Hướng dẫn về các phần tách rời bảo mật đáng tin cậy trên AWS

Bước 1
Tổ chức có nhiều tài khoản: Tổ chức này nhóm nhiều tài khoản AWS riêng biệt, được kiểm soát bởi một thực thể khách hàng duy nhất. Tổ chức này hợp nhất thanh toán, nhóm các tài khoản bằng cách sử dụng OU và tạo điều kiện cho việc triển khai các biện pháp kiểm soát phòng ngừa của tổ chức bằng cách sử dụng SCP. 

Bước 2
Các biện pháp kiểm soát bảo mật phòng ngừa: Các biện pháp kiểm soát này, được triển khai bởi SCP, sẽ bảo vệ kiến trúc, ngăn chặn sự vô hiệu hóa quy tắc bảo vệ và chặn hành vi người dùng không mong muốn. SCP cung cấp cơ chế quy tắc bảo vệ chủ yếu được sử dụng để từ chối một số hoặc tất cả các loại thao tác API ở cấp tài khoản AWS, OU hoặc cấp tổ chức. Chúng có thể được sử dụng để đảm bảo khối lượng công việc chỉ được triển khai trong các Khu vực AWS được quy định hoặc từ chối quyền truy cập vào các dịch vụ AWS cụ thể. 

Bước 3
Tự động hóa: Tự động hóa đảm bảo rằng quy tắc bảo vệ được áp dụng nhất quán khi tổ chức thêm tài khoản AWS mới khi các đội ngũ và khối lượng công việc mới được tích hợp vào. Tính năng này khắc phục tình trạng sai lệch về tuân thủ và cung cấp quy tắc bảo vệ trong tài khoản tổ chức gốc.

Bước 4
Mã hóa: Dịch vụ quản lý khóa của AWS (AWS KMS) với khóa do khách hàng quản lý sẽ mã hóa dữ liệu đang được lưu trữ bằng cách sử dụng mã hóa đã được xác thực FIPS 140-2, dù là trong vùng lưu trữ Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3), ổ đĩa của Kho lưu trữ khối linh hoạt của Amazon (Amazon EBS), cơ sở dữ liệu Dịch vụ cơ sở dữ liệu quan hệ của Amazon (Amazon RDS) hoặc các dịch vụ lưu trữ khác của AWS. Dịch vụ này bảo vệ dữ liệu đang được truyền bằng cách sử dụng TLS 1.2 trở lên.

Bước 5
Đăng nhập đơn: Một tính năng của Quản lý danh tính và truy cập (IAM) trong AWS, Trung tâm danh tính IAM được sử dụng để cung cấp khả năng giả định vai trò IAM tập trung để đưa vào tài khoản AWS trong toàn tổ chức cho các đối tượng nhận quyền được cấp quyền. Danh tính hiện có của tổ chức có thể được lấy từ kho danh tính Active Directory (AD) hiện có của khách hàng hoặc từ một nhà cung cấp danh tính (IdP) bên thứ ba khác. 

AWS tạo điều kiện thực thi xác thực đa yếu tố bằng các ứng dụng xác thực, khóa bảo mật và trình xác thực tích hợp sẵn, hỗ trợ các thiết bị và phương pháp xác thực WebAuthn, FIDO2 và Universal 2nd Factor (U2F).

Bước 1
Tạo bản ghi tập trung: Kiến trúc này quy định việc thu thập và tập trung bản ghi toàn diện trên các dịch vụ và tài khoản AWS. Bản ghi AWS CloudTrail hoạt động trên toàn tổ chức để cung cấp khả năng kiểm tra mặt phẳng điều khiển đầy đủ trên môi trường đám mây. 

Bản ghi Amazon CloudWatch, một dịch vụ tạo bản ghi hoạt động trên đám mây của AWS, được sử dụng để ghi lại nhiều loại bản ghi bao gồm bản ghi hệ điều hành và ứng dụng, bản ghi luồng VPC và bản ghi hệ thống tên miền, sau đó các bản ghi này được tập trung và chỉ cung cấp cho nhân viên bảo mật được xác định.

Bước 2
Giám sát bảo mật tập trung: Tình trạng sai lệch về tuân thủ và các mối đe dọa bảo mật xuất hiện trên toàn tổ chức AWS của khách hàng thông qua việc triển khai tự động vô số loại biện pháp kiểm soát bảo mật phát hiện khác nhau. Điều này bao gồm việc kích hoạt vô số dịch vụ bảo mật AWS trong mọi tài khoản trong tổ chức. 

Các dịch vụ bảo mật này bao gồm Amazon GuardDuty, Trung tâm bảo mật AWS, AWS Config, Trình quản lý tường lửa của AWS, Amazon Macie, Trình phân tích truy cập của IAM và cảnh báo CloudWatch. Khả năng kiểm soát và khả năng hiển thị nên được ủy thác trên môi trường đa tài khoản cho một tài khoản công cụ bảo mật trung tâm duy nhất để dễ dàng có được khả năng hiển thị trên toàn tổ chức về tất cả các nội dung phát hiện về bảo mật và sai lệch về tuân thủ.

Bước 3
Quyền truy cập chỉ xem và khả năng tìm kiếm: Tài khoản bảo mật được cung cấp quyền truy cập chỉ xem trên toàn tổ chức (bao gồm quyền truy cập vào bảng điều khiển CloudWatch của mỗi tài khoản) để tạo điều kiện điều tra khi xảy ra sự cố. 

Quyền truy cập chỉ xem khác với quyền truy cập chỉ đọc ở chỗ quyền truy cập chỉ xem không cung cấp bất kỳ quyền truy cập nào vào bất kỳ dữ liệu nào. Một tính năng bổ sung tùy chọn được cung cấp để sử dụng tập hợp bản ghi tập trung toàn diện để giúp dễ dàng tìm kiếm các bản ghi đó, qua đó cung cấp khả năng tương quan cũng như các bảng thông tin cơ bản.

Bước 1
Kết nối mạng tập trung, cô lập: Các VPC được xây dựng thông qua Đám mây riêng ảo của Amazon (Amazon VPC) được sử dụng để tạo khả năng cô lập mặt phẳng dữ liệu giữa các khối lượng công việc, tập trung trong tài khoản mạng dùng chung. Khả năng tập trung tạo điều kiện phân tách mạnh mẽ các tác vụ và tối ưu hóa chi phí.

Bước 2
Khả năng kết nối qua trung gian: Khả năng kết nối với môi trường tại chỗ, đầu ra Internet, tài nguyên dùng chung và API AWS có trung gian tại điểm trung tâm của đầu vào và đầu ra thông qua Cổng chuyển tiếp AWS, VPN site-to-site của AWS, tường lửa thế hệ tiếp theo và AWS Direct Connect (nếu có).

Bước 3
Tùy chọn thay thế: Kiến trúc VPC tập trung không phù hợp với tất cả khách hàng. Đối với những khách hàng ít quan tâm đến việc tối ưu hóa chi phí, có tùy chọn sử dụng các VPC dựa trên tài khoản cục bộ, kết nối với nhau thông qua Cổng chuyển tiếp trong tài khoản mạng dùng chung trung tâm. 

Đối với cả hai tùy chọn, kiến trúc này quy định việc di chuyển các điểm cuối API công khai của AWS vào không gian địa chỉ VPC riêng của khách hàng, sử dụng các điểm cuối tập trung để tiết kiệm chi phí.

Bước 4
Kiểm tra đầu vào và đầu ra tập trung của cơ sở hạ tầng dưới dạng dịch vụ (IaaS): Thông thường, sẽ có các yêu cầu về đầu vào và đầu ra tập trung đối với khối lượng công việc dựa trên IaaS. Kiến trúc này cung cấp chức năng này để khách hàng có thể quyết định xem các dịch vụ kiểm tra tường lửa đầu vào và đầu ra AWS gốc – chẳng hạn như Tường lửa mạng của AWS, AWS WAF hoặc Trình cân bằng tải ứng dụng thông qua Cân bằng tải linh hoạt (ELB) – có đáp ứng yêu cầu của họ không. 

Nếu không, khách hàng có thể tăng cường những tính năng đó với các thiết bị tường lửa của bên thứ ba. Kiến trúc này hỗ trợ bắt đầu sử dụng tường lửa AWS và chuyển sang tường lửa của bên thứ ba hoặc sử dụng kết hợp các công nghệ tường lửa đầu vào và đầu ra.

Bước 1
Phân đoạn và phân tách: Kiến trúc này không chỉ cung cấp khả năng phân đoạn và phân tách mạnh mẽ giữa các khối lượng công việc thuộc các giai đoạn khác nhau trong vòng đời phát triển phần mềm hoặc giữa các vai trò quản trị CNTT khác nhau (như giữa khả năng kết nối mạng, tưởng lửa đầu vào và đầu ra và các khối lượng công việc). 

Kiến trúc này cũng cung cấp kiến trúc chia vùng mạng mạnh mẽ, phân đoạn vi mô môi trường bằng cách gói mọi phiên bản hoặc thành phần trong một tường lửa có trạng thái được thực thi trong phần cứng của Hệ thống AWS Nitro, cùng với các dịch vụ như ELB và AWS WAF.

Bước 2
Tất cả các luồng mạng được thực thi chặt chẽ, ngăn chặn lây lan lân cận giữa các ứng dụng, các bậc trong một ứng dụng và các nút trong một bậc của một ứng dụng, trừ khi được cho phép rõ ràng. Hơn nữa, khả năng định tuyến bị chặn giữa môi trường Phát triển (Dev), Kiểm thử (Test) và Sản xuất (Prod), với các đề xuất về kiến trúc CI/CD để tăng tính linh hoạt của nhà phát triển và giúp dễ dàng thúc đẩy mã giữa các môi trường khi có sự phê duyệt thích hợp.