8 cách tốt nhất bảo mật AWS để giảm thiểu rủi ro
Samira Kabbour
CMO
Mục lục
8 cách tốt nhất về bảo mật AWS để giảm thiểu rủi ro
Có rất nhiều lợi ích mà bạn mà Amazon Web Services (AWS) mang lại cho nền tảng đám mây cho bạn, độc lập hoặc là một phần của môi trường đám mây lai. Sự linh hoạt của nền tảng AWS như dịch vụ (PaaS) và cơ sở hạ tầng như dịch vụ (IaaS) giúp cho mạng tổ chức của bạn có thể phản ứng nhanh, linh hoạt và dễ dàng. Nhưng chúng có sự xem xét về an ninh. Dưới đây là những xem xét, cùng với các thực tiễn tốt nhất về vấn đề bảo mật giữ cho môi trường AWS của bạn được cấu hình đúng cách và an toàn.
- Tầm nhìn
Tài nguyên đám mây thì không bền vững, điều này gây khó khăn cho việc theo dõi và quản lý dữ liệu. Theo nghiên cứu của chúng tôi, tuổi thọ trung bình của một tài nguyên đám mây là hai giờ bảy phút. Và nhiều công ty có môi trường liên quan đến nhiều khu vực và tài khoản đám mây. Điều này dẫn đến khả năng hiển thị phi tập trung, và vì bạn có thể bảo mật những gì bạn có thể nhìn thấy, điều này gây khó khăn cho việc phát hiện rủi ro.
Cách làm tốt nhất – Best price: Là sử dụng giải pháp bảo mật đám mây ưđể thấy được tầm nhìn về khối lượng và loại tài nguyên (máy ảo, bộ cân bằng, nhóm bảo mật, người dùng,…) trên nhiều tài khoản và khu vực đám mây trong việc quản lý dữ liệu . Có tầm nhìn và hiểu biết về môi trường của bạn cho phép bạn thực hiện các chính sách chi tiết giảm rủi ro hơn.
- Exposed root accounts – Tài khoản root bị lộ thông tin
Tài khoản root của bạn có thể gây thiệt hại lớn khi các bên trái phép có quyền truy cập vào chúng. Quản trị viên thường quên vô hiệu hóa quyền truy cập API gốc.
Cách làm tốt nhất – Best price: Tài khoản root phải được bảo vệ bằng xác thực đa yếu tố và được sử dụng một cách tiết kiệm. Ngay cả quản trị viên hàng đầu của bạn cũng không có quyền truy cập vào tài khoản gốc AWS của bạn trong phần lớn thời gian và không bao giờ chia sẻ chúng trên người dùng và ứng dụng IAM
- Phím truy cập
Các khóa truy cập IAM thường không được luân phiên. Điều này làm suy yếu khả năng IAM bảo mật các tài khoản và nhóm người dùng, do đó kẻ tấn công mạng có thời gian dài hơn trên máy tính để đánh cắp thông tin.
Cách làm tốt nhất – Best price: Xóa hoặc thay đổi mật khẩu truy cập của bạn ít nhất một lần trong vòng 90 ngày. Nếu bạn đã cấp cho người dùng các quyền cần thiết, thì họ có thể xoá các mật khẩu riêng tư truy cập trước đó. Từ đó, đảm bảo các khóa cũ không được sử dụng để truy cập các dịch vụ quan trọng.
- Quá trình xác thực
Theo Báo cáo Điều tra vi phạm dữ liệu hàng năm của Verizon, các thông tin bị đánh cắp hoặc mất là nguyên nhân hàng đầu của các sự cố bảo mật đám mây. Không có gì lạ khi tìm thấy thông tin truy cập vào môi trường đám mây công cộng được hiển thị trên internet. Các tổ chức cần bảo vệ tài khoản bị đánh cắp.
Cách làm tốt nhất – Best price: Chính sách mật khẩu mạnh và xác thực đa yếu tố (MFA) nên được thi hành trong môi trường AWS. Amazon khuyên bạn nên kích hoạt MFA cho tất cả các tài khoản có mật khẩu vào bảng điều khiển. Đầu tiên, xác định tài khoản đã có MFA. Sau đó, đi vào IAM và chọn thiết bị MFA cho mọi người dùng. Điện thoại thông minh và các thiết bị khác có thể được sử dụng để xác thực.
- Đặc quyền truy cập
IAM có thể được triển khai để quản lý tất cả các tài khoản và nhóm người dùng của bạn, với các chính sách và tùy chọn cấp phép chi tiết. Thật không may, quản trị viên thường chỉ định truy cập quá mức cho phép vào tài nguyên AWS. Điều đó không chỉ cho phép người dùng thực hiện các thay đổi và có quyền truy cập mà họ không nên cho phép, mà nếu một kẻ tấn công mạng có được tài khoản của họ, có thể gây hại nhiều hơn.
Cách thực hành tốt nhất: Cấu hình IAM của bạn, giống như bất kỳ hệ thống cấp phép người dùng nào, phải tuân thủ nguyên tắc đặc quyền truy cập tối thiểu.
- Phạm vi IP rộng cho các nhóm bảo mật và lưu lượng truy cập bên ngoài không bị hạn chế
Các nhóm bảo mật giống như một tường lửa kiểm soát lưu lượng đến môi trường AWS. Thật không may, quản trị viên thường chỉ định phạm vi IP nhóm bảo mật rộng hơn mức cần thiết. Nghiên cứu từ nhóm nghiên cứu điện toán đám mây. Có đến 85% tài nguyên liên quan đến các nhóm bảo mật không giới hạn lưu lượng truy cập bên ngoài. Thêm vào đó, mối quan tâm ngày càng có nhiều tổ chức không tuân theo các thực tiễn tốt nhất về bảo mật mạng và có cấu hình sai hoặc cấu hình rủi ro. Thực tiễn tốt nhất trong ngành kêu gọi hạn chế truy cập ra ngoài để ngăn ngừa mất dữ liệu do vô tình hoặc hết dữ liệu trong trường hợp vi phạm.
Cách làm tốt nhất – Best price: Giới hạn phạm vi IP bạn gán cho từng nhóm bảo mật theo cách sao cho mọi thứ đều đúng mạng, nhưng bạn không cần để lại quá nhiều thông tin.
- Lịch sử kiểm toán
Các tổ chức cần giám sát các hoạt động của người dùng để tránh thông tin tài khoản bị tiết lộ, các mối đe dọa trong nội bộ và các rủi ro khác. Việc ảo hóa cốt lõi của mạng lưới đám mây và khả năng sử dụng cơ sở hạ tầng của một nhà cung cấp bên thứ ba rất lớn và có kinh nghiệm đủ khả năng vì người dùng đặc quyền có thể thay đổi môi trường khi cần. Nhược điểm là tiềm năng giám sát an ninh không đủ. Để tránh rủi ro này, các hoạt động của người dùng phải được theo dõi để xác định tài khoản và các mối đe dọa trong nội bộ.