Amazon Web Services достигла важного рубежа в области многофакторной аутентификации, обеспечив 100-процентное применение MFA для пользователей root во всех типах учетных записей AWS.
Директор по информационной безопасности AWS Эми Херцог объявила о расширении применения MFA во время своего выступления на ежегодной конференции re:Inforce cloud security, посвященной технологическому гиганту.
Это большое событие, и AWS заслуживает того, чтобы одержать в нем победу.
Для тех, у кого все еще есть сомнения по поводу MFA: просто спросите директора по маркетингу Snowflake Брэда Джонса, у которого в прошлом году более 160 аккаунтов его клиентов были взломаны с использованием украденных учетных данных. Ни в одном из них не был включен MFA, и эта мера предосторожности, вероятно, помешала бы злоумышленникам получить доступ к базам данных клиентов.
На прошлогодней конференции re:Inforce AWS объявила, что вскоре начнет требовать MFA для автономных учетных записей root–пользователей, не входящих в организации AWS, – при входе в консоль управления AWS, и другие типы пользователей root также столкнутся с этим требованием безопасности позже в этом году.
Сегодня Херцог сообщил, что AWS вычеркнула этот важный шаг из списка.
«Мы были первым облачным провайдером, который разрешил использовать MFA для управления и автономных учетных записей с правами root», — сказал Херцог на сцене. «Чтобы еще больше поддержать обещание CISA Secure by Design, принятое в марте этого года, мы расширили нашу политику, применив MFA к учетным записям root-пользователей, которые не являются управленческими учетными записями в организации. И я рад сообщить, что благодаря этому шагу мы обеспечили 100-процентное соблюдение MFA для пользователей root».
Мы также рады видеть, что такая крупная технологическая компания, как AWS, не отказывается от своих (добровольных) обязательств по программе CISA, несмотря на утечка мозгов из агентства, включая, по крайней мере, двух ключевых архитекторов Secure by Design, и предстоящее сокращение бюджета.
Плюс … все новые технологии обеспечения безопасности
При таком количестве крупных бизнес-направлений, от розничной торговли до облачных вычислений, рекламы и устройств, Amazon не может заниматься чем-то мелкомасштабным. Таким образом, во время своей ежегодной конференции по безопасности компания, как обычно, представила десятки новых возможностей обеспечения безопасности.
Вот обзор некоторых из наиболее важных из них:
Новая функция в AWS Identity and Access Management Access Analyzer проверяет, кто в вашей организации имеет доступ к критически важным ресурсам, и предоставляет специалистам по безопасности информацию об этом внутреннем доступе с помощью единая информационная панель.AWS Security Hub получил дополнительный объем данных (в предварительном просмотре) благодаря большему количеству сигналов безопасности, которые должны помочь клиентам расставить приоритеты по проблемам, определить, какие из них наиболее важны для их организации, а затем быстрее реагировать для снижения рисков. «Например, Security Hub может комбинировать многоэтапные угрозы, обнаруженные с помощью GuardDuty Extended Threat Detection, с другими сигналами, такими как уязвимости, и определять приоритеты критических проблем безопасности, а также помогать упростить общие операции по обеспечению облачной безопасности во всей организации», — сказал Херцог, а затем продемонстрировал пример.»В данном случае Security Hub обнаружил общедоступный экземпляр EC2 с уязвимостью, которую можно легко использовать, и чрезмерными правами доступа», — описала она. Затем Херцог нажал «доступ» на панели инструментов, что расширило информацию и показало все ресурсы из нескольких учетных записей и регионов в примерах организаций, которые также имели такой доступ.Говоря о расширенном обнаружении угроз GuardDuty — сервисе обнаружения угроз AWS, который использует искусственный интеллект, собственные сигналы облачного гиганта и стороннюю аналитику угроз для мониторинга учетных записей и рабочих нагрузок AWS, — теперь он поддерживает контейнерные приложения, работающие на Amazon Elastic Kubernetes Service (EKS).
И, наконец, в Shield появилась новая функция, которую клиенты AWS уже используют для защиты приложений от распределенных атак типа «отказ в обслуживании» (DDoS). Новая функция, получившая название network security director, доступна в режиме предварительного просмотра и обеспечивает полное управление состоянием сетевой безопасности. Она выявляет и определяет приоритетность любых проблем с конфигурацией сети и предлагает улучшения для защиты от угроз, включая DDoS-атаки и SQL-инъекции.
«Таким образом, вместо того, чтобы просматривать предупреждения, чтобы определить, какие проблемы следует решить в первую очередь, мы обобщаем полученные данные по степени серьезности с инструкциями по включению рекомендуемых служб или наборов правил», — сказал Херцог. ®
