การรักษาความปลอดภัยโครงสร้างพื้นฐานในระบบคลาวด์

การรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ หมายถึงเทคโนโลยี การควบคุม และนโยบายที่ออกแบบมาเพื่อปรับปรุงสภาวะการรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ที่เป็นพื้นฐาน การรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ที่แข็งแกร่งช่วยป้องกันภัยคุกคามเช่นเหตุการณ์ DDoS การสูญเสียข้อมูล และการกำหนดค่าผิดที่อาจนำไปสู่เหตุการณ์ความปลอดภัยที่ไม่คาดคิด การรักษาความปลอดภัยโครงสร้างพื้นฐานในระบบคลาวด์เป็นองค์ประกอบหลักของการรักษาความปลอดภัยระบบคลาวด์

โมเดลความรับผิดชอบร่วมกัน คือระบบที่กำหนดว่าใครเป็นผู้รับผิดชอบต่อมาตรการรักษาความปลอดภัยทางไซเบอร์ในส่วนต่าง ๆ ระหว่างผู้ให้บริการคลาวด์และตัวคุณ ความรับผิดชอบอาจตกเป็นของคุณ หรือเป็นของผู้ให้บริการคลาวด์ หรืออาจเป็นความรับผิดชอบร่วมกันระหว่างทั้งสองฝ่าย

นี่คือความรับผิดชอบหลักของแต่ละฝ่ายในโมเดลความรับผิดชอบร่วมกัน:

ความรับผิดชอบของผู้ให้บริการคลาวด์

ผู้ให้บริการคลาวด์มีหน้าที่ปกป้องโครงสร้างพื้นฐานทางกายภาพที่เรียกใช้บริการคลาวด์ของพวกเขา ฮาร์ดแวร์ ซอฟต์แวร์ ระบบเครือข่าย และสิ่งอำนวยความสะดวกต่าง ๆ ที่เกี่ยวข้องกับบริการ ล้วนเป็นหน้าที่ความรับผิดชอบของผู้ให้บริการคลาวด์

ความรับผิดชอบของคุณ

ความรับผิดชอบของคุณในโมเดลความรับผิดชอบร่วมกันจะถูกกำหนดโดยบริการคลาวด์ที่คุณเลือก เมื่อนำบริการเหล่านี้มารวมกัน สิ่งเหล่านี้จะเป็นตัวกำหนดปริมาณงานในการกำหนดค่าที่คุณต้องดำเนินการ ซึ่งเป็นส่วนหนึ่งของความรับผิดชอบด้านการรักษาความปลอดภัยของคุณ คุณมีหน้าที่รับผิดชอบในงานต่าง ๆ เช่น การจัดการข้อมูลของคุณ ซึ่งรวมถึงการเลือกตัวเลือกการเข้ารหัส การจัดประเภทสินทรัพย์ และการใช้เครื่องมือ Identity and Access Management (IAM) เพื่อกำหนดสิทธิ์การใช้งานที่เหมาะสม

ความรับผิดชอบร่วมกัน

มาตรการควบคุมบางอย่างจะมีผลบังคับใช้ทั้งกับชั้นโครงสร้างพื้นฐานของผู้ให้บริการและชั้นการทำงานของลูกค้า แต่จะอยู่ในบริบทหรือมุมมองที่แยกจากกัน ในส่วนที่เป็นความรับผิดชอบร่วมกัน ผู้ให้บริการคลาวด์จะนำข้อกำหนดต่าง ๆ มาใช้กับโครงสร้างพื้นฐาน และลูกค้าจะมีหน้าที่ดำเนินการตามมาตรการควบคุมภายในการใช้งานบริการคลาวด์ของตนเอง ตัวอย่างของสิ่งนี้ ได้แก่ การจัดการการกำหนดค่า การตระหนักรู้และการฝึกอบรม

โครงสร้างพื้นฐานในระบบคลาวด์เป็นรองรับบริการคลาวด์ทั้งหมด ทำให้การรักษาความปลอดภัยมีความสำคัญต่อเวิร์กโหลดทั้งหมดในคลาวด์

นี่คือเหตุผลหลายประการที่ทำให้การรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์มีความสำคัญสำหรับธุรกิจ

ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตในสภาพแวดล้อมคลาวด์

ผู้ก่อให้เกิดภัยคุกคามกำหนดเป้าหมายสภาพแวดล้อมบนคลาวด์เนื่องจากมีข้อมูลจำนวนมาก การกำหนดค่าที่ผิดพลาด การควบคุมที่อ่อนแอ หรือช่องโหว่พื้นฐานในโครงสร้างพื้นฐานในระบบคลาวด์ สามารถกลายเป็นจุดเริ่มต้นให้กับกลุ่มบุคคลภายนอกที่ไม่ได้รับอนุญาตเข้าถึงระบบได้ มาตรการรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ควรระบุและควบคุมจุดเข้าเหล่านี้ ช่วยรักษาความปลอดภัยของข้อมูลของบริษัทและส่งเสริมการรักษาความลับของข้อมูล

ลดการหยุดชะงักของความต่อเนื่องทางธุรกิจ

ภัยคุกคามทางไซเบอร์ที่เฉพาะเจาะ เช่น การโจมตีโดยปฏิเสธการให้บริการแบบกระจาย (DDoS) มีจุดมุ่งหมายเพื่อลดความสามารถขององค์กรในการทำงานตามที่คาดไว้ มาตรการความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ เช่น การแบ่งส่วนเครือข่าย ช่วยป้องกันภัยคุกคามจากทั้งภายในและภายนอกในเชิงรุก และช่วยให้การดำเนินธุรกิจของคุณรักษาเวลาทำงานได้ในระดับสูง

รักษาความไว้วางใจ

เมื่อองค์กรมีส่วนเกี่ยวข้องกับเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์ โดยเฉพาะเหตุการณ์ที่เกี่ยวข้องกับข้อมูลลูกค้าที่จัดเก็บไว้บนคลาวด์ สิ่งนี้อาจนำไปสู่ความเสียหายต่อชื่อเสียงได้ การรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์ช่วยปกป้องบริการเสมือนที่ทำงานในระบบคลาวด์ได้ดีขึ้น ซึ่งช่วยให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนของบริษัทจะยังคงเป็นส่วนตัว

โซลูชันการรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์มักจะเป็น Cloud-Native เอง

นี่คือองค์ประกอบสำคัญของการรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์

การบริหารจัดการตัวตนและการเข้าถึง

องค์กรต่าง ๆ โฮสต์ข้อมูลและข้อมูลที่ละเอียดอ่อนไว้บนคลาวด์ และช่วยให้มั่นใจได้ว่าผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงทรัพยากรบนระบบคลาวด์เหล่านี้ได้ การบริหารจัดการตัวตนและการเข้าถึง (IAM) กำหนดบทบาทของผู้ใช้ที่สามารถโต้ตอบหรือค้นหาข้อมูลได้ นอกเหนือจากระบบการให้สิทธิ์แล้ว IAM ยังสามารถยืนยันความเป็นเจ้าของบัญชีคลาวด์ด้วยการยืนยันตัวตนโดยใช้หลายปัจจัยซึ่งช่วยกีดกันผู้ใช้ที่ไม่ได้รับอนุญาตให้ออกไปได้

การบันทึกและการตรวจวัดระยะไกล

การบันทึกและการตรวจวัดระยะไกลมีวัตถุประสงค์เพื่อจัดเก็บเอกสารการดำเนินการและเหตุการณ์ที่ระบุไว้ในระบบคลาวด์ ด้วยการบันทึกเหตุการณ์การเข้าถึง การเคลื่อนย้ายข้อมูล และการดำเนินการด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างระมัดระวัง องค์กรจะสามารถบรรลุวิสัยทัศน์ในการมองเห็นโครงสร้างพื้นฐานในระบบคลาวด์ของตนได้ลึกซึ้งยิ่งขึ้น การตรวจวัดระยะไกลด้านการปฏิบัติงานที่ถูกส่งออกมาจากระบบที่สำคัญสามารถสร้างร่องรอยของข้อมูล ซึ่งมักถูกนำไปใช้ในการตรวจสอบ

การวิเคราะห์

โซลูชันการวิเคราะห์สามารถใช้ข้อมูลการตรวจวัดระยะไกลด้านการปฏิบัติงานและข้อมูลบันทึกที่มีอยู่ เพื่อระบุความไม่สอดคล้อง ความผิดปกติ หรือเหตุการณ์ที่ไม่คาดคิดซึ่งจำเป็นต้องมีการตรวจสอบเพิ่มเติม ระบบการวิเคราะห์ เช่น Security Information and Event Management (SIEM) จะรวบรวมจุดข้อมูลต่าง ๆ เพื่อแจ้งเตือนและติดตามเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น และช่วยให้มั่นใจได้ว่าระบบตรวจสอบการรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์กำลังทำงานได้ตามที่คาดหวัง

การรักษาความปลอดภัยของเครือข่ายและอุปกรณ์

พนักงานเข้าถึงสภาพแวดล้อมคลาวด์ของคุณและทรัพยากรคลาวด์ที่จัดเก็บอยู่ภายในนั้นจากสถานที่และอุปกรณ์ที่หลากหลาย เพื่อเสริมความแข็งแกร่งให้กับแง่มุมที่กว้างขวางนี้เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น คุณสามารถปรับใช้โซลูชันต่าง ๆ ได้มากมาย โซลูชันเหล่านี้รวมถึงความปลอดภัยของเครือข่ายและอุปกรณ์เพื่อควบคุมปริมาณการรับส่งข้อมูลทั้งขาเข้าและขาออก กรองปริมาณการรับส่งข้อมูลที่เป็นอันตราย และการแยกส่วนเวิร์กโหลดเพื่อช่วยให้มั่นใจว่าเครือข่ายถูกแบ่งออกเป็นส่วน ๆ อย่างชัดเจน

การเข้ารหัสข้อมูล

การรักษาความปลอดภัยของข้อมูลคือกระบวนการทั่วไปในการสร้างความมั่นใจว่าข้อมูลทั้งหมด ทั้งข้อมูลที่อยู่ระหว่างการถ่ายโอนและข้อมูลที่อยู่ในพื้นที่จัดเก็บจะได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต การรักษาความปลอดภัยของโครงสร้างพื้นฐานในระบบคลาวด์สามารถใช้นโยบายการจำแนกข้อมูลเพื่อติดแท็กข้อมูลตามความละเอียดอ่อนและใช้แนวทางปฏิบัติด้านการรักษาความปลอดภัยต่าง ๆ เพื่อปกป้องข้อมูล คุณสามารถเข้ารหัสข้อมูลได้ทั้งในข้อมูลที่อยู่ในพื้นที่จัดเก็บและข้อมูลที่อยู่ระหว่างการถ่ายโอน เพื่อช่วยให้มั่นใจได้ว่าเฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่จะสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ การรักษาความปลอดภัยของข้อมูลยังครอบคลุมถึงการพัฒนาและปรับใช้กลยุทธ์การป้องกันข้อมูลสูญหายเพื่อยกระดับความมั่นคงปลอดภัยของข้อมูล

ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุดบางประการเพื่อปรับปรุงกลยุทธ์การรักษาความปลอดภัยระบบคลาวด์ของคุณและช่วยปกป้องโครงสร้างพื้นฐานการประมวลผลบนคลาวด์ของคุณ

สร้างเลเยอร์เครือข่าย

การสร้างเลเยอร์เครือข่ายเกี่ยวข้องกับการจัดระเบียบส่วนประกอบของเวิร์กโหลดของคุณให้เป็นกลุ่มตามตรรกะ โดยอิงตามหน้าที่และการตอบสนองต่อความเสี่ยง เช่น เว็บเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต หรือฐานข้อมูลแบ็กเอนด์ ด้วยการแยกส่วนประกอบเหล่านี้ออกเป็นซับเน็ตที่แยกจากกัน คุณจะสามารถสร้างขอบเขตที่ชัดเจน และสร้างโอกาสในการควบคุมวิธีการไหลของปริมาณการรับส่งข้อมูลระหว่างส่วนประกอบเหล่านั้นได้อย่างมีประสิทธิภาพ

แนวทางแบบเลเยอร์นี้ช่วยสนับสนุนกลยุทธ์ การป้องกันในเชิงลึกซึ่งแต่ละเลเยอร์จะทำหน้าที่เป็นจุดการตรวจสอบความปลอดภัย ตัวอย่างเช่น เฉพาะทรัพยากรในชั้นนอกสุดเท่านั้นที่ควรถูกเปิดเผยต่ออินเทอร์เน็ต ในขณะที่ระบบที่มีความละเอียดอ่อนมากกว่า เช่น ฐานข้อมูล จะยังคงถูกแยกออกและสามารถเข้าถึงได้ผ่านเครือข่ายภายในเท่านั้น

เครือข่ายระบบคลาวด์ส่วนตัวเสมือนและโครงสร้างพื้นฐานในระบบคลาวด์ส่วนตัว ช่วยสร้างเครือข่ายและโครงสร้างพื้นฐานที่ถูกแยกออกจากกันตามตรรกะภายในคลาวด์ การสร้างนโยบายการรักษาความปลอดภัยที่สม่ำเสมอ ซึ่งกำหนดนิยามของเครือข่ายคลาวด์และการใช้งาน จะช่วยส่งเสริมให้เกิดสภาพแวดล้อมบนคลาวด์ที่ปลอดภัย

ควบคุมการไหลของปริมาณการรับส่งข้อมูล

การควบคุมการไหลของปริมาณการรับส่งข้อมูลอาจรวมถึงการแบ่งส่วนสภาพแวดล้อมของคุณ เพื่ออนุญาตให้มีการสื่อสารที่จำเป็นเท่านั้นระหว่างเวิร์กโหลด ผู้ใช้ และระบบภายนอก การควบคุมปริมาณการรับส่งข้อมูลนี้ครอบคลุมถึงการจัดการทั้ง ปริมาณการรับส่งข้อมูล ระหว่างเครือข่ายของคุณกับอินเทอร์เน็ต (ปริมาณการรับส่งข้อมูลแนว North-South) และปริมาณการรับส่งข้อมูลภายในเครือข่ายของคุณเอง (ปริมาณการรับส่งข้อมูลแนว East-West)

ข้อผิดพลาดที่พบบ่อยคือการพึ่งพาเพียงการป้องกันที่ขอบเขตหรือการสันนิษฐานว่ามีความน่าเชื่อถือภายในเลเยอร์เครือข่าย ในทางกลับกัน แนวทางปฏิบัติที่ดีที่สุดจะเน้นย้ำถึงแนวทางการให้สิทธิ์เท่าที่จำเป็น ซึ่งคุณจะอนุญาตการเข้าถึงแบบจุดต่อจุดระหว่างผู้ใช้งานและสินทรัพย์บนคลาวด์ รวมถึงเซิร์ฟเวอร์คลาวด์ด้วย การควบคุมทั้งปริมาณการรับส่งข้อมูลขาเข้าและขาออก ด้วยวิธีนี้ จะช่วยจำกัดผลกระทบจากการเข้าถึงที่ไม่ได้รับอนุญาต และช่วยปรับปรุงเวลาในการตรวจจับรวมถึงการตอบสนองระหว่างเกิดเหตุการณ์ด้านความปลอดภัย

ใช้การป้องกันที่อาศัยการตรวจสอบ

การใช้การป้องกันที่อาศัยการตรวจสอบหมายถึงการตรวจสอบปริมาณการรับส่งข้อมูลขณะเคลื่อนที่ระหว่างเลเยอร์เครือข่ายในระดับละเอียด ตัวอย่างเช่น การวิเคราะห์เนื้อหาจริง ข้อมูลเมตา และพฤติกรรมของข้อมูลที่อยู่ระหว่างการโอนย้าย การป้องกันที่อาศัยการตรวจสอบช่วยให้คุณสามารถตรวจจับความผิดปกติหรือการพยายามเข้าถึงที่ไม่ได้รับอนุญาตที่อาจเกิดขึ้นโดยอิงตามข้อมูลข่าวกรองด้านภัยคุกคามแบบเรียลไทม์ คุณสามารถสร้างกฎเกณฑ์ตามบริบทของแอปพลิเคชัน การระบุตัวตนผู้ใช้ หรือภัยคุกคามที่รู้จัก และเพิ่มความเข้มงวดให้มากขึ้นเมื่อเข้าใกล้เวิร์กโหลดที่มีความละเอียดอ่อน

การป้องกันเครือข่ายอัตโนมัติ

การป้องกันเครือข่ายโดยอัตโนมัติโดยใช้แนวทางปฏิบัติ DevOps เช่น Infrastructure as Code (IaC) และไปป์ไลน์ CI/CD ช่วยให้องค์กรสามารถปรับใช้งานการกำหนดค่าเครือข่ายที่มีความปลอดภัยมากขึ้น มีความสม่ำเสมอ และสามารถทำซ้ำได้ ในกรณีที่มีการเปลี่ยนแปลง ไปป์ไลน์จะส่งสัญญาณอัตโนมัติจะเริ่มเวิร์กโฟลวการทำงานการทดสอบและการปรับใช้ การเปลี่ยนแปลงต่าง ๆ จะถูกปรับใช้งานไปยังสภาพแวดล้อมจำลองเพื่อตรวจสอบความถูกต้องก่อน ซึ่งคุณสามารถทดสอบได้ว่าการเปลี่ยนแปลงเหล่านั้นทำงานได้ตามที่ตั้งใจไว้หรือไม่ก่อนที่จะเริ่มใช้งานจริง

AWS Well-Architected Framework

AWS Well-Architected Framework นำเสนอชุดแนวทางปฏิบัติที่ดีที่สุดและแนวทางการออกแบบความปลอดภัยบนคลาวด์ เพื่อช่วยปกป้องเวิร์กโหลดต่าง ๆ บน AWS ให้มีความมั่นคงปลอดภัย เสาหลักด้านการรักษาความปลอดภัยของเฟรมเวิร์กนี้ นำเสนอคำแนะนำเชิงปฏิบัติเกี่ยวกับวิธีปกป้องระบบ ข้อมูล และสารสนเทศของคุณให้ดียิ่งขึ้น ด้วยการรักษาความปลอดภัยระบบคลาวด์ที่แข็งแกร่งและเป็นเลเยอร์พร้อมทั้งมาตรการป้องกันเชิงรุก

จากการทบทวนแนวทางปฏิบัติของ Well-Architected อย่างสม่ำเสมอ องค์กรจะสามารถปรับปรุงสภาวะการรักษาความปลอดภัยระบบคลาวด์ให้ดียิ่งขึ้น ซึ่งช่วยให้มั่นใจได้ว่ากลยุทธ์การรักษาความปลอดภัยโครงสร้างพื้นฐานในระบบคลาวด์ของคุณยังคงมีประสิทธิภาพอยู่เสมอ

การรักษาความปลอดภัยระบบคลาวด์เป็นสิ่งสำคัญสูงสุดของ AWS และการออกแบบโครงสร้างพื้นฐานระดับโลกของเราสนับสนุนการดำเนินงานอย่างต่อเนื่อง เรารักษาความไว้วางใจกับลูกค้าและพาร์ทเนอร์ด้วยการจัดหาเครื่องมือและบริการที่จำเป็นเพื่อช่วยปกป้องแอปพลิเคชัน ข้อมูล และเวิร์กโหลดในขนาดที่เหมาะสม โครงสร้างพื้นฐาน AWS ครอบคลุมพื้นที่ทางภูมิศาสตร์และ Availability Zone หลายแห่ง แต่ละแห่งได้รับการออกแบบด้วยชั้นของการควบคุมทางกายภาพและการควบคุมเชิงตรรกะ มาตรการป้องกันเหล่านี้ได้รับการสนับสนุนจากการจำลองรูปแบบภัยคุกคามอย่างต่อเนื่อง และการทดสอบอย่างเข้มงวดตลอดวงจรชีวิตของระบบ

AWS นำเสนอบริการรักษาความปลอดภัยโครงสร้างพื้นฐานในระบบคลาวด์ที่หลากหลายเพื่อช่วยปกป้องความปลอดภัยของโครงสร้างพื้นฐานขององค์กรของคุณบน AWS

• Amazon GuardDuty ช่วยปกป้องบัญชีผู้ใช้ AWS, เวิร์กโหลดและข้อมูลด้วยการตรวจจับภัยคุกคามอัจฉริยะ
• AWS Identity and Access Management (IAM) จัดการและปรับขนาดสิทธิ์การเข้าถึงของเวิร์กโหลดและพนักงานได้อย่างปลอดภัย ซึ่งสนับสนุนความคล่องตัวและนวัตกรรมของคุณใน AWS
• Amazon Inspector จะค้นพบเวิร์กโหลดโดยอัตโนมัติ เช่น อินสแตนซ์ Amazon Elastic Compute Cloud (Amazon EC2), อิมเมจคอนเทนเนอร์ และฟังก์ชัน AWS Lambda รวมถึงที่เก็บโค้ด และสแกนหาช่องโหว่ของซอฟต์แวร์และการเผยแพร่เครือข่ายโดยไม่ได้ตั้งใจ
• Amazon Macie จะค้นพบข้อมูลที่ละเอียดอ่อนโดยใช้แมชชีนเลิร์นนิงและการจับคู่รูปแบบ มอบการมองเห็นถึงด้านความปลอดภัยของข้อมูล และเปิดใช้การป้องกันความเสี่ยงเหล่านั้นโดยอัตโนมัติ
• AWS Security Hub จะจัดลำดับความสำคัญของประเด็นด้านการรักษาความปลอดภัยที่สำคัญ และช่วยให้คุณตอบสนองต่อเหตุการณ์ในวงกว้างเพื่อปกป้องสภาพแวดล้อมของคุณ โดยตรวจจับปัญหาที่สำคัญโดยการเชื่อมโยงและเพิ่มข้อมูลให้กับสัญญาณต่าง ๆ เพื่อเปลี่ยนให้เป็นข้อมูลเชิงลึกที่นำไปปฏิบัติได้จริง ซึ่งช่วยให้กระบวนการตอบสนองมีความคล่องตัวและรวดเร็วขึ้น AWS Security Hub มาพร้อมกับความสามารถในการจัดการสภาวะการรักษาความปลอดภัยระบบคลาวด์ (CSPM) เพื่อให้คุณทำความเข้าใจสภาวะการรักษาความปลอดภัยในปัจจุบันของคุณได้อย่างชัดเจน

เริ่มต้นใช้งานการรักษาความปลอดภัยโครงสร้างพื้นฐานในระบบคลาวด์บน AWS โดยการสร้างบัญชีวันนี้