see more blog

Security Checklist hệ thống chạy trên Amazon Web Services


Bảo mật luôn là mối quan tâm của doanh nghiệp khi di chuyển lên đám mây, đặc biệt là đối với các doanh nghiệp lưu trữ dữ liệu người dùng như ngân hàng, tài chính, bất động sản và bảo hiểm. Do đó, VTI Cloud sẽ chia sẻ security checklist (checklist bảo mật đám mây) cho các hệ thống trên Amazon Web Services (AWS) trong bài viết dưới đây.

Mô hình chia sẻ trách nhiệm – Shared Responsibility Model

Bảo mật và tuân thủ là trách nhiệm chung giữa AWS và khách hàng. Mô hình chia sẻ này có thể giúp giảm bớt gánh nặng vận hành cho khách hàng vì AWS sẽ vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa cho tới bảo mật vật lý của các cơ sở đang vận hành dịch vụ.

Khách hàng sẽ phụ trách và quản lý hệ điều hành máy khách (bao gồm bản cập nhật và bản vá bảo mật), các phần mềm ứng dụng liên kết khác cũng như việc cấu hình tường lửa, Security Groups do AWS cung cấp.

shared responsibility model

Khách hàng cần phải cẩn trọng cân nhắc các dịch vụ mà mình chọn vì trách nhiệm của khách hàng sẽ thay đổi tùy theo dịch vụ sử dụng, tùy theo việc tích hợp các dịch vụ đó vào môi trường CNTT của khách hàng cũng như pháp luật và quy định hiện hành.

Bản chất của trách nhiệm chung này cũng tạo ra sự linh hoạt và cung cấp quyền kiểm soát cho khách hàng để cho phép triển khai.

Chia sẻ trách nhiệm liên quan tới bảo mật

Mô hình chia sẻ trách nhiệm của AWS chỉ rõ rằng một số khía cạnh nhất định của bảo mật AWS nằm trong tay doanh nghiệp; và doanh nghiệp phải hoàn toàn chịu trách nhiệm với những sự cố bảo mật xảy ra trong phần quản lý của doanh nghiệp.

Đọc thêm: 05 quan niệm sai lầm về bảo mật trên đám mây | VTI CLOUD

Công việc liên quan tới Bảo mật trong Mô hình chia sẻ trách nhiệm

Trách nhiệm của Khách hàng

Trách nhiệm của AWS

Ngăn chặn hoặc phát hiện khi tài khoản AWS bị xâm phạm

o

 

Ngăn chặn hoặc phát hiện người dùng AWS đặc quyền hoặc thông thường đang hoạt động theo cách không an toàn

o

 

Ngăn dữ liệu nhạy cảm được tải lên hoặc chia sẻ từ các ứng dụng theo cách không phù hợp

o

 

Cấu hình dịch vụ AWS (ngoại trừ AWS Managed Services) theo cách an toàn

o

 

Chỉ giới hạn quyền truy cập vào các dịch vụ AWS hoặc các ứng dụng tùy chỉnh cho những người dùng yêu cầu

o

 

Cập nhật guest OS và áp dụng các bản vá bảo mật

o

 

Đảm bảo AWS và các ứng dụng tùy chỉnh đang được sử dụng theo cách tuân thủ các chính sách bên trong và bên ngoài

o

o

Đảm bảo về phần network security (DoS, man-in-the-middle (MITM), port scanning)

o

o

Cấu hình AWS Managed Services theo cách an toàn.

 

o

Cung cấp kiểm soát truy cập vật lý vào phần cứng / phần mềm

 

o

Cung cấp bảo đảm an ninh về môi trường chống lại những thứ như mất điện hàng loạt, động đất, lũ lụt và các thảm họa thiên nhiên khác

 

o

Vá lỗi database

 

o

Bảo vệ chống lại việc khai thác AWS zero-day và các lỗ hổng bảo mật khác

 

o

Quản lý tính liên tục của doanh nghiệp (tính khả dụng, ứng phó sự cố)

 

o

Để đọc kỹ hơn về mô hình chia sẻ trách nhiệm của AWS , vui lòng đọc tại link sau: https://aws.amazon.com/compliance/shared-responsibility-model/

AWS Security Checklist

VTI Cloud đã phát triển một danh sách kiểm tra (checklist) các biện pháp tốt nhất và được ưu tiên cao nhất, mà doanh nghiệp phải làm theo để chủ động ngăn chặn các mối đe dọa. Checklist này cung cấp các đề xuất của khách hàng phù hợp với Security Pillar trong AWS Well-Architected Framework.

aws security

 

VTI Cloud đã viết về AWS Well-Architected Framework trong bài viết gần nhất:

https://vticloud.io/aws-well-architected-framework-la-gi/

Security Checklist của AWS Identity & Access Management (IAM)

Nội dung công việc Hoàn thành
  • Tránh sử dụng Access Keys của tài khoản root trong AWS vì những key này cho phép truy cập đầy đủ vào tất cả các tài nguyên
 
  • Xác thực đa lớp (Multi Factor Authentication) phải được kích hoạt cho tài khoản root để cung cấp xác thực hai yếu tố
 
  • Tập trung danh tính bằng AWS Single Sign-On hoặc giải pháp của bên thứ 3 để tránh tạo nhiều tài khoản IAM phát sinh thường xuyên hoặc sử dụng Access Keys dài hạn (long-term)
 
  • Gán cho IAM user các quyền cần thiết để cho phép đăng nhập các dịch vụ hoặc quyền truy cập (permission) tài nguyên thông qua IAM Policies hoặc IAM Roles nếu sử dụng cross-account
 
  • Đảm bảo tài khoản người dùng cũng có xác thực MFA
 
  • IAM Access Keys phải được cấp lại theo chu kỳ
 
  • Đảm bảo chính sách mật khẩu mạnh cho người dùng và thiết lập vòng đời 90 ngày cho mật khẩu
 
  • Gán quyền cho người dùng dựa trên User Groups, thay vì gán trên từng người dùng riêng lẻ
 
  • Cấp quyền truy cập tối thiểu trong khi tạo IAM Policies, các chính sách này là cần thiết để thực hiện các hành động nhất định
 
  • Đính kèm IAM Policies vào Groups hoặc Roles khi tạo
 
  • Nên sử dụng các điều kiện (conditions) phù hợp nhằm giới hạn việc từ chối hoặc cho phép hành động với các tài nguyên
 
  • Loại bỏ các IAM user không cần thiết, là những người không hoạt động hoặc không sử dụng
 
  • Sử dụng IAM Roles để cấp quyền truy cập vào các ứng dụng trên EC2 Instance
 
  • Sử dụng nhiều tài khoản AWS để tách biệt dữ liệu và tài nguyên trên AWS, đồng thời cho phép sử dụng Service Control Policies để tích hợp guardrails trong AWS Control Tower. AWS Control Tower sẽ giúp bạn dễ dàng thiết lập và quản lý môi trường AWS có nhiều tài khoản
 

 

Security Checklist của Amazon S3

Chi tiết hơn tại bài viết sau: Các phương pháp tốt nhất để bảo mật cho dịch vụ Amazon S3 | VTI CLOUD

Nội dung công việc Hoàn thành
  • Đảm bảo S3 buckets không thể truy cập công khai (quyền đọc hoặc ghi công khai) – người dùng có thể bật ‘Amazon S3 block public access’ để ngăn chặn truy cập từ Public
 
  • Sử dụng quyền cấp đối tượng (object-level) hoặc cấp bộ chứa (bucket-level) bên cạnh IAM Policies để cấp quyền truy cập vào tài nguyên
 
  • Kích hoạt MFA Delete để ngăn chặn việc tình cờ xóa các buckets
 
  • Xem xét mã hóa dữ liệu được lưu trữ, có thể được thực hiện theo hai cách — mã hóa phía máy chủ và phía máy khách
 
  • Cho phép mã hóa lưu lượng dữ liệu đến và đi, thông qua các điểm cuối SSL (SSL endpopints)
 
  • Cấu hình quản lý vòng đời S3 (S3 lifecycle) thông qua các hành động dựa trên quy tắc (rule-based actions) và sử dụng (chức năng) Bucket Versioning, để đối phó với việc xóa ngẫu nhiên
 
  • Đảm bảo ghi nhật ký truy cập S3 (S3 access logging) được bật
 
  • Liên tục kiểm tra và giám sát các S3 buckets bằng cách sử dụng các metric của Amazon CloudWatch
 

 

Security Checklist của Amazon EC2, Amazon VPC và Amazon EBS

Nội dung công việc Hoàn thành
  • Đảm bảo dữ liệu và ổ đĩa (disk volume) trong EBS được mã hóa bằng AES-256

 
  • Hạn chế quyền truy cập vào các instance từ dải IP hạn chế bằng cách sử dụng Security Groups
 
  • Giới hạn phạm vi của các port được mở trên các EC2 Security Groups, để ngăn chặn tấn công qua các lỗ hổng
 
  • Sử dụng IAM Policies kèm giới hạn cho các IAM user, role được phép thay đổi, chỉnh sửa AMI gốc (Amazon Machine Images)
 
  • Đảm bảo Elastic Load Balancers có một Security Group hợp lệ gắn với nó và kích hoạt access logging
 
  • Giám sát và tối ưu hóa các Security Groups mặc định, vì chúng cho phép truy cập không hạn chế cho lưu lượng truy cập đến và đi
 
  • Sử dụng AWS Firewall Manager để tự động áp dụng các rule của Security Groups và AWS WAF
 
  • Đảm bảo hạn chế truy cập vào SSH, FTP, SMTP, MySQL, PostgreSQL, MongoDB, MSSQL, CIFS…, giới hạn vào các IP cố định nếu được
 
  • Sử dụng IAM Roles để cấp quyền truy cập vào EC2, thay vì Access Keys cho các yêu cầu tạm thời
 
  • Nếu đang sử dụng IAM user Access Keys để có quyền dài hạn, hãy đảm bảo rằng không nhúng các key này trực tiếp vào code
 
  • Tạo các key khác nhau cho các ứng dụng khác nhau, xoay chuyển các Access Keys, sử dụng xác thực MFA và ngừng hoạt động các Key pairs chưa sử dụng
 
  • Bật và kích hoạt VPC flow logs để ghi lại lưu lượng đến và đi trong VPC để theo dõi tốt hơn và chẩn đoán sớm các sự cố tiềm ẩn
 
  • Xóa các Virtual Private Gateway và VPC Internet Gateway không sử dụng
 
  • Đảm bảo rằng không có điểm cuối VPC (VPC endpoints) nào bị lộ ra public, bằng cách kiểm tra giá trị chính trong policy
 
  • Đảm bảo không có Network ACL nào cho phép truy cập vào hoặc ra không hạn chế
 

 

Security Checklist của AWS CloudTrail

 

Nội dung công việc Hoàn thành
  • Đảm bảo CloudTrail được kích hoạt tính năng Multi-region
 
  • Nên đăng nhập vào một S3 bucket trung tâm (centralized S3 bucket) và sử dụng access logging và hạn chế truy cập vào CloudTrail S3 bucket
 
  • Đảm bảo cả CloudTrail và CloudTrail logging đều được kích hoạt Multi-Region logging
 
  • Đảm bảo xác thực tính toàn vẹn của file CloudTrail log được bật
 
  • Đảm bảo các CloudTrail log được mã hóa
 
  • Sử dụng kết hợp với Amazon CloudWatch để gắn các metric, với Amazon GuardDuty để giám sát liên tục và AWS Security Hub để có cái nhìn toàn diện về bảo mật trên AWS
 

 

Security Checklist của Amazon CloudFront, AWS WAF và AWS Shield

 

Nội dung công việc Hoàn thành
  • Sử dụng Amazon CloudFront, AWS WAF và AWS Shield để cung cấp khả năng bảo vệ tấn công DDoS ở các Layer 3 (Network), Layer 4 (Transport) và Layer 7 (Application)
 
 
  • Sử dụng các bản CloudFront SSL an toàn
 

 

Security Checklist của Amazon RDS

 

Nội dung công việc Hoàn thành
  • Đảm bảo các RDS Security Groups không cho phép truy cập không hạn chế
 
  • Đảm bảo mã hóa các instance RDS và snapshot, sử dụng mã hóa mức AES-256
 
  • Bảo vệ dữ liệu khi truyền sang RDS thông qua các điểm cuối SSL
 
  • Giám sát kiểm soát RDS bằng AWS Key Management Service (KMS) và Customer Managed Keys
 
  • Cấu hình AWS Secrets Manager để tự động xoay vòng các secret (một tập hợp các thông tin, tên người dùng và mật khẩu, và các chi tiết kết nối dùng để truy cập vào một dịch vụ bảo đảm) cho Amazon RDS
 
  • Đảm bảo các instance cơ sở dữ liệu RDS và snapshot không thể truy cập công khai
 
  • Bật tính năng tự động nâng cấp nhỏ (automatic minor upgrade) cho RDS
 

 

Security Checklist của Amazon Redshift

 

Nội dung công việc Hoàn thành
  • Bật require_ssl số trong tất cả các cluster của Redshift để giảm thiểu rủi ro mã hóa dữ liệu đang chuyển tiếp cho Redshift và kết nối SQL Client với cluster của doanh nghiệp
 
  • Cho phép mã hóa Redshift Cluster
 
  • Kích hoạt require_ssl parameter cho các RedShift Cluster
 
  • Đảm bảo tính năng ghi nhật ký (logging) hoạt động của người dùng Redshift được bật
 
  • Đảm bảo mã hóa Redshift với KMS Customer Managed Keys
 
  • Chúng tôi khuyên doanh nghiệp nên khởi chạy các Redshift cluster trong VPC để kiểm soát tốt hơn
 
  • Đảm bảo rằng các Redshift cluster không thể truy cập công khai
 

 

Security Checklist của AWS Systems Manager

 

Nội dung công việc Hoàn thành
  • Sử dụng AWS Systems Manager Patch Manager để tự động quá trình vá các hệ thống và code, bao gồm OS, ứng dụng và code dependencies
 
  • Sử dụng AWS Systems Manager Automation runbook hoặc sử dụng Command để truy cập gián tiếp vào cơ sở dữ liệu hoặc hệ thống
 

 

Security Checklist của Monitoring và Alerts

 

Nội dung công việc Hoàn thành
  • Kích hoạt AWS Config để giám sát dữ liệu lịch sử của các tài nguyên, và sử dụng Config Managed Rules để tự động cảnh báo hoặc ngay lập tức cảnh báo những thay đổi không mong muốn
 
  • Thiết lập cảnh báo (Alerts) trên tạo cả các logs và events từ AWS CloudTrail, tới Amazon GuardDuty và log của các ứng dụng, giúp xác định các event được cảnh báo ưu tiên cao để điều tra sự cố bảo mật
 

 

Kết luận

Yêu cầu quan trọng nhất khi đảm bảo cơ sở hạ tầng an toàn là khả năng hiển thị hoàn chỉnh. Nói một cách đơn giản, làm thế nào doanh nghiệp có thể thực hiện hành động phòng ngừa nếu doanh nghiệp thậm chí không biết điều gì sai?

Với việc sử dụng checklist được khuyến cáo cho một vài dịch vụ tiêu biểu của VTI Cloud phía trên, doanh nghiệp sẽ đảm bảo những yếu tố cần thiết nhất để giữ cho cơ sở hạ tầng của doanh nghiệp ít gặp rủi ro. Bên cạnh đó, doanh nghiệp có thể liên hệ chúng tôi, VTI Cloud, để được tư vấn và triển khai về security checklist với dịch vụ AWS Well-Architected Review và Managed Services cho doanh nghiệp.

Chúng tôi sẽ đảm bảo hệ thống của bạn được vận hành trơn tru nhất, nhưng luôn đảm bảo về vấn đề an ninh thông tin, bảo mật hệ thống và đặc biệt là tối ưu chi phí sử dụng của hệ thống hiện tại.

Đọc thêm về dịch vụ AWS Well-Architected Review tại đây: https://vticloud.io/services/well-architected

Về VTI Cloud

VTI Cloud là Đối tác cấp cao (Advanced Consulting Partner) của AWS, với đội ngũ hơn 50+ kỹ sư về giải pháp được chứng nhận bởi AWS. Với mong muốn hỗ trợ khách hàng trong hành trình chuyển đổi số và dịch chuyển lên đám mây AWS, VTI Cloud tự hào là đơn vị tiên phong trong việc tư vấn giải pháp, phát triển phần mềm và triển khai hạ tầng AWS cho khách hàng tại Việt Nam và Nhật Bản.

Xây dựng các kiến trúc an toàn, hiệu suất cao, linh hoạt, và tối ưu chi phí cho khách hàng là nhiệm vụ hàng đầu của VTI Cloud trong sứ mệnh công nghệ hóa doanh nghiệp.

Related news

what’s up at VTI