikers en diensten alleen de minimale rechten moeten krijgen die absoluut noodzakelijk zijn om hun werk te kunnen doen. AWS biedt AWS Identity and Access Management (IAM) voor het opstellen van beleidsregels die helpen om de toegang op basis van specifieke voorwaarden te beperken. Deze beleidsregels moeten echter van tijd tot tijd worden herzien en gecontroleerd om er zeker van te zijn dat ze geschikt zijn en voldoen aan de nieuwste normen.

#2. Beveiliging van de netwerkinfrastructuur

Virtual Private Clouds (VPC's) moeten goed worden gecontroleerd en geconfigureerd om de veiligheid van de infrastructuur van de gebruiker te waarborgen. AWS-beheerders kunnen beveiligingsgroepen en netwerktoegangscontrolelijsten (NACL's) gebruiken om inkomend en uitgaand verkeer te controleren. Om gevoelige bronnen te beschermen, moet netwerksegmentatie worden geïmplementeerd door gebruik te maken van openbare en privé-subnetten en bronnen in privé-subnetten te plaatsen op basis van de kriticiteit van de bronnen en het zakelijke gebruik.

#3. Strategieën voor gegevensbescherming en -versleuteling

Gegevens moeten in beide stadia worden versleuteld, zowel wanneer ze in rust zijn als wanneer ze worden verzonden. Bedrijven kunnen AWS Key Management Service gebruiken om versleutelingssleutels te maken en te beheren. Standaard versleuteling moet worden ingeschakeld, zodat gegevens in rust worden versleuteld in Amazon S3-buckets en EBS. Bovendien kunnen ontwikkelaars de SSL/TLS-protocollen gebruiken om gegevens tijdens het transport te versleutelen. Om te bepalen wie toegang heeft tot S3-gegevens, biedt AWS bucketbeleidsregels en toegangscontrolelijsten.

#4. Monitoring en incidentrespons

Organisaties kunnen gedetailleerde logboekregistratie en monitoring inschakelen via AWS CloudTrail, Amazon CloudWatch en AWS Config. Bovendien moet de organisatie worden gewaarschuwd wanneer verdachte activiteiten automatisch worden gedetecteerd, en moet Amazon GuardDuty worden gebruikt voor intelligente dreigingsdetectie.

#5. Continue beveiligingsbeoordeling en naleving

AWS raadt aan om regelmatig beveiligingsbeoordelingen binnen de organisatie te plannen. Het bedrijf kan Amazon Inspector gebruiken, een beveiligingsbeoordelingsservice voor kwetsbaarheidsbeoordeling. Bovendien kan het bedrijf AWS- en externe tools gebruiken om het AWS-gebruik continu te controleren, waaronder AWS Audit Manager, om te voldoen aan het beveiligingsbeleid en de normen van de organisatie.

Waarom SentinelOne voor AWS-beveiliging?

SentinelOne is een toonaangevende oplossing die door bedrijven over de hele wereld wordt gebruikt om AWS-infrastructuur te beschermen. Het kan bedrijven helpen beveiligingslacunes op te vullen door gebruik te maken van geavanceerde tools voor dreigingsdetectie in combinatie met geautomatiseerde responsmogelijkheden voor verschillende AWS-services. Dit omvat EC2-instances, containers of gecontaineriseerde applicaties en serverloze functies die gebruikmaken van AWS Lambda.

SentinelOne maakt gebruik van geavanceerde machine learning-modellen en gedragsanalyses om geavanceerde beveiligingsaanvallen of datalekken te identificeren en te stoppen. De tool kan eenvoudig worden geïntegreerd met AWS-services zoals AWS CloudTrail en AWS GuardDuty. Dankzij de eenvoudige integratie kunnen bedrijven de tool gemakkelijker implementeren.

SentinelOne kan zero-day exploits samen met bestandsloze malware (malware die geen uitvoerbare bestanden op het systeem nodig heeft) in de cloudinfrastructuur detecteren, wat een extra verdedigingslaag toevoegt aan de bestaande beveiligingsmaatregelen. Omdat de tool gebruikmaakt van cloud-native architectuur, wordt de prestatie van AWS nauwelijks beïnvloed.

Conclusie

AWS Security is geen modewoord dat door ingenieurs wordt gebruikt; het is een beveiligingsoplossing die door AWS wordt aangeboden om ervoor te zorgen dat de gegevens en applicaties die in AWS worden opgeslagen/gehost, beveiligd zijn tegen bedreigingen. AWS Security Framework is een proces met meerdere niveaus dat bedrijven helpt bij het opsporen en oplossen van beveiligingsproblemen in de AWS-infrastructuur. Dit gebeurt niet met slechts een paar tools, maar met een verscheidenheid aan tools en meerdere richtlijnen om ervoor te zorgen dat gevoelige gegevens niet in verkeerde handen vallen.

AWS Security Framework voorziet ook in de behoeften van organisaties op het gebied van automatisering en schaalbaarheid. Het biedt diensten zoals AWS Config, CloudFormation en Systems Manager die organisaties helpen beveiliging te integreren als een Infrastructure as a Code-dienst. Het helpt ook bij het beheren van de uniformiteit van beveiligingsbeleid voor meerdere AWS-accounts binnen dezelfde organisatie.

FAQs