אבטחה בענן – איך מגדירים נכון את חשבון ה – AWS שלכם

אבטחה בענןPhoto by Dayne Topkin on Unsplash

אבטחה בענן (ובכלל) מתחילה ב – “Security is job zero”

הכל מתחיל מאבטחה. אחת השאלות הראשונות שאתם צריכים לענות עליהן כשאתם פותחים חשבון חדש, בשרות כלשהו, הוא מה הסיסמא? בחרתם סיסמא חזקה, מצויין, אבל זאת רק ההתחלה של אבטחה בענן.

כל החלטה שאתם מקבלים כשאתם בונים מערכות טכנולוגיות (כמובן שלא רק אבל זה לא בלוג תחבורה…) חייבת לקחת בחשבון שיקולי אבטחה. הסיבה המרכזית שאנחנו ב – AWS שמים דגש כל כך גדול על אבטחה היא, שאם לא מטפלים בנושא הזה ממש בהתחלה, מאוחר יותר, קשה, עד בלתי אפשרי, לתקן.

יש היום עשרות שרותי אבטחה על AWS שיעזרו לכם לשפר, בצורה משמעותית, את האבטחה בענן שלכם. היום אני הולך להתרכז בצעד הראשון, אותו Job Zero, שעליכים לבצע ברגע שפתחתם חשבון חדש ב – AWS.

אני אתן את הפרטים הבסיסיים בפוסט ומי שרוצה את ההדגמה המלאה, מוזמן לגלול למטה ולראות את הסרט שהעלתי לערוץ ה – YouYube שלי.

פותחים חשבון חדש

אין קל מזה. ניגשים ל – https://aws.amazon.com ונרשמים לשרות. מספקים כתובת אימייל וסיסמא (ועוד מספר פרטים ואמצעי תשלום) ואתם בפנים. ברכות!

מה שיצרתם כרגע הוא משתמש חדש שיכול לעשות הכל בחשבון שלכם, או מה שנקרא Root User. הדבר הראשון שאתם צריכים לעשות הוא לאבטח את החשבון הזה, על מנת למנוע גישה של משתמשים לא מורשים אליו.

למה לעשות את זה? הסיבה המרכזית היא שאם מישהו יקבל גישה למשתמש זה, בין אם ישיג את הסיסמא שלכם, יתחבר אליכם למחשב או בכל דרך אחרת, אותו משתמש יכול להיכנס לחשבון, לשנות את הסיסמא שקבעתם ולנעול אתכם מחוץ לחשבון.
בשלב זה הוא יכול לעשות מה שהוא רוצה בחשבון, כולל להפעיל כל סוג של שרות (כמו למשל מכונות EC2 על מנת לכרות Bitcoin) ואתם תשאו בעלויות של מה שהופעל בחשבון שלכם.

מפעילים MFA

Multi Factor Authentication או בקיצור MFA, היא שיטה להגן על נכסים דיגיטליים כגון חשבונות משתמש, על ידי שימוש בזיהוי כפול. האמצעי הראשון יהיה בדרך כלל שם משתמש וסיסמא, אותו, לפחות תאורטית, ניתן לפרוץ או לגנוב. השני יהיה תמיד משוייך למשהו פיזי שיש לי, שבלעדיו לא אוכל לבצע חיבור לחשבון.

שיטה מאד נפוצה היא שימוש בטלפון הנייד של בעל החשבון ושליחת הודעה עם סיסמא חד פעמית, כל פעם שמישהו מנסה להתחבר לחשבון.

שיטה נוספת היא שימוש באפליקציה לטלפון, המקושרת לחשבון ויודעת לייצר סיסמא חד פעמית, התקפה לכמה שניות, שהמשתמש מתבקש להזין כל פעם שהוא נכנס לחשבון. האפליקציה הפופולרית ביותר היא Google Authenticator והיא זמינה ל – iOS ו – Android.

שיטה שלישית היא שימוש ב – Token פיזי. התקן קטן, היודע לייצר סיסמא זמנית (בדיוק כמו האפליקציה) אבל הוא לא מחייב שימוש בטלפון נייד. קיים מגוון גדול של Tokens ו – Gemalto או Yubikey הם שניים מאד פופולריים.

על מנת להגן על החשבון שלכם, תפעילו MFA לפחות על ה – Root User, מיד עם פתיחת החשבון. מומלץ להפעיל MFA גם על חשבונות משתמש אחרים שיש לכם ב – AWS אבל ה – Root הוא ממש חובה. ההסבר על איך עושים את זה בדיוק, בוידאו בסוף הפוסט.

אגב, ממליץ לכם להשתמש ב – MFA לכל החשבונות החשובים שלכם, ללא קשר לחשבון ה – AWS. שרותי דואר, רשתות חברתיות, משחקי רשת ועוד הם יעדים מאד פופולריים לפריצה, ממגוון סיבות ורובם תומכים היום ב – MFA, על סוגיו השונים.

באיזה חשבון להשתמש?

אז אתם יכולים לעשות הכל עם ה – Root User אבל אני ממש לא ממליץ לכם לעשות זאת. תנעלו את שם המשתמש והסיסמא שלו בכספת, תפעילו MFA ותשתמשו בו במקרי חרום בלבד.

על מנת לנהל את החשבון שלכם, אני ממליץ לכם לפתוח משתמש חדש דרך Identity and Access Management או IAM, לתת לו הרשאות ספציפיות מה מותר ומה אסור לו לעשות ולהשתמש רק בו. אם יש אחרים שצריכים גישה לחשבון, תפתחו להם חשבונות משלהם, עם הרשאות מתאימות ואל תערבבו חשבונות או תשתפו את ה – Root User עם אחרים!

אז איך עושים את זה מהתחלה עד הסוף? הכל בוידאו הבא:

אהבתם את הוידאו? תנו פידבק, תעשו לייק והרשמו לערוץ!

יש לכם שאלות? אשמח לענות פה בבלוג או ישירות בערוץ הוידאו שלי.

אודות הכותב

בועז זינימן
בועז זינימן הוא Head of Developer Relations EMEA ב - AWS, חטיבת שרותי הענן של אמזון ומנהל צוות של Developer Advocates באירופה, המזרח התיכון ואפריקה. במסגרת תפקידו, בועז עוזר לחברות להבין טוב יותר את הפוטנציאל של מחשוב ענן והשירותים השונים של AWS. לבועז עשרות שנות ניסיון בפיתוח, תפעול, ארכיטקטורה וניהול IT במגוון גדול של חברות טכנולוגיה מובילות בישראל.