Trong bài viết này, OSAM sẽ cung cấp cho các bạn thông tin về dịch vụ AWS Security Hub và cách sử dụng để các cảnh báo bảo mật ưu tiên và tình trạng tuân thủ trong tài khoản AWS.
AWS cung cấp rất nhiều công cụ và dịch vụ khác nhau liên quan tới bảo mật. Vì vậy, người dùng cần một dịch vụ AWS có thể thu thập thông tin từ các dịch vụ và công cụ bảo mật còn lại để quản lý tập trung và theo dõi một cách dễ dàng. Đây chính là vai trò của AWS Security Hub. Security Hub có thể sử dụng dữ liệu trong kết quả thu thập từ các dịch vụ khác của AWS hoặc của bên thứ ba để bạn không cần phải xử lý dữ liệu tốn thời gian.
AWS Security Hub là gì?
Security Hub cung cấp một ứng dụng trung tâm duy nhất trong môi trường AWS để tổng hợp, tổ chức và phân loại theo mức độ ưu tiên các cảnh báo và phát hiện bảo mật từ nhiều dịch vụ bảo mật của AWS. Các dịch vụ này bao gồm Amazon GuardDuty, Amazon Inspector, Amazon Macie, IAM, Access Analyzer, AWS Firewall Manager, hoặc các sản phẩm của đối tác bên thứ ba được hỗ trợ.
Security Hub cung cấp một bảng điều khiển xây dựng sẵn giúp tổ chức và phân loại theo mức độ ưu tiên mọi vấn đề hoặc cảnh báo được phát hiện trong môi trường AWS thông qua các kiểm tra bảo mật. Security Hub giúp bạn kiểm tra môi trường của mình theo các tiêu chuẩn và thông lệ bảo mật hàng đầu của AWS. Bạn cũng có thể tận dụng các kiểm tra tự động tích hợp sẵn của PCI-DSS và CIS (Trung tâm An ninh Internet).
Bên cạnh đó, bạn còn có thể nhận thông tin về các phát hiện theo khu vực như:
Cũng như các insights từ dữ liệu của mình, ví dụ như:
- Bucket Amazon S3 có quyền ghi hoặc đọc công khai
- Bucket S3 chứa dữ liệu nhạy cảm
- Amazon Machine Images (AMI) tạo ra nhiều phát hiện nhất
- Người dùng chính AWS có hoạt động khóa truy cập đáng ngờ
- Tài nguyên AWS liên quan đến việc sử dụng tài nguyên trái phép
- Thông tin đăng nhập có thể bị rò rỉ
- Instance Amazon EC2 thiếu các bản vá bảo mật cho các lỗ hổng quan trọng
Security Hub hoạt động như thế nào?
Security Hub giúp bạn dễ dàng hiểu và cải thiện tình trạng bảo mật thông qua các kiểm tra tự động về quy trình bảo mật tốt nhất. Các kiểm tra này được hỗ trợ bởi các quy tắc AWS Config và tích hợp tự động với hàng chục dịch vụ AWS và sản phẩm của đối tác.
Lưu ý: Security Hub chỉ phát hiện và tổng hợp các phát hiện được tạo sau khi bạn bật tính năng này.
Lợi ích của Security Hub trong thực tế
Security Hub giúp bạn tiết kiệm thời gian bằng cách tạo báo cáo chính xác về các lỗ hổng bảo mật trong môi trường AWS của bạn.
- Giảm thời gian và công sức thu thập thông tin: Thu thập và phân loại theo mức độ ưu tiên kết quả phát hiện bảo mật trên nhiều tài khoản từ các dịch vụ AWS tích hợp và sản phẩm của đối tác bên thứ ba.
- Khả năng tự động hóa: Tự động khắc phục các phát hiện cụ thể và định nghĩa các hành động tùy chỉnh cần thực hiện khi nhận được các phát hiện đó. Các phát hiện cũng có thể được gửi đến hệ thống ticket hoặc phần mềm khắc phục tự động.
- Kiểm tra bảo mật theo tiêu chuẩn và thông lệ tốt nhất: Security Hub chạy các kiểm tra bảo mật liên tục theo các thông lệ tốt nhất của AWS và các tiêu chuẩn ngành, cung cấp kết quả của các kiểm tra này dưới dạng điểm và xác định các tài khoản và tài nguyên AWS cần chú ý.
- Tổng hợp trên tất cả tài khoản AWS: Tổng hợp các phát hiện bảo mật của bạn từ nhiều tài khoản AWS. Nhờ các biểu đồ và bảng chính xác, bạn có thể dễ dàng xác định các mối đe dọa tiềm ẩn và thực hiện các hành động cần thiết.
- Tổng hợp các phát hiện trên các vùng AWS: Xem các phát hiện trên nhiều vùng bằng cách đặt vùng tổng hợp, sau đó liên kết các vùng AWS khác với vùng đó.
Các trường hợp sử dụng Security Hub phổ biến
Rà soát bảo mật
AWS Security Hub sử dụng các tiêu chuẩn bảo mật để liên tục quét và kiểm tra môi trường AWS của người dùng, nhằm tìm kiếm các lỗi cấu hình, tổng hợp kết quả kiểm tra bảo mật đa tài khoản để hiểu tình trạng bảo mật tổng thể.
Phân loại và ưu tiên
Sử dụng bảng điều khiển và bộ lọc của Security Hub để xác định và ưu tiên các phát hiện từ các dịch vụ bảo mật AWS khác, cũng như tích hợp bảo mật của đối tác quan trọng nhất và cần được quan tâm trực tiếp nhất.
Tuân thủ
AWS Security Hub đơn giản hóa quản lý tuân thủ cho doanh nghiệp khi tích hợp sẵn cho các khung bảo mật như Trung tâm An ninh Internet (CIS) và Tiêu chuẩn Bảo mật Dữ liệu Thẻ Thanh toán (PCI DSS).
Tăng tốc thời gian phản hồi
Security Hub đảm bảo rằng các phát hiện của AWS được gửi đến đúng người thông qua tích hợp với các công cụ trò chuyện, tạo ticket, quản lý sự cố và quản lý thông tin bảo mật và sự cố bảo mật (SIEM).
Tích hợp Security Hub
Bạn có thể tích hợp Security Hub với nhiều dịch vụ AWS và các công cụ của bên thứ ba từ các đối tác của AWS. Đây cũng là một trong những lợi ích chính vì thông thường bạn phải truy cập qua từng dịch vụ riêng lẻ để kiểm tra các thông báo của chúng.
Tích hợp AWS Security Hub
Security Hub đóng vai trò như trung tâm an ninh mạng, tích hợp tất cả các công cụ bảo mật quan trọng của AWS, giúp bạn dễ dàng quản lý và nắm bắt tình hình an ninh cho tài khoản của mình. Các dịch vụ AWS tích hợp với Security Hub bao gồm:
- Amazon GuardDuty: Phát hiện mối đe dọa liên tục và thông minh cho tài khoản AWS, dữ liệu lưu trữ trong Amazon S3 và các khối lượng công việc, giảm thiểu rủi ro.
- Amazon Macie: Tìm kiếm thông tin nhận dạng cá nhân trong các thùng S3, phân loại dữ liệu theo mức độ nhạy cảm (cao, trung bình, thấp) và cảnh báo kịp thời.
- Amazon Inspector: Kiểm tra các lỗ hổng và phơi nhiễm thông thường trên các phiên bản Amazon EC2.
- IAM Access Analyzer: Quét các chính sách được đính kèm vào tài nguyên AWS của bạn (như thùng S3, khóa KMS, hàm Lambda và vai trò quản lý quyền truy cập danh tính) để xem chúng có cho phép truy cập bên ngoài từ tài khoản AWS khác hay không.
- Amazon CloudWatch và CloudWatch Events kết hợp với AWS Lambda: Tự động hóa bất kỳ phản hồi nào cho các cảnh báo được tìm thấy.
- AWS Firewall Manager: Cho phép bạn quản lý tập trung các tường lửa ứng dụng web và các nhóm bảo mật trên nhiều tài khoản AWS.
Ngoài ra, Security Hub còn tích hợp với nhiều công cụ của bên thứ ba. Bạn có thể tìm thấy danh sách đầy đủ các giải pháp bảo mật tích hợp của Mạng lưới Đối tác AWS (APN) trên trang web chính thức của AWS.
Với khả năng tích hợp toàn diện này, Security Hub giúp bạn có được cái nhìn tổng quan về tình trạng bảo mật của tài khoản AWS, từ đó đưa ra các quyết định an ninh hiệu quả và kịp thời.
Các tiêu chuẩn bảo mật và thực tiễn tốt nhất
Khi bật AWS Security Hub, bạn có thể chọn các phương pháp bảo mật mình muốn sử dụng. Các tiêu chuẩn này cung cấp một bộ kiểm soát để xác định mức độ tuân thủ theo các khuôn khổ pháp lý và thực tiễn tốt nhất của ngành. Hiện tại, có ba kiểm tra tự động bạn có thể bật:
1. Tiêu chuẩn bảo mật của cơ bản AWS (AWS Foundational Security Best Practices)
Đây là một bộ kiểm tra bảo mật tự động, giúp phát hiện các tài khoản AWS và tài nguyên được triển khai không tuân theo các thực tiễn bảo mật tốt nhất. Bộ tiêu chuẩn này được xây dựng bởi các chuyên gia bảo mật của AWS. Nó bao gồm các dịch vụ phổ biến và nền tảng nhất của AWS, giúp cải thiện đáng kể thế trận an ninh của bạn trên nền tảng này.
2. CIS AWS Foundations Benchmark trên Security Hub
Trung tâm An ninh Internet (CIS) đã công bố một bản đánh giá với các hướng dẫn bảo mật tổng thể cho AWS. Tiêu chuẩn Security Hub này tự động kiểm tra mức độ sẵn sàng tuân thủ của bạn so với một tập hợp con các yêu cầu của CIS.
Một số ví dụ về các kiểm tra CIS bao gồm:
- Tránh sử dụng tài khoản root
- Vô hiệu hóa các thông tin đăng nhập không sử dụng trong 90 ngày trở lên
- Yêu cầu chính sách mật khẩu IAM có độ dài tối thiểu là 14 ký tự trở lên
- Bật xác thực đa yếu tố (MFA) cho tài khoản root
- Đảm bảo không có nhóm bảo mật nào cho phép truy cập đến cổng 22 từ địa chỉ IP 0.0.0.0/0 (tức là tất cả các địa chỉ)
- Bật tính năng xoay tua cho các khóa KMS do người dùng tạo
- Để xem danh sách đầy đủ các kiểm soát CIS AWS Foundations Benchmark, bạn có thể tham khảo tài liệu của CIS: [CIS AWS Foundations Benchmark controls…] (Điền nội dung trong dấu ngoặc vuông bằng nguồn đáng tin cậy cung cấp thông tin về CIS AWS Foundations Benchmark controls).
3. Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard – PCI DSS)
Cuối cùng là PCI DSS – Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán. Đây là một bộ kiểm tra liên quan đến thanh toán thẻ tín dụng và các tiêu chuẩn bạn cần tuân thủ nếu xử lý bất kỳ thông tin liên quan đến thẻ tín dụng nào. Bạn có thể tìm hiểu thêm về PCI DSS trong tài liệu chính thức của AWS.
Kích hoạt Security Hub
Trước khi bật Security Hub, bạn cần kích hoạt ghi nhận tài nguyên trong AWS Config. AWS Config sẽ được tính phí riêng biệt với Security Hub. Để biết thêm thông tin, bạn có thể tham khảo Bảng giá của Config.
Sau khi bật ghi nhận tài nguyên trong Config, bạn có thể tiến hành bật Security Hub:
1. Mở bảng điều khiển AWS Config.
2. Bạn sẽ thấy tùy chọn Thiết lập nhanh (1-click setup) để khởi chạy AWS Config dựa trên các thực tiễn tốt nhất của AWS.
3. Trong phần Xem lại (Review), nhấp vào “Xác nhận” (Confirm).
Lưu ý rằng một số kiểm tra nhất định cũng sẽ yêu cầu bật AWS CloudTrail.
Đối với các dịch vụ AWS khác, bạn có thể bật Security Hub theo nhiều cách; hãy chọn cách phù hợp nhất với mình.
Bật Security Hub trong AWS Management Console
1. Đăng nhập vào bảng điều khiển Security Hub.
2. Chọn “Đi đến Security Hub” (Go to Security Hub).
3. Chọn “Tiêu chuẩn bảo mật” (Security standards). Bạn có thể bật hoặc tắt một tiêu chuẩn bất kỳ lúc nào sau khi bật Security Hub.
4. Chọn “Bật” (Enable) Security Hub.
Bật Security Hub bằng tập lệnh kích hoạt nhiều tài khoản:
Tập lệnh kích hoạt nhiều tài khoản Security Hub cho phép bạn bật Security Hub trên nhiều tài khoản và vùng. Tập lệnh này cũng tự động hóa quá trình gửi lời mời đến các tài khoản thành viên và bật AWS Config.
Các cách khác để bật Security Hub:
Để bật Security Hub, bạn cũng có thể sử dụng lệnh gọi API hoặc Giao diện Dòng lệnh AWS (AWS Command Line Interface). Truy cập tài liệu chính thức của AWS để biết thêm thông tin: [Hướng dẫn bật Security Hub (API Security Hub, AWS CLI)] (thay thế bằng liên kết tới tài liệu chính thức của AWS về Hướng dẫn bật Security Hub (API Security Hub, AWS CLI)).
Giá của Security Hub
Bên cạnh những lợi ích tuyệt vời mà Security Hub mang lại, chắc hẳn bạn cũng quan tâm đến chi phí sử dụng dịch vụ này.
Các kiểm tra bảo mật của Security Hub dựa trên các mục được ghi lại bởi AWS Config. AWS Config là dịch vụ bắt buộc phải sử dụng đồng thời và có bảng giá riêng biệt với Security Hub. Bạn có thể truy cập Bảng giá AWS Config để biết thêm chi tiết.
Mặc dù vậy, Security Hub vẫn cung cấp thông tin về mức sử dụng dịch vụ (tức là chi phí) trong phần Cài đặt, giúp bạn dễ dàng ước tính hóa đơn hàng tháng và hiểu được các thành phần nào của Security Hub ảnh hưởng đến chi phí của bạn.
Ngoài ra, Security Hub còn cung cấp bản dùng thử miễn phí 30 ngày cho mỗi tài khoản. Nhờ đó, bạn có thể dễ dàng trải nghiệm dịch vụ và tính toán chi phí trước khi quyết định sử dụng chính thức.
Kết luận
AWS Security Hub cung cấp một bảng điều khiển trung tâm cho các cảnh báo bảo mật. Đây là nơi duy nhất để quản lý và tổng hợp các phát hiện và cảnh báo từ các Dịch vụ bảo mật chính của AWS cũng như các sản phẩm của bên thứ ba, cho phép bạn thực hiện kiểm toán bảo mật liên tục trên tất cả tài khoản AWS của mình.
Là Đối tác Tư vấn Cấp cao của AWS tại Việt Nam, OSAM mang đến cho khách hàng không chỉ toàn bộ hơn 200 dịch vụ đám mây của AWS, mà còn cung cấp giải pháp cho các vấn đề vệ hệ thống và lưu trữ của khách hàng. Liên hệ tư vấn tại fanpage hoặc tại đây.