สิ่งที่คุณควรทราบเกี่ยวกับปัญหาความปลอดภัยของ AWS Cloud

เผยแพร่แล้ว: 2021-10-05

จากข้อมูลของ Statista มีผู้ใช้งานอินเทอร์เน็ตทั่วโลก 4.66 พันล้านคน ในขณะเดียวกัน Amazon ซึ่งเป็นแพลตฟอร์มขายสินค้าออนไลน์ที่ใหญ่ที่สุดในโลก มีผู้ขายที่ใช้งานอยู่ 1.1 ล้านรายในปี 2019 ตั้งแต่เริ่มต้นของยุคดิจิทัล เป็นเรื่องง่ายที่จะสันนิษฐานว่าทุกคนมีส่วนแบ่งที่ยุติธรรมของข้อมูลบนเวิลด์ไวด์เว็บ ซึ่งสามารถ เป็นความคิดที่น่ากลัว คุณนึกภาพออกไหมว่าข้อมูลออนไลน์มีมากแค่ไหน?

แม้ว่าข้อมูลออนไลน์และบน Amazon จะวัดได้ค่อนข้างยาก แต่สิ่งที่แน่ใจก็คือควรได้รับการปกป้องและความปลอดภัยสูงสุด โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับการเงินจริงที่เข้าและออกจากกระเป๋าของบริษัท เมื่อพวกเขาไปถึงมือที่ไม่ถูกต้อง ผู้ขายและเจ้าของข้อมูลอาจประสบปัญหาร้ายแรงได้

ในบทความนี้ เราจะมาดู Amazon Web Services (AWS) ซึ่งเป็นที่จัดเก็บข้อมูลในระบบคลาวด์พร้อมกับประโยชน์ที่จะได้รับ นอกจากนี้ เราจะให้ข้อมูลคุณเกี่ยวกับปัญหาด้านความปลอดภัยบนคลาวด์ที่คุณต้องหลีกเลี่ยงอยู่เสมอ

แสดง สารบัญ
  • ทำความเข้าใจเงื่อนไขที่สำคัญ
  • ปัญหาความปลอดภัยของ Amazon Web Services (AWS) และคลาวด์
    • 1. ทำให้ S3 Buckets เป็นแบบสาธารณะ
    • 2. ลืมเปิดใช้งาน CloudTrail
    • 3. อนุญาตให้มีที่อยู่ IP มากเกินไปหรือน้อยเกินไปใน AWS VPC
    • 4. ทุกคนสามารถเข้าถึง AMI ได้
    • 5. ให้สิทธิ์การเข้าถึงคุณลักษณะนี้มากเกินไปสำหรับการควบคุมความเป็นส่วนตัว
  • คุณสามารถทำอะไรได้บ้าง: แนวทางแก้ไข
    • กำหนดว่าใครสามารถและไม่สามารถเข้าถึงข้อมูลเฉพาะได้
    • ตรวจสอบการกำหนดค่าระบบคลาวด์เป็นประจำ
    • เสริมความสามารถเชิงรุกของ AWS ในการตรวจจับความผิดปกติและธงแดงด้านความปลอดภัย
  • ในการปิด

ทำความเข้าใจเงื่อนไขที่สำคัญ

Amazon-Web-Services-AWS-แนวทางแบรนด์ขนาดเล็ก

ก่อนที่เราจะเจาะลึกลงไปในรายละเอียดปลีกย่อยของ Amazon Web Services และระบบคลาวด์ ให้เราทราบคำศัพท์ที่สำคัญก่อนเพื่อให้คุณเข้าใจปัญหาความปลอดภัยของระบบคลาวด์ได้ดียิ่งขึ้น

  • AWS Security หมายถึงการรับประกันการปกป้องข้อมูลและความปลอดภัยของบริการ
  • Simple Storage Service/S3 buckets: S3 เป็นที่จัดเก็บข้อมูลของ AWS ซึ่งข้อมูลทั้งหมดจะถูกจัดเก็บและป้องกัน ความเสี่ยงในการลบและการไม่กู้คืนข้อมูลเป็นศูนย์เนื่องจากประเภทการจัดเก็บนี้
  • Amazon Machine Image (AMI): AMI คือเครื่องเสมือน AWS ที่จัดเก็บข้อมูล เช่น เซิร์ฟเวอร์ แอปพลิเคชัน และระบบปฏิบัติการที่จำเป็นในการเปิดใช้ Amazon Elastic Compute Cloud (EC2)
  • Amazon Elastic Compute Cloud (EC2): นี่คือฟังก์ชัน AWS ที่นักพัฒนาใช้เพื่อใช้การออกแบบสำหรับการคำนวณขนาดเว็บที่จำเป็นสำหรับการกำหนดค่าความจุและความสำเร็จ
  • Identity And Access Management (IAM): IAM เป็นคุณสมบัติของผู้ให้บริการระบบคลาวด์ AWS ที่ให้อำนาจแก่คุณในการอนุญาตหรือยกเลิกการเข้าถึงข้อมูลในระบบคลาวด์
  • CloudTrail: Amazon CloudTrail ช่วยให้คุณเห็นกิจกรรมทั้งหมดที่เกิดขึ้นในบัคเก็ต S3 ของคุณ—Application Programming Interface (API) และข้อมูลทั้งหมดที่เข้าและออกจากมัน
  • การโจมตี DDoS: การปฏิเสธการให้บริการแบบกระจายหรือการโจมตี DDoS เกิดขึ้นเมื่อเว็บไซต์ถูกโจมตีโดยอุปกรณ์ต่าง ๆ ที่สร้างการเข้าชมเว็บปลอม ทำให้ไซต์ของคุณไม่พร้อมใช้งานสำหรับผู้ใช้จริง
  • Virtual Private Cloud (VPC): การจัดสรรพื้นที่ของผู้ใช้ทุกคนในระบบคลาวด์ช่วยให้ธุรกิจสามารถดำเนินการแบบส่วนตัวในระบบคลาวด์ที่ใช้ร่วมกันโดยข้อมูลทั้งหมดจะปลอดภัย
  • รายการควบคุมการเข้าถึงเครือข่าย (NACL): NACL เป็นการป้องกันแรกที่อนุญาตเฉพาะการรับส่งข้อมูลที่ลงทะเบียนไปยังระดับเครือข่ายย่อย การลงทะเบียนถูกกำหนดผ่านรายการ ผู้ใช้ทุกคนในรายชื่อมีสิทธิ์เข้าถึงได้

AWS เป็นพื้นที่ทางเทคนิคของ Amazon และมีศัพท์เฉพาะมากมายที่นักพัฒนา AWS และผู้เชี่ยวชาญด้านไอทีเท่านั้นที่เข้าใจ อย่างไรก็ตาม หากคุณวางแผนที่จะใช้บริการนี้ คุณควรทราบคำศัพท์สำคัญบางคำ

แนะนำสำหรับคุณ: ทำไมคุณต้องอัปเกรดเป็นแพลตฟอร์มบนคลาวด์

ปัญหาความปลอดภัยของ Amazon Web Services (AWS) และคลาวด์

Amazon-Web-Services-AWS-Cloud-ปกป้องแบรนด์ของคุณ

ตอนนี้ AWS คืออะไร การจัดเก็บข้อมูลเป็นส่วนสำคัญของธุรกิจใด ๆ เนื่องจากมีการใช้สถิติในอดีต ปัจจุบัน และอนาคต และความรู้ทางธุรกิจเพื่อการตัดสินใจ เทคโนโลยีได้พัฒนาจากการจัดเก็บข้อมูลไปยังดิสก์ไดร์ฟและเดสก์ท็อป ไปจนถึงระบบจัดเก็บข้อมูลที่มีชื่อเสียงและมีประสิทธิภาพในปัจจุบัน ซึ่งก็คือระบบคลาวด์

ข้อกำหนดที่กล่าวถึงข้างต้นทั้งหมดอยู่ภายใต้ AWS ซึ่งเป็นแพลตฟอร์มการประมวลผลแบบคลาวด์ของ Amazon AWS จัดเก็บข้อมูลใน “คลาวด์” แทนที่จะเป็นคอมพิวเตอร์หรือไดรฟ์ ส่งผลให้ความเสี่ยงในการสูญหายหรือถูกขโมยข้อมูลลดลงเหลือน้อยที่สุด อย่างไรก็ตาม มีความเสี่ยงด้านความปลอดภัยอื่นๆ อีกมากมายที่คุณจำเป็นต้องทราบเพื่อปกป้องข้อมูลของคุณให้ดียิ่งขึ้น นี่คือสามปัญหาหลักที่คุณควรระวัง:

1. ทำให้ S3 Buckets เป็นแบบสาธารณะ

aws-cloud-security-issues-1

ระบบนิเวศของ AWS เต็มไปด้วยฟังก์ชันที่คุณสามารถกำหนดค่าได้ ทำให้บุคคลสำคัญในธุรกิจของคุณสามารถเข้าถึงข้อมูลได้ ตามที่กล่าวไว้ข้างต้น S3 ทำหน้าที่เป็นที่จัดเก็บข้อมูลบนคลาวด์ และคุณสามารถจัดการได้ว่าใครบ้างที่สามารถเข้าถึงสิ่งนี้ได้ ไม่ว่าจะเป็นคลาวด์ส่วนตัวหรือสาธารณะ

ปัญหาเกิดขึ้นเมื่อการกำหนดค่าถูกตั้งค่าเป็นสาธารณะแทนที่จะเป็นส่วนตัว เนื่องจากข้อมูลทั้งหมดถูกจัดเก็บไว้ใน S3 ทุกคนจึงสามารถเข้าถึงข้อมูลทั้งหมด แม้แต่ข้อมูลลับได้

2. ลืมเปิดใช้งาน CloudTrail

aws-cloud-security-issues-2

ตามชื่อคุณลักษณะนี้ CloudTrail ติดตามทุกสิ่งที่เกิดขึ้นภายในคลาวด์และบันทึกการเรียกใช้ API และข้อมูลทั้งหมดที่ถูกจัดเก็บไว้ใน S3 ลองนึกภาพว่าลืมเปิดใช้งาน CloudTrail และสูญเสียบันทึกอันมีค่าทั้งหมดที่จำเป็นในการตรวจสอบข้อมูลธุรกิจของคุณ

นอกเหนือจากการสูญเสียการติดตามบันทึกอันมีค่าแล้ว ข้อมูลของคุณยังเสี่ยงต่อการโจมตี DDoS มากขึ้น เนื่องจากไม่สามารถติดตามทราฟฟิกที่เข้ามาในเว็บไซต์ของคุณได้ คุณอาจประสบกับปริมาณการเข้าชมที่เพิ่มขึ้น แต่ความจริงแล้ว การเข้าชมนั้นมาจากผู้เข้าชมปลอม ยิ่งไปกว่านั้น ผู้เข้าชมไซต์จริงจะไม่สามารถเข้าถึงไซต์ของคุณได้

3. อนุญาตให้มีที่อยู่ IP มากเกินไปหรือน้อยเกินไปใน AWS VPC

aws-cloud-security-issues-3

VPC เป็นพื้นที่ของคุณเองในระบบคลาวด์ AWS และเพื่อให้คุณตรวจสอบความปลอดภัย คุณสามารถเปิดใช้งานและปิดใช้งานที่อยู่ IP ที่สามารถเข้าถึงข้อมูลของคุณได้ อย่างไรก็ตาม จะกลายเป็นความเสี่ยงเมื่อคุณอนุญาตให้ใช้ที่อยู่ IP มากเกินไปหรือน้อยเกินไป อะไรที่มากเกินไปก็ไม่ดี

ด้วยเหตุนี้ การให้สิทธิ์การเข้าถึงมากกว่าที่อยู่ IP ที่อนุญาตจะทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถมองเห็นข้อมูลของคุณได้ ในทางกลับกัน หากที่อยู่ IP ที่ควรได้รับอนุญาตถูกจำกัด คุณจะเสี่ยงต่อการจำกัดผู้เล่นหลักที่ควรมีสิทธิ์เข้าถึงข้อมูลของคุณ

4. ทุกคนสามารถเข้าถึง AMI ได้

aws-cloud-security-issues-4

ตามหลักการแล้ว ในฐานะลูกค้า AWS คุณจัดเก็บข้อมูลไว้ในแพลตฟอร์มระบบคลาวด์ เพราะคุณต้องการพื้นที่จัดเก็บข้อมูลที่ปลอดภัยและความสามารถในการจำกัดการเข้าถึงข้อมูลที่เป็นความลับ อย่างไรก็ตาม เนื่องจากข้อผิดพลาดในการกำหนดค่า AMI การทำให้ระบบธุรกิจอัจฉริยะล้มเหลวในการเก็บรักษาข้อมูลให้เป็นส่วนตัว จากข้อผิดพลาดนี้ ข้อมูลทางธุรกิจที่สำคัญ ระบบปฏิบัติการ และทุกอย่างในเซิร์ฟเวอร์สามารถเข้าถึงได้โดยทุกคน

5. ให้สิทธิ์การเข้าถึงคุณลักษณะนี้มากเกินไปสำหรับการควบคุมความเป็นส่วนตัว

aws-cloud-security-issues-5

IAM เป็นอีกหนึ่งคุณสมบัติที่สำคัญของ AWS ซึ่งเป็นฟังก์ชันที่คุณจะใช้เพื่อกำหนดผู้ที่สามารถเข้าถึงข้อมูลระบบคลาวด์ของคุณได้ ความท้าทายคือการให้สิทธิ์เข้าถึง IAM มากเกินไป ซึ่งจะมีคนมากกว่าจำนวนที่เหมาะสมที่สามารถให้สิทธิ์การเข้าถึงหรือกำหนดการตั้งค่าความเป็นส่วนตัวในระบบคลาวด์ได้

ตามหลักการแล้ว คุณควรเลือกเฉพาะผู้เล่นหลักในทีมของคุณหรือกลุ่มหลักที่คุณไว้วางใจให้เข้าถึง IAM ได้ หากคุณให้สิทธิ์การเข้าถึงแก่หน่วยงานเกือบทั้งหมด เป้าหมายในการควบคุมความเป็นส่วนตัวจะพ่ายแพ้

คุณอาจชอบ: Web Apps vs. Cloud Apps: Find the Ultimate Winner

คุณสามารถทำอะไรได้บ้าง: แนวทางแก้ไข

amazon-web-services-aws

อย่างที่คุณเห็น ปัญหาเกิดขึ้นเมื่อการเข้าถึงระบบคลาวด์ถูกจำกัดหรือเปิดเผยต่อสาธารณะมากเกินไป ด้วยเหตุนี้ เรามาทำความเข้าใจกับวิธีต่างๆ เพื่อให้แน่ใจว่าภัยคุกคามนี้จะไม่เกิดขึ้นกับคุณ พร้อมกับแนวทางปฏิบัติที่ดีที่สุดในกรณีที่มันเกิดขึ้น

กำหนดว่าใครสามารถและไม่สามารถเข้าถึงข้อมูลเฉพาะได้

เข้า-ปลุก-บ้านรับรองความถูกต้อง-ล็อค-ความปลอดภัย-ป้องกัน-รหัสผ่าน

ข้อมูลดิบและข้อมูลทางธุรกิจควรเข้าถึงได้โดยคุณและบุคคลที่เชื่อถือได้ในบริษัทของคุณเท่านั้น คุณต้องคิดออกก่อนที่จะดำดิ่งลงไปในระบบ การทำเช่นนี้จะทำให้การส่งออกด้านไอทีสามารถกำหนดค่าการเข้าถึงข้อมูลในระบบคลาวด์ได้ง่าย

ตรวจสอบการกำหนดค่าระบบคลาวด์เป็นประจำ

ระบบคลาวด์อัตโนมัติ

หลังจากกำหนดค่า ตรวจสอบให้แน่ใจว่าการเข้าถึงยังคงอยู่ตามที่คุณต้องการ และไม่มีข้อบกพร่องหรือความผิดปกติใดๆ ตรวจสอบพื้นที่สำคัญที่กล่าวถึงข้างต้นโดยเฉพาะ เช่น การเข้าถึงบัคเก็ต S3, สถานะ CloudTrail, ที่อยู่ IP ใน VPC, AIM และ IAM ตรวจสอบให้แน่ใจว่ามีการกำหนดค่าอย่างถูกต้อง หากมีข้อผิดพลาดใดๆ คุณสามารถกำหนดค่าใหม่ได้ทันทีและซ่อมแซมความเสียหายใดๆ โดยการตรวจสอบการกำหนดค่าเป็นประจำ ซึ่งเป็นวิธีปฏิบัติประจำที่จะช่วยให้คุณไม่ต้องพบกับปัญหามากมายในอนาคต นี่คือวิธีที่คุณควรปกป้องข้อมูลที่เป็นความลับในระบบคลาวด์—เสริมความขยันหมั่นเพียรในแนวทางปฏิบัติของคุณเพื่อปกป้องแบรนด์ของคุณบน Amazon

เสริมความสามารถเชิงรุกของ AWS ในการตรวจจับความผิดปกติและธงแดงด้านความปลอดภัย

โครงสร้างพื้นฐาน AWS เป็นหนึ่งในผู้ให้บริการระบบคลาวด์ที่น่าเชื่อถือที่สุดในปัจจุบัน และปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยข้อมูล นอกเหนือจากนี้ มันยังตรวจสอบความผิดปกติใดๆ ที่เกิดขึ้นในระบบคลาวด์ในเชิงรุก และเพิ่มธงแดงทันที ดังนั้นคุณจะรับรู้ถึงการละเมิดความปลอดภัยใดๆ ทันทีที่มันเกิดขึ้น แม้ว่าผู้ให้บริการจะตรวจสอบความปลอดภัยของข้อมูลของคุณตามความจำเป็น แต่เสริมด้วยการตรวจสอบตามปกติของคุณ สิ่งนี้ควรเริ่มต้นจากแนวทางของแบรนด์เล็กๆ แต่ควรได้รับการฝึกฝนให้มากขึ้นโดยแบรนด์ใหญ่ๆ

คุณอาจชอบ: อนาคตสำหรับ Cloud VDI และ Desktop as a Service (DaaS) มาถึงแล้ว!

ในการปิด

บทสรุปสุดท้ายคำสุดท้าย

มีข้อมูลมากมายในธุรกิจของคุณ และส่วนใหญ่เป็นความลับและต้องการการปกป้อง ด้วยเหตุนี้ คุณจึงต้องการพื้นที่จัดเก็บที่เชื่อถือได้และปลอดภัย ซึ่งให้บริการผ่าน AWS ในปัจจุบัน แม้ว่า Amazon Web Services ที่ยอดเยี่ยมที่สุดจะไม่รอดพ้นจากปัญหาด้านความปลอดภัยบนคลาวด์ที่อาจเกิดขึ้นได้ แต่การมีพื้นฐานด้านความปลอดภัยบนคลาวด์ที่เพียงพอสามารถช่วยคุณวางแผนเชิงรุกสำหรับการละเมิดความปลอดภัยของข้อมูลที่อาจเกิดขึ้นได้

ในตอนท้ายของวัน คุณจะได้รับโซลูชันการควบคุมความปลอดภัยบนคลาวด์ด้วยความช่วยเหลือจาก AWS assurance การรับประกันว่า AWS เป็นไปตามมาตรฐานความปลอดภัยของข้อมูล ควบคู่ไปกับการตรวจสอบความเป็นส่วนตัวและการเข้าถึงพื้นที่ของคุณในระบบคลาวด์อย่างรอบคอบ จะช่วยในการปกป้องข้อมูลที่เป็นความลับทั้งหมดของคุณอยู่เสมอ 

ผู้เขียน-Image-Jayce-Broda บทความนี้เขียนโดย Jayce Broda Jayce เป็นกรรมการผู้จัดการของ Seller Interactive ซึ่งเป็นเอเจนซี่โฆษณาอันดับหนึ่งของ Amazon ในแคนาดาที่ช่วยแบรนด์สร้างธุรกิจบน Amazon ความเชี่ยวชาญด้านการตลาดเนื้อหาของเขาทำให้เขาได้ร่วมงานกับแบรนด์ต่างๆ เช่น Toyota และ GoDaddy ซึ่งผลิตเนื้อหาที่มีผู้เข้าชมมากกว่า 20 ล้านครั้งในหนึ่งเดือน