この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
สวัสดีครับในวันนี้ผมจะมารีวิวงานสัมมนา AWSome Day ในวันที่ 4 พศจิกายนที่ผ่านมานี้ โดยเนื้อหาในบล๊อกนี้จะเป็นการสรุปข้อมูลที่ได้จากงานสัมมนาในครั้งนี้ ซึ่งผมจะขอเริ่มต้นจาก
สรุปเนื้อหาใน Module 4 เป็นอันดับแรก ซึ่งเป็นหัวข้อเกี่ยวกับ Secure your cloud application ซึ่งเป็นส่วนที่ AWS ให้ความสำคัญมากในการบริการ
ในกำหนดการอบรมนี้จะมีทั้งหมด 5 หลักสูตรด้วยกัน ประกอบด้วย
หลักสูตร 1 : แนะนำเบื้องต้นเกี่ยวกับ AWS Cloud
หลักสูตร 2 : เริ่มต้นใช้งานบน AWS Cloud
หลักสูตร 3 : การสร้างบน AWS Cloud
หลักสูตร 4 : การรักษาความปลอดภัยแอปพลิเคชันบนระบบคลาวด์ของคุณ
หลักสูตร 5 : ราคา AWS Support และการสร้างสถาปัตยกรรมบน AWS
AWS Top priority
ซึ่งจะมีการแยกระบบความปลอดภัย ออกมาเป็น 2 แบบ คือ
- Security of the cloud พื้นฐาน AWS จะคอยดูแลและควบคุมเรื่องความปลอดภัยของระบบคลาวด์ที่ผู้ใช้งาน สร้างและพัฒนาในระบบคลาวด์ โดยป้องกันการแทรกแทรงข้อมูลจากภายนอก และ ป้องกันการโจมตีข้อมูลที่ไม่พึงประสงค์ต่าง ๆ ทำให้มั่นใจได้ว่าสภาพแวดล้อมในการสร้างระบบของผู้ใช้งานนั้นมีความปลอดภัยและเหมาะสมต่อการทำงาน
-
Security in the cloud ในส่วนนี้ จะเป็นส่วนที่ผู้ใช้งานจะต้องมีการกำหนดสิทธิการเข้าถึงภายในองค์กรหรือตัวระบบต่าง ๆ ว่าสามารถเข้าถึงข้อมูลได้มากน้อยแค่ไหน ต้องมีการเข้ารหัสข้อมูลส่วนไหนบ้่าง เป็นต้น เพราะ AWS จะไม่มีสิทธิในการเข้าถึงข้อมูลของผู้ใช้งานได้ ดังนั้นข้อมูลของผู้ใช้งานในระบบคลาวด์ที่ AWS ให้บริการอยู่นั้น ผู้ใช้จะต้องเป็นคนดูแล และ จัดการเอง
เมื่อระบบความปลอดภัยทั้ง 2 แบบนี้รวมเข้าด้วยกันก็จะเกิดเป็นโครงสร้างพื้นฐานของระบบความปลอดภัยที่ AWS ออกแบบมา เรียกว่า AWS shared responsibility model ทำให้การใช้งานบนระบบคลาวด์เป็นไปได้อย่างมีประสิทธิภาพและปลอดภัย
AWS Security compliance products
ใน AWS นั้นมี ผลิตภัณฑ์ที่เกี่ยวกับระบบความปลอดภัยบนคลาวด์ให้ผู้ใช้งานได้เลือกมากมาย แต่ในที่นี้ จะขอยกมา 3 ผลิตภัณฑ์ที่มีความน่าสนใจ คือ
AWS Identity and Access Management (IAM)
เป็นเครื่องมือที่ใช้ในการตรวจสอบการเข้าถึงข้อมูลในระบบ และ อนุญาตเข้าถึงข้อมูลต่าง ๆ ได้รวมทั้งแสดงรายละเอียดได้ว่าใครเข้ามาใช้งานส่วนนี้ และใช้งานอะไรบ้าง มีการเปลี่ยนแปลงตรงไหน อย่างไร จะมีการเก็บ log ข้อมูลเหล่านี้ไว้ทั้งหมด โดยมีส่วนประกอบทั้งหมด 3 ตัวส่วน คือ
- IAM USER เป็นส่วนที่กำหนดว่าผู้ใช้งานนี้ เป็นใคร มีรายละเอียดและข้อมูลของผู้ใช้งานต่าง ๆ เมื่อกำหนดแล้ว ทุกครั้งที่มีการเข้าใช้งานระบบ ตัวระบบก็จะมีการตรวจสอบข้อมูลว่า ผู้ใช้งานคนนี้เป็นใคร และ มีสิทธิเข้าถึงได้มากน้อยแค่ไหน
-
IAM GROUP คือ กลุ่มของผู้ใช้งานที่มีสิทธิในการเข้าใช้ระบบจะถูกจัดอยู่ในกลุ่มเดียวกัน เพื่อให้ง่ายต่อการจัดการในกรณีที่มีผู้ใช้งานจำนวนมากที่มีสิทธิเข้าใช้งานเหมือนกัน การจะแก้ไขหรือจัดการรายบุคคลนั้นเป็นเรื่องยาก จึงมีการกำหนดกลุ่มเกิดขึ้น
-
IAM ROLE คือ บทบาทที่จะมีการกำหนดภายในกลุ่ม เพื่อให้มีความเหมาะสมต่อผู้ใช้งานแต่ละคน ในกรณีที่บทบาทการทำงานต่างกัน จึงต้องมีการกำหนดสิทธิการเข้าถึงข้อมูลแต่ละชนิดที่แตกต่างกัน และ เหมาะสมกับบทบาทของผู้ใช้งานนั้น ๆ
พอกำหนด 3 ส่วนนี้เสร็จแล้ว ก็จะเข้าสู่การตรวจสอบผ่าน IAM Policies ว่าผู้ใช้คนไหน หรือ บทบาทไหน ที่จะสามารถเข้าถึงข้อมูลนั้น ๆ ได้ เป็นเหมือนการกำหนดเงื่อนไขให้กับผู้ใช้งานและบทบาทแต่ละคน เพื่ออนุญาตให้เข้าถึงข้อมูลต่าง ๆ โดยในส่วนนี้ถ้าอยากรู้ข้อมูลเพิ่มเติมสามารถศึกษาเพิ่มเติมได้จาก AWS IAM Policies
Amazon Inspector
เป็นบริการประเมินความปลอดภัยอัตโนมัติใช้ในการตรวจสอบโครงสร้างพื้นฐานของระบบที่เราสร้างขึ้นมาว่าเป็นไปตามมาตรฐานที่กำหนดหรือไม่
Amazon Inspector findings แล้วตัวระบบจะทำการลิสต์ข้อมูลมาให้ ดังรูป
Remediation recommendation ดังรูป
AWS Shield
ในปัจจุบันมีการโจมตีระบบจากผู้ไม่ประสงค์ดีมากมาย โดยวิธีการที่ง่ายที่สุดในการโจมตีระบบที่อยู่บนอินเตอร์เน็ตก็คือการ DDoS(การเข้าใช้งานเว็บไซต์เป็นจำนวนมาก) ซึ่งจะทำให้เกิดการรับส่งข้อมูลปริมาณมากกับตัวระบบ และทำให้ระบบนั้นทำงานหนักจนเกิดปัญหาต่าง ๆ ตามมา AWS คำนึงถึงส่วนนี้จะมีการสร้างเครื่องมือที่ป้องกัน การโจมตีจากภายนอกขึ้นมาคือ AWS Shield
สำหรับใครที่พลาดโอกาสเข้าร่วมสัมมนา AWSome Day นี้ ทาง AWS ได้อนุญาตให้สามารถดูสัมมนาย้อนหลังได้ และ เปิดให้ดาวน์โหลดสไลด์ที่ใช้ประกอบการเรียนรู้ในสัมมนาอีกด้วย สามารถศึกษาข้อมูลและเข้าดูได้ตามลิงก์ด้านล่างนี้เลยนะครับ
25
