CÁC LỖI BẢO MẬT CẦN TRÁNH TRÊN AWS

Sau đây là Các giải pháp bảo mật tốt nhất và ứng dụng thực tiễn trên AWS từ Chuyên gia bảo mật Renova Cloud.
Trong khi AWS xử lý bảo mật cho các trung tâm dữ liệu của mình, người dùng AWS vẫn phải chịu trách nhiệm về bảo mật mạng, máy chủ và bảo mật cấp ứng dụng. Từ các tài khoản nhỏ với một vài tài nguyên EC2, chi tiêu dưới $1.000 một tháng đến môi trường lớn lên tới hàng trăm tài khoản và các EC2 chi tiêu trên $100.000 một tháng, đều không tránh được việc mắc lỗi. Do đó, Renova Cloud đã tổng hợp 5 lỗi bảo mật thường gặp trên AWS cùng với các giải pháp để khắc phục những sự cố đó.

1.   Cấp quyền cho Tất cả người dùng trên SNS Topic

Giới thiệu về SNS

Simple Notification Service (SNS) cho phép các ứng dụng, người dùng cuối và thiết bị gửi và nhận thông báo ngay lập tức. SNS có thể gửi tin nhắn cá nhân hoặc tin nhắn được quan tâm tới số lượng lớn người nhận sử dụng thiết bị di động, email hoặc các dịch vụ phân phối khác. Người dùng AWS có khả năng cài đặt các chính sách hạn chế để kiểm soát quyền truy cập vào SNS Topics.

Người dùng cũng có thể tùy chỉnh quyền hạn chế trên SNS Topic. Theo mặc định, bạn có thể thiết lập quyền truy cập cho người dùng như sau:

  • Chỉ mình tôi (chủ sở hữu)
  • Tất cả mọi người
  • Người dùng AWS cụ thể

Vấn đề đặt ra

Các chủ đề không nên được cấu hình cấp cho Tất cả mọi người. Mọi người sẽ được phân quyền truy cập bằng cách lọc theo dõi cho từng chủ đề được cài đặt trong phần policy.

Lưu ý, bạn cũng có thể hạn chế quyền truy cập bằng cách đặt điều kiện trong phần policy. Ví dụ: bạn có thể đặt đối tượng là Tất cả Mọi người, nhưng nếu bạn đặt điều kiện dành cho đối tượng là chỉ cho những người có thể xem, SNS Topic sẽ không hiển thị cho Tất cả Mọi người.

Do đó, việc cấp quyền cho SNS Topic cho Tất cả mọi người không được khuyến nghị. Bằng cách đặt các quyền này, bạn cho phép kẻ tấn công ẩn danh phát hành và đăng ký một chủ đề. Điều này tạo ra rủi ro bao gồm các cuộc tấn công từ chối dịch vụ DDoS, rò rỉ thông tin cá nhân hoặc SQL Injection.

Đề xuất từ Renova Cloud

Renova Cloud sẽ giúp cấu hình Cloud Watch tự động cảnh báo nếu ai đó trong nhóm của bạn vô tình đặt các quyền này.

2.   Chưa tận dụng AWS Config

Giới thiệu về AWS Config

AWS Config cung cấp các thay đổi về cấu hình và mối quan hệ giữa các tài nguyên AWS, phân tích chuyên sâu lịch sử cấu hình tài nguyên chi tiết và xác định sự tuân thủ tổng thể so với cấu hình được quy định trong hướng dẫn nội bộ của bạn. Khả năng này giúp bạn đơn giản hóa việc kiểm tra tuân thủ, phân tích bảo mật, quản lý sự thay đổi và khắc phục sự cố vận hành.

Vấn đề đặt ra

Một số người dùng AWS không tận dụng lợi thế của AWS Config. Điều quan trọng là phải cài đặt AWS Config trong từng khu vực đang triển khai của tài khoản để luôn cập nhật chính xác cách triển khai và định cấu hình AWS của bạn. Đồng thời, biết những gì đã được thêm / xóa / sửa đổi tại bất kỳ thời điểm nào.

Đề xuất từ Renova Cloud

Sử dụng AWS Config kết hợp với Logic sumo đảm bảo rằng bạn có thể đáp ứng các yêu cầu kiểm tra của mình.

3.   Sự dư thừa về cấu hình địa chỉ IP và port truy cập vào EC2-Classic Security Groups

Về Security Groups

EC2 Security groups hoạt động như một tường lửa, kiểm soát traffic được truy cập vào một nhóm instance. Mỗi instance có một hoặc nhiều nhóm bảo mật và mỗi nhóm có các quy tắc riêng quyết định inbound traffic được cho phép đi vào. Các inbound traffic khác sẽ bị loại bỏ.

Vấn đề đặt ra

Để bảo vệ các instance, security groups chỉ nên cho phép traffic truy cập từ các port được chỉ định. Việc mở tất cả các port cho bất kỳ security group nào đều không được khuyến khích.

Đề xuất từ Renova Cloud

Renova Cloud sẽ cấu hình các dịch vụ Amazon Cloud Watch & Sumo Logic để thiết lập các các cảnh báo nếu người dùng vi phạm các nguyên tắc về IP.

4.   Sử dụng Access Keys và User Access ở tài khoản Root

Giới thiệu về Access Keys

Access Key có thể mở các kết nối sử dụng command-line interface (CLI), SDK AWS hoặc direct API. Bất cứ ai có Access Key cho tài khoản root đều có quyền truy cập không hạn chế vào tất cả các tài nguyên trong tài khoản, bao gồm thông tin thanh toán.

Vấn đề đặt ra

Cách quản lý tốt nhất trên nền tảng đám mây là không nên có Root Account Access Key. Thay vào đó, bạn có thể tạo một hoặc nhiều người dùng phân quyền theo AWS Identity and Access Management (IAM), cung cấp cho họ các quyền cần thiết và sử dụng người dùng IAM để tương tác hàng ngày với AWS. Để biết thêm thông tin, hãy xem hướng dẫn Sử dụng IAM.

Người thiết lập tài khoản AWS sẽ có quyền truy cập root mà không bị ràng buộc bởi chính sách IAM cho mỗi tài khoản AWS. Bất kỳ tương tác nào đối với tài khoản AWS từ vai trò người dùng này đều được ghi lại dưới dạng root trong CloudTrail.

Tuy nhiên, vì các tương tác này được ghi lại dưới dạng root, nên chúng không thể được truy ngược lại cho một cá nhân cụ thể. Điều này làm cho rất khó để biết chính xác ai đang thực hiện các tác vụ như khởi tạo EC2 hoặc sửa đổi security group.

Đề xuất từ Renova Cloud

Tất cả người dùng phải được phân quyền thông qua IAM cho việc truy cập vào tài khoản AWS, điều này giúp cho mọi tương tác đều được theo dõi, ghi nhận bằng Amazon CloudTrail. Mặt khác, Amazon Cloud Watch / SumoLogic SaaS sẽ tự động cảnh báo người dùng khi họ đang sử dụng tài khoản root hoặc Access key dưới tài khoản Root.

5.   Cho phép nhiều địa chỉ IP truy cập Redshift Security Groups

AWS Security Group

AWS security group hoạt động như một tường lửa, kiểm soát traffic được phép vào các Redshift cluster. Mỗi cluster có một hoặc nhiều security group và mỗi nhóm có các quy tắc chi phối inbound traffic được phép vào. Các inbound traffic khác sẽ bị loại bỏ.

Để bảo vệ các cluster, chỉ định IP cụ thể cho security group và chỉ nên hiển thị các port cần thiết.

Vấn đề đặt ra

Việc cho một loạt các địa chỉ IP vào security group không được khuyến khích vì nó tạo cơ hội lớn cho kẻ tấn công xâm nhập.

Đề xuất từ Renova Cloud

Renova Cloud và SumoLogic SaaS cài đặt các cảnh báo để bảo vệ người dùng khỏi lỗ hổng này.

Quản lý bảo mật trên AWS

Một trong những lợi ích từ AWS và các hãng điện toán đám mây nói chung là môi trường linh hoạt và có thể mở rộng, do đó bạn có thể thay đổi và phát triển nguyên tắc bảo mật của mình theo thời gian.

Renova Cloud sẽ giúp bạn quản lý tất cả các vấn đề trên cùng với việc tối ưu hóa quản lý chi phí điện toán đám mây.

Liên hệ ngay để được dùng thử miễn phí trên AWS với Renova Cloud.    

CÁC LỖI BẢO MẬT CẦN TRÁNH TRÊN AWS