Volkswagen Group quản lý tập trung các mối đe dọa bảo mật trên AWS bằng Amazon GuardDuty

Để giám sát hơn 650.000 nhân viên, Volkswagen Group (Volkswagen) cần sở hữu năng lực bảo mật mạnh mẽ để hỗ trợ hoạt động của mình. Nhà sản xuất ô tô toàn cầu này sử dụng các giải pháp tại chỗ và dựa trên đám mây, bao gồm những ứng dụng cung cấp bởi Amazon Web Services (AWS). Nhằm mục đích tăng cường hơn nữa khả năng bảo mật của mình, Volkswagen đã triển khai Amazon GuardDuty - một dịch vụ phát hiện mối đe dọa giúp bạn liên tục giám sát các hành vi trái phép và hành động có hại để bảo vệ tài khoản, khối lượng công việc và dữ liệu AWS của các tổ chức. Thông qua các dịch vụ bảo mật của AWS, công ty có thể theo dõi tập trung các tài khoản AWS của mình và tự động ứng phó với những mối đe dọa.

Được thành lập từ năm 1937 và đặt trụ sở tại Đức, Volkswagen vận hành 118 nhà máy sản xuất ở 20 quốc gia châu Âu. Công ty xuất xưởng sản phẩm thuộc 10 thương hiệu ô tô, bao gồm Volkswagen Passenger Cars, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati và Volkswagen Commercial Vehicles. Volkswagen cần có một cách thức mở rộng quy mô dự án để có thể lưu trữ ứng dụng trên toàn bộ tổ chức của mình. Vào năm 2016, công ty bắt đầu sử dụng AWS để mở rộng quy mô cho những dự án lớn, chẳng hạn như một ứng dụng hợp nhất hoạt động kiểm soát xe điện của hãng. “Sau khi chúng tôi bắt đầu sử dụng dịch vụ AWS để mở rộng quy mô cho dự án ma trận xe điện theo mô-đun, nhu cầu lưu trữ ứng dụng cũng tăng theo,” Sachin Patil - phụ trách sản phẩm dịch vụ nền tảng Đám mây AWS tại Volkswagen- cho biết. “Lúc này, chúng tôi bắt đầu làm việc nhiều trên AWS để hỗ trợ các dự án đó.”

Volkswagen sử dụng hơn 200 dịch vụ AWS, trong đó có Amazon Elastic Compute Cloud (Amazon EC2) - dịch vụ web cung cấp năng lực điện toán bảo mật và có kích cỡ linh hoạt trên đám mây. Trong quá trình tiếp tục áp dụng dịch vụ AWS, công ty muốn tăng cường khả năng bảo mật và phát hiện lỗ hổng trên các tài khoản AWS. Để đạt được mục tiêu này, Volkswagen phát triển một giải pháp sử dụng Amazon GuardDuty cùng với dịch vụ quản lý sự kiện và thông tin bảo mật tại chỗ cung cấp bởi Splunk, một giải pháp phần mềm ghi lại, lập chỉ mục và đối chiếu dữ liệu gần với thời gian thực trên giao diện tìm kiếm được.

Volkswagen triển khai Amazon GuardDuty bằng một hệ thống cung cấp tài khoản do công ty tự phát triển. Tuy nhiên, quy trình này mất nhiều thời gian và Volkswagen nhận ra rằng trong một tổ chức lớn, tùy chỉnh biện pháp kiểm soát bảo mật cho từng tài khoản AWS riêng biệt là một công việc rất rườm rà. Sau khi công ty chia sẻ nhận thức này với AWS trong một bản đánh giá kinh doanh hàng quý, đội ngũ AWS đã bổ sung khả năng hỗ trợ AWS Organizations cho Amazon GuardDuty. AWS Organizations là một dịch vụ hỗ trợ doanh nghiệp quản lý, điều hành tập trung các môi trường AWS của họ trong quá trình phát triển và mở rộng quy mô doanh nghiệp. Với AWS Organizations, Volkswagen có thể triển khai Amazon GuardDuty ngay khi công ty tạo một tài khoản AWS. “Vì Amazon GuardDuty hỗ trợ AWS Organizations, chúng tôi không cần phải kích hoạt Amazon GuardDuty trong từng tài khoản riêng lẻ. Mọi tài khoản chúng tôi tạo ra đều sẽ được triển khai dịch vụ này theo mặc định,” Sachin chia sẻ. “AWS là một công ty chú trọng vào khách hàng và đội ngũ AWS luôn lắng nghe những mối lo ngại của chúng tôi. AWS Organizations cho Amazon GuardDuty giúp chúng tôi tiết kiệm rất nhiều thời gian.” Khi sử dụng AWS Organizations cho Amazon GuardDuty, Volkswagen giảm được 5 – 7 phút thời gian cung cấp tài khoản mỗi cụm.

Volkswagen cũng sử dụng AWS Organizations để triển khai AWS Security Hub, một dịch vụ cung cấp chế độ xem toàn diện về những cảnh báo bảo mật và tình hình bảo mật trên các tài khoản AWS để chủ sở hữu tài khoản có khả năng truy cập tập trung các mối đe dọa và phát hiện bảo mật. Khi sử dụng AWS Organizations để kích hoạt AWS Security Hub cùng những dịch vụ cấp độ tổ chức khác, Volkswagen còn giảm được thêm 15 – 20 phút thời gian cung cấp tài khoản tổng thể mỗi cụm. Công ty cũng có thể phát hiện những mối đe dọa ở thời điểm tạo tài khoản, từ đó nâng cao tính bảo mật. Khi hệ thống phát hiện ra một mối đe dọa, phát hiện này sẽ được truyền đến phiên bản quản lý sự kiện và thông tin bảo mật Splunk của Volkswagen, từ đó đưa ra cảnh báo để trung tâm hoạt động bảo mật (SOC) của Volkswagen có biện pháp xử lý.

Volkswagen cũng đã triển khai quy trình tự động phát hiện mối đe dọa để giảm bớt khối lượng công việc cho nhân viên. Ví dụ: nếu Amazon GuardDuty phát hiện ra một phiên bản Amazon EC2 có thể bị nhiễm virus rootkit, dịch vụ này sẽ khởi chạy một luồng công việc gửi email cho chủ sở hữu tài khoản. Amazon GuardDuty cũng thêm kết luận này vào AWS Security Hub, từ đó đưa ra cảnh báo cho đội ngũ SOC. Một thành viên trong đội ngũ khi đó có thể xác nhận kết luận của Amazon GuardDuty và thực hiện hành động khắc phục, chẳng hạn như ngừng sử dụng phiên bản Amazon EC2 và tạo một bản sao trong tài khoản SOC AWS. Tài khoản này chứa các công cụ để phân tích nguyên nhân gốc rễ và khắc phục sự cố. Sau khi sự cố được khắc phục và đánh dấu là đã giải quyết, Amazon GuardDuty sẽ đưa ra cảnh báo nhắc tài khoản xem các kết luận bảo mật trong AWS Security Hub. Đối với những sự cố đặc biệt nghiêm trọng, đội ngũ SOC và chủ sở hữu tài khoản sẽ nhận được cảnh báo có thể chặn ngay lập tức ứng dụng hoặc tài khoản bị ảnh hưởng, ngăn không cho mối đe dọa gây hại đến những phần khác trong hệ thống của Volkswagen.

Volkswagen cũng sử dụng AWS Organizations để thực thi chính sách kiểm soát dịch vụ và quản lý quyền trên khắp các tài khoản AWS. Ví dụ: đội ngũ SOC quản lý một danh sách các Khu vực AWS được phê chuẩn mà chủ sở hữu tài khoản được phép sử dụng. Khi nhân viên bắt đầu một dự án, đội ngũ sẽ phê chuẩn một số Khu vực AWS dựa trên nhu cầu, mục đích và quy định hiện hành của dự án. Những chính sách này cung cấp cho đội ngũ SOC khả năng xem xét những vấn đề bảo mật tiềm ẩn, đồng thời ngăn không cho nhân viên cung cấp và truy cập tài nguyên nằm ngoài những Khu vực AWS được phê chuẩn. Trong quá trình cung cấp tài khoản, Volkswagen sẽ tự động áp dụng chính sách kiểm soát dịch vụ, ngăn không cho các tài khoản riêng lẻ sửa đổi Amazon GuardDuty hoặc AWS Security Hub. Bằng cách triển khai các chính sách tập trung hóa và ngăn chặn, Volkswagen có thể giảm bớt lỗi tiềm ẩn và chú trọng đổi mới. “Khi người dùng của chúng tôi suy nghĩ về việc sử dụng dịch vụ AWS để bảo mật, những giải pháp này đã có sẵn. Họ không cần phải bắt tay vào việc xây dựng một giải pháp hoàn toàn mới,” Sachin cho biết. “Điều này giúp tiết kiệm rất nhiều thời gian vì người dùng biết rằng đây là giải pháp bảo mật và đáp ứng được tiêu chuẩn của Volkswagen. Họ có thể tập trung vào việc xây dựng ứng dụng và kết nối với phương tiện”.

Nhờ sử dụng Amazon GuardDuty, AWS Security Hub và AWS Organizations, Volkswagen có thể tự động xác định các mối đe dọa bảo mật và nhanh chóng triển khai giải pháp bảo vệ tài khoản AWS, ứng dụng kinh doanh và cơ sở hạ tầng của công ty. Volkswagen sẽ tiếp tục sử dụng dịch vụ AWS để phát triển các giải pháp sáng tạo như Firestarter, một ứng dụng được cung cấp trên Amazon API Gateway dựa trên thư viện JavaScript nguồn mở React. Volkswagen sẽ tiếp tục cung cấp Firestarter trên Amazon API Gateway, một dịch vụ được quản lý hoàn toàn giúp dễ dàng tạo, phát hành, duy trì, giám sát và bảo vệ API ở mọi quy mô. Khi sử dụng Firestarter, Volkswagen sẽ tinh giản và đẩy nhanh quá trình làm quen với môi trường AWS của công ty dành cho khách hàng mới.

Volkswagen cũng được hưởng lợi từ sự hỗ trợ của đội ngũ AWS. Anurag Agrawal - phụ trách nền tảng cơ bản của Volkswagen - cho biết: “Cách tiếp cận lấy khách hàng làm trung tâm của AWS rất đáng chú ý”. “Có rất nhiều kiến thức mà chúng tôi tiếp thu được từ AWS đã góp phần xây dựng lên tổ chức của chúng tôi.”