Bảo mật cơ sở hạ tầng đám mây là gì?

Bảo mật cơ sở hạ tầng đám mây đề cập đến các công nghệ, biện pháp kiểm soát và chính sách được thiết kế để tăng cường tình trạng bảo mật của cơ sở hạ tầng đám mây cơ bản. Bảo mật cơ sở hạ tầng đám mây mạnh mẽ giúp bảo vệ chống lại các mối đe dọa như sự kiện DDoS, mất dữ liệu và cấu hình sai có thể dẫn đến các sự kiện bảo mật ngoài dự kiến. Bảo mật cơ sở hạ tầng đám mây là một thành phần cốt lõi của bảo mật đám mây.

Mô hình trách nhiệm chung là một hệ thống xác định người chịu trách nhiệm về các biện pháp an ninh mạng cụ thể giữa nhà cung cấp dịch vụ đám mây và bạn. Trách nhiệm có thể thuộc về bạn, nhà cung cấp dịch vụ đám mây hoặc là trách nhiệm chung giữa cả hai bên.

Dưới đây là trách nhiệm chính của mỗi bên trong mô hình trách nhiệm chung.

Trách nhiệm của nhà cung cấp dịch vụ đám mây

Nhà cung cấp dịch vụ đám mây chịu trách nhiệm bảo vệ cơ sở hạ tầng vật lý chạy các dịch vụ đám mây của họ. Phần cứng, phần mềm, kết nối mạng và bất kỳ cơ sở nào gắn liền với dịch vụ là trách nhiệm của nhà cung cấp dịch vụ đám mây.

Trách nhiệm của bạn

Trách nhiệm của bạn trong mô hình trách nhiệm chung được xác định bởi các dịch vụ đám mây mà bạn chọn. Kết hợp lại, các dịch vụ này xác định lượng công việc cấu hình bạn phải thực hiện như một phần trong trách nhiệm bảo mật của bạn. Bạn chịu trách nhiệm về các tác vụ như quản lý dữ liệu của mình, bao gồm các tùy chọn mã hóa, phân loại tài sản của bạn và sử dụng các công cụ Quản lý danh tính truy cập (IAM) để áp dụng các quyền thích hợp.

Trách nhiệm chung

Một số biện pháp kiểm soát áp dụng cho cả lớp cơ sở hạ tầng và lớp khách hàng, nhưng trong bối cảnh hoặc góc nhìn riêng biệt. Khi trách nhiệm được chia sẻ, nhà cung cấp dịch vụ đám mây áp dụng các yêu cầu cho cơ sở hạ tầng và khách hàng triển khai các biện pháp kiểm soát trong phạm vi sử dụng dịch vụ đám mây của họ. Ví dụ về điều này bao gồm quản lý cấu hình, nhận thức và đào tạo.

Cơ sở hạ tầng đám mây làm nền tảng cho tất cả các dịch vụ đám mây, vì vậy tình hình bảo mật của cơ sở hạ tầng đám mây rất quan trọng đối với tất cả khối lượng công việc trong đám mây.

Dưới đây là một số lý do bảo mật cơ sở hạ tầng đám mây rất quan trọng đối với các doanh nghiệp.

Giúp ngăn chặn truy cập trái phép trong môi trường đám mây

Các tác nhân đe dọa nhắm vào môi trường đám mây do khối lượng dữ liệu khổng lồ chứa trong đó. Tình trạng cấu hình sai, biện pháp kiểm soát yếu hoặc lỗ hổng bảo mật cơ bản trong cơ sở hạ tầng đám mây có thể tạo ra điểm truy cập cho các nhóm bên thứ ba trái phép. Các biện pháp bảo mật cơ sở hạ tầng đám mây nên xác định và kiểm soát các điểm truy cập này, giúp đảm bảo an toàn cho dữ liệu của công ty bạn và thúc đẩy tính bảo mật dữ liệu.

Giảm tình trạng gián đoạn đối với hoạt động kinh doanh liên tục

Các mối đe dọa mạng cụ thể, chẳng hạn như các sự kiện Từ chối dịch vụ phân tán (DDoS), nhằm mục đích giảm khả năng tổ chức hoạt động như mong đợi. Các biện pháp bảo mật cơ sở hạ tầng đám mây, chẳng hạn như phân đoạn mạng, giúp chủ động bảo vệ chống lại các mối đe dọa bên trong và bên ngoài và giúp hoạt động kinh doanh của bạn duy trì thời gian hoạt động bền vững.

Duy trì lòng tin

Khi một tổ chức dính líu đến một sự kiện an ninh mạng, đặc biệt là một sự kiện liên quan đến dữ liệu khách hàng được lưu trữ trên đám mây, việc này có thể dẫn đến thiệt hại danh tiếng. Bảo mật cơ sở hạ tầng đám mây bảo vệ tốt hơn các dịch vụ ảo hóa chạy trên đám mây, giúp đảm bảo duy trì sự riêng tư cho dữ liệu nhạy cảm của công ty.

Các giải pháp bảo mật cơ sở hạ tầng đám mây thường hoạt động trên đám mây.

Dưới đây là các thành phần chính của bảo mật cơ sở hạ tầng đám mây.

Quản lý danh tính và truy cập

Các tổ chức lưu trữ dữ liệu và thông tin nhạy cảm trên đám mây và giúp đảm bảo rằng người dùng được ủy quyền có thể truy cập các tài nguyên đám mây này. Quản lý danh tính và truy cập (IAM) xác định vai trò người dùng nào có thể tương tác với hoặc định vị dữ liệu. Bên cạnh các hệ thống cấp quyền, IAM có thể xác minh quyền sở hữu tài khoản đám mây bằng biện pháp xác thực nhiều yếu tố, giúp ngăn chặn người dùng trái phép.

Tạo bản ghi và đo từ xa

Các dịch vụ tạo bản ghi và đo từ xa nhằm mục đích ghi lại các hành động và sự kiện cụ thể trong một hệ thống đám mây. Bằng cách tạo bản ghi các sự kiện truy cập một cách cẩn thận, quá trình di chuyển thông tin và các hành động an ninh mạng vào bản ghi, các tổ chức đạt được khả năng hiển thị sâu hơn về cơ sở hạ tầng đám mây của họ. Dữ liệu vận hành được đo đạc từ xa do các hệ thống quan trọng phát ra có thể tạo ra dấu vết thông tin, thường được sử dụng trong kiểm tra.

Phân tích

Các giải pháp phân tích có thể sử dụng dữ liệu vận hành được đo đạc từ xa và dữ liệu bản ghi hiện có để xác định các điểm không nhất quán, điểm bất thường hoặc các sự kiện ngoài dự kiến cần điều tra thêm. Các hệ thống phân tích như Quản lý sự kiện và thông tin bảo mật (SIEM) tổng hợp các điểm dữ liệu để cảnh báo và theo dõi các sự kiện bảo mật tiềm ẩn và giúp đảm bảo rằng các hệ thống giám sát bảo mật cơ sở hạ tầng đám mây đang hoạt động như mong đợi.

Bảo mật mạng và thiết bị

Nhân viên truy cập môi trường đám mây của bạn và tài nguyên đám mây được lưu trữ trong đó từ nhiều vị trí và thiết bị khác nhau. Để củng cố bề mặt rộng mở này trước các mối đe dọa tiềm ẩn, bạn có thể triển khai một loạt các giải pháp. Các giải pháp này bao gồm bảo mật mạng và thiết bị để kiểm soát lưu lượng truy cập đến và đi, lọc lưu lượng truy cập độc hại và cách ly khối lượng công việc để giúp đảm bảo rằng các mạng được phân chia.

Mã hóa dữ liệu

Bảo mật dữ liệu là quá trình chung để đảm bảo rằng tất cả dữ liệu, cả dữ liệu trong quá trình truyền và ở trạng thái nghỉ, đều được bảo vệ trước tình trạng truy cập trái phép. Bảo mật cơ sở hạ tầng đám mây có thể sử dụng các chính sách phân loại dữ liệu để gắn thẻ dữ liệu dựa trên độ nhạy cảm và áp dụng các phương pháp bảo mật khác nhau để bảo vệ dữ liệu. Bạn có thể mã hóa dữ liệu cả ở trạng thái nghỉ và dữ liệu đang trong quá trình truyền để đảm bảo rằng chỉ các bên được ủy quyền mới có thể truy cập dữ liệu nhạy cảm. Bảo mật dữ liệu cũng liên quan đến việc phát triển và triển khai các chiến lược ngăn ngừa mất dữ liệu để tăng cường bảo mật thông tin.

Dưới đây là một số phương pháp tốt nhất để nâng cao chiến lược bảo mật đám mây của bạn và giúp bảo vệ cơ sở hạ tầng điện toán đám mây cơ bản của bạn.

Tạo lớp mạng

Tạo các lớp mạng liên quan đến việc tổ chức các thành phần khối lượng công việc của bạn thành các nhóm logic dựa trên chức năng và độ nhạy cảm, chẳng hạn như máy chủ web kết nối với Internet hoặc cơ sở dữ liệu backend. Bằng cách đặt các thành phần này vào các mạng con riêng biệt, bạn giúp thiết lập ranh giới rõ ràng và tạo cơ hội để giúp kiểm soát cách lưu lượng lưu trữ di chuyển giữa các mạng con đó.

Cách tiếp cận phân lớp này hỗ trợ chiến lược phòng thủ chuyên sâu, trong đó mỗi lớp hoạt động như một điểm kiểm tra bảo mật. Ví dụ: Chỉ các tài nguyên ở lớp ngoài cùng mới được kết nối với Internet, trong khi các hệ thống nhạy cảm hơn, chẳng hạn như cơ sở dữ liệu, vẫn bị cô lập và chỉ có thể truy cập thông qua các mạng nội bộ.

Các đám mây riêng ảo và cơ sở hạ tầng đám mây riêng tư giúp tạo ra các mạng và cơ sở hạ tầng bị cô lập logic trong đám mây. Việc tạo các chính sách bảo mật nhất quán để xác định mạng đám mây và cách sử dụng sẽ giúp thúc đẩy môi trường đám mây bảo mật.

Kiểm soát lưu lượng truy cập

Kiểm soát lưu lượng truy cập có thể liên quan đến việc phân đoạn môi trường của bạn để chỉ cho phép giao tiếp cần thiết giữa khối lượng công việc, người dùng và các hệ thống bên ngoài. Biện pháp kiểm soát lưu lượng truy cập này bao gồm quản lý cả lưu lượng truy cập giữa mạng của bạn và Internet (lưu lượng bắc–nam) và lưu lượng truy cập trong mạng của bạn (lưu lượng đông–tây).

Một sai lầm phổ biến là chỉ phụ thuộc vào biện pháp phòng thủ vành đai hoặc giả định sự tin tưởng trong các lớp mạng. Thay vào đó, các phương pháp tốt nhất nhấn mạnh cách tiếp cận đặc quyền tối thiểu, trong đó bạn cấp quyền truy cập trên cơ sở điểm nối điểm, giữa người dùng và tài sản đám mây, bao gồm cả máy chủ đám mây. Việc kiểm soát cả lưu lượng truy cập đến và đi theo cách này giúp hạn chế tác động của hoạt động truy cập trái phép và cải thiện thời gian phát hiện và phản hồi trong các sự kiện bảo mật.

Triển khai biện pháp bảo vệ dựa trên kiểm tra

Việc triển khai biện pháp bảo vệ dựa trên kiểm tra có nghĩa là kiểm tra lưu lượng truy cập khi lưu lượng di chuyển giữa các lớp mạng ở cấp độ chi tiết. Ví dụ: Phân tích nội dung thực tế, siêu dữ liệu và hành vi của dữ liệu đang được truyền. Biện pháp bảo vệ dựa trên kiểm tra cho phép bạn phát hiện các điểm bất thường hoặc hoạt động truy cập trái phép dựa trên thông tin tình báo về mối đe dọa theo thời gian thực. Bạn có thể tạo quy tắc dựa trên ngữ cảnh ứng dụng, danh tính người dùng hoặc các mối đe dọa đã biết và nghiêm ngặt hơn khi gần khối lượng công việc nhạy cảm.

Tự động hóa bảo vệ mạng

Tự động hóa bảo vệ mạng bằng cách sử dụng các phương pháp DevOps như cơ sở hạ tầng dưới dạng mã (IaC) và quy trình CI/CD giúp các tổ chức triển khai các cấu hình mạng bảo mật hơn, nhất quán và có thể lặp lại. Trong trường hợp có sự thay đổi, các quy trình tự động bắt đầu quy trình kiểm thử và triển khai. Các thay đổi trước tiên được triển khai vào môi trường dàn dựng để xác thực, trong đó bạn có thể kiểm tra xem các thay đổi đó có hoạt động như dự định hay không trước khi đưa vào hoạt động.

Khung AWS Well-Architected

Khung AWS Well-Architected cung cấp một tập hợp các phương pháp tốt nhất và phương pháp thực hành thiết kế bảo mật đám mây để giúp bảo vệ khối lượng công việc AWS. Trụ cột bảo mật của khung này cung cấp hướng dẫn theo quy định về cách bảo vệ hệ thống, dữ liệu và thông tin của bạn tốt hơn bằng biện pháp bảo mật đám mây mạnh mẽ, nhiều lớp và các biện pháp bảo vệ chủ động.

Bằng cách xem xét các nguyên tắc Well-Architected thường xuyên, các tổ chức có thể cải thiện tình trạng bảo mật đám mây của họ, giúp đảm bảo rằng các chiến lược bảo mật cơ sở hạ tầng đám mây của họ vẫn hiệu quả.

Bảo mật đám mây là ưu tiên hàng đầu tại AWS và thiết kế cơ sở hạ tầng toàn cầu của chúng tôi hỗ trợ hoạt động liên tục. Chúng tôi duy trì lòng tin với khách hàng và đối tác bằng cách cung cấp các công cụ và dịch vụ cần thiết để giúp bảo vệ các ứng dụng, dữ liệu và khối lượng công việc trên quy mô lớn. Cơ sở hạ tầng AWS trải dài trên nhiều khu vực địa lý và vùng sẵn sàng, mỗi khu vực/vùng đều được thiết kế với các lớp biện pháp kiểm soát vật lý và logic. Các biện pháp bảo vệ này nhận được thông tin thông qua hoạt động lập mô hình mối đe dọa liên tục và kiểm thử nghiêm ngặt trong suốt vòng đời.

AWS cung cấp một loạt các dịch vụ bảo mật cơ sở hạ tầng đám mây để giúp bảo mật cơ sở hạ tầng tổ chức của bạn trên AWS.

• Amazon GuardDuty giúp bảo vệ tài khoản, khối lượng công việc và dữ liệu của người dùng AWS của bạn với dịch vụ phát hiện mối đe dọa thông minh.
• Quản lý danh tính và truy cập (IAM) trong AWS quản lý và điều chỉnh quy mô khối lượng công việc cũng như quyền truy cập của lực lượng lao động một cách bảo mật, hỗ trợ khả năng linh hoạt và đổi mới của bạn trong AWS.
• Amazon Inspector tự động phát hiện các khối lượng công việc, chẳng hạn như các phiên bản Amazon Elastic Compute Cloud (Amazon EC2), hình ảnh bộ chứa và các hàm AWS Lambda cũng như kho lưu trữ mã, đồng thời quét các nội dung để tìm các lỗ hổng bảo mật phần mềm và tình trạng tiếp cận mạng ngoài ý muốn.
• Amazon Macie phát hiện dữ liệu nhạy cảm bằng cách sử dụng máy học và so khớp mẫu, cung cấp khả năng hiển thị các rủi ro về bảo mật dữ liệu và giúp tự động hóa việc bảo vệ trước những rủi ro đó.
• AWS Security Hub ưu tiên các vấn đề bảo mật quan trọng và giúp bạn ứng phó trên quy mô lớn để bảo vệ môi trường của mình. AWS Security Hub phát hiện các vấn đề quan trọng bằng cách đối chiếu và làm phong phú các tín hiệu thành những thông tin chuyên sâu hữu ích, cho phép phản hồi hợp lý. AWS Security Hub bao gồm tính năng quản lý tình trạng bảo mật trên đám mây (CSPM) để hiểu tình trạng bảo mật hiện tại của bạn.

Bắt đầu sử dụng khả năng bảo mật cơ sở hạ tầng đám mây trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.