Bảo mật theo thiết kế
Tổng quan
Tự động hóa bảo mật, tuân thủ và quản trị trong AWS
Bảo mật theo thiết kế (SbD) là một cách tiếp cận đảm bảo bảo mật chính thức hóa thiết kế tài khoản AWS, tự động hóa kiểm soát bảo mật và hợp lý hóa việc kiểm tra. Thay vì dựa vào kiểm tra bảo mật phản hồi, SbD cung cấp kiểm soát bảo mật được xây dựng trong suốt quá trình quản lý CNTT của AWS. Bằng cách sử dụng các mẫu SbD trong AWS CloudFormation, bảo mật và tuân thủ trong đám mây có thể được thực hiện hiệu quả hơn và mở rộng hơn.
SbD là một cách tiếp cận về bảo mật và tuân thủ với quy mô linh hoạt trên nhiều ngành, tiêu chuẩn và tiêu chí bảo mật. Bạn có thể sử dụng AWS SbD khi thiết kế bảo mật và khả năng tuân thủ cho tất cả các giai đoạn bảo mật để thiết kế mọi thứ trong môi trường khách hàng AWS của bạn: quyền, ghi nhật ký, các mối quan hệ tin cậy, thực thi mã hóa, ảnh máy được chấp thuận ủy nhiệm và hơn thế nữa. SbD cho phép bạn tự động hóa cấu trúc ngoại vi của tài khoản AWS, mã hóa bảo mật và tuân thủ một cách đáng tin cậy vào tài khoản AWS của bạn, từ đó, bạn không còn phải bận tâm tới việc kiểm soát không tuân thủ CNTT nữa.
Tiếp cận bảo mật theo thiết kế
SbD vạch ra các trách nhiệm kiểm soát, tự động hóa cơ sở bảo mật, cấu hình bảo mật và kiểm soát kiểm tra khách hàng đối với cơ sở hạ tầng khách hàng AWS, hệ điều hành, dịch vụ và ứng dụng chạy trong AWS. Thiết kế chuẩn hóa, tự động, theo quy tắc và lặp lại này có thể được triển khai cho các trường hợp sử dụng thông thường, các tiêu chuẩn bảo mật và các yêu cầu kiểm tra trên nhiều ngành công nghiệp và khối lượng công việc.
AWS khuyến nghị xây dựng tính bảo mật và tuân thủ cho tài khoản AWS của bạn bằng cách thực hiện theo cách tiếp cận theo bốn giai đoạn:
Giai đoạn 1 – Hiểu yêu cầu của bạn. Phác thảo các chính sách của bạn, sau đó ghi lại các điều khiển bạn kế thừa từ AWS. Tiếp theo, ghi lại các biện pháp kiểm soát mà bạn sở hữu và hoạt động trong môi trường AWS của bạn và quyết định các quy định bảo mật nào bạn muốn thực thi trong môi trường CNTT AWS của mình.
Giai đoạn 2 – Xây dựng môi trường bảo mật phù hợp với yêu cầu và triển khai của bạn. Xác định cấu hình mà bạn yêu cầu dưới dạng các giá trị cấu hình AWS, chẳng hạn như yêu cầu mã hóa (ví dụ: mã hóa máy chủ bắt buộc cho các đối tượng S3), các quyền đối với tài nguyên (vai trò nào áp dụng cho môi trường nhất định), hình ảnh điện toán nào được ủy quyền (dựa trên hình ảnh máy chủ cứng mà bạn đã ủy quyền) và loại nhật ký nào phải được bật (chẳng hạn như thực thi việc sử dụng CloudTrail trên các tài nguyên hiện hành). AWS cung cấp một tập hợp các tùy chọn cấu hình hoàn chỉnh với các dịch vụ mới được phát hành mọi lúc, và AWS làm cho các mẫu có sẵn để điều chỉnh môi trường của bạn phù hợp với các kiểm soát bảo mật. Các mẫu bảo mật này (dưới dạng mẫu AWS CloudFormation) cung cấp một bộ quy tắc toàn diện có thể thực thi một cách có hệ thống. AWS đã phát triển các mẫu cung cấp các quy tắc bảo mật phù hợp với nhiều khung bảo mật. Để biết thêm thông tin, hãy xem báo cáo nghiên cứu chuyên sâu Giới thiệu bảo mật theo thiết kế.
Trợ giúp thêm để tạo môi trường bảo mật của bạn có sẵn từ các kiến trúc sư có kinh nghiệm của AWS, Dịch vụ chuyên nghiệp AWS (AWS Professional Services) và Giải pháp đối tác AWS (AWS Partner Solutions). Các nhóm này có thể làm việc cùng với đội ngũ nhân viên và kiểm tra viên của bạn để giúp triển khai các môi trường an toàn chất lượng cao nhằm hỗ trợ kiểm tra của bên thứ ba.
Giai đoạn 3 – Thực thi việc sử dụng các mẫu. AWS Service Catalog cho phép bạn yêu cầu sử dụng mẫu của bạn trong danh mục. Đây là bước đảm bảo việc sử dụng môi trường bảo mật của bạn trong tất cả các môi trường mới được tạo và ngăn tất cả mọi người tạo môi trường không tuân thủ các quy tắc bảo mật của môi trường bảo mật của bạn. Việc yêu cầu sử dụng mẫu trong danh mục đảm bảo rằng các cấu hình bảo mật còn lại của các biện pháp kiểm soát đều được chuẩn bị sẵn sàng cho khâu kiểm tra.
Giai đoạn 4 – Thực hiện các hoạt động xác thực. Triển khai AWS thông qua Danh mục dịch vụ và các mẫu môi trường an toàn giúp tạo môi trường sẵn sàng để kiểm tra. Các quy tắc bạn xác định trong mẫu của bạn có thể được sử dụng làm hướng dẫn kiểm tra. Dịch vụ AWS Config cho phép bạn nắm bắt trạng thái hiện tại của bất kỳ môi trường nào, sau đó có thể được so sánh với các quy tắc môi trường an toàn của bạn. Bằng cách sử dụng quyền truy cập đọc an toàn, cùng với các tập lệnh duy nhất, bạn có thể bật tự động hóa kiểm tra để thu thập bằng chứng. Bạn có thể chuyển đổi các kiểm soát quản trị thủ công truyền thống thành các kiểm soát được thực thi kỹ thuật với đảm bảo rằng, nếu chúng được thiết kế và điều chỉnh đúng cách, các kiểm soát này hoạt động 100% tại bất kỳ thời điểm nào, điều mà không thể thực hiện được với các phương pháp lấy mẫu kiểm tra truyền thống hoặc đánh giá tại một thời điểm.
Kiểm tra kỹ thuật này có thể được cải thiện bằng hướng dẫn trước kiểm tra, chẳng hạn như hỗ trợ và đào tạo cho các chuyên viên đánh giá của bạn để đảm bảo rằng nhân viên kiểm tra hiểu được khả năng tự động kiểm tra độc nhất mà Đám mây AWS cung cấp.
Ảnh hưởng của Bảo mật theo thiết kế
Cách tiếp cận SbD có thể đạt được những điều sau đây:
- Tạo các chức năng bắt buộc không thể bị ghi đè bởi những người dùng không được phép chỉnh chức sửa năng này.
- Thiết lập hoạt động kiểm soát đáng tin cậy.
- Kích hoạt giám sát liên tục và kiểm tra thời gian thực.
- Tạo tập lệnh kỹ thuật cho chính sách quản trị của bạn.
Kết quả là một môi trường tự động cho phép khả năng bảo mật, đảm bảo, quản trị và tuân thủ của môi trường của bạn. Bây giờ bạn có thể thực thi đáng tin cậy những gì trước đây chỉ được viết trong các chính sách, tiêu chuẩn và quy định. Ngoài ra, bạn có thể tạo dựng sự bảo mật và tuân thủ khả thi, từ đó hình thành nên một mô hình quản trị đáng tin cậy, hữu dụng cho các môi trường AWS của bạn.
