AWS Well-Architected Framework đã được nâng cấp toàn diện dựa trên phản hồi từ khách hàng và trên thay đổi trong những biện pháp thực hành tốt nhất. Trong bài viết này, chúng tôi sẽ đem tới các bạn những điểm nổi bật của các bản cập nhật bảo mật thông tin trong Security Pillar whitepaper và AWS Well-Architected Tool, đồng thời, giải thích và hướng dẫn sử dụng những biện pháp thực hành tốt nhất.
AWS đã phát triển Well-Architected Framework để giúp người dùng xây dựng các ứng dụng đám mây một cách đáng tin cậy, an toàn và hiệu suất cao. Khung tiêu chuẩn này cung cấp các nguyên tắc thiết kế chi tiết và hướng dẫn trên năm trụ cột: Bảo mật thông tin và hệ thống; hoạt động xuất sắc với hệ thống được cải thiện và cập nhật thường xuyên; Tối ưu hóa và giảm thiểu các chi phí không cần thiết; Hiệu suất cao để tận dụng tối đa tài nguyên hệ thống; Độ tin cậy trong việc đáp ứng nhu cầu của doanh nghiệp và khách hàng.
Những thay đổi trong quá trình quản lý danh tính và quyền truy cập
Những thay đổi lớn nhất trong lần nâng cấp này liên quan đến quá trình quản lý danh tính và quyền truy cập, cũng như cách bạn vận hành toàn bộ khối lượng công việc của mình. Điều này thể hiện ở việc cả security pillar whitepaper và tính năng đánh giá trong công cụ đều bắt đầu với hướng dẫn vận hành khối lượng công việc của bạn một cách an toàn. Thay vì chỉ bảo mật người dùng gốc, chúng tôi cần bạn xem xét tài khoản AWS của mình dưới mọi góc độ. Bạn nên thiết lập thông tin liên lạc cho tài khoản của bạn để AWS có thể liên hệ với bạn khi cần. Ngoài ra, bạn cũng nên sử dụng AWS Organizations cùng với những chính sách kiểm soát dịch vụ để quản lý bảo mật trên tài khoản của mình.
Một trong những biện pháp thực hành tốt nhất mới là xác định và xác nhận các mục tiêu kiểm soát. Biện pháp này không chỉ là một danh sách các biện pháp kiểm soát giúp bạn đo lường hiệu quả của việc kiểm soát rủi ro, nó còn về việc xây dựng các mục tiêu từ mô hình mối đe dọa của chính bạn. Ngoài ra, chúng ta cũng có thêm một biện pháp thực hành tốt nhất khác mang tên tự động hóa thử nghiệm và xác nhận các biện pháp kiểm soát an ninh trong pipelines.
Quản lý danh tính và quyền truy cập không còn bị phân chia giữa thông tin xác thực và xác thực, giữa quyền truy cập của con người và quyền truy cập được lập trình. Quy trình này đã được tối ưu với chỉ hai câu hỏi cùng cách tiếp cận đơn giản hơn. Bộ câu hỏi này tập trung vào danh tính và quyền và không phân biệt giữa con người và máy móc. Từ bộ câu hỏi này, bạn có thể xem xét về cách danh tính và quyền được áp dụng cho môi trường AWS của bạn, cho các hệ thống hỗ trợ khối lượng công việc của bạn và cho chính khối lượng công việc. Các biện pháp thực hành tốt nhất trên đám mây mới bao gồm:
Xác định guardrails cho quyền trong tổ chức của bạn – Thiết lập các biện pháp kiểm soát chung nhằm hạn chế truy cập vào tất cả các danh tính trong tổ chức của bạn, chẳng hạn như hạn chế Khu vực AWS có thể được sử dụng.
Liên tục hạn chế quyền – Khi các nhóm và khối lượng công việc xác định được số lượng quyền mà mình cần, bạn nên xóa những quyền mà họ không còn sử dụng nữa và bạn cũng nên thiết lập một quy trình xem xét để đạt được trạng thái least privilege permissions.
Thiết lập quy trình truy cập khẩn cấp – Sở hữu một quy trình cho phép truy cập khẩn cấp vào khối lượng công việc giúp bạn đưa ra phản ứng thích hợp trong trường hợp xảy ra sự cố với quy trình tự động hoặc với pipeline.
Phân tích truy cập công khai và truy cập chéo vào tài khoản – Liên tục theo dõi các phát hiện bảo mật liên quan đến truy cập công khai và truy cập chéo vào tài khoản của bạn.
Chia sẻ tài nguyên một cách an toàn – Quản lý việc sử dụng tài nguyên được chia sẻ trên các tài khoản hoặc trong AWS Organizations của bạn.
Những thay đổi trong detective controls
Mục Detective controls nay đã được nâng cấp với cái tên mới: detection. Mục này xuất hiện một biện pháp thực hành tốt nhất mới được gọi là automate response to events (tự động phản hồi với các sự kiện). Biện pháp này bao gồm việc tự động hóa các quy trình điều tra, cảnh báo và khắc phục sự cố của bạn.
Những thay đổi trong việc bảo vệ cơ sở hạ tầng
Hệ thống mạng và điện toán chỉ có một vài thay đổi nhỏ . Một biện pháp thực hành tốt nhất mới trong mục này là cho phép người dùng đưa ra hành động từ xa. Điều này phù hợp với nguyên tắc thiết kế: hạn chế quyền truy cập vào dữ liệu.
Những thay đổi trong việc bảo mật dữ liệu
Một trong những biện pháp thực hành tốt nhất nhằm bảo mật dữ liệu ở trạng thái nghỉ đã được nâng cấp từ việc “cung cấp cơ chế để hạn chế quyền truy cập vào dữ liệu” thành “sử dụng cơ chế để hạn chế quyền truy cập vào dữ liệu”. Chúng tôi nghĩ rằng sẽ tốt hơn nếu cơ chế bảo mật dữ liệu thực sự được sử dụng thay vì chỉ được cung cấp như một lựa chọn.
Một vấn đề cố hữu trong việc bảo mật dữ liệu là cách thức thực thi mã hóa dữ liệu ở cả trạng thái nghỉ và di chuyển. Đối với mã hóa dữ liệu ở trạng thái di chuyển, bạn nên tuyệt đối tránh sử dụng các giao thức không an toàn, chẳng hạn như HTTP. Bạn có thể thiết lập các nhóm bảo mật và danh sách kiểm soát truy cập vào mạng (network ACLs) để chúng không sử dụng các giao thức không an toàn. Đồng thời, bạn cũng có thể sử dụng Amazon CloudFront để hạn chế truy cập dữ liệu qua giao thức HTTP. Chỉ những giao thức HTTP với các chứng chỉ được AWS Certificate Manager (ACM) triển khai và tự động xoay vòng mới có thể truy cập vào dữ liệu của bạn. Để thực thi mã hóa ở trạng thái nghỉ, bạn có thể sử dụng default EBS encryption, Amazon S3 encryption using AWS Key Management Service (AWS KMS) customer master keys (CMKs) và bạn có thể sử dụng AWS Config rules or conformance packs để phát hiện các thiết lập không an toàn.
Những thay đổi trong việc ứng phó với sự cố
Mục cuối cùng trong trụ cột an ninh của Well-Architected Framework là ứng phó với sự cố. Biện pháp thực hành tốt nhất mới trong mục này là tự động hóa khả năng ngăn chặn và phục hồi. Việc ứng phó sự cố của bạn nên bao gồm các kế hoạch, công cụ được triển khai trước và quyền truy cập và bước tiếp theo của bạn nên là tự động hóa chúng.
How OSAM can help
Đối với OSAM, bảo mật là ưu tiên hàng đầu và chúng tôi sẽ giúp bạn áp biện pháp thực hành tốt nhất mới này để bảo vệ cơ sở hạ tầng của bạn. OSAM sẽ hỗ trợ tư vấn cho các doanh nghiệp những công cụ an ninh hoạt động hoàn hảo bất kể dữ liệu và hạ tầng của doanh nghiệp có ở trên “đám mây” hay không.