AWS-beveiliging: 15 best practices en tips
Amazon Web Services (AWS) is een van de drie giganten (Microsoft Azure en Google zijn de andere twee) binnen het landschap van de public cloud. Hoewel Azure in Nederland meer gebruikers heeft, is AWS de wereldwijde marktleider op het vlak van publieke clouddiensten.
AWS loopt vooral voorop met diensten die gebruikmaken van AI en machine learning. Daarnaast biedt het platform een vrijwel oneindige hoeveelheid rekenkracht en opslag, waardoor AWS bij uitstek geschikt is voor het bouwen van databases. Ook op het gebied van beveiliging biedt het cloudplatform een breed en divers spectrum aan diensten en functionaliteiten. Maar hoe zet je die beveiligingsmogelijkheden en -tools optimaal in? In dit blogartikel vertellen we het je aan de hand van een aantal best practices en handige tips voor AWS-beveiliging.
Lees ook de blog: Azure vs AWS vs Google Cloud: Welke Cloudprovider kiezen?
#1 Verbeter je compliance met AWS Artifact
Organisaties moeten voldoen aan steeds meer en strengere regels op het gebied van digitale veiligheid en privacy- en databescherming. Het gaat dan zowel om algemene wet- en regelgeving (AVG, NIS, ISO 27001) als branchespecifieke richtlijnen en standaarden. Het regelen van de compliancehuishouding is voor veel bedrijven een flinke klus.
AWS kan je daarbij helpen. Het platform heeft namelijk AWS Artifact, een selfserviceportaal met compliancecertificaten, rapportages en andere documenten die je kunt gebruiken voor het uitvoeren van jouw controle-evaluatie en verificatieprocedures. Zo voldoe je makkelijker aan de juiste compliancenormen.
#2 Maak gebruik van verfijnde identiteits- en toegangscontroles
AWS biedt veel mogelijkheden voor het instellen van verfijnde identiteits- en toegangscontroles met diverse tools en diensten. Denk bijvoorbeeld aan:
- IAM Access Analyzer. Met deze dienst kies je identiteiten en aanmeldgegevens voor jouw medewerkers en verleen je verfijnde machtigingen voor het toekennen van de juiste toegang voor de juiste mensen, op het juiste moment.
- AWS Identity & Access Management (IAM). Deze dienst geeft je de mogelijkheid om de toegang tot AWS-diensten en -middelen veilig te beheren.
- AWS Organizations en AWS Single Sign-On. Deze twee-eenheid stelt je in staat om governance en beheer voor AWS-accounts te centraliseren en single sign-on te gebruiken in de cloud.
Benut ook de mogelijkheid om gegevens zowel in rest als in transit te versleutelen en zo te bewaren en delen dat alleen geautoriseerde gebruikers er toegang tot hebben. Geavanceerde AWS-diensten voor monitoring zorgen bovendien voor actuele beveiligingsinformatie en de detectie van configuratieveranderingen en beveiligingsincidenten.
#3 Verminder en voorkom verstoringen met het AWS Business Continuity Plan
Het is ook raadzaam om gebruik te maken van het AWS Business Continuity Plan. Dit bestaat uit verschillende operationele details die het resultaat zijn van vele uren simulatie- en testwerk. Tijdens en na het testen documenteert AWS de prestaties van mensen en processen. Dit leidt tot adviezen, corrigerende acties en lessen die je kunt gebruiken om verstoringen van je IT-processen te voorkomen.
#4 Evalueer AWS-accounts en workloads voortdurend
Het is belangrijk om accounts en workloads doorlopend te analyseren en evalueren. Alleen op die manier weet je zeker dat je problemen en afwijkingen binnen je cloudlandschap snel genoeg opmerkt en aanpakt. AWS biedt daarbij een helpende hand in de vorm van de AWS Foundational Security Best Practices, controles die detecteren wanneer je accounts en workloads niet beveiligd zijn in lijn met de belangrijkste best practices voor AWS. Je ontvangt bovendien nuttige richtlijnen voor het verbeteren en onderhouden van de beveiligingshouding van jouw organisatie en cloudomgeving.
#5 Controleer je architectuur
Klopt mijn architectuur? Dit is een vraag die elke AWS-gebruiker zich geregeld zou moeten stellen. Bij het analyseren en kritisch beoordelen van een AWS-cloudarchitectuur zijn er een vijftal hoofdpunten die je onder de loep moet nemen:
- Operationele uitmuntendheid. Presteren alle onderdelen van je architectuur optimaal en zoals verwacht?
- Beveiliging. Is je infrastructuur robuust genoeg om cyberaanvallen te weerstaan?
- Betrouwbaarheid. Zijn je clouddiensten continu beschikbaar en is het percentage uptime hoog genoeg?
- Efficiënte prestaties. Gebruik je resources optimaal voor de best mogelijke performance?
- Kostenoptimalisatie. Heb je controle over de cloudkosten in AWS? En klopt de verhouding tussen uitgaven en functionaliteit?
Met AWS Well-Architected krijg je de beschikking over een tool en richtlijnen die je helpen om de juiste AWS-diensten voor jouw organisatie te selecteren en veilig te implementeren. AWS Well-Architected richt zich niet alleen op de bovengenoemde infrastructurele kernpunten, maar tevens op de belangrijke beveiligingscomponenten identiteit en toegangsbeheer, detectie, infrastructuurbescherming, gegevensbescherming en incident response. AWS Well-Architected is beschikbaar in de AWS Management Console.
#6 Veilig migreren naar AWS
Wil je vanuit een andere cloud of on-premises migreren naar AWS? Dan voorkomt een veilige en soepele cloudmigratie veel stress en problemen. Het Cloud Adoption Framework (CAF) helpt hierbij en gebruikt zes perspectieven (zakelijk, menselijk, governance, platform, beveiliging en operationeel) om voor en tijdens het migreren zakelijke doelstellingen en gewenste uitkomsten te koppelen aan de juiste processen en technologieën. Het CAF is gebaseerd op de ervaringen die AWS heeft opgedaan met duizenden (zakelijke) cloudmigraties.
#7 Maak van detectie een prioriteit
Hoe vroeger je een cyberdreiging in de smiezen hebt, des te meer kans heb je om de gevolgen van een cyberincident binnen de perken te houden. Investeer daarom in detectie door netwerkactiviteit en accountgedrag nauwlettend in de gaten te houden. Dat kan prima met AWS-diensten en -tools als Amazon Guard Duty (dreigingsdetectieservice), Amazon Detective (een tool die beveiligingsgegevens visualiseert zodat je snel tot de kern van een probleem doordringt), Amazon Inspector (automatiseert de beoordeling van beveiligingsrisico’s) en AWS Security Hub (een gecentraliseerd compliance- en beveiligingscentrum).
#8 Houd je data achter slot en grendel
Data zijn je waardevolste bezit. Datalekken kunnen dan ook enorm kostbaar zijn en resulteren in torenhoge boetes en stevige reputatieschade. Zorg er daarom voor dat belangrijke gegevens met een hoge risicofactor altijd in een goede virtuele kluis zitten die onkraakbaar is voor niet-geautoriseerde gebruikers. Diensten als Amazon Macie, AWS Key Management Service, AWS Secrets Manager en AWS CloudHSM helpen je bij het versleutelings- en sleutelbeheer dat nodig is om je gevoelige en bedrijfskritische data af te schermen voor de verkeerde personen en instanties.
#9 Ontwerp en creëer een sterk securityframework
Een goed securityframework schept een sterke basis voor het veilig inrichten van je AWS-omgeving. Zo’n raamwerk schetst de aanbevolen beveiligingsprocessen en koppelt die aan een bijpassende risicobeoordeling en managementaanpak. Zo vervang je giswerk door beredeneerde en effectieve sturing.
#10 Kies voor uniformiteit
Het verdient aanbeveling om de beveiligingsarchitectuur voor alle clouddiensten en het datacenter uniform te houden. Door dezelfde beveiligingstools en -diensten te gebruiken in alle omgevingen, voorkom je verwarring, stimuleer je veiligheidsbewustzijn bij je medewerkers en bespaar je op trainingskosten.
#11 Gebruik metrics
Digitale veiligheid is te belangrijk om te vertrouwen op je intuïtie. Gebruik daarom goede metrics om het veiligheidsniveau van je AWS-omgeving te monitoren. Ze helpen je niet alleen bij het bepalen van de actuele status van je security, maar ook bij het aanscherpen van je beveiliging. Voorbeelden van waardevolle metrics zijn:
- Time to detect: hoe lang duurt het (gemiddeld) voordat je een aanval of cyberincident opmerkt?
- Time to respond: hoe snel wordt een reactie op een cyberdreiging in gang gezet?
- Time to restore: hoe lang doe je erover om een incident op te lossen en systemen te herstellen?
- Risico-inschatting in realtime: hoeveel procent van je bedrijfskritische systemen en processen is momenteel vatbaar voor bekende veiligheidsrisico’s?
#12 Automatiseer!
Compliance testen, je cloudomgeving nalopen op kwetsbaarheden en je databeveiliging toetsen; het zijn zaken die je in AWS grotendeels geautomatiseerd kunt doen. Het voordeel hiervan? Je bespaart veel tijd, krijgt sneller de juiste inzichten en verkleint de kans op menselijke fouten en verkeerde inschattingen.
#13 Breng de data life cycle nauwkeurig in kaart
Veilig werken in en met AWS vraagt om inzicht in de data life cycle. Die omvat drie stadia:
- Het genereren van data. Wie bezit en beheert de data die naar de cloud gaan? Welke datatypen beheren we? En wie is verantwoordelijk voor die gegevens gedurende hun hele levenscyclus?
- Het gebruiken van data. Welke ‘data access controls’ zijn er? En zijn die in lijn met het beveiligingsbeleid van je organisatie?
- Het verzenden van data. Welke netwerken worden gebruikt bij het verzenden van data (publiek, privaat of allebei)? En zijn de gegevens versleuteld tijdens elke fase van het verzendproces?
#14 Gebruik een ‘least privilege-strategie’
Gebruikmaken van het toegangsprincipe van least privilege is de veiligste manier om AWS in te richten. Dit houdt in dat gebruikers alleen toegang hebben tot de applicaties, data, resources en delen van het netwerk die ze echt nodig hebben om hun werk goed uit te voeren. De belangrijkste pilaren onder een goede strategie voor least privilege zijn identiteits- en toegangsmanagement (IAM), netwerksegmentatie en cloud security posture management (het opsporen en corrigeren van zwakke configuratieplekken in de beveiliging).
#15 Benut de kracht van endpoint detection response (EDR)
Endpoint detection response (EDR) is een geïntegreerde oplossing voor endpoint-beveiliging die realtime-toezicht en het verzamelen van endpointgegevens combineert met op vaste regels gebaseerde en geautomatiseerde respons- en analysemogelijkheden. Met EDR kun je de hele levenscyclus van een bedreiging of cyberincident onderzoeken. Je krijgt inzicht in hoe het probleem is ontstaan, hoe het is geëvolueerd en hoe je het oplost. Met tools als AWS Systems Manager en AWS Config haal je het beste uit EDR en heb je bijvoorbeeld de mogelijkheid om verdachte applicaties te blacklisten.
Veilig werken in en met AWS?
Zoals je ziet zijn er volop mogelijkheden en best practices voor het veilig inrichten van jouw AWS-omgeving. Kun je hier wel wat hulp bij gebruiken? Dan staan wij je graag bij. Bij ACC ICT beschikken we over veel kennis van en ervaring met AWS. Als je kiest voor Managed AWS, neemt een team van AWS-experts de verantwoordelijkheid voor het ontwerpen, implementeren, onderhouden en monitoren van jouw AWS-omgeving.
We plaatsen een sterke focus op security en maken gebruik van de krachtigste AWS-diensten en best practices om jouw cloudomgeving veilig te houden. We gebruiken niet alleen goed uitgewerkte en inzichtelijke securitybaselines, maar maken in de SLA ook extra afspraken over zaken als anti-ddos, firewalls voor webapplicaties, vulnerability scanning, security logging & alerting en lifecycle management.