Cho dù người dùng muốn sử dụng AWS với một số việc hay mọi hoạt động của doanh nghiệp, thì cũng cần bảo vệ quyền truy cập vào AWS, nhằm đảm bảo rằng hoạt động của tổ chức có thể tiến hành tốt. Dưới đây là một số mẹo quan trọng giúp bảo mật AWS.
Sử dụng xác thực đa yếu tố
Khi thiết lập cài đặt bảo mật AWS hoặc thêm người dùng mới, cần triển khai biện pháp xác thực đa yếu tố (MFA). MFA dựa vào nhiều yếu tố đăng nhập để cấp cho người dùng quyền truy cập vào tài khoản của mình.
Ví dụ, khi người dùng đăng nhập vào tài khoản của họ, chương trình hoặc ứng dụng có thể gửi mã đến điện thoại di động. Sau đó, người dùng phải xác minh và nhập mã để truy cập tài khoản.
MFA là một biện pháp hữu hiệu để bảo vệ dữ liệu của người dùng nếu có kẻ biết được tên người dùng và mật khẩu. Bằng cách này, người dùng vẫn có thể có một lớp bảo vệ chống lại tin tặc.
Tạo mật khẩu mạnh
Ngay cả với MFA, người dùng cũng nên sử dụng mật khẩu mạnh, độc nhất cho mình và tất cả những người dùng AWS khác trong tổ chức. Cần đảm bảo mật khẩu dài và chứa nhiều ký tự khác nhau.
Tổ chức cũng có thể yêu cầu người dùng thay đổi mật khẩu của họ vài tháng một lần để ngăn chặn tin tặc xâm nhập. Nếu tin tặc phát hiện ra mật khẩu, người dùng có thể chắc rằng chúng sẽ không có quyền truy cập vào AWS lâu dài.
Mật khẩu của người dùng cũng phải chưa được sử dụng ở nơi khác. Mặc dù việc sử dụng lại mật khẩu sẽ tiện cho người dùng, nhưng điều này sẽ khiến tin tặc có nhiều cơ hội xâm nhập tài khoản AWS.
Kiểm thử để phát hiện lỗ hổng bảo mật
Tiếp theo, tổ chức nên kiểm thử để phát hiện các lỗ hổng trong cài đặt bảo mật đám mây. Sẽ là tốt nhất nếu tổ chức phân tích cơ sở hạ tầng bảo mật để xác định các lỗ hổng bảo mật đã tồn tại, sau đó có thể ưu tiên vá các lỗ hổng đó.
Tổ chức cũng có thể quét hệ thống mạng để tìm các lỗ hổng. Trước tiên, cần đưa ra yêu cầu kiểm tra để tìm kiếm lỗ hổng (kiểm thử xâm nhập), nhằm vẫn có thể duy trì kết nối trong khi chạy kiểm tra.
Nếu không đưa ra yêu cầu kiểm tra, tổ chức vẫn có thể thực hiện kiểm tra, nhưng kết nối của người dùng có thể không được duy trì trong suốt quá trình đó.
Sử dụng công cụ để tấn công mô phỏng
Tổ chức có thể làm việc với nhà cung cấp bên thứ ba như Foreseeti (công ty cung cấp các giải pháp mô phỏng tấn công và mô hình hóa mối đe dọa mạng tự động, trụ sở tại Stockholm, Thụy Điển) và sử dụng công cụ SecuriCAD Vanguard để mô phỏng hàng nghìn cuộc tấn công của trí tuệ nhân tạo (AI) một cách tự động mà không cần tương tác với môi trường thực tế, vì nó thực hiện tất cả các mô phỏng trên một bản sao kỹ thuật số.
Mô phỏng tấn công và mô hình hóa mối đe dọa tự động của securiCAD cho phép tổ chức tự động xây dựng, trực quan hóa và mô phỏng các cuộc tấn công trên mô hình ảo của môi trường AWS.
Sau khi securiCAD hoàn thành các cuộc tấn công, nó bắt đầu định lượng và ưu tiên các rủi ro. SecuriCAD phân tích những lỗ hổng nào là quan trọng nhất cần giải quyết và trình bày cụ thể những hành động có thể thực hiện.
Từ kết quả trên, tổ chức có thể học được cách ưu tiên các nguồn lực của mình. Ví dụ như MFA nên được thực hiện ở đâu, những hệ thống nào cần được vá lỗi trước, những quyền nào nên được giảm bớt, thực thi mã hóa ở đâu…
Giảm thiểu quyền xử lý và quyền truy cập
Giải pháp khác để cải thiện bảo mật AWS là giảm thiểu quyền xử lý và quyền truy cập dữ liệu. Cần xem xét người dùng nào trong tổ chức được truy cập AWS hoặc một phần cụ thể của AWS. Sau đó, có thể cấp quyền truy cập cho những người cần nó, nhưng cần xác định những quyền hạn có thể làm. Tổ chức vẫn có thể cho phép người dùng thực hiện nhiệm vụ của họ trong giới hạn cho phép, từ đó có thể giảm thiểu cơ hội xâm nhập của tin tặc.
Ví dụ, nếu chỉ có mười người có quyền truy cập vào AWS thay vì 100, thì việc tin tặc đoán tên người dùng và mật khẩu có thể khó hơn nhiều.
Mã hóa dữ liệu
Mã hóa dữ liệu có thể giúp người dùng bảo vệ dữ liệu khỏi tin tặc, ngay cả khi chúng xâm nhập vào tài khoản. Khi người dùng sử dụng mã hóa, họ có thể tạo khóa cần thiết để đọc dữ liệu. Nếu không có khóa, người dùng sẽ không thể đọc dữ liệu, cho dù đó là dữ liệu tài chính hay thông tin khác. Mã hóa là điều cần thiết cho bảo mật đám mây vì có thể giúp người dùng bảo vệ dữ liệu quan trọng.
Trước khi mã hóa tất cả dữ liệu, tổ chức có thể phân loại dữ liệu để xác định xem người dùng có cần sử dụng mã hóa hay không. Sau đó, người dùng vẫn có thể truy cập một số dữ liệu mà không cần khóa và chọn bảo vệ thông tin quan trọng hơn.
Áp dụng đám mây riêng ảo
Người dùng cũng có thể bảo mật môi trường AWS của mình bằng đám mây riêng ảo (VPC) hoặc thậm chí là mạng riêng ảo (VPN). VPC hoặc VPN có thể giúp cô lập mạng của người dùng nhằm giữ quyền truy cập AWS khỏi phần còn lại của tổ chức.
Nếu các bộ phận khác bị ảnh hưởng bởi tấn công hoặc vi phạm dữ liệu, người dùng vẫn có thể giữ cho dữ liệu AWS an toàn. Việc sử dụng VPC không qua Internet, vì vậy người dùng có thể được bảo vệ khỏi tin tặc được tốt hơn.
Cập nhật thường xuyên
Một mẹo quan trọng khác để bảo mật AWS là cập nhật các bản vá bảo mật thường xuyên. Tổ chức có thể kiểm tra các bản vá để đảm bảo rằng chúng đang bảo vệ tài khoản của người dùng khỏi các lỗ hổng tồn tại.
Khi cập nhật, người dùng cũng có thể đảm bảo rằng các cài đặt được cập nhật theo những gì được đề xuất để bảo mật AWS. Bằng cách đó, tổ chức có thể đảm bảo rằng tài khoản của người dùng được an toàn nhất có thể.
Sao lưu dữ liệu
Trước và sau khi áp dụng các bản cập nhật lớn, người dùng cũng nên sao lưu dữ liệu vào AWS. Sau đó, có thể tải xuống bản sao lưu để có thể khôi phục tài khoản của mình trong trường hợp xảy ra vi phạm dữ liệu, thảm họa thiên nhiên hoặc hỏng các cơ sở dữ liệu khác.
Cần đảm bảo người dùng sao lưu dữ liệu của họ và lưu trữ bản sao trên đám mây hoặc trên ổ cứng mà họ có thể truy cập. Nếu có điều gì đó xảy ra với tài khoản AWS của người dùng, họ có thể nhanh chóng tải lên bản sao lưu để hoạt động trở lại.
Xác minh thông tin liên hệ
Người dùng cũng nên đảm bảo rằng họ đã đưa cho AWS địa chỉ email để liên hệ trong trường hợp có bất kỳ sự cố nào. Cần kiểm tra địa chỉ email này thường xuyên để có thể nhanh chóng biết được bất kỳ vấn đề nào xảy ra.
Tất nhiên, người dùng nên sử dụng mật khẩu mạnh cho địa chỉ email. Người dùng cũng có thể thiết lập một liên lạc thay thế khác trong trường hợp không ở nơi làm việc, để người khác có thể biết được thông báo.
Xem lại các mẹo bảo mật AWS
Cho dù người dùng là một nhóm nhỏ hay một công ty lớn, thì cũng cần xem lại các mẹo bảo mật AWS. Bằng cách này, người dùng có thể giảm thiểu rủi ro dữ liệu khi sử dụng AWS.
Đỗ Đoàn Kết
(Theo The Hacker News)
08:00 | 19/03/2021
18:00 | 22/09/2023
10:00 | 22/02/2021
10:00 | 13/01/2021
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
