สรุปเนื้อหา Session การรักษาความปลอดภัยบน AWS Cloud ใน AWS Summit Bangkok 2024

เกริ่นนำ

สวัสดีครับ ผม ต้า ครับ
ผมไปงาน AWS Summit Bangkok 2024 มา และ นี่เป็นบทความของ Session: Express-Training-4 Securing your AWS Cloud ที่ผมไปเข้าร่วมมา
โดยนี่เป็นการสรุปเนื้อหาคร่าวๆ เท่าที่ผมจดมาได้ และ ภาพที่ผมแนบมาไม่ใช่จากเว็บไซต์ Securing Your AWS Cloud ไม่ใช่จากที่ถ่ายมาในงานครับ

เนื้อหาใน Session นี้ หากพูดสรุปโดยรวมแล้วจะเป็นการแนะนำการใช้งาน Service ต่างๆของ AWS อย่างไรให้ปลอดภัย มี Security สูง
ซึ่งส่วนใหญ่แล้ว หากผู้ใช้เคยเรียนเกี่ยวกับ Security ของ AWS เนื้อหาจะเป็นหัวข้อที่คุณรู้จักอยู่แล้ว ไม่ได้เกินเนื้อหาของ Cloud Practitioner มากนัก(ไม่ได้ลึกมากนัก) โดยเนื้อหาจะมีต่อไปนี้ครับ

เนื้อหา

ใน Session นี้จะเริ่มแนะนำตั้งแต่ AWS Account คืออะไรเลยครับ โดยเนื้อหาคือจะเป็นการเล่าถึง ภายใน Account เราสามารถสร้างสิทธิ์, User, ทรัพยากร ต่างๆในนี้

AWS จะมี Shared responsibility model(โมเดลความรับผิดชอบร่วมกัน) ที่จะเป็นการแบ่งความรับผิดชอบของผู้ใช้ และ AWS โดยที่ AWS จะเป็นคนดูแลในส่วนที่เป็น Physical ต่างๆ(Data Center, ตัว Server)
ส่วนฝั่งข้อมูลต่างๆ ที่อยู่บน AWS คนดูแลจะเป็นผู้ใช้เอง (การปรับสิทธิ์การเข้าถึง, การทำการเข้ารหัสไฟล์, การวางโครงสร้าง VPC)
ซึ่งหมายความว่าหากเกิดปัญหาขึ้นที่ฝั่งของผู้ใช้ คนที่รับผิดชอบจะต้องเป็นผู้ใช้เอง AWS จะไม่สามารถเข้ามาช่วยได้

(หลังจาก Slide นี้ไปจะเป็นการพูดถึง AWS best practices ว่าใช้ยังไงให้มีความปลอดภัยที่สูง)

ในหน้านี้จะพูดการให้สิทธิ์ของ user แต่ละคนใน AWS account นั้นๆ ให้มอบแค่สิทธิ์ที่จำเป็นเท่านั้นสำหรับหน้าที่ของ User แค่นั้นก็พอ
เช่น User มีหน้าที่การตรวจสอบ จึงมีสิทธิ์แค่พวก Read only access เท่านั้น เป็นต้น

เปิดฟีเจอร์ ฟังก์ชันในการ Tracking การกระทำต่างๆ บน AWS เช่น Cloudtail ที่เก็บพฤติกรรม API ที่เกิดขึ้น Account, CloudWatch ที่สามารถตรวจสอบ Metric ต่างๆ ได้

โดยสิ่งเรานี้จะทำให้เราสามารถทราบได้ว่าเกิดอะไรขึ้น Account ของเรา

บน AWS มีการตั้งค่า Security ได้หลายแบบหลายชั้น และควรทำหลายๆ อย่าง
เช่น
VPC=ตั้งค่า ACL, Security Group, WAF
EC2=การใช้ Key pair
เข้ารหัส=KMS

การตั้งค่าต่างๆบน AWS Config ให้เมื่อเกิดปัญหาต่างๆด้าน Security เกิดขึ้น ให้ทำการแก้ไขเองโดยอัตโนมัติ
หรือการใช้ CloudFormation ที่เปลี่ยน infrastructure เป็น code เพื่อให้ง่ายต่อการตรวจสอบ

การเข้ารหัส หรือใช้ VPN, TLS จะช่วยทำให้ ต่อให้มีคนที่ได้ข้อมูลเราไป เขาก็จะไม่สามารถอ่านมันได้

เราสามารถสร้างอีเวนท์เพื่อรองรับเหตุการณ์ด้านความปลอดภัยต่างๆที่เกิดขึ้นได้บน AWS

การแนะนำให้ใช้ User Password + MFA ในการใช้งาน AWS Management Console

หลีกเลี่ยงการใช้ Access Key หากไม่จำเป็น

เวลาการเรียกใช้งาน Service ต่างๆ จะเป็นการใช้งาน API และประวัติการใช้งาน API เหล่านี้จะถูกบันทึกลงใน CloudTrail และเราสามารถตรววจสอบข้อมูลเหล่านี้ได้

การใช้งาน Public Subnet, Private Subnet อย่างเหมาะสม รวมไปถึงการใช้งาน VPN

ทิ้งท้าย

หากใครต้องการเรียนเกี่ยวกับ Security บน AWS แบบเต็มๆ มี course บน Skill builder เปิดให้เรียนฟรี สามารถเข้าได้ดูได้จากลิ้งค์ด้านล่างนี้

หรือเกี่ยวกับเนื้อหาด้าน Security ต่างๆ ทาง Classmethod ก็มีบทความแนวนี้เช่นกัน สามารถตรวจสอบได้จากหัวข้อบทความที่เกี่ยวข้องด้านล่างนี้

บทความที่เกี่ยวข้อง

• AWS CloudWatch คืออะไร? การแนะนำฟังก์ชันของ AWS CloudWatch ในปี 2023 | DevelopersIO
• MFA (Multi-Factor Authentication) คืออะไร บน AWS | DevelopersIO
• AWS IAM คืออะไร การแนะนำฟังก์ชันล่าสุดของ AWS | DevelopersIO
• Amazon GuardDuty คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS | DevelopersIO
• AWS WAF คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS | DevelopersIO