รีวิวการเข้าร่วม AWSome Day Online Conference : Module 4

สวัสดีครับในวันนี้ผมจะมารีวิวงานสัมมนา AWSome Day ในวันที่ 4 พศจิกายนที่ผ่านมานี้ โดยเนื้อหาในบล๊อกนี้จะเป็นการสรุปข้อมูลที่ได้จากงานสัมมนาในครั้งนี้ ซึ่งผมจะขอเริ่มต้นจาก สรุปเนื้อหาใน Module 4 เป็นอันดับแรก ซึ่งเป็นหัวข้อเกี่ยวกับ Secure your cloud application ซึ่งเป็นส่วนที่ AWS ให้ความสำคัญมากในการบริการ

ในกำหนดการอบรมนี้จะมีทั้งหมด 5 หลักสูตรด้วยกัน ประกอบด้วย
หลักสูตร 1 : แนะนำเบื้องต้นเกี่ยวกับ AWS Cloud
หลักสูตร 2 : เริ่มต้นใช้งานบน AWS Cloud
หลักสูตร 3 : การสร้างบน AWS Cloud
หลักสูตร 4 : การรักษาความปลอดภัยแอปพลิเคชันบนระบบคลาวด์ของคุณ
หลักสูตร 5 : ราคา AWS Support และการสร้างสถาปัตยกรรมบน AWS

AWS Top priority

สำหรับ AWS แล้ว จะให้ความสำคัญกับความปลอดภัยในเรื่องข้อมูล และ การให้บริการ service ต่าง ๆ บนระบบคลาวด์เป็นอันดับแรก ซึ่งการจะสร้างระบบขึ้นมานั้นแน่นอนว่าจะต้องมีความมั่นคง และ ปลอดภัยด้วย เพราะหากเราสร้างระบบที่ดี แต่ไม่ได้มีการจัดวางโครงสร้างให้ระบบมีความปลอดภัย การมานั่งแก้ไขหรือมาป้องกันทีหลัง ถือเป็นเรื่องที่ทำได้ยากกว่าโดย AWS มีเครื่องมือที่สามารถเฝ้าติดตามการทำงานของระบบว่าเกิดปัญหาหรือมีการโจมตีระบบจากภายนอกหรือไม่ และ ในกรณีที่ตัวระบบมีขนาดใหญ่แน่นอนว่า เราไม่สามารถที่จะทำการตรวจสอบข้อมูลเองได้ทั้งหมด AWS จึงมีการตรวจสอบด้วยระบบออโตเมชั่นเพื่อรับประกันว่าตัวระบบทำงานเต็มที่ และ มีความปลอดภัยในการใช้งานโดยผ่านมาตรฐานระดับสากล

ซึ่งจะมีการแยกระบบความปลอดภัย ออกมาเป็น 2 แบบ คือ

• Security of the cloud พื้นฐาน AWS จะคอยดูแลและควบคุมเรื่องความปลอดภัยของระบบคลาวด์ที่ผู้ใช้งาน สร้างและพัฒนาในระบบคลาวด์ โดยป้องกันการแทรกแทรงข้อมูลจากภายนอก และ ป้องกันการโจมตีข้อมูลที่ไม่พึงประสงค์ต่าง ๆ ทำให้มั่นใจได้ว่าสภาพแวดล้อมในการสร้างระบบของผู้ใช้งานนั้นมีความปลอดภัยและเหมาะสมต่อการทำงาน

• Security in the cloud ในส่วนนี้ จะเป็นส่วนที่ผู้ใช้งานจะต้องมีการกำหนดสิทธิการเข้าถึงภายในองค์กรหรือตัวระบบต่าง ๆ ว่าสามารถเข้าถึงข้อมูลได้มากน้อยแค่ไหน ต้องมีการเข้ารหัสข้อมูลส่วนไหนบ้่าง เป็นต้น เพราะ AWS จะไม่มีสิทธิในการเข้าถึงข้อมูลของผู้ใช้งานได้ ดังนั้นข้อมูลของผู้ใช้งานในระบบคลาวด์ที่ AWS ให้บริการอยู่นั้น ผู้ใช้จะต้องเป็นคนดูแล และ จัดการเอง

เมื่อระบบความปลอดภัยทั้ง 2 แบบนี้รวมเข้าด้วยกันก็จะเกิดเป็นโครงสร้างพื้นฐานของระบบความปลอดภัยที่ AWS ออกแบบมา เรียกว่า AWS shared responsibility model ทำให้การใช้งานบนระบบคลาวด์เป็นไปได้อย่างมีประสิทธิภาพและปลอดภัย

AWS Security compliance products

ใน AWS นั้นมี ผลิตภัณฑ์ที่เกี่ยวกับระบบความปลอดภัยบนคลาวด์ให้ผู้ใช้งานได้เลือกมากมาย แต่ในที่นี้ จะขอยกมา 3 ผลิตภัณฑ์ที่มีความน่าสนใจ คือ

• AWS Identity and Access Management
• Amazon Inspector
• AWS Shield

AWS Identity and Access Management (IAM)

เป็นเครื่องมือที่ใช้ในการตรวจสอบการเข้าถึงข้อมูลในระบบ และ อนุญาตเข้าถึงข้อมูลต่าง ๆ ได้รวมทั้งแสดงรายละเอียดได้ว่าใครเข้ามาใช้งานส่วนนี้ และใช้งานอะไรบ้าง มีการเปลี่ยนแปลงตรงไหน อย่างไร จะมีการเก็บ log ข้อมูลเหล่านี้ไว้ทั้งหมด โดยมีส่วนประกอบทั้งหมด 3 ตัวส่วน คือ

• IAM USER เป็นส่วนที่กำหนดว่าผู้ใช้งานนี้ เป็นใคร มีรายละเอียดและข้อมูลของผู้ใช้งานต่าง ๆ เมื่อกำหนดแล้ว ทุกครั้งที่มีการเข้าใช้งานระบบ ตัวระบบก็จะมีการตรวจสอบข้อมูลว่า ผู้ใช้งานคนนี้เป็นใคร และ มีสิทธิเข้าถึงได้มากน้อยแค่ไหน

• IAM GROUP คือ กลุ่มของผู้ใช้งานที่มีสิทธิในการเข้าใช้ระบบจะถูกจัดอยู่ในกลุ่มเดียวกัน เพื่อให้ง่ายต่อการจัดการในกรณีที่มีผู้ใช้งานจำนวนมากที่มีสิทธิเข้าใช้งานเหมือนกัน การจะแก้ไขหรือจัดการรายบุคคลนั้นเป็นเรื่องยาก จึงมีการกำหนดกลุ่มเกิดขึ้น

• IAM ROLE คือ บทบาทที่จะมีการกำหนดภายในกลุ่ม เพื่อให้มีความเหมาะสมต่อผู้ใช้งานแต่ละคน ในกรณีที่บทบาทการทำงานต่างกัน จึงต้องมีการกำหนดสิทธิการเข้าถึงข้อมูลแต่ละชนิดที่แตกต่างกัน และ เหมาะสมกับบทบาทของผู้ใช้งานนั้น ๆ

พอกำหนด 3 ส่วนนี้เสร็จแล้ว ก็จะเข้าสู่การตรวจสอบผ่าน IAM Policies ว่าผู้ใช้คนไหน หรือ บทบาทไหน ที่จะสามารถเข้าถึงข้อมูลนั้น ๆ ได้ เป็นเหมือนการกำหนดเงื่อนไขให้กับผู้ใช้งานและบทบาทแต่ละคน เพื่ออนุญาตให้เข้าถึงข้อมูลต่าง ๆ โดยในส่วนนี้ถ้าอยากรู้ข้อมูลเพิ่มเติมสามารถศึกษาเพิ่มเติมได้จาก AWS IAM Policies

ภาพประกอบ โครงสร้างและกระบวนการทำงานของ IAM (ขอบคุณรูปภาพจาก AWSome Day)

Amazon Inspector

เป็นบริการประเมินความปลอดภัยอัตโนมัติใช้ในการตรวจสอบโครงสร้างพื้นฐานของระบบที่เราสร้างขึ้นมาว่าเป็นไปตามมาตรฐานที่กำหนดหรือไม่

โดยทั่วไปจะเป็นกรณีที่ตัวระบบมีขนาดใหญ่ มีการทำงานของข้อมูลและเซิร์ฟเวอร์เป็นจำนวนมาก แน่นอนว่า การไล่เช็คระบบแต่ละตัวนั้นเป็นเรื่องยากและใช้เวลานาน Amazon Inspector จึงเข้ามาทำงานในส่วนนี้ ซึ่งผู้ใช้สามารถตรวจสอบและค้นหาได้เลยว่า ระบบไหน? เครื่องไหน? มีปัญหาหรือไม่ตรงตามมาตรฐาน โดยใช้ Amazon Inspector findings แล้วตัวระบบจะทำการลิสต์ข้อมูลมาให้ ดังรูป นอกเหนือจากนั้นตัวระบบจะให้คำแนะนำด้วยว่า ถ้าเกิดปัญหาแล้วจะมีการแก้ไขยังไง โดยจะเป็นส่วนของ Remediation recommendation ดังรูป

AWS Shield

ในปัจจุบันมีการโจมตีระบบจากผู้ไม่ประสงค์ดีมากมาย โดยวิธีการที่ง่ายที่สุดในการโจมตีระบบที่อยู่บนอินเตอร์เน็ตก็คือการ DDoS(การเข้าใช้งานเว็บไซต์เป็นจำนวนมาก) ซึ่งจะทำให้เกิดการรับส่งข้อมูลปริมาณมากกับตัวระบบ และทำให้ระบบนั้นทำงานหนักจนเกิดปัญหาต่าง ๆ ตามมา AWS คำนึงถึงส่วนนี้จะมีการสร้างเครื่องมือที่ป้องกัน การโจมตีจากภายนอกขึ้นมาคือ AWS Shield

ซึ่งตัวระบบจะมารองรับภาระในส่วนนี้ โดยปกติการรับส่งข้อมูลผ่านระบบจะมีการกำหนดพื้นที่ว่า ผู้ใช้งานนี้จะมีขนาดพื้นที่อย่างจำกัด และมีขนาด bandwidth จำกัดตามพื้นที่ใช้งาน แต่ตัว AWS Shield จะมองว่าทุก ๆ การเข้าออกและรับส่งข้อมูลในระบบอยู่ในความดูแลของ AWS ทั้งหมด ทำให้ bandwidth ขาเข้าในตัวระบบของ AWS นั้นมีท่อที่ใหญ่มาก ๆ สามารถรองรับข้อมูลที่เข้ามาเป็นจำนวนมากได้ ทำให้โอกาสที่จะถูกโจมตีลดน้อยลงนั่นเอง

สำหรับใครที่พลาดโอกาสเข้าร่วมสัมมนา AWSome Day นี้ ทาง AWS ได้อนุญาตให้สามารถดูสัมมนาย้อนหลังได้ และ เปิดให้ดาวน์โหลดสไลด์ที่ใช้ประกอบการเรียนรู้ในสัมมนาอีกด้วย สามารถศึกษาข้อมูลและเข้าดูได้ตามลิงก์ด้านล่างนี้เลยนะครับ

- AWSOME DAY ONLINE CONFERENCE | ON-DEMAND - THAI

- AWSOME DAY ONLINE CONFERENCE | SLIDE PDF