Secure Account: การตั้งค่าการแจ้งเตือนความปลอดภัย (Security Alert) ทางอีเมล์
สวัสดีครับ ผมกาญจน์ครับ บทความนี้ผมจะมาพูดคุยถึงการตั้งค่าแจ้งเตือนความปลอดภัยของ AWS ผ่านทางอีเมล์และ Slack โดยการตั้งค่าในบริการ Secure Account ของ Classmethod ครับ โดยได้มีการแปลและเรียบเรียงจากบทความภาษาญี่ปุ่นชื่อ 【セキュアアカウント】セキュリティアラートをメールで通知してみよう โดยคุณโคเฮครับ
Secure Account คืออะไร?
ที่ Classmethod เราให้บริการ AWS Account ที่ได้นำ Best Practice ด้านความปลอดภัยมาใช้งานครบถ้วนแล้วแก่ลูกค้าครับ
ลูกค้าทุกท่านที่ใช้บริการ Classmethod Members สามารถใช้งานบริการนี้ได้ จึงขอให้ทุกท่านพิจารณาการใช้บริการในโอกาสนี้ครับ
สถาปัตยกรรมของ Secure Account
Secure Account ได้มีการตั้งค่าเตรียมไว้แล้วตามรูปภาพด้านล่างนี้ครับ
สำหรับรายละเอียดของการตั้งค่าต่างๆ สามารถอ่านรายละเอียดเพิ่มเติมจากบทความและเอกสารข้อกำหนดด้านล่างนี้ได้เลยครับ
บริการของ Secure Account ที่จะทำการตั้งค่าครั้งนี้
ในครั้งนี้ เราจะตั้งค่าแจ้งเตือนให้ส่งผลการตรวจจับจาก GuardDuty, Security Hub และ IAM Access Analyzer ผ่านอีเมล์และ Slack ครับ
การตั้งค่าแจ้งเตือนคืออะไร?
ผู้อ่านสามารถอ่านคำอธิบายอย่างละเอียดได้ที่ ลิงค์นี้ ครับ (**ลิงค์ การดำเนินการด้านความปลอดภัยบน AWS: วิธีการใช้งาน Secure Account -- รอ Approve)
ใน Secure Account เราได้เปิดใช้งานบริการความปลอดภัยที่ช่วยตรวจจับภัยคุกคามภายใน Account (โดยเฉพาะ GuardDuty, Security Hub และ IAM Access Analyzer) แต่ในสถานะเริ่มต้น ภัยคุกคามเหล่านั้นจะแสดงเฉพาะภายใน Account เท่านั้นครับ
ผู้ใช้งานจะไม่สามารถทราบถึงภัยคุกคามได้หากไม่ได้ Login เข้า Account ซึ่งอาจทำให้การตอบสนองช้าเกินไป ฉะนั้น เราจึงจำเป็นต้องรับทราบผลการค้นพบภัยคุกคามเหล่านี้ เพื่อจะได้ตอบสนองต่อภัยคุกคามเหล่านี้ได้ทันท่วงที
ดังนั้นในครั้งนี้ เราจะมาตั้งค่าให้บริการรักษาความปลอดภัยส่งการแจ้งเตือนภัยคุกคามทางอีเมลในรูปแบบที่เข้าใจง่ายเมื่อตรวจพบภัยคุกคามกันครับ
การส่งข้อความสามารถตั้งค่าให้ส่งไปที่อีเมล หรือ Slack ได้ทั้งคู่ครับ แต่ครั้งนี้ผมจะแนะนำวิธีการตั้งค่าให้ส่งไปที่อีเมลครับ
ขั้นตอนการตั้งค่า
1. ข้อกำหนดเบื้องต้น
สถานะ (Status)
ไม่ว่าคุณลูกค้าจะสร้างบัญชี AWS ใหม่กับ Classmethod หรือนำบัญชี AWS ที่มีอยู่แล้วมาผูกกับ Classmethod ในภายหลัง จะเป็นจะต้องเปิดใช้งานบริการเหล่านี้ (Opt-in) ใน Secure Account ก่อนจะทำการตั้งค่าส่งข้อความแจ้งเตือนได้ครับ
- GuardDuty
- Detective
- Security Hub
- IAM Access Analyzer
- EventBridge
โดยบริการที่เปิดใช้งานข้างต้นจะตรงกับที่อยู่ในกล่องสีแดงด้านล่างครับ
การเปิดบริการใช้งานที่จำเป็น (Opt-in)
- ไปที่หน้าเว็บไซต์ของ Classmethod Members Portal แล้วคลิกเข้าไปที่ Account ID ที่เราต้องการ
- พอเข้ามาแล้วให้เลื่อนลงมาจนเจอ "Security Settings" โดยค่าเริ่มต้น การตั้งค่าเหล่านี้จะถูกปิด (Disabled) ให้คลิกไปที่ "Edit" เพื่อทำการแก้ไข
- ให้ทำการเปิดบริการดังนี้
- Common Settings: AWS IAM Access Analyzer
- Secure Settings:
- Amazon EventBridge Notification
- Amazon GuardDuty
- AWS Security Hub
- Amazon Detective
พอเสร็จเรียบร้อย ให้เลื่อนไปข้างล่างสุดแล้วกด "Save" เพื่อบันทึกการตั้งค่า
การเปิดการตั้งค่า (Opt-in) จะไม่ได้เปิดบริการเหล่านี้ในทันที แต่จะทำการเปิดใช้บริการทุกวันเสาร์ เราจึงสามารถตรวจสอบการเปลี่ยนแปลงที่ตั้งค่าภายใน AWS ในสัปดาห์ถัดไป
2. ขั้นตอนเตรียมการ
ให้เตรียมสิ่งเหล่านี้ก่อนทำการตั้งค่าการส่งข้อความเตือน
- เตรียม email address ที่จะใช้ลงทะเบียนรับการแจ้งเตือน
- Login เข้า AWS Management Console ของ AWS Account ที่ต้องการรับการแจ้งเตือนความปลอดภัยให้เรียบร้อย
3. การตั้งค่าแจ้งเตือน
คลิกไปที่ Quick Create Stack ซึ่งจะพาไปหน้า CloudFormation-->Stacks-->Quick create stack สำหรับการแจ้งเตือนทางอีเมล์
เมื่อคลิกแล้วหน้าจอต่อไปนี้จะแสดงขึ้นมา ให้กรอกอีเมล์สำหรับรับการแจ้งเตือนใน MailAddress ของ Parameters
จากนั้นเลื่อนลงมาข้างล่างสุด เพื่อกด Checkbox ยอมรับเงื่อนไข จากนั้นกด Create stack
ถ้าการสร้าง Stack เสร็จสมบูรณ์ อีเมลที่ลงทะเบียนไว้จะมีข้อความจาก AWS เด้งขึ้นมา ให้กด "Confirm subscription" เพื่ออนุญาตให้ส่งข้อความแจ้งเตือนมาที่อีเมลนี้
แล้วพอกดยืนยัน จะเห็นหน้าต่างนี้แสดงว่าการลงทะเบียนเสร็จสมบูรณ์
4. เพิ่มอีเมล์สำหรับส่งข้อความแจ้งเตือน
ในกรณีอยากส่งแจ้งเตือนหลายอีเมล เราสามารถเพิ่มอีเมลได้ดังนี้
จากหน้าจอ AWS Console ให้ไปที่ AWS SNS --> Topics
แล้วกดคลิกหัวข้อ SNS ที่ได้สร้างไว้ ในกรณีนี้ผมสร้าง Stack ส่งข้อความชื่อ "cm-security-alert-mail-topic"
จากนั้นคลิกที่ "Create Subscription"
จากนั้นให้ตั้งค่าดังนี้ Protocol: Email
และ Endpoint: ให้ใส่อีเมล์ที่จะเพิ่มเข้าไป
พอเสร็จเรียบร้อย ให้กด Create subscription
จากนั้นก็จะมีแจ้งเตือนไปยังอีเมลที่เราเพิ่มเข้าไป ให้คลิก "Confirm Subscription" เพื่อยืนยัน ก็จะเป็นอันเสร็จสมบูรณ์
5. กรณีอยากลบอีเมล์แจ้งเตือน
หากมีอีเมลตัวไหนที่เราไม่ต้องการการแจ้งเตือนแล้ว ให้ทำตามขั้นตอนนี้ครับ
จาก AWS Console --> Amazon SNS --> Topics แล้วคลิกหัวข้อ SNS ที่ต้องการแก้ไข
แล้วคลิกเลือก Email Address ที่ต้องการลบ แล้วกด Delete
ป๊อบอัปจะเด้งเหมือน ให้กด Delete อีกครั้ง การลบก็จะเสร็จสมบูรณ์ครับ
6. กรณีอยากลบทรัพยากรที่เกี่ยวกับการแจ้งเตือนทั้งหมด
กรณีไม่ต้องการการแจ้งเตือนทั้งหมดอีกแล้ว เราต้องลบ CloudFormation Stack และลบทรัพยากรทั้งหมดที่เกี่ยวข้อง
จาก AWS Console ให้ไปที่ CloudFormation --> Stacks
จากนั้นเลือก Stack ส่งข้อความที่เราต้องการลบ (สามารถใช้ Filter by stack name ช่วยหาได้) --> จากนั้นกด Delete
ป๊อบอัปจะเด้งขึ้นมา ให้กด Delete อีกครั้งเพื่อยืนยันการลบ
เพิ่มเติม:
เราสามารถลบการสมัครรับการแจ้งเตือนจาก Amazon SNS ได้สองวิธี
- ลบทั้งสแต็ก (Stack) ใน CloudFormation ในวิธีที่ได้แสดงข้างต้น (ซึ่งปกติจะทำการลบหัวข้อ (topic) และการลงทะเบียนใน Amazon SNS ที่เกี่ยวข้องตามไปด้วย)
- ลบหัวข้อ (topic) การลงทะเบียนอีเมลใน Amazon SNS
Note: การลบ Topic ใน SNS จะเป็นการลบการลงทะเบียนไปด้วย
สามารถดูลิงค์การลบ SNS เพิ่มเติมได้ที่นี่ครับ: https://docs.aws.amazon.com/sns/latest/dg/sns-delete-subscription-topic.html
โดยหลักแล้ว การลบ topic ใน CloudFormation ควรจะลบ Topic และการลงทะเบียนอีเมลใน Amazon SNS ที่เกี่ยวข้องไปด้วย แต่มีโอกาสที่การลงทะเบียนที่เราเพิ่มไปเองจะคงค้างใน SNS อยู่อย่างนั้นอย่างน้อย 1 วัน (ไม่สามารถคอนเฟิร์มระยะเวลาได้แน่นอน) เลยแนะนำว่าให้ผู้ใช้งานไปลบการลงทะเบียนอีเมลใน SNS อีกครั้งเพื่อความแน่ใจครับ
สุดท้ายนี้
คำแนะนำอย่างเป็นทางการ สามารถอ่านเพิ่มเติมได้ที่ คู่มือผู้ใช้ นี้ได้ครับ โดยหากสนใจการตั้งค่าให้ส่งการแจ้งเตือนไปที่ Slack ก็สามารถอ่านเพิ่มเติมได้ที่ คู่มือผู้ใช้ ได้เช่นกันครับ
จบไปแล้วครับกับบทความแนะนำการตั้งค่าข้อความแจ้งเตือนความปลอดภัย (Security Alert) หวังว่าผู้อ่านทุกท่านจะได้ประโยชน์จากบทความนี้นะครับ แล้วพบกันใหม่บทความหน้าครับ
