by Nitin O. Verma and Amit Gupta | on 16 FEB 2024 | in AWS Managed Services, Centralized operations management, Enterprise governance and control, Management & Governance, Management Tools, Security | Permalink |  Share

Giới thiệu

Một sự cố về an ninh hoặc mất mát dữ liệu có thể dẫn đến những tổn thất về tài chính và uy tín. Việc duy trì an ninh và tuân thủ là trách nhiệm chung (shared responsibility) giữa AWS và bạn (khách hàng của chúng tôi), nơi AWS chịu trách nhiệm về “Security of the Cloud – An ninh của Đám mây” và bạn chịu trách nhiệm về “Security in the Cloud – An ninh trong Đám mây”. Tuy nhiên, Security in the Cloud – An ninh trong đám mây có phạm vi rộng lớn hơn nhiều, đặc biệt là ở cấp độ cơ sở hạ tầng cloud và hệ điều hành. Trong môi trường cloud, việc xây dựng một môi trường an toàn, tuân thủ và được giám sát tốt ở quy mô lớn đòi hỏi một mức độ cao tự động hóa, nguồn lực và kỹ năng.

Blog này nêu bật cách bạn có thể tận dụng sự kết hợp của các dịch vụ AWS để cải thiện “Security in the Cloud – An ninh trong Đám mây” của mình. Việc theo đuổi và triển khai các phương pháp tốt nhất (best practices) về an ninh ở quy mô lớn có thể là một thách thức đối với nhiều tổ chức do thiếu kỹ năng hoặc do vấn đề ưu tiên kinh doanh. Chúng tôi sẽ khám phá các phương pháp tốt nhất (best practices) từ AWS Managed Services (AMS) về cách AMS đã tăng cường an ninh hạ tầng AWS cho khách hàng ở quy mô lớn. AMS cung cấp các khả năng chủ động, ngăn chặn và phát hiện để giúp bạn đạt được sự vận hành tốt nhất trên AWS cloud, bao gồm giám sát, quản lý sự cố, an ninh, cập nhật vá, sao lưu và tối ưu hóa chi phí – để bạn có thể tập trung vào đổi mới.

Ví dụ: Khi Coinhako chuyển sang AWS với AMS là đối tác vận hành, CTO Gerry Eng cho biết: “Rất nhiều tính năng bảo mật được tích hợp sẵn trong AMS sẽ khiến chúng tôi mất hàng tháng, nếu không muốn nói là hàng năm để triển khai đúng cách.” Tìm hiểu thêm trong case study.

Quản lý an ninh đám mây trong AWS

Prevention – Phòng ngừa

Người ta có câu, “Phòng bệnh hơn chữa bệnh”. Các lĩnh vực mà bạn có thể cải thiện tình trạng an ninh/bảo mật của mình để giúp ngăn chặn sự cố bao gồm Quản lý danh tính và quyền truy cập – Identity and Access Management (IAM), bảo mật lưu lượng truy cập vào và ra, sao lưu và khắc phục thảm họa cùng với việc giải quyết các lỗ hổng.

AWS cung cấp khả năng kiểm soát quyền truy cập chi tiết vào tài nguyên đám mây thông qua sự kết hợp giữa dịch vụ AWS IAM và Chính sách kiểm soát dịch vụ – Service control policies (SCPs). AWS phác thảo các biện pháp bảo mật tốt nhất (best practices) khi sử dụng dịch vụ IAM. Tuy nhiên, khách hàng thường gặp khó khăn trong việc giám sát và quản lý việc sử dụng tối ưu theo thời gian, dẫn đến các truy cập trái phép hoặc truy cập không mong muốn. Ngày nay, bạn có thể tận dụng AMS để liên tục kiểm tra các thay đổi của IAM dựa trên các best practices của AWS cũng như các tiêu chuẩn kỹ thuật AMS. AMS cũng triển khai các biện pháp kiểm soát tốt nhất dành cho IAM bằng cách sử dụng các quy tắc tùy chỉnh của AWS Config để đảm bảo mọi sự bất thường hoặc sai lệch đều được chủ động ngăn chặn và khắc phục.

Từ góc độ lưu lượng truy cập vào/ra, bạn có thể sử dụng AWS WAF – một dịch vụ tường lửa ứng dụng web, tại các mạng biên (edge network) của bạn để kiểm tra các request HTTP/HTTPS đến tài nguyên ứng dụng web của bạn. AWS WAF tích hợp tốt với hầu hết các dịch vụ externel của AWS như Amazon CloudFront, Application Load Balancer (ALB), Amazon API Gateway (ở đây ý chỉ các dịch vụ mà có thể tiếp xúc và được sử dụng bởi người dùng hoặc hệ thống bên ngoài mạng riêng của bạn (VPC – Virtual Private Cloud)). Ở tầng mạng (tầng Network), bạn có thể sử dụng AWS Network Firewall để định nghĩa các quy tắc firewall nhằm thực thi kiểm soát chi tiết đối với tất cả lưu lượng truy cập mạng vào/ra. Network Firewall hoạt động cùng với AWS Firewall Manager để áp dụng tập trung các chính sách trên nhiều tài khoản và đám mây riêng ảo (VPC). AMS có thể giúp bạn thiết lập và vận hành các dịch vụ này một cách liên tục bằng cách sử dụng các biện pháp “best practices” của AWS.

Ngoài ra, vá lỗi thường xuyên là một trong những biện pháp phòng ngừa lỗ hổng hiệu quả nhất. Theo khảo sát của Viện Ponemon (Ponemon Institute), “60% nạn nhân của các vụ bị xâm lấn an ninh cho biết họ bị xâm nhập do lỗ hổng đã biết nhưng lại không được vá lỗi.” Ở cấp Hệ điều hành (OS), bạn có thể tận dụng dịch vụ Patch Manager của AWS Systems Manager để quản lý bản vá hoàn chỉnh nhằm bảo vệ khỏi các lỗ hổng mới nhất. Để quản lý lỗ hổng một cách liên tục, bạn có thể sử dụng dịch vụ  AWS Inspector để quét và xác định lỗ hổng hệ điều hành. Tuy nhiên, việc thiết lập lịch trình vá lỗi, báo cáo tuân thủ vá lỗi, và phản hồi đối với sự cố vá lỗi ở quy mô lớn có thể là một nhiệm vụ đầy thách thức. AMS thực hiện những hoạt động này giúp bạn ở quy mô lớn bằng tính năng tự động hóa và các phương pháp tốt nhất. AMS có thể thực hiện việc vá lỗi theo yêu cầu để giải quyết những lỗ hổng có rủi ro cao hoặc những lỗ hổng chưa biết được báo cáo bởi Inspector hoặc các công cụ của bạn. Bạn cũng có thể tận dụng AMS để xây dựng những Amazon Machine Images (AMIs) với hệ điều hành được cứng hóa, tuân thủ theo các chuẩn bảo mật Security Technical Implementation Guide (STIG), để mặc định bảo vệ các EC2 instances.

Cuối cùng, để bảo vệ khỏi việc mất dữ liệu khi xảy ra sự cố, việc có chiến lược sao lưu và khắc phục thảm họa – backup and disaster recovery (DR) mạnh mẽ là điều cần thiết. Bạn có thể tận dụng sự kết hợp giữa AWS Backup và AWS Elastic Disaster Recovery (AWS DRS) để bảo vệ dữ liệu của mình trên AWS cloud. Việc thiết lập kế hoạch sao lưu và giám sát tuân thủ sao lưu liên tục ở quy mô lớn có thể khá phức tạp. AMS không chỉ giúp giám sát và quản lý việc sao lưu liên tục, nó cung cấp nhiều kế hoạch sao lưu để bạn có thể lựa chọn, phù hợp với các trường hợp sử dụng kinh doanh của bạn cho việc phục hồi dữ liệu, bao gồm cả kế hoạch bảo vệ chống lại mã độc tống tiền – ransomware. Việc kiểm tra/phục hồi sao lưu định kỳ là một phương pháp quan trọng để đảm bảo giảm thiểu thời gian bị ngừng hoạt động của dịch vụ kinh doanh khi gặp phải các sự cố không lường trước được (Ví dụ: Một sự cố phần cứng làm hỏng cơ sở dữ liệu chính. Nhờ vào việc kiểm tra sao lưu định kỳ và biết được rằng hệ thống sao lưu của họ đáng tin cậy, doanh nghiệp có thể nhanh chóng phục hồi dữ liệu từ sao lưu gần nhất và giảm thiểu thời gian ngừng hoạt động của dịch vụ). AMS cung cấp Thỏa thuận cấp độ dịch vụ – Service Level Agreements (SLA)  cho việc khôi phục dịch vụ để đảm bảo giảm thời gian phục hồi trung bình (MTTR) trong các sự cố. AMS tiến hành các game days tập trung vào an ninh và vận hành cùng đội nhóm của bạn để mô phỏng các kịch bản như sự cố bị xâm nhập hoặc các trường hợp ransomware – mã độc tống tiền.

Detection – Phát hiện

Điều quan trọng là phải liên tục giám sát môi trường đám mây của bạn để chủ động phát hiện, ngăn chặn và khắc phục các điểm bất thường hoặc hoạt động độc hại tiềm ẩn. AWS cung cấp các dịch vụ để triển khai nhiều biện pháp kiểm soát phát hiện khác nhau thông qua việc xử lý log, sự kiện và giám sát cho phép kiểm tra, phân tích tự động và cảnh báo. Ví dụ, bạn có thể tận dụng Amazon GuardDuty, một dịch vụ phát hiện mối đe dọa dựa trên máy học – machine learning (ML) được xây dựng với mục đích cụ thể, liên tục giám sát các hoạt động liên quan đến quyền truy cập và hành vi trái phép để bảo vệ khối lượng công việc của bạn trong tài khoản AWS. GuardDuty có thể được bổ sung bằng Amazon Macie, một dịch vụ bảo mật dữ liệu sử dụng ML và khớp mẫu để khám phá và bảo vệ dữ liệu nhạy cảm trong tài khoản AWS của bạn.

AWS Security Hub là dịch vụ quản lý trạng thái bảo mật đám mây – cloud security posture management (CSPM) thực hiện kiểm tra biện pháp bảo mật tốt nhất, tổng hợp cảnh báo từ AWS và các dịch vụ của bên thứ ba (third-party services), đồng thời đề xuất các bước khắc phục. Tuy nhiên, việc sử dụng các cảnh báo này và thực hiện khắc phục trên quy mô lớn trên nhiều tài khoản AWS có thể nhanh chóng khiến việc vận hành trở nên khó khăn hơn.

AMS tận dụng Amazon GuardDuty để giám sát các mối đe dọa trên tất cả các tài khoản AWS mà bạn đã đăng ký và xem xét tất cả các cảnh báo do Amazon GuardDuty tạo ra 24/7. AMS sử dụng tự động hóa để phân tích các cảnh báo của GuardDuty nhằm giảm thiểu nhiễu (tức là loại bỏ các cảnh báo không quan trọng hoặc sai lệch) và thực hiện sàng lọc ban đầu (tức là xác định và phân loại nhanh các vấn đề theo mức độ nghiêm trọng hoặc ưu tiên), mang lại các insights (cái nhìn/hiểu biết) có thể hành động được như một phần của thông báo sự cố (nghĩa là AMS cung cấp thông tin cụ thể và hữu ích mà bạn có thể sử dụng để phản ứng với sự cố một cách hiệu quả. Những insight này được tích hợp vào thông báo sự cố, giúp đảm bảo rằng bạn nhận được tất cả thông tin cần thiết để xử lý sự cố một cách nhanh chóng và hiệu quả). Đối với các vấn đề nghiêm trọng, AMS chủ động hợp tác với bạn để cùng điều tra bảo mật và nhận được sự phê duyệt cần thiết cho việc khắc phục sự cố. AMS cũng có thể giám sát các phát hiện của Amazon Macie và thay mặt bạn thực hiện các biện pháp khắc phục cần thiết.

Monitoring and Incident Response – Giám sát và ứng phó sự cố

Amazon CloudWatch là một dịch vụ cơ bản của AWS cho việc giám sát, cung cấp cho bạn các khả năng giám sát trên toàn bộ cơ sở hạ tầng, ứng dụng và giám sát người dùng cuối. Trung tâm điều hành OpsCenter của Systems Manager giúp người vận hành có thể xem, điều tra và khắc phục các vấn đề vận hành được xác định bởi các dịch vụ như CloudWatch và AWS Config. Khả năng Quản lý Sự cố Incident Manager của Systems Manager giúp bạn giải quyết các sự cố ứng dụng quan trọng nhanh hơn bằng các kế hoạch ứng phó tự động. Cả OpsCenter và Incident Manager integrates đều tích hợp với IT Service Management (ITSM) và các hệ thống tạo yêu cầu như Atlassian Jira và ServiceNow để cung cấp cái nhìn toàn diện về các sự cố trong tool (công cụ) bạn chọn. Incident Manager cũng tích hợp với AWS Chatbot để điều tra và khắc phục sự cố bằng các công cụ cộng tác như Slack, Microsoft Teams và Amazon Chime.

AMS giúp bạn vận hành trên cloud một cách dễ dàng với khả năng giám sát bảo mật 24/7 và ứng phó sự cố với các kỹ sư ở nhiều địa điểm trên khắp thế giới. Các cảnh báo và sự kiện được giám sát từ các dịch vụ gốc như AWS Config, Amazon GuardDuty, Amazon Macie, Amazon CloudWatch và AWS CloudTrail. Đối với Ứng phó sự cố bảo mật – Security Incident Response (SIR), AMS tuân theo các hướng dẫn (đã được xác định trước và điều chỉnh) để phù hợp với các tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia – National Institute of Standards and Technology (NIST) được xác định trước để xác định, phân tích, ngăn chặn, xóa, khôi phục và phản hồi các cảnh báo bảo mật. AMS cũng sử dụng OpsCenter của Systems Manager để ghi lại tất cả các hạng mục vận hành, thông báo cho bạn qua các AWS Support cases và làm việc với đội ngũ của bạn để giải quyết chúng. Nếu bạn đang sử dụng công cụ an ninh/bảo mật của bên thứ ba hoặc của doanh nghiệp tự phát triển như giải pháp Quản lý Sự Cố và Sự Kiện An Ninh – Security Incident and Event Management (SIEM) hoặc giải pháp Phát Hiện và Phản Ứng Tại Điểm Cuối – Endpoint Detection and Response (EDR), AMS cũng có thể giúp khắc phục các phát hiện liên quan đến hệ điều hành và cơ sở hạ tầng AWS được báo cáo bởi chúng. Bạn cũng có thể tận dụng AWS Service Management Connector để tích hợp công cụ ITSM hiện có của mình, chẳng hạn như ServiceNow và Atlassian Jira, để có thể phát hiện, ghi nhận sự cố một cách liền mạch với AMS.

Compliance – Tuân thủ

Theo mô hình shared responsibility của AWS, bạn đảm nhận trách nhiệm bảo mật và tuân thủ của hệ điều hành khách, phần mềm ứng dụng cũng như cấu hình và lựa chọn dịch vụ AWS trong tài khoản AWS của bạn. Ngoài ra, bạn có thể cần tuân thủ một loạt các khung tuân thủ địa phương/toàn cầu theo nhu cầu kinh doanh của mình (nghĩa là doanh nghiệp của bạn có thể cần phải tuân theo một loạt các tiêu chuẩn và quy định pháp lý khác nhau, tùy thuộc vào ngành nghề, vị trí địa lý, và thị trường mục tiêu), và việc áp dụng những khung tuân thủ đó với các biện pháp kiểm soát bảo mật của AWS có thể là một thách thức lớn.

Việc sử dụng AMS không chỉ nâng cao tình trạng bảo mật tổng thể của bạn trong AWS mà còn giúp đẩy nhanh quá trình đạt được các mức tuân thủ cần thiết. Đầu tiên, bản thân AMS với tư cách là một dịch vụ đủ điều kiện và tuân thủ nhiều khuôn khổ, quy định và tiêu chuẩn bảo mật toàn cầu, bao gồm HIPAA, SOC, ISO27001, FedRAMP, IRAP, NIST, PCI-DSS và GDPR (tham khảo AWS Compliance Center). Điều này làm cho môi trường đám mây do AMS quản lý phù hợp để lưu trữ các ứng dụng của bạn với các yêu cầu tuân thủ hoặc quy định cụ thể.

Thứ hai, ngay từ lần sử dụng đầu tiên, AMS cung cấp cho bạn thông tin đầy đủ về tình hình bảo mật của bạn so sánh với 4 khuôn khổ bảo mật toàn cầu nghiêm ngặt và đa dạng nhất: CIS, NIST, PCI và HIPAA bằng AWS Config. AMS triển khai các quy tắc AWS Config Rules được tinh chỉnh, liên tục giám sát trạng thái của các tài nguyên trong tài khoản của bạn để tuân thủ các tiêu chuẩn và khung tuân thủ này. Những quy tắc này có thể được cấu hình để tự động khắc phục hoặc thông báo cho bạn dưới dạng một sự cố hoặc báo cáo dựa trên nhu cầu kinh doanh của bạn. Ví dụ, AMS kích hoạt tính năng ghi log của CloudTrail trong tài khoản AMS theo mặc định, được sử dụng để báo cáo, cảnh báo và kiểm tra theo yêu cầu. Chỉ riêng cấu hình này đã góp phần đáp ứng nhiều biện pháp kiểm soát như AU-06/07(a-c,1-4) từ nhóm nhóm kiểm soát  Audit and Accountability (AU) tiêu chuẩn bảo mật NIST800-53 cùng với các biện pháp kiểm soát A.12.4.1-3 của ISO 27001.

Thứ ba, AMS triển khai các biện pháp kiểm soát ghi logs và kiểm tra tập trung ở cả cấp độ hệ điều hành (OS) và tài khoản để tăng cường các yêu cầu tuân thủ của bạn. Các truy vấn được xây dựng sẵn và được AMS lựa chọn có sẵn thông qua bảng điều khiển Amazon Athena để trích xuất các báo cáo kiểm tra về quyền truy cập của người dùng và những thay đổi được thực hiện trong tài khoản AWS của bạn.

Reporting & Governance – Báo cáo & Quản trị

Biện pháp quản trị và báo cáo hiệu quả là điều cần thiết để đo lường và theo dõi trạng thái bảo mật cũng như các rủi ro tiềm ẩn trên môi trường đám mây AWS của bạn. Gắn thẻ (Tagging) các tài nguyên AWS, tạo ra metadata (thông tin mô tả về dữ liệu) bằng cách sử dụng các cặp Khóa-Giá trị (Key-Value), đóng vai trò quan trọng trong việc tối ưu vận hành thông qua kiểm soát, tự động hóa và phân bổ chi phí. Ví dụ: AWS Metadata và giá trị tag có thể được xuất sang dịch vụ lưu trữ AWS mà bạn chọn, cho phép bạn tạo các báo cáo chi tiết về việc cập nhật bảo mật, tuân thủ các chuẩn mực an nhinh, hay xây dựng các bảng điều khiển thông minh khác bằng cách sử dụng các dịch vụ như AWS Glue, Amazon Athena, và Amazon QuickSight.

AMS cung cấp các báo cáo hàng tuần/hàng tháng về mức độ vá lỗi hệ điều hành, phạm vi sao lưu và các sự cố có mức độ nghiêm trọng cao. Người quản lý AMS Cloud Service Delivery Manager (CSDM) và Cloud Architect (CA) – những người được chỉ định làm cố vấn đáng tin cậy của bạn, sẽ đưa ra các đánh giá kinh doanh hàng tháng – monthly business reviews (MBR) cung cấp các báo cáo tập trung bổ sung trên tất cả các tài khoản AWS được quản lý. MBR bao gồm thông tin chuyên sâu về các rủi ro chính trong quá trình vận hành trên cloud – key cloud operational risks (KCOR) dựa trên AWS Well Architected cùng với kế hoạch tương lai tương lai nhằm giải quyết các vấn đề nghiêm trọng.

Để áp dụng và thực thi AMS tags hoặc tags tùy chỉnh của riêng bạn, công cụ Resource Tagger do AMS cung cấp có thể được sử dụng cho các tài nguyên AWS được quản lý bởi AMS. Ngoài việc kiểm soát và báo cáo, các tag đặc biệt của AMS còn cho phép tự động hóa các hành động liên quan đến kiểm soát truy cập, giám sát, vá lỗi, sao lưu và tự phục hồi. Sự kết hợp của công cụ AMS Resource Tagger và các tag tùy chỉnh của bạn cho phép bạn xây dựng một chiến lược gắn thẻ tối ưu cho quản trị cloud.

Security On-Demand – Bảo mật theo yêu cầu

AMS cung cấp hỗ trợ bảo mật mở rộng theo yêu cầu bằng cách sử dụng dịch vụ Operations on Demand (OOD). Bạn có thể tận dụng AMS OOD để vận hành hoặc thực hiện mọi thay đổi cấp độ dịch vụ của AWS được quản lý nhằm cải thiện hơn nữa tình hình bảo mật của bạn trên AWS cloud. Nó đi kèm với một danh sách các dịch vụ liên quan đến bảo mật như hoạt động Tường lửa mạng AWS (AWS Network Firewall) hoặc các bản nâng cấp hệ điều hành cũ cho hệ điều hành sắp hết thời gian hỗ trợ để bảo vệ khỏi các mối đe dọa bảo mật đã biết mà chưa được khắc phục.

Tổng kết

Trong bài viết này, chúng tôi đã xem xét nhiều biện pháp bảo mật thiết yếu tốt nhất, bao gồm các biện pháp kiểm soát phòng ngừa, phát hiện và phản hồi mà bạn có thể triển khai để nâng cao tình trạng bảo mật/an ninh của mình trên đám mây AWS. Chúng tôi cũng đã giải thích cách bạn có thể sử dụng AMS như một đối tác đáng tin cậy của mình trong việc triển khai “Security in the Cloud – Bảo mật trên đám mây” bắt buộc bằng cách quản lý môi trường đám mây AWS của bạn. AMS nâng cao tình trạng bảo mật cloud của bạn bằng cách triển khai nhiều biện pháp bảo vệ bằng các biện pháp thực hành tốt nhất của AWS, cùng với khả năng ứng phó và khắc phục sự cố bảo mật 24/7. Ngoài ra, AMS còn đẩy nhanh quá trình tuân thủ của bạn bằng cách giúp bạn triển khai nhiều biện pháp kiểm soát bảo mật bắt buộc và các biện pháp thực hành tốt nhất thông qua việc ghi log, kiểm tra và giám sát trong tài khoản AWS của bạn ngay từ những ngày đầu tiên.

Ngoài các tính năng dành riêng cho bảo mật, AMS còn giúp bạn vận hành tối ưu trong môi trường đám mây AWS trên quy mô lớn bằng cách kết hợp giám sát hạ tầng và hệ điều hành một cách chủ động, tự động khắc phục cảnh báo, tối ưu hóa chi phí, và quản trị liên tục. Truy cập AWS Managed Services để biết thêm thông tin.

About the authors:

Nitin VermaNitin is Principal Solutions Architect that specializes in cloud operations and AWS Managed Services (AMS), helping customers achieve operational excellence in the AWS cloud. He has more than a decade of experience related to cloud Migration, Modernization, and DevSecOps. Speak to your AWS representative to learn more about AMS. You can follow Nitin on LinkedIn.

Amit Kumar GuptaAmit is a Senior Security Engineer that specializes in infrastructure security operations and AWS Managed Services (AMS). He has more than a decade experience in cyber security. His background includes security incident response and security risk management. He focuses on helping customers to minimize their cyber security risks with the right strategy and design.

TAGS: AWS Managed Services (AMS), Cloud Operations, Management and Governance, Security

Link blog tiếng Anh:
https://aws.amazon.com/blogs/mt/enhance-your-aws-cloud-infrastructure-security-with-aws-managed-services-ams/