Amazon Thử Nghiệm Hai Công Cụ Mới Giúp Bảo Vệ Đám Mây Của Mình

Dịch vụ Đám Mây của Amazon (Amazon Web Services) là nhà cung cấp đám mây lớn nhất thế giới. Do đó, mức độ an ninh của nó ảnh hưởng trực tiếp đến hàng loạt trang web và dịch vụ trực tuyến. Những lo ngại này không chỉ là lý thuyết; những sơ sót nguy hiểm xảy ra hàng ngày. Khách hàng lưu trữ mọi loại tập tin dữ liệu và thông tin gốc trong các kho AWS, sau đó trở thành một phần của cơ sở hạ tầng riêng của họ. Nếu một khách hàng mắc lỗi trong cách họ thiết lập một cái gì đó, hoặc họ không hiểu đầy đủ các ảnh hưởng của một tính năng AWS, điều đó có thể đưa họ vào tình trạng rủi ro bị truy cập trái phép và rò rỉ dữ liệu.

Những cài đặt không đúng tài khoản AWS đã làm lộ ra mọi thứ từ đăng ký cử tri, đến dữ liệu khách hàng của FedEx, thông tin bảo hiểm và thậm chí là hệ thống của tập đoàn kiểm toán và tư vấn lớn Accenture.

Hai công cụ mới có thể giúp giảm bớt vấn đề này. Được biết đến với tên gọi Zelkova và Tiros, những sản phẩm từ Nhóm Lý Do Hóa Tự Động AWS phân tích các cấu hình an ninh AWS quan trọng, đánh giá các kịch bản kiểm soát truy cập và ánh xạ các đường dẫn có thể từ một thùng chứa S3 ra internet mở. Chúng cũng cung cấp phản hồi tự động về những hậu quả thực tế của các thiết lập khác nhau, giúp quản trị viên tránh những lỗi nguy hiểm.

"Những gì chúng tôi hy vọng đạt được là có được một loại an ninh có thể chứng minh được từ hệ thống của chúng tôi," nói Greg Frascadore, kiến trúc sư an ninh tại quỹ đầu tư Bridgewater Associates, đang thử nghiệm Zelkova và Tiros, tại một hội nghị AWS ở thành phố New York vào thứ Ba. "Bằng an ninh có thể chứng minh được, tôi không có nghĩa là những gì chúng ta đạt được là an ninh không thể mắc lỗi. Thay vào đó, điều chúng tôi đang cố gắng là có một phân tích hình thức và một cách phương thức mà chúng tôi đã thực hiện để xác minh rằng các kiểm soát an ninh chúng tôi đã đặt vào đúng địa điểm đang hoạt động theo cách chúng tôi nghĩ rằng chúng đang hoạt động. Mục tiêu an ninh của chúng tôi ở đây là ngăn chặn rò rỉ dữ liệu từ AWS."

Các công cụ cung cấp một đòn hai. Tiros ánh xạ các kết nối giữa các cơ chế mạng và đặc biệt hữu ích để kiểm tra sự truy cập không mong muốn từ internet mở. Trong khi đó, Zelkova có thể tạo các tiêu chuẩn để so sánh giữa các thùng S3 khác nhau hoặc các thành phần AWS khác, giúp các nhà phát triển hiểu rõ cách mà thiết lập của họ có tính phê phán so với cơ sở hạ tầng hiện tại của họ, hoặc một thùng S3 mẫu. Zelkova cũng sử dụng logic tự động để triển khai cấu hình đến các hạn chế có thể. Cùng nhau, hai công cụ này giúp phát hiện lỗi trước khi chúng được triển khai.

"Một điều rất quan trọng về những công cụ này là bạn có thể xác minh mọi thứ trong giai đoạn thiết kế," Frascadore nói. "Một trong những điều mà chúng tôi thực sự muốn có khả năng là xác minh an ninh trước khi chúng ta thực hiện một thay đổi đối với cơ sở hạ tầng AWS thực tế, vì vậy trước khi chúng ta đặt một lỗ hổng vào tài khoản."

Frascadore và Tim Kropp, chuyên gia công nghệ và an ninh của Bridgewater, lưu ý rằng Tiros và Zelkova vẫn là các công cụ nội bộ cơ bản, với giao diện người dùng phức tạp và không thân thiện. Bridgewater đã cùng AWS thử nghiệm và đầu tư nguồn lực riêng vào việc trao đổi để truy cập các công cụ, nhưng Frascadore và Kropp đang giúp tạo sự quan tâm để đẩy AWS điều chỉnh chúng thành các sản phẩm dành cho người tiêu dùng. Một người phát ngôn của AWS cho biết công ty không thể bình luận về việc liệu họ sẽ triển khai Tiros và Zelkova rộng rãi hơn, nhưng lưu ý rằng Zelkova đã được sử dụng trong bảng điều khiển S3 để kiểm tra tự động các vấn đề như thùng có thể được truy cập công khai hay không.

Việc AWS nói về các công cụ một cách rõ ràng hơn là một dấu hiệu cho thấy tổ chức đang nghiêm túc xem xét cách triển khai chúng. Và ý tưởng phổ cập chúng liên quan đến tầm nhìn lớn hơn của Stephen Schmidt, Phó Chủ tịch An ninh Kỹ thuật và Giám đốc thông tin AWS, về việc thay đổi cơ bản cách con người và dữ liệu tương tác tại AWS. Schmidt nói với MYTOUR tuần trước rằng anh đã đặt một mục tiêu an ninh cho mỗi Phó Chủ tịch trong tổ chức là "hạn chế và giám sát một cách tận cùng quyền truy cập của con người vào dữ liệu."

Việc sử dụng "một cách tận cùng" không phải là một sự nói quá. "Con số mà tôi sử dụng là giảm 80% quyền truy cập của con người vào dữ liệu," Schmidt nói. "Phản ứng mà tôi nhận được từ mọi người là 'bạn điên rồ, điều này là không thể.' Và đó chính xác là lý do tại sao tôi chọn con số đó, vì nó là không thể đạt được nếu không có tự động hóa. Mục tiêu là hướng dẫn mọi người xây dựng công cụ cho những điều họ khác phải làm bằng tay."

Tiros và Zelkova là những loại tiện ích thích hợp cho sự đẩy mạnh này, nhưng Schmidt muốn AWS tiếp tục xây dựng các cơ chế bảo vệ khách hàng theo nhiều cách khác nhau. "Quyền truy cập của con người vào dữ liệu chỉ là một điều chúng ta cần để làm kinh doanh, ai cũng cần," Schmidt nói. Nhưng điều đó không có nghĩa là mọi quyền truy cập luôn là phù hợp. "Thường xuyên tổ chức cung cấp quyền quản trị viên quá mức vào dữ liệu vì đó là điều dễ nhất, đó là điều thuận tiện nhất. Và tôi cảm thấy rất mạnh mẽ rằng chúng ta cần phải làm những gì cứng nhắc về việc hạn chế quyền truy cập đó khi nó không hoàn toàn cần thiết. Nếu bạn giữ con người ra khỏi dữ liệu, bạn loại bỏ toàn bộ các lớp tấn công."

Quá trình này phù hợp với một sáng kiến AWS dài hạn để tự khóa mình khỏi quyền truy cập vào cơ sở hạ tầng và dữ liệu của khách hàng. Điều này làm phức tạp vấn đề cho AWS về khả năng cung cấp hỗ trợ khách hàng và quản lý độ tin cậy, nhưng Schmidt khăng khăng rằng đây là cách duy nhất để giảm rủi ro. Và anh ta muốn đẩy mạnh hơn nữa về việc giới hạn quyền truy cập. Vậy mức giảm 80% đã tiến triển như thế nào trong tổ chức cho đến nay?

"Có những đội sẽ chắc chắn đạt được mục tiêu," Schmidt nói. "Có những đội đang đạt tiến triển tốt nhưng không thể đạt được mọi thứ trong năm nay. Nói một cách có thực, đó là một yêu cầu táo bạo. Tin tốt là mọi người đều đồng lòng bây giờ, mọi người đã đầu tư. Ngay cả những người phê phán sau một thời gian cũng nhận ra rằng 'điều này thực sự là tốt cho tôi.'"

Thêm nhiều bài viết tuyệt vời khác từ MYTOUR

• Một thay đổi pháp lý quan trọng mở ra hộp Pandora cho súng DIY
• Trong thời đại của tuyệt vọng, tìm sự an ủi trên "web chậm"
• Làm thế nào để xem mọi thứ mà ứng dụng của bạn được phép làm
• Một nhà thiên văn giải thích về lỗ đen ở 5 cấp độ khó khăn
• Một ứng dụng hẹn hò dựa trên văn bản có thể thay đổi văn hóa vuốt nhẹ?
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới và xuất sắc nhất của chúng tôi