10 cách tốt nhất để bảo mật tài khoản AWS của bạn

Nếu bạn đang tìm kiếm giải pháp bảo mật dành cho hệ thống của mình trên Cloud, bài viết này có thể gợi ý cho bạn 10 cách thức tối ưu nhất dựa trên những chia sẻ của Stephen Schmidt – Giám đốc an ninh thông tin của Amazon Web Services tại AWS re:Invent 2019. Dưới đây chúng tôi sẽ làm rõ hơn các phương thức để các doanh nghiệp có thể áp dụng ngay vào tối ưu bảo mật hệ thống của mình.

1) Thông tin tài khoản chính xác

Trong trường hợp AWS cần liên lạc với bạn về tài khoản AWS của bạn, họ dùng thông tin liên hệ được xác nhận tại AWS Management Console , bao gồm địa chỉ email được sử dụng để tạo tài khoản và các địa chỉ khác trong danh bạ thay thế. Tất cả địa chỉ email cần được thiết lập để chuyển tiếp đến aliases email sao cho chúng không phụ thuộc vào một người duy nhất. Đồng thời, bạn nên có một quy trình để thường xuyên kiểm tra xem những địa chỉ email này có còn hoạt động hay không hoặc bạn có đang phản hồi email, đặc biệt là những thông báo bảo mật mà bạn có thể nhận được từ abuse@amazon.com. Ngoài ra, hãy thiết lập một vài liên hệ thay thế để đảm bảo rằng những tin nhắn quan trọng sẽ không bị bỏ lỡ khi bạn vắng mặt.

 

2) Sử dụng xác thực đa yếu tố (MFA)

MFA là phương pháp tối ưu nhất để bảo vệ tài khoản của bạn khỏi những truy cập trái phép. Hãy luôn đảm bảo tài khoản Root user và AWS Identity and Access Management (IAM) users luôn được thiết lập MFA. Bạn có thể áp dụng MFA vào quy trình sử dụng AWS Single Sign-on (SSO) để kiểm soát quyền truy cập vào AWS hoặc liên kết vào kho lưu trữ danh tính của công ty mình. Từ đó bạn có thể tận dụng MFA trên quy mô toàn doanh nghiệp của mình. Để biết thêm thông tin chi tiết, bạn có thể tham khảo tài liệu Using Multi-Factor Authentication (MFA).

3) Không hard-code secrets

Khi bạn xây dựng ứng dụng của mình ở trên AWS, bạn có thể sử dụng AWS IAM roles để cung cấp thông tin đăng nhập tạm thời để truy cập vào các dịch vụ AWS. Tuy nhiên, một số ứng dụng yêu cầu thông tin đăng nhập liên tục hơn, chẳng hạn như mật khẩu cơ sở dữ liệu hay các khóa API khác. Trong trường hợp này, bạn không nên mã hóa những Secrets này trong ứng dụng hoặc lưu trữ chúng trong mã nguồn.

Bạn có thể sử dụng AWS Secrets Manager để kiểm soát thông tin trong ứng dụng của mình. Trình quản lý này cho phép bạn xoay vòng, quản lý và truy xuất thông tin đăng nhập cơ sở dữ liệu, khóa API và các secrets khác thông qua vòng đời của chúng. Người dùng và ứng dụng có thể truy xuất secrets bằng lệnh truy cập tới AWS Secrets Manager APIs hoặc loại bỏ nhu cầu mã hóa thông tin nhạy cảm bằng văn bản thuần túy. Bạn có thể xem chi tiết hướng dẫn sử dụng những chức năng này qua những tài liệu sau:

4) Giới hạn truy cập các nhóm bảo mật

Nhóm bảo mật là một phương thức quan trọng để bạn có thể sử dụng để truy cập vào các tài nguyên mà bạn đã cấp phép trên AWS. Một cách tiếp cận cơ bản với phương thức này là đảm bảo rằng chỉ các cổng bắt buộc được mở và kết nối được kích hoạt từ các phạm vi mạng quen thuộc với bạn. Bạn có thể sử dụng những dịch vụ như AWS Config hoặc AWS Firewall Manager để đảm bảo rằng nhóm bảo mật cho đám mây ảo riêng tư (VPC) được tự động thiết lập theo ý của bạn. Gói quy tắc Network Reachability phân tích cấu hình hệ thống mạng Amazon Virtual Private Cloud (Amazon VPC) nhằm xác định các phiên bản Amazon EC2 có thể được truy cập từ các hệ thống mạng bên ngoài hay không (ví dụ như Internet, Cổng ảo riêng tư hoặc AWS Direct Connect). AWS Firewall Manage cũng có thể được sử dụng để tự động áp dụng các quy tắc AWS WAF cho các tài nguyên sử dụng Internet trên các tài khoản AWS của bạn.

Bạn có thể tham khảo chi tiết hơn ở tài liệu: Detecting and responding to changes in VPC Security Groups.

5) Chính sách dữ liệu hiệu quả

Phân loại dữ liệu đúng cách rất quan trọng với tính bảo mật của nó vì sự khác biệt giữa các loại dữ liệu sẽ yêu cầu phương thức bảo mật khác nhau. Bạn sẽ phải cân bằng giữa một môi trường an ninh nghiêm ngặt và một môi trường nhanh nhẹn, linh hoạt. Môi trường an ninh nghiêm ngặt sẽ đòi hỏi các thủ tục kiểm soát truy cập dài dòng, tạo ra sự đảm bảo mạnh mẽ hơn về bảo mật dữ liệu. Tuy nhiên, những thủ tục này ngăn chặn việc truy cập dễ dàng vào kho dữ liệu để sử dụng, khiến cho tính linh hoạt bị giảm sút.

Vì vậy, việc phân loại dữ liệu sẽ cho phép bạn đặt ra mức độ an ninh cho từng loại dữ liệu. Từ đấy, tối ưu hóa bảo mật và hiệu suất của hệ thống của mình.

6) Tập trung nhật ký CloudTrail

Một chiến lược bảo mật dữ liệu mạnh mẽ không thể thiếu đi bước Ghi nhật ký và Giám sát. Bước này giúp bạn điều tra những thay đổi bất ngờ trong môi trường của bạn và phân tích nhằm lặp tại tư thế bảo mật của bạn dựa vào quyền truy cập dữ liệu. Vì vậy, việc lưu trữ nhật ký ( đặc biệt là AWS Cloudtrail) một cách tập trung trên S3 Buckets được thiết kế cho mục đích này là vô cùng quan trọng. Những S3 Buckets được thiết kế cho mục đích chuyên biệt này sẽ đảm bảo nhật ký của bạn sẽ không bị xóa, đồng thời, mã hóa chúng ở trạng thái nghỉ. Ngay khi những bản nhật ký được tập trung, bạn có thể tích hợp chúng với những giải pháp SIEMN hoặc sử dụng các dịch vụ khác từ AWS để phân tích chúng. Bên cạnh việc tập trung những bản nhật ký từ CloudTrail, bạn có thể lưu trữ nhật ký từ những nguồn khác (ví dụ như CloudWatch Logs và AWS load balancers) trên chính tài khoản Log Archieve đấy.

Để biết thêm thông tin chi tiết, bạn có thể tham khảo tài liệu:

7) Xác thực các IAM roles

Trong quá trình sử dụng các dịch vụ từ AWS, bạn có thể vô tình tạo ra nhiều IAM roles không cần thiết. Hãy kiểm tra quyền truy cập vào tài nguyên AWS nội bộ bằng AWS IAM Access Analyzer và xác định liệu bạn có chia sẻ quyền truy cập ra bên ngoài tài khoản AWS của mình hay không. Việc thường xuyên đánh giá vai trò và quyền của AWS IAM bằng Security Hub hoặc sản phẩm có mã nguồn mở như Prowler giúp bạn thực hiện chính sách Quản trị, Rủi ro và Tuân thủ (GRC). Sau khi kiểm tra và đánh giá xong, bạn có thể tìm kiếm các IAM roles không được sử dụng và xóa chúng đi.

8) Xử lý các phát hiện bảo mật

AWS Security Hub, Amazon GuardDutyAWS Identity and Access Management Access Analyze giúp bạn phát hiện những sự kiện có thể ảnh hưởng đến hệ thống bảo mật và xử lý những phát hiện ấy. Những dịch vụ này rất dễ dàng để sử dụng và tích hợp chéo lên nhiều tài khoản khác nhau. Bạn nên đảm bảo rằng chúng luôn được bật và hãy xử lý những phát hiện bảo mật. Phương pháp xử lý sẽ được quy định trong chính sách phản ứng với sự cố của riêng bạn. Vì vậy, bạn nên thiết lập chính sách này để hệ thống có thể phản ứng chính xác với các loại phát hiện bảo mật khác nhau.

Bạn có thể thiết lập thông báo đến người dùng để xử lý. Tuy nhiên, bạn sẽ muốn tự động hóa quy trình này sau khi đã làm quen với các dịch vụ từ AWS. Do đó, bạn có thể thiết lập việc xử lý phát hiện bảo mật bằng Security Hub hoặc GuardDuty.

9) Thay đổi khóa truy cập thường xuyên

Security Hub cho phép bạn kiểm tra tư thế tuân thủ bảo mật của các tài khoản AWS bằng công cụ CIS Benchmarks. Một trong những bài kiểm tra sẽ tìm kiếm những người dùng IAM với khóa truy cập quá hạn 90 ngày. Nếu bạn sử dụng khóa truy cập cho người dùng IAM thay vì IAM roles, bạn nên thay đổi những khóa này thường xuyên. Nếu người dùng của bạn truy cập AWS thông qua liên kết, bạn có thể loại bỏ nhu cầu cấp khóa truy cập AWS cho họ. Những người dùng này sẽ được xác thực với IdP và đảm nhận IAM role ở trong tài khoản AWS đích. Qua đó, bạn sẽ không cần sử dụng thông tin đăng nhập dài hạn cho người dùng của bạn. Thay vào đó, họ sẽ có thông tin đăng nhập ngắn hạn được liên kết với IAM role.

Hãy tham khảo tài liệu: best practices for managing AWS access keysđể biết thêm thông tin chi tiết

10) Tham gia vào quy trình phát triển

Tất cả những hướng dẫn của chúng tôi cho tới thời điểm này đều tập trung vào những phương thức thiết lập mang tính công nghệ mà bạn có thể thực hiện được. Vì vậy, trong mục cuối cùng này ”Tham gia vào quy trình phát triển” sẽ tập trung vào con người, cụ thể là xây dựng văn hóa bảo mật trong doanh nghiệp của bạn. Ở đó, vai trò của con người trong mọi bộ phận của một tổ chức đều hướng tới mục tiêu giúp doanh nghiệp ra mắt giải pháp của họ một cách bảo mật. Khi tất cả mọi người đều tập trung vào khía cạnh bảo mật, chúng ta có thể hướng dẫn và giáo dục toàn bộ tổ chức nâng cao nhận thức về bảo mật trong mọi thứ họ làm. Bảo mật là trách nhiệm của tất cả mọi người chứ không riêng gì những chuyên viên bảo mật.

Những chuyên viên bảo mật chỉ có thể khiến cho bảo mật trở nên dễ dàng hơn, thông qua việc chuyển đổi quy trình khiến cho những thao tác trở nên dễ dàng và thu hút nhất có thể, đồng thời, tối ưu hóa bảo mật cho những thao tác ấy. Ví dụ, mỗi nhóm không nên xây dựng liên kết nhận dạng hay giải pháp ghi nhật ký của riêng mình. Đoàn kết chính là sức mạnh và điều này áp dụng được trong mọi trường hợp, kể cả quá trình bảo mật hệ thống đám mây. Mục tiêu chung là làm cho an ninh trở nên dễ tiếp cận hơn để mọi người có thể tìm đến những chuyên viên bảo mật để được giúp đỡ.

Tham khảo thêm tài liệu: Cultivating Security Leadership để trau dồi khả năng lãnh đạo trong khía cạnh bảo mật.

Đối với OSAM, bảo mật là ưu tiên hàng đầu và chúng tôi sẽ giúp bạn sử dụng mã hóa một cách dễ dàng để để bảo vệ dữ liệu của mình và kiểm soát các quyền truy cập cơ bản. OSAM sẽ hỗ trợ tư vấn cho các doanh nghiệp những công cụ mã hóa hoạt động hoàn hảo bất kể dữ liệu và hạ tầng của doanh nghiệp có ở trên “đám mây” hay không.