Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Проблема безопасности: открытие Azure VM для IP-адресов AWS

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Информационная безопасность: Открытие Azure VM для IP-адресов AWS
  4. Факты
  5. Обоснование
  6. Рекомендации
  7. Стратегия безопасности
  8. Заключение

Вопрос или проблема

У нас есть веб-сервер IIS, размещенный в Azure. Мы хотим мониторить этот сервер через наш облачный SIEM, размещенный в AWS. Для мониторинга необходимо открыть исходящий порт 443 на виртуальной машине для нескольких сотен внешних IP-адресов AWS. Без этого веб-сервер не может общаться с SIEM.

Среди этих внешних IP-адресов AWS есть огромные диапазоны сетей от /10 до /32. Озабоченность команды заключалась в том, что, даже если это внешние IP-адреса AWS, они открывают виртуальную машину для такого большого диапазона.

Я хотел бы услышать ваше мнение с точки зрения безопасности. Даже если это внешние IP-адреса AWS, обоснована ли эта озабоченность? Почему?

Да, это все еще забота, хотя вы, вероятно, можете смягчить риск, используя Elastic IP в AWS, или VPN или подобное.

Это вызывает беспокойство, потому что любой, у кого есть “действительная” кредитная карта, может создать аккаунт в AWS и выполнять что угодно. Я бы не удивился, если бы узнал, что каждую день много инстансов отключают, потому что они показывают признаки вредоносной активности. Я уверен, что AWS делает много хорошей работы, чтобы предотвратить это, но, по сути, будет слишком много злоумышленников, чтобы поймать всех.

Это зависит от того, насколько ваша стратегия безопасности зависит от внешнего слоя ваших аккаунтов и окружений. В общем, публичное облако настолько обширно, что вы не можете эффективно полагаться на белый список IP (или черный список).

Это не означает, что озабоченность недействительна, но, на мой взгляд, это больше не практично. Вам понадобятся дополнительные меры контроля.

Вникая в ваше утверждение о необходимости открыть порт 443 для AWS; это заставляет меня думать, что ваш SIEM “извлекает” данные. Если более практично и проще применить меры контроля, вы могли бы рассмотреть вариант размещения агента/узла в Azure, который будет отправлять данные в ваш SIEM.

Выбор зависит от вашей стратегии и apetita к риску.

Ответ или решение

Информационная безопасность: Открытие Azure VM для IP-адресов AWS

При анализе вопроса о безопасности, связанного с открытием виртуальной машины (VM) в Azure для внешних IP-адресов AWS, важно учитывать несколько ключевых факторов, которые могут повлиять на состояние вашей инфраструктуры и данных. Ниже представлены аргументы и рекомендации, основанные на принципах FOREST.

Факты

  1. Текущая конфигурация: Вы планируете открыть исходящий трафик по 443 порту с вашего IIS веб-сервера в Azure на несколько сотен внешних IP-адресов AWS, включая диапазоны от /10 до /32. Это связано с необходимостью мониторинга сервера через облачный SIEM.

  2. Общая проблема безопасности: Проблема заключается в том, что любой пользователь с действующей кредитной картой может открыть учетную запись в AWS и запустить потенциально вредоносное ПО или скомпрометированные сервисы. AWS обеспечивает меры безопасности, но полагаться на одно лишь доверие к IP-адресам недостаточно.

Обоснование

  1. Масштаб AWS: Поскольку AWS обладает огромной клиентской базой, множество злоумышленников могут использовать свои ресурсы для атаки на систему. Эта экстенсивная экосистема не защищена абсолютно, и риск несанкционированного доступа или передачи вредоносного трафика остается высоким.

  2. Неэффективность IP-белых списков: В современных условиях публичного облака полагаться на белые или черные списки IP-адресов становится все менее практичным, так как динамическая природа облачных платформ обеспечивает постоянные изменения в пуле IP-адресов, что делает управление ими сложным.

Рекомендации

  1. Сегментация сети: Рассмотрите возможность использования более изолированных и защищенных сетей, таких как виртуальные частные сети (VPN) для соединения ваших облачных ресурсов. Это сократит потенциальные точки доступа для злоумышленников.

  2. Разработка стратегии передачи данных: Вместо того чтобы открывать порты для входящего трафика, подумайте о настройке агента или узла в Azure, который будет активно отправлять данные в вашу SIEM-систему в AWS. Этот подход снизит объем открытых интерфейсов и предоставит больше контроля над передаваемыми данными.

  3. Использование Elastic IP: В случае, если обмен данных необходим, вы можете назначить статический публичный Elastic IP для вашего сервиса в AWS. Это поможет вам более точно контролировать и мониторить трафик.

Стратегия безопасности

Общая степень риска, связанная с открытием Azure VM для IP-адресов AWS, варьируется в зависимости от вашей существующей стратегии безопасности и готовности к рискам. Применение дополнительных мер безопасности, таких как мониторинг, управление доступом и внедрение промежуточных узлов, обеспечит повышенную защиту и минимизацию угроз.

Заключение

Несмотря на то что открыть исходящий трафик на IP-адреса AWS можно, это решение должно быть взвешенным. Согласование ваших нужд с актуальными практиками безопасности — это ключ к созданию защищенной и эффективной облачной инфраструктуры. При правильной стратегии и дополнительных мерах контроля ваши риски могут быть значительно снижены.

aws siem tls
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности