สรุปเนื้อหา Session การรักษาความปลอดภัยบน AWS Cloud ใน AWS Summit Bangkok 2024

สรุปเนื้อหา Session การรักษาความปลอดภัยบน AWS Cloud ใน AWS Summit Bangkok 2024

ไปงาน Summit มาครับ บทความนี้เป็นสรุปเนื้อหาของ Session: Express-Training-4 Securing your AWS Cloud ที่ผมไปเข้าร่วมมาครับ
Clock Icon2024.06.07 04:17

เกริ่นนำ

สวัสดีครับ ผม ต้า ครับ
ผมไปงาน AWS Summit Bangkok 2024 มา และ นี่เป็นบทความของ Session: Express-Training-4 Securing your AWS Cloud ที่ผมไปเข้าร่วมมา
โดยนี่เป็นการสรุปเนื้อหาคร่าวๆ เท่าที่ผมจดมาได้ และ ภาพที่ผมแนบมาไม่ใช่จากเว็บไซต์ Securing Your AWS Cloud ไม่ใช่จากที่ถ่ายมาในงานครับ

เนื้อหาใน Session นี้ หากพูดสรุปโดยรวมแล้วจะเป็นการแนะนำการใช้งาน Service ต่างๆของ AWS อย่างไรให้ปลอดภัย มี Security สูง
ซึ่งส่วนใหญ่แล้ว หากผู้ใช้เคยเรียนเกี่ยวกับ Security ของ AWS เนื้อหาจะเป็นหัวข้อที่คุณรู้จักอยู่แล้ว ไม่ได้เกินเนื้อหาของ Cloud Practitioner มากนัก(ไม่ได้ลึกมากนัก) โดยเนื้อหาจะมีต่อไปนี้ครับ

เนื้อหา

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se2.png

ใน Session นี้จะเริ่มแนะนำตั้งแต่ AWS Account คืออะไรเลยครับ โดยเนื้อหาคือจะเป็นการเล่าถึง ภายใน Account เราสามารถสร้างสิทธิ์, User, ทรัพยากร ต่างๆในนี้

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se3.png

AWS จะมี Shared responsibility model(โมเดลความรับผิดชอบร่วมกัน) ที่จะเป็นการแบ่งความรับผิดชอบของผู้ใช้ และ AWS โดยที่ AWS จะเป็นคนดูแลในส่วนที่เป็น Physical ต่างๆ(Data Center, ตัว Server)
ส่วนฝั่งข้อมูลต่างๆ ที่อยู่บน AWS คนดูแลจะเป็นผู้ใช้เอง (การปรับสิทธิ์การเข้าถึง, การทำการเข้ารหัสไฟล์, การวางโครงสร้าง VPC)
ซึ่งหมายความว่าหากเกิดปัญหาขึ้นที่ฝั่งของผู้ใช้ คนที่รับผิดชอบจะต้องเป็นผู้ใช้เอง AWS จะไม่สามารถเข้ามาช่วยได้

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se4.png

(หลังจาก Slide นี้ไปจะเป็นการพูดถึง AWS best practices ว่าใช้ยังไงให้มีความปลอดภัยที่สูง)

ในหน้านี้จะพูดการให้สิทธิ์ของ user แต่ละคนใน AWS account นั้นๆ ให้มอบแค่สิทธิ์ที่จำเป็นเท่านั้นสำหรับหน้าที่ของ User แค่นั้นก็พอ
เช่น User มีหน้าที่การตรวจสอบ จึงมีสิทธิ์แค่พวก Read only access เท่านั้น เป็นต้น

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se5.png

เปิดฟีเจอร์ ฟังก์ชันในการ Tracking การกระทำต่างๆ บน AWS เช่น Cloudtail ที่เก็บพฤติกรรม API ที่เกิดขึ้น Account, CloudWatch ที่สามารถตรวจสอบ Metric ต่างๆ ได้

โดยสิ่งเรานี้จะทำให้เราสามารถทราบได้ว่าเกิดอะไรขึ้น Account ของเรา

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se6.png

บน AWS มีการตั้งค่า Security ได้หลายแบบหลายชั้น และควรทำหลายๆ อย่าง
เช่น
VPC=ตั้งค่า ACL, Security Group, WAF
EC2=การใช้ Key pair
เข้ารหัส=KMS

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se7.png

การตั้งค่าต่างๆบน AWS Config ให้เมื่อเกิดปัญหาต่างๆด้าน Security เกิดขึ้น ให้ทำการแก้ไขเองโดยอัตโนมัติ
หรือการใช้ CloudFormation ที่เปลี่ยน infrastructure เป็น code เพื่อให้ง่ายต่อการตรวจสอบ

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se8.png

การเข้ารหัส หรือใช้ VPN, TLS จะช่วยทำให้ ต่อให้มีคนที่ได้ข้อมูลเราไป เขาก็จะไม่สามารถอ่านมันได้

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se9.png

เราสามารถสร้างอีเวนท์เพื่อรองรับเหตุการณ์ด้านความปลอดภัยต่างๆที่เกิดขึ้นได้บน AWS

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se10.png

การแนะนำให้ใช้ User Password + MFA ในการใช้งาน AWS Management Console

หลีกเลี่ยงการใช้ Access Key หากไม่จำเป็น

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se11.png

เวลาการเรียกใช้งาน Service ต่างๆ จะเป็นการใช้งาน API และประวัติการใช้งาน API เหล่านี้จะถูกบันทึกลงใน CloudTrail และเราสามารถตรววจสอบข้อมูลเหล่านี้ได้

https://devio2023-media.developers.io/wp-content/uploads/2024/06/se12.png

การใช้งาน Public Subnet, Private Subnet อย่างเหมาะสม รวมไปถึงการใช้งาน VPN

ทิ้งท้าย

หากใครต้องการเรียนเกี่ยวกับ Security บน AWS แบบเต็มๆ มี course บน Skill builder เปิดให้เรียนฟรี สามารถเข้าได้ดูได้จากลิ้งค์ด้านล่างนี้

หรือเกี่ยวกับเนื้อหาด้าน Security ต่างๆ ทาง Classmethod ก็มีบทความแนวนี้เช่นกัน สามารถตรวจสอบได้จากหัวข้อบทความที่เกี่ยวข้องด้านล่างนี้

บทความที่เกี่ยวข้อง

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.