5 เทคนิคสำหรับป้องกันระบบบน Amazon AWS

amazon_aws_logo_h50

Public Cloud Service เริ่มกลายเป็นที่นิยมมากขึ้นในปัจจุบัน หลายองค์กรต่างเริ่มทยอยปรับระบบให้ไปใช้บริการระบบคลาวด์มากยิ่งขึ้น เนื่องจากช่วยลดค่าใช้จ่ายในการซื้อและบำรุงรักษาอุปกรณ์ฮาร์ดแวร์ รวมถึงภาระในงานดูแลระบบ Data Center ของฝ่าย IT อย่างไรก็ตาม ยังคงเป็นที่ถกเถียงกันในปัจจุบันว่า Public Cloud Service ปลอดภัยมากน้อยแค่ไหน

ttt_cloud_with_padlock-Maksim_Kabakou

เดือนตุลาคมที่ผ่านมา Amazon AWS หนึ่งในผู้ให้บริการ Public Cloud Service ที่ใหญ่ที่สุดโลก ได้ออกมาเผยแพร่ White Paper ที่ระบุ Best Practices สำหรับการใช้ระบบคลาวด์ Amazon AWS ไม่ว่าจะเป็นการควบคุมงบประมาณ การใช้ Fault-tolerant Infrastructure การเพิ่มประสิทธิภาพการใช้งานให้สูงที่สุด รวมไปถึงวิธีการทำให้สภาวะแวดล้อมของ AWS ปลอดภัย ซึ่งสามารถสรุปใจความง่ายๆได้ 5 ประการ ดังนี้

1. เปิดการใช้งานฟีเจอร์ด้านความปลอดภัยทุก Layer

นอกจากจะมี Firewall ด้านหน้าสุดของระบบ Infrastructure แล้ว แนะนำให้ติดตั้ง Virtual Firewall บนแต่ละ Virutal Network ที่สร้างขึ้นด้วย (AWS Marketplace มีให้บริการหลายยี่ห้อ)

2. ปรับแต่งระบบให้สามารถย้อนรอยและกำหนดสิทธิ์สำหรับควบคุมการใช้งาน

ใช้ Tag ในการระบุว่ามี User ใดถูกสร้างขึ้นมาและเข้าถึงข้อมูลอะไรได้บ้าง จากนั้นต้องกำหนดสิทธิ์ในการเข้าถึงของแต่ละ User โดยแนะนำให้ใช้ Access Control ที่เข้มงวดที่สุดในการจำกัดการเปลี่ยนแปลง Root Settings ที่ใช้ปรับแต่งสภาวะแวดล้อมการใช้งาน นอกจากนี้ให้กำหนด Authorization และ Multi-factor Authentication สำหรับควบคุมการเข้าถึงในระดับ Root และการใช้งานฟังก์ชันสำคัญต่างๆ

3. มอนิเตอร์และจัดเก็บ Log ทุกการกระทำที่เกิดขึ้น

ตั้งค่าการแจ้งเตือนเมื่อมีการตรวจจับพฤติกรรมการใช้งานที่ผิดปกติ CloudTrail เป็นผลิตภัณฑ์ของ Amazon AWS ที่ใช้จัดเก็บ Log การเรียก API เช่น เวลา ผู้ใช้ หมายเลข IP ที่เรียก API เป็นต้น

4. สร้าง Template ของ Image สำหรับ Virtual Server

บริการ Amazon Machine Image (AMI) ช่วยให้สามารถสร้าง Template ของ Image สำหรับ EC2 Instance ได้โดยอัตโนมัติ ซึ่งใน Template ดังกล่าวให้ระบุการตั้งค่าด้านความปลอดภัยต่างๆลงไปเรียบร้อย แล้วใช้ Image เหล่านั้นในการติดตั้งลงบน Server เครื่องใหม่ที่ตั้งขึ้น เพื่อให้ระบบ AWS มีความปลอดภัยสูงสุดตั้งแต่เริ่มใช้งาน

5. เข้ารหัสข้อมูลทั้งหมดในระบบ AWS

ถ้าต้องการ ผู้ใช้บริการสามารถใช้ Hardware Security Module ของ AWS สำหรับเข้ารหัสข้อมูลบน Data Center ก่อนที่จะส่งขึ้นมายังระบบคลาวด์ได้ แล้วทำการเก็บ Key ที่ใช้เข้ารหัสไว้ด้านหลัง Firewall ของ Data Center เพื่อเพิ่มความปลอดภัยในการรับส่งข้อมูลระหว่าง Data Center และระบบคลาวด์

ผู้ใช้บริการ AWS ที่สนใจปรับแต่งระบบให้ปลอดภัยมากยิ่งขึ้น สามารถอ่าน Best Practices ฉบับเต็มได้ที่: https://d0.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf

amazon_aws-products-services

ที่มา: http://www.networkworld.com/article/3026442/public-cloud/5-tips-for-securing-your-aws-cloud.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Linux 4.10 Kernel ออกแล้ว เน้นเพิ่มประสิทธิภาพและรองรับ Hardware ใหม่

Linux 4.10 Kernel รุ่น Stable ได้ถูกประกาศออกมาเรียบร้อยแล้วอย่างเป็นทางการ โดยมุ่งเน้นการรองรับการทำงานร่วมกับ Hardware ใหม่ๆ ดังนี้

ป้องกัน Ransomware ให้อยู่หมัดด้วย Panda AD360

ปีที่ผ่านมา Ransomware มีการพัฒนามากขึ้นจนเป็นภัยคุกคามอันดับต้นๆ ของธุรกิจ โดย Ransomware เองก็มีหลากหลายประเภทที่ตรวจเจอในปี 2015 – 2016 สร้างความเสียหายมหาศาลและยังคงเพิ่มจำนวนต่อไปเรื่อยๆ โดยสถิติที่น่าสนใจมีดังนี้