Debesų serverių valdymas — struktūruotas mokymasis

Debesijos sauga 5 min. 670 721

Serverių saugos klaidos, kurias padarė e. prekybos komanda perkeldama duomenis į debesį

Ką atrado komanda, kai pagaliau patikrino savo AWS aplinką

Autorius: Rūta Gelžinytė
Serverių saugos klaidos, kurias padarė e. prekybos komanda perkeldama duomenis į debesį

Viktorija Šaulytė vadovauja technologijų komandai e. prekybos įmonėje, kuri 2023 metais nusprendė pilnai pereiti iš dedikuotų serverių į AWS. Ji buvo tikra, kad viskas gerai apgalvota. Klydo.

Migracija prasidėjo sklandžiai. Tačiau po trijų savaičių saugumo skenavimas parodė, kad keli S3 kibiro objektai buvo viešai prieinami. Niekas to nesukonfigūravo tyčia, tai tiesiog buvo numatytoji būsena senesnėje SDK versijoje.

Pirmas rimtas patikrinimas

Viktorijos komanda naudojo Prowler įrankį, kad nuskenuotų visą AWS aplinką. Rezultatai parodė 34 konfigūracijos problemas, iš kurių 6 buvo žymėtos kaip kritiškos.

Didžiausia problema buvo per plačios IAM rolės. Keli Lambda funkcijų vykdytojai turėjo AdministratorAccess teises, nors jiems reikėjo tik vienos konkrečios DynamoDB lentelės prieigos.

Kaip buvo sprendžiama

Komanda per dvi savaites perėjo prie mažiausių privilegijų principo. Kiekvienai Lambda funkcijai buvo sukurta atskira IAM rolė su tiksliai apibrėžtomis teisėmis naudojant IAM Access Analyzer rekomendacijas.

Viktorija sako, kad skausmingiausias žingsnis buvo perrašyti visų mikropaslaugų konfigūracijas, nes keli kūrėjai buvo įpratę prie platesnių prieigų ir nebuvo patenkinti naujais apribojimais.

Dabar jie naudoja automatizuotą saugumo patikrą kiekvienam pull request. Ne todėl, kad būtų nutikęs incidentas, o todėl, kad nori žinoti problemą prieš jai tampant incidentu.

Domain — nuo 2022

Debesų valdymo žinios iš Telšių regiono

Kursai skirti tiems, kas nori suprasti serverių infrastruktūrą ne iš teorinių aprašymų, o per konkrečius sprendimus ir scenarijus.

4
Mokymosi moduliai
12
Praktinių užduočių
1
Regioninis kontekstas
Programa išsamiai
Susisiekite

Turite klausimų apie turinį?

Jei straipsnyje aptartos temos sukėlė konkrečių klausimų apie serverių konfigūraciją ar debesų infrastruktūros valdymą — rašykite tiesiogiai.

Atsakome per 1–2 darbo dienas. Atsakymai paremti realiais konfigūracijos pavyzdžiais, ne bendromis rekomendacijomis.

Rašyti žinutę