Thiết lập môi trường làm việc an toàn với AWS

VTI-Together

Lời nói đầu:

Với sự tiện lợi mà những dịch vụ AWS Cloud mang lại, người dùng giờ đây đã có thể dễ dàng tạo một hệ thống Web Server hay Data Center với một cài cú click chuột. Những khó khăn về việc cài đặt cấu hình Server đã không thể nào dễ hơn được nữa.

Tuy nhiên, sự tiện lợi này cũng là một con dao hai lưỡi khi người dùng không quan tâm đến vấn đề bảo mật hay security. Chỉ cần một thao tác sai lầm, gây lộ thông tin bảo mật là cả một hệ thống có thể bị biến mất hay hàng trăm server được sử dụng cho mục đích xấu sẽ được sinh ra trong vài phút và hậu quả đem lại không chỉ là tiền bạc mà còn là sự uy tín của những người, công ty nhận trách nhiệm.

Việc thiết lập môi trường an toàn khi làm việc với AWS là tối cần thiết.

Bảo mật tài khoản

Thực hiện giải pháp dưới đây để bảo vệ tài khoản sử dụng để truy cập vào AWS.

  • Không sử dụng tài khoản Gốc hay tài khoản Root để truy cập AWS Console.
  • Thực hiện tạo User với thiết lập quyền được kiểm soát chặt chẽ, đối với quyền truy cập vào những Dịch vụ (Service) của AWS cần thực hiện Switch-Role.
  • Thiết lập chính sách cài đặt mặt khẩu có độ khó cao và được thay đổi định kì.
  • Thiết lập bảo mật 2 tầng bằng Khóa bảo mật (Token Device) hoặc Phần mềm cung cấp khóa bảo mật (Virtual Device) hay gọi là Multi Factor Authentication (MFA).
    MFA-Protected API Access

Thiết lập môi trường làm việc an toàn với AWS-CLI hay AWS-CDK

Đối với người dùng có sử dụng AWS-CLI hay AWS-CDK việc cài đặt Secret-Key và Access-Key nên thực hiện những điều dưới đây để đảm bảo bảo mật.

  • Thực hiện cài đặt Certificate tạm thời thông qua AWS-STS và Role để tránh việc phải nhập Secret-Key và Access-Key. Đối với Role chỉ cài đặt quyền cần thiết cho nhiệm vụ được giao.
  • Thực hiện cài đặt sử dụng dịch vụ AWS-STS kết hợp với MFA để cài đặt xác nhận khóa bảo mật trước khi thực hiện lệnh chạy AWS CLI.
    aws-assume-role

Sử dụng CDK hoặc AWS-Framework an toàn

  • Không code cứng Secret-Key và Access-Key vào trong source code. Thay vào đó cần thực hiện đọc thông tin qua biến môi trường.
  • Thông tin Secret-Key và Private-Key cần được đặt giới hạn sử dụng thông qua dịch vụ AWS-STS.
  • Khi đẩy source code lên các dịch vụ hoặc nơi lưu giữ quản lý version cần thực hiện quét thông tin nhạy cảm như thông tin tài khoản AWS, Secret-Key và Access-Key bằng như Simple-Git-Hooks hoặc Husky.
    git-hooks-husky

Nâng cao kiến thức và nhận thức về bảo mật

  • Để có được một môi trường làm việc an toàn với AWS, biện pháp tốt nhất và cũng quan trọng nhất đó chính là việc nâng cao kiến thức và nhận thức về bảo mật cho mỗi thành viên tham gia.
  • Mỗi thành viên, mỗi cá nhân tham gia vào dự án, công việc liên quan đến môi trường AWS cần hiểu rõ việc tại sao phải cần thực hiện bảo mật, cốt lõi của việc thực hiện bảo mật là gì.
  • Hoạt động làm việc chia sẻ và giúp đỡ hỗ trợ lẫn nhau để thực hiện bảo mật cùng xây dựng môi trường an toàn để làm việc với AWS.
    VTI-Together

Leave a Reply