Cloudtechnologie heeft de wereld de afgelopen jaren overgenomen. Technologiegedreven bedrijven zijn ofwel gemigreerd naar de cloud of zijn bezig met de migratie naar de cloud. Een van de grootste redenen voor deze snelle overstap is het gebruiksgemak, minder zorgen over het beheer van de infrastructuur, geen schaalbaarheidsproblemen meer en kostenefficiëntie. Elke medaille heeft twee kanten, en cloudtechnologie is daarop geen uitzondering. Cloudtechnologie kent zijn eigen uitdagingen. De grootste daarvan is cloudbeveiliging.
AWS, oftewel Amazon Web Services, is een cloudserviceprovider en heeft in 2024 het grootste marktaandeel. AWS bezit momenteel 32% van het marktaandeel, en de reden voor dit grote marktaandeel is niet de voordelen die cloudtechnologie biedt, maar het aantal tools en integratieopties dat het aanbiedt. AWS heeft diensten voor vrijwel alles wat u kunt bedenken, zoals het verzenden van berichten, gebruikersbeheer, het aanmaken van virtuele machines, enzovoort.
In deze blogpost bespreken we wat het AWS Security Framework is, hoe het werkt en waarom bedrijven het nodig hebben. We bespreken ook verschillende manieren om uw web- en serverless applicaties te beveiligen, samen met diverse tools en technologieën die AWS biedt voor het automatiseren van het DevSecOps-proces.
Identiteits- en toegangsbeheer in AWS
Bedrijven met honderden medewerkers hebben een geschikt hulpmiddel nodig om hun identiteiten te beheren en hoe zij toegang krijgen tot verschillende resources. Medewerkers moeten bepaalde toegangsrechten hebben op basis van welke resource of data zij nodig hebben, en om dat te realiseren is IAM nodig. In deze sectie bespreken we hoe AWS IAM werkt.
- AWS Identity and Access Management (IAM): IAM wordt door bedrijven gebruikt om toegang tot AWS-resources of data die in AWS is opgeslagen te beheren om veiligheidsredenen. IAM-functionaliteiten zijn toegankelijk via de AWS UI of API. Deze tool helpt beheerders om gebruikers, toegangssleutels en rechten centraal te beheren, waardoor ze meer kunnen doen en minder rommel hebben.
- AWS Single Sign-On (SSO): AWS-accounts en applicaties kunnen ook vanuit één bron worden beheerd met behulp van de cloudgebaseerde AWS Single Sign-On (SSO)-dienst, wat het beheer van SSO AWS-accounts eenvoudiger maakt.
- AWS Organizations voor multi-accountbeveiliging: Een organisatie kan meerdere AWS-accounts onder het root- of hoofdaccount hebben. De AWS Organization-dienst is beschikbaar om al deze accounts te beheren. Dit wordt meestal gebruikt wanneer bedrijven kleine bedrijven overnemen of wanneer teams aparte accounts aanmaken op basis van het gebruiksscenario.
Netwerkbeveiliging en gegevensbescherming implementeren in AWS
Netwerkbeveiliging is een proces dat wordt gebruikt om gevoelige informatie op netwerken te beschermen (van bron naar bestemming). Netwerkbeveiliging kan op verschillende manieren worden geïmplementeerd, bijvoorbeeld door gebruik te maken van hardware, software en protocollen met als einddoel het beschermen van data. Enkele van de tools die AWS biedt voor gegevensbescherming zijn:
Virtual Private Cloud
Amazon Virtual Private Cloud (VPC) helpt bij het creëren van geïsoleerde secties binnen de cloud die gescheiden zijn van de rest van de cloud. Deze geïsoleerde netwerken isoleren de resources die in het netwerk worden gebruikt en bieden zowel publieke als private subnets, die helpen om gevoelige resources te beschermen tegen directe internettoegang.
Security Groups en Network Access Control Lists
AWS biedt twee tools om het verkeer binnen de VPC te beheren. De eerste is Security Groups, waarbij AWS een soort virtuele firewall biedt die op instance-niveau werkt en kan worden geconfigureerd voor inkomend verkeer en het uitgaand verkeer kan beheren op basis van IP-bereik, poort, protocol, enzovoort. De andere is Network Access Control Lists (NACLs). Deze regels werken op netwerkniveau, in dit geval het subnet-niveau, en beheren zowel inkomend als uitgaand verkeer.
AWS Private Link en VPC Endpoints
Als een organisatie of klant AWS-diensten wil benaderen zonder gebruik te maken van het publieke internet, kunnen ze AWS PrivateLink gebruiken, een van de VPC Endpoints. PrivateLink stelt klanten in staat om diensten veilig te benaderen en maakt het ook mogelijk om VPC-resources te benaderen vanuit de AWS-diensten en VPC Endpoint Services.
Gegevensversleuteling
AWS Data Encryption is een van de belangrijkste beveiligingstools die helpt om gevoelige data te beschermen, zowel in rust (data at rest) als tijdens transport (data in motion). Om data in rust te beschermen, kunnen AWS-diensten zoals Amazon EBS, S3 en RDS worden gebruikt, die direct kunnen worden geconfigureerd om de aanwezige data automatisch te versleutelen (directe encryptie inschakelen werkt mogelijk niet voor complexe opslagscenario's). Voor het andere geval, wanneer data onderweg is, kunnen SSL/TLS-protocollen worden gebruikt samen met VPN-verbindingen om te voorkomen dat aanvallers data onderscheppen.
AWS Certificate Manager
Voor een soepele werking van encryptietechnieken in AWS wordt de AWS Certificate Manager (ACM) gebruikt. ACM helpt bij het uitgeven, beheren en implementeren van SSL/TLS-certificaten en het beheren van certificaatvernieuwing. Dit wordt veel gebruikt door bedrijven die AWS gebruiken om webapplicaties te implementeren.
Typen AWS Security Framework
Enkele van de belangrijkste typen beveiligingsframeworks die door AWS worden aangeboden zijn:
1. AWS Cloud Adoption Framework (CAF)
AWS CAF helpt aanbieders om een beveiligingsperspectief te krijgen en best practices voor gegevensbeveiliging te definiëren. Het is meer gericht op het tonen aan bedrijven hoe zij de juiste mix van beveiliging en bedrijfsvoering kunnen waarborgen, IAM-oplossingen moeten worden geïmplementeerd en hoe bedrijven kunnen voldoen aan federale regelgeving van overheidsinstanties. Het framework is meer een gids die bedrijven laat zien hoe zij beveiliging kunnen implementeren en integreren met hun bedrijfsvoering.
2. Compliance Frameworks
AWS heeft een formeel beveiligings- en complianceprogramma en kent enkele vastgestelde vereisten. AWS heeft een aantal infrastructuurdiensten ontworpen om ervoor te zorgen dat organisaties aan hun wettelijke verplichtingen voldoen, zoals PCI DSS (Payment Card Industry Data Security Standard voor de betaalkaartindustrie), HIPAA en SOC2.
3. AWS Control Tower
AWS Control Tower is een dienst die aanbieders helpt om een veilige en conforme multi-account AWS-omgeving op te zetten. Dit kan worden gebruikt om belangrijke accountrollen en de basis van diensten in te stellen die mogelijkheden toevoegen om accounts te delen, clouddata te benaderen en problemen met accountinstellingen op te lossen.
4. Data Protection Framework
AWS biedt richtlijnen en diensten om gevoelige en PII-data van het bedrijf te beschermen. Dit omvat de bescherming van data in rust en tijdens transport. Dit kan worden gedaan via gegevensbeheer, waaronder beheer van encryptiesleutels, monitoring, toegangsbeheer en apparaatgebruikspatronen.
5. Incident Response Framework
Incident response is een plan dat bedrijven gebruiken om een beveiligingsincident te beheren, erop te reageren en ervan te herstellen. AWS-gebruikers kunnen een solide incident response-plan opstellen met behulp van AWS CloudTrail voor het auditen van API-gebruik, Amazon GuardDuty voor dreigingsdetectie en AWS Systems Manager voor het automatiseren van responsacties.
6. Shared Responsibility Model
Dit is geen framework, maar een belangrijk concept dat begrepen moet worden in het kader van AWS-beveiliging. Volgens dit model is de verantwoordelijkheid voor het beveiligen van data niet alleen voor de cloudprovider, maar ook voor de eindgebruiker.
AWS-tools voor beveiligingsmonitoring, logging en compliance
AWS biedt meerdere diensten voor logging, monitoring en compliance. Enkele daarvan zijn:
#1. AWS CloudTrail
AWS CloudTrail wordt gebruikt voor beveiligingsmonitoring en auditing. Het biedt een logboek van elke actie die mogelijk heeft plaatsgevonden op een AWS-dienst door een gebruiker, rol of een AWS-dienst zelf.
#2. Amazon CloudWatch
Amazon CloudWatch helpt bij het monitoren van de resources en applicaties die de gebruiker op AWS draait. Het wordt gebruikt om AWS-resources te monitoren zoals Amazon EC2-instances, Amazon Dynamo DB-tabellen en nog veel meer.
#3. AWS Config
AWS Config helpt bij het bijhouden van de configuratie van AWS-resources die door gebruikers in hun accounts worden gebruikt. Het vergelijkt in feite de gebruikersconfiguraties met de gewenste instellingen, wat helpt om beveiliging en compliance als einddoel te behouden.
#4. AWS Artifact
Om compliance-gerelateerde informatie te verkrijgen uit de beveiligings- en compliance-rapporten en online overeenkomsten van AWS, biedt AWS de AWS Artifact-dienst. Deze dienst biedt gebruikers meerdere compliance-documenten, waaronder AWS ISO-certificeringen, Payment Card Industry (PCI)-rapporten en Service Organization Control (SOC)-rapporten.
#5. AWS Control Tower
AWS Control Tower biedt een framework dat door ondernemingen wordt gebruikt om een multi-account AWS-omgeving op te zetten. Het zorgt ervoor dat u een conforme en goed beheerde multi-account policy heeft door een uniform beleid te handhaven over alle accounts en organisatorische eenheden.
#6. AWS Audit Manager
AWS Audit Manager is een dienst die uw AWS-gebruik monitort om het eenvoudiger te maken risico's en compliance met regelgeving en industriestandaarden te beoordelen. Het verzamelt automatisch bewijsmateriaal, waardoor de handmatige inspanning voor het voorbereiden van een audit wordt verminderd.
Dreigingsdetectie en incident response in AWS-omgevingen
Het vermogen om snel beveiligingsdreigingen te detecteren en erop te reageren is belangrijk. Enkele van de tools die AWS hiervoor biedt zijn:
Amazon GuardDuty
AWS biedt gebruikers een intelligente dreigingsdetectiedienst genaamd Amazon GuardDuty. Deze tool monitort continu op dreigingsactiviteiten of ongeautoriseerd gedrag in het AWS-account. Deze dienst kan een willekeurig aantal records uit de AWS-databronnen analyseren door gebruik te maken van machine learning, anomaliedetectie en geïntegreerde dreigingsinformatie.
AWS Security Hub
In uw AWS-omgeving kunnen meerdere beveiligingsproblemen ontstaan. Om de meest kritieke te identificeren, kan de beheerder gebruikmaken van AWS Security Hub, dat een totaaloverzicht van de beveiligingsstatus biedt en waarschuwingen voor kritieke dreigingen organiseert en prioriteert.
Amazon Detective
Voor veel snellere beveiligingsonderzoeken kunnen organisaties Amazon Detective gebruiken, dat machine learning en grafentheorie gebruikt om een gekoppelde dataset op te bouwen uit de AWS-resources.
Amazon Macie
Gegevensbescherming is absoluut noodzakelijk voor elke organisatie. Amazon biedt Amazon Macie, dat machine learning en patroonherkenning gebruikt om gevoelige data in AWS te beschermen. Het kan ook een lijst geven van Amazon S3-buckets die mogelijk data bevatten en niet versleuteld of publiek toegankelijk zijn (oftewel verkeerd geconfigureerd).
AWS IoT Device Defender
Bij het gebruik van IoT-apparaten moeten organisaties letten op problemen zoals identiteitscertificaten die gedeeld worden over meerdere apparaten of apparaten met abnormaal veel uitgaand verkeer, wat kan duiden op deelname aan een DDoS-aanval. Deze problemen worden automatisch afgehandeld door AWS IoT Device Defender, waardoor de hardware-infrastructuur wordt beveiligd.
Hoe web- en serverless applicaties in AWS te beveiligen
Webdiensten zijn tegenwoordig gebruikelijk, waarbij ontwikkelaars een webserver gebruiken om applicaties te implementeren, maar serverless is een nieuw concept. In serverless omgevingen hoeven ontwikkelaars de infrastructuur niet te beheren of onderhouden; dit wordt volledig door de cloudprovider gedaan. Laten we belangrijke diensten en hun rol bespreken die kunnen worden gebruikt om uw web- en serverless applicaties te beschermen:
1. AWS WAF (Web Application Firewall)
Veelvoorkomende webexploits kunnen de beschikbaarheid van uw applicatie beïnvloeden, de beveiliging in gevaar brengen of overmatig resourcegebruik veroorzaken. AWS WAF beschermt onze applicatie tegen al deze dreigingen. Het stelt gebruikers in staat beveiligingsregels te maken om botverkeer te beheren en veelvoorkomende aanvalspatronen te blokkeren, zoals SQL-injectie of cross-site scripting.
2. Amazon Inspector
Een van de AWS-diensten die ons helpt te zorgen dat we compliant zijn, is Amazon Inspector, dat de blootstelling, kwetsbaarheden en best practices van de applicatie analyseert. Amazon Inspector biedt een gedetailleerd rapport van al deze aspecten en hun ernstniveau. Deze rapporten bevatten ook suggesties om de problemen op te lossen.
3. AWS Shield
AWS Shield is een Distributed Denial of Service (DDoS)-beschermingsdienst die tot doel heeft applicatie-uitval en latentie te minimaliseren. Het beveiligt applicaties die op AWS draaien tegen alle soorten DDoS-aanvallen.
4. AWS Firewall Manager
AWS Firewall Manager maakt het eenvoudiger om AWS WAF, AWS Shield Advanced en Amazon VPC security groups centraal te configureren en beheren over uw accounts en applicaties. AWS Firewall Manager maakt het eenvoudiger om meerdere beveiligingsregels te beheren en workloads continu te beschermen.
5. AWS Network Firewall
AWS Network Firewall maakt het eenvoudig om netwerkbeveiliging te implementeren voor alle Amazon Virtual Private Clouds. Met AWS Network Firewall kunt u beveiligingsbeleid opstellen met firewallregels die gedetailleerde controle bieden over netwerkverkeer tussen uw VPC's.
Verschillende tools voor het implementeren van security automation en DevSecOps
Het is belangrijk om security automation te integreren in het DevOps-proces voor een robuustere beveiligingshouding. Enkele van de AWS-tools die ons hierbij helpen zijn:
AWS Systems Manager
AWS Systems Manager is een beheerdienst die u helpt automatisch software-inventaris te verzamelen, besturingssysteempatches toe te passen, systeemimages te maken en Windows- en Linux-besturingssystemen te configureren.
AWS CloudFormation
AWS CloudFormation biedt een gemeenschappelijke taal om AWS- en third-party applicatieresources in uw cloudomgeving te definiëren en te implementeren. Op het gebied van beveiliging stelt CloudFormation u in staat beveiligingscontroles te definiëren als onderdeel van uw infrastructuursjablonen en deze af te dwingen zonder extra werk.
Integratie met CI/CD-pijplijnen
Bedrijven gebruiken CI/CD-pijplijnen om applicaties te bouwen, testen en implementeren. De volgende AWS-diensten en mogelijkheden kunnen worden geïntegreerd met uw bestaande CI/CD-pijplijnen om de algehele beveiliging van de buildcyclus te verbeteren.
- AWS CodePipeline helpt het releaseproces te beheren en integreert beveiligingscontroles in verschillende fasen.
- Amazon CodeGuru Reviewer kan geautomatiseerde codebeoordelingen uitvoeren om beveiligingskwetsbaarheden te identificeren en passende oplossingen voor te stellen.
- AWS CodeBuild kan worden geconfigureerd om beveiligingsscans en tests uit te voeren als onderdeel van het buildproces.
- Amazon ECR scan on push-functie kan automatisch containerimages scannen op kwetsbaarheden wanneer ze naar de container registry worden gepusht.
AWS Security Hub Automated Response and Remediation
Automatische respons en herstel van AWS Security Hub stelt u in staat om automatisch actie te ondernemen op beveiligingsbevindingen. Het is gebaseerd op AWS Systems Manager Automation-documenten om veelvoorkomende beveiligingsproblemen op te lossen. Als Security Hub bijvoorbeeld een te permissieve security group-regel detecteert, kan deze automatisch worden aangepast om de toegang te beperken.
Best practices voor AWS-beveiliging
AWS is, vanwege het brede gebruik, een belangrijk doelwit voor aanvallers. Laten we enkele best practices bespreken die moeten worden geïmplementeerd bij het gebruik van AWS-beveiliging.
#1. Implementatie van least privilege access
Het principe van least privilege stelt dat alleen de minimale rechten die absoluut noodzakelijk zijn voor gebruikers en diensten om hun werk te doen, moeten worden toegekend. AWS biedt AWS Identity and Access Management (IAM) voor het aanmaken van beleidsregels die de toegang beperken op basis van specifieke voorwaarden. Deze beleidsregels moeten echter regelmatig worden herzien en gecontroleerd om te zorgen dat ze geschikt zijn en voldoen aan de laatste standaarden.
#2. Beveiliging van netwerk infrastructuur
Virtual Private Clouds (VPC's) moeten goed worden gecontroleerd en geconfigureerd om de beveiliging van de infrastructuur van de gebruiker te waarborgen. AWS-beheerders kunnen security groups en network access control lists (NACLs) gebruiken om inkomend en uitgaand verkeer te beheren. Om gevoelige resources te beschermen, moet netwerksegmentatie worden toegepast door gebruik te maken van publieke en private subnets en resources in private subnets te plaatsen op basis van de criticaliteit en het bedrijfsdoel.
#3. Gegevensbescherming en encryptiestrategieën
Data moet in beide stadia worden versleuteld: in rust en tijdens transport. Bedrijven kunnen de AWS Key Management-dienst gebruiken om encryptiesleutels aan te maken en te beheren. Standaard encryptie moet worden ingeschakeld zodat data in rust wordt versleuteld in Amazon S3-buckets en EBS. Daarnaast kunnen ontwikkelaars SSL/TLS-protocollen gebruiken om data tijdens transport te versleutelen. Om te bepalen wie toegang heeft tot S3-data, biedt AWS bucket policies en access control lists.
#4. Monitoring en incident response
Organisaties kunnen gedetailleerde logging en monitoring inschakelen via AWS CloudTrail, Amazon CloudWatch en AWS Config. Daarnaast moet de organisatie worden gewaarschuwd wanneer verdachte activiteiten automatisch worden gedetecteerd, en moet Amazon GuardDuty worden gebruikt voor intelligente dreigingsdetectie.
#5. Continue beveiligingsbeoordeling en compliance
AWS adviseert om regelmatig beveiligingsbeoordelingen binnen de organisatie te plannen. Het bedrijf kan Amazon Inspector gebruiken, een beveiligingsbeoordelingsdienst voor kwetsbaarhedenscans. Daarnaast kan het bedrijf AWS- en third-party tools gebruiken om het AWS-gebruik continu te auditen, waaronder AWS Audit Manager, om te voldoen aan de beveiligingsbeleid en standaarden van de organisatie.
Waarom SentinelOne voor AWS-beveiliging?
SentinelOne is een toonaangevende oplossing die door bedrijven wereldwijd wordt gebruikt om AWS-infrastructuur te beschermen. Het kan bedrijven helpen beveiligingslacunes op te vullen door gebruik te maken van geavanceerde dreigingsdetectietools en geautomatiseerde responsmogelijkheden over verschillende AWS-diensten. Dit omvat EC2-instances, containers of gecontaineriseerde applicaties en serverless functies met AWS Lambda.
SentinelOne gebruikt geavanceerde machine learning-modellen en gedragsanalyse om geavanceerde beveiligingsaanvallen of datalekken te identificeren en te stoppen. De tool kan eenvoudig worden geïntegreerd met AWS-diensten zoals AWS CloudTrail en AWS GuardDuty. Het eenvoudige integratieproces maakt het voor bedrijven makkelijker om de tool te adopteren.
SentinelOne kan zero-day exploits detecteren, evenals fileless malware (malware die geen uitvoerbare bestanden op het systeem nodig heeft) in de cloudinfrastructuur, wat een extra verdedigingslaag toevoegt aan de bestaande beveiligingsmaatregelen. Omdat de tool gebruikmaakt van cloud-native architectuur, wordt de performance van AWS nauwelijks beïnvloed.
AI-gestuurde cloud workload-bescherming (CWPP) voor servers, VM's en containers, die runtime-bedreigingen in realtime detecteert en stopt.
Conclusie
AWS-beveiliging is geen modewoord dat door engineers wordt gebruikt; het is een beveiligingsoplossing die door AWS wordt aangeboden om ervoor te zorgen dat de data en applicaties die in AWS zijn opgeslagen/gehost, beschermd zijn tegen dreigingsactoren. Het AWS Security Framework is een meerlagig proces dat bedrijven helpt beveiligingsproblemen in de AWS-infrastructuur te vinden en op te lossen. Dit gebeurt niet alleen met een paar tools, maar met een verscheidenheid aan tools en meerdere richtlijnen om te waarborgen dat gevoelige data niet in verkeerde handen terechtkomt.
Het AWS Security Framework houdt ook rekening met de automatiserings- en schaalbaarheidsbehoeften van organisaties. Het biedt diensten zoals AWS Config, CloudFormation en Systems Manager die organisaties helpen beveiliging te integreren als een Infrastructure as a Code-dienst. Het helpt ook bij het beheren van de uniformiteit van beveiligingsbeleid over meerdere AWS-accounts binnen dezelfde organisatie.
SentinelOne in actie zien
Ontdek hoe AI-gestuurde cloudbeveiliging uw organisatie kan beschermen in een één-op-één demo met een SentinelOne productexpert.
Vraag een demo aanVeelgestelde vragen
Het AWS security framework bestaat uit meerdere beveiligingstools en -services met als doel het beveiligen van AWS cloudinfrastructuur. Enkele van de controles binnen het framework zijn identity and access management (IAM) voor gebruikersauthenticatie en -autorisatie, netwerkcontroles voor het beheren van security groups en VPC's, en gegevensbeschermingscontroles voor encryptie en sleutelbeheer.
In de AWS-omgeving is een framework een gestructureerde methode of set aanbevelingen die eindgebruikers (ontwikkelaars of organisaties) helpt om resultaten te behalen (dit kan per bedrijf verschillen). Over het algemeen behandelen dergelijke systemen best practices, ontwerpprincipes en een reeks vragen om bestaande architectuur of processen te evalueren.
De zes pijlers van het AWS Well-Architected Framework zijn Security, Reliability, Performance Efficiency, Operational Excellence en Cost Optimization. Elk van deze pijlers draagt bij aan het creëren van efficiëntere cloudsystemen. Operational Excellence wordt gedefinieerd als het uitvoeren en monitoren van systemen die de ontwikkeling van zakelijke en persoonlijke waardeproposities mogelijk maken.
