[McAfee] Khi bạn di chuyển các ứng dụng lên đám mây,  bề mặt tấn công sẽ thay đổi  trong khi các lỗ hổng ở cấp ứng dụng, cơ sở dữ liệu và cấp độ mạng vẫn tồn tại. Để giải quyết các vấn đề này, bảo vệ chu vi đám mây, ngăn chặn truy cập trái phép và bảo vệ dữ liệu là rất quan trọng.

Các bước tăng cường bảo mật Cloud

Bước đầu tiên là giảm bề mặt tấn công. Chạy quét cổng cụ thể cho một IP cá thể và khóa tất cả các cổng mở không cần thiết. Ngoài ra hãy chắc chắn để khóa meta và dữ liệu người dùng của bạn.

Hãy tìm hiểu sâu hơn một chút về việc ngăn chặn truy cập trái phép vào các máy chủ đám mây của bạn, đặc biệt là trong AWS. Sử dụng Quản lý danh tính và truy cập (IAM), bạn có thể tạo và quản lý người dùng và nhóm AWS và sử dụng quyền để cho phép và từ chối quyền truy cập của họ vào tài nguyên AWS.

Dưới đây là năm cách tốt nhất để thiết lập IAM an toàn trong AWS:

1. Không bao giờ sử dụng tài khoản root
2. Quản lý khóa truy cập.
3. Cấp quyền sử dụng vai trò IAM.
4. Cho phép xác thực đa yếu tố.
5. Thực thi một chính sách mật khẩu mạnh.

1. Không bao giờ sử dụng tài khoản root

Tài khoản root được sử dụng khi đăng ký với AWS. Nó tương tự như một tài khoản siêu người dùng và có quyền truy cập không bị cản trở vào tất cả các dịch vụ và tài nguyên AWS. Do đó, không bao giờ chia sẻ thông tin tài khoản root với bất kỳ ai khác. Thay vào đó, hãy tạo một nhóm quản trị để thêm người dùng cần có đặc quyền cấp quản trị viên cho các hoạt động hàng ngày.

2. Quản lý khóa truy cập

Để truy cập giao diện lập trình ứng dụng AWS và thực hiện yêu cầu thành công, người dùng cần hai bộ khóa. Các khóa này xác định xem các tài nguyên được yêu cầu có được phép hay không và ai đang thực hiện yêu cầu. Hơn nữa, chúng được sử dụng để ký các yêu cầu. Chúng tôi khuyên bạn không nên sử dụng các khóa truy cập cho tài khoản root.

Sử dụng tên người dùng và mật khẩu để đăng nhập vào bảng điều khiển AWS với kích hoạt xác thực đa yếu tố. Đảm bảo các khóa truy cập cho tài khoản root  bị vô hiệu hóa hoặc bị xóa . Nếu có một yêu cầu kinh doanh để sử dụng các khóa truy cập tài khoản gốc, hãy duy trì vòng xoay khóa thông thường .

Việc này phổ biến đối với các khóa mã cứng cho mã và đẩy chúng vào kho lưu trữ công khai. Bước này cho phép mọi người truy cập vào tài khoản và sinh ra nhiều phiên bản EC2 hơn. Những kẻ tấn công thường quét các kho lưu trữ công cộng như GitHub và SourceForge để đánh cắp thông tin nhạy cảm. Để tránh lộ phím, hãy làm theo các bước sau:

• Không mã hóa khóa truy cập trực tiếp vào mã. Đặt các khóa vào các vị trí cụ thể (như tệp thông tin AWS) đang được truy cập bởi bộ công cụ phát triển phần mềm AWS hoặc dòng lệnh AWS.
• Thiết lập  các biến môi trường  có thể được truy cập bởi các bộ phát triển hoặc dòng lệnh.
• Sử dụng các phím truy cập riêng cho các ứng dụng khác nhau. Điều này sẽ cô lập các quyền được sử dụng bởi một ứng dụng và có thể bị thu hồi mà không ảnh hưởng đến các ứng dụng khác trong trường hợp thỏa hiệp chính.
• Xoay khóa truy cập định kỳ, khoảng ba đến sáu tháng một lần.
• Tự động loại bỏ các khóa không được sử dụng trong 90 ngày trở lên.

3. Cấp quyền sử dụng vai trò AIM 

Các vai trò IAM  là khác với người dùng IAM và các nhóm. Người dùng và nhóm được quản lý trong cùng một tài khoản, trong khi vai trò có thể cung cấp quyền truy cập được ủy quyền cho tài nguyên. Các vai trò cung cấp kiểm soát chặt chẽ về danh tính và xoay vòng chính. Truy cập vào tài nguyên từ các ứng dụng di động phải luôn được thực hiện thông qua vai trò IAM. Bước này giúp thực hiện nguyên tắc đặc quyền tối thiểu.

4. Kích hoạt tính năng chứng thực đa hệ

Đa hệ số xác thực  (MFA) là quá trình xác minh danh tính của người dùng bằng nhiều hơn một phương pháp độc lập. AWS hỗ trợ MFA và chúng tôi thực sự khuyên bạn nên bật MFA cho tất cả các tài khoản AWS.

MFA phần cứng nên được kích hoạt cho tài khoản root, để giảm bề mặt tấn công so với MFA ảo. Nói chung, MFA dựa trên SMS hoặc ảo giới thiệu bề mặt tấn công cho bất kỳ thiết bị di động hoặc máy tính bảng nào có MFA ảo cư trú. Thực hiện theo các bước bên dưới để bật MFA cho tài khoản AWS:

1. Đăng nhập vào bảng điều khiển IAM .
2. Chọn Kích hoạt MFA trên tài khoản trong Bảng điều khiển> Trạng thái bảo mật.
3. Nhấp vào nút Quản lý MFA và chọn MFA ảo hoặc MFA phần cứng (như được hiển thị trong hình ảnh sau) khi xác minh các ứng dụng tương thích AWS MFA.
4. Tiếp tục bước tiếp theo để kích hoạt thiết bị MFA được chọn ở bước trước.

 

5. Thực thi chính sách mật khẩu mạnh

Tài khoản người dùng IAM nên thực thi chính sách mật khẩu mạnh tương tự như các ứng dụng truyền thống. Chính sách mật khẩu phải bao gồm các thông tin sau, từ điểm chuẩn CIS AWS :

• Độ dài mật khẩu tối thiểu 14 ký tự.
• Mật khẩu sẽ hết hạn trong vòng 90 ngày.
• Mật khẩu phải chứa ít nhất một chữ cái viết hoa, một chữ cái viết thường, một số và một ký tự đặc biệt.
• Số lượng mật khẩu cần nhớ phải được đặt để hạn chế sử dụng lại mật khẩu.

Đồng thời cấu hình các câu hỏi thách thức cho tài khoản AWS. Điều này rất hữu ích cho mục đích nhận dạng khi liên hệ với dịch vụ khách hàng. Để định cấu hình các câu hỏi bảo mật, hãy làm theo các bước sau khi đăng nhập:

Tên tài khoản (ngoài cùng bên phải)> Tài khoản của tôi> Cấu hình câu hỏi thách thức bảo mật

Báo cáo uy tín

Các báo cáo ủy nhiệm cung cấp một ảnh chụp nhanh của tất cả các chi tiết tài khoản của người sử dụng, chẳng hạn như tên tài nguyên Amazon, chiếm cuối cùng đã qua sử dụng, mật khẩu thay đổi cuối cùng, ngày luân phiên tiếp theo, vv…Những báo cáo này rất hữu ích cho mục đích kiểm tra và tuân thủ. Điều này cũng hữu ích để xóa các tài khoản không sử dụng.

Bằng cách thực hiện một vài biện pháp bảo vệ, chẳng hạn như không bao giờ chia sẻ khóa hoặc thông tin đăng nhập, thực hiện các vai trò truy cập ít đặc quyền nhất và thực thi MFA, bạn sẽ giúp truy cập an toàn vào dữ liệu của mình trên đám mây.

Xem thêm:

• Tổng quan McAfee – Công ty bảo mật độc lập lớn thứ 2 thế giới
• Tư vấn mua McAfee Complete Endpoint Threat Protect bản quyền thuê bao/Vĩnh viễn