Bảo vệ AWS Workloads với phân đoạn toàn diện - Đơn giản hơn, bảo mật hơn

Lợi ích của việc sử dụng tài nguyên nền tảng như dịch vụ (PaaS) trên Amazon Web Services (AWS) và di chuyển khối lượng công việc quan trọng lên đám mây là rõ ràng: giảm chi phí và công sức bảo trì hạ tầng, cải thiện khả năng mở rộng và đàn hồi với tài nguyên gần như vô hạn, đồng thời tận dụng các công nghệ tiên tiến như học máy và trí tuệ nhân tạo để nâng cao hiệu suất và phân tích. Tuy nhiên, lo ngại về bảo mật đang khiến nhiều doanh nghiệp chần chừ, đặc biệt khi tài nguyên đám mây là một trong những mục tiêu hàng đầu của các cuộc tấn công mạng.

Thách thức về bảo mật trên AWS

Khi bước vào một môi trường hoàn toàn mới, việc phải xem xét lại bảo mật từ đầu là điều không bất ngờ. Bạn có thể là người mới hoàn toàn với đám mây, đang di chuyển từ nhà cung cấp khác, lựa chọn giải pháp kết hợp mới, hoặc thêm AWS vào hệ sinh thái hiện tại của mình. Trong mọi trường hợp, đám mây đòi hỏi một bộ công cụ chuyên biệt để xử lý các thách thức đặc thù mà hạ tầng này mang lại. Một số yếu tố là điểm chung của tất cả các nhà cung cấp đám mây, trong khi một số khác lại đặc trưng cho Microsoft Azure, Google Cloud Platform, hoặc AWS. Dưới đây là những mối quan tâm hàng đầu của các doanh nghiệp sử dụng đám mây hoặc đám mây lai tích hợp công nghệ AWS.

Hiểu rõ trách nhiệm chia sẻ: Khi bạn chuyển khối lượng công việc sang AWS hoặc sử dụng các tài nguyên PaaS tích hợp sẵn, cần nhận thức rằng bạn vẫn giữ nhiều trách nhiệm quan trọng. Bạn phải bảo vệ dữ liệu khách hàng, ứng dụng và nền tảng. Việc thiếu hiểu biết về mô hình trách nhiệm chia sẻ là lý do Gartner dự đoán rằng 99% các sự cố bảo mật đám mây sẽ do lỗi của khách hàng đến năm 2025.

Thiếu khả năng hiển thị: Bạn không thể kiểm soát những gì bạn không thể nhìn thấy. Trên đám mây, khả năng hiển thị trở nên phức tạp hơn nhiều, đặc biệt khi cần bảo vệ và hình dung lưu lượng mạng di chuyển theo cả chiều đông-tây và bắc-nam. Chỉ quan sát luồng dữ liệu là không đủ. Các tài sản quan trọng của bạn có thể được phân tán trên nhiều tài khoản AWS, container, hoặc nhóm bảo mật mạng — và nếu không đặt tất cả trong ngữ cảnh, bạn sẽ khó có thể hiểu chính xác về các luồng dữ liệu và mối quan hệ phụ thuộc.

Khả năng kiểm soát hạn chế trong việc xây dựng chính sách: Nếu doanh nghiệp của bạn quen với việc có khả năng quan sát ở Layer 7 trong môi trường on-premises, chắc chắn bạn sẽ không muốn lùi bước chỉ còn quan sát ở Layer 4, mất đi khả năng kiểm soát chi tiết khi chuyển khối lượng công việc lên đám mây. Amazon Security Groups hỗ trợ kiểm soát lưu lượng ở Layer 4 Tuy nhiên, với khả năng quan sát và kiểm soát ở Layer 7, bất kể hạ tầng bên dưới, bạn có thể làm được nhiều hơn là chỉ dựa vào cổng và IP, vốn không đủ hiệu quả cho việc phát hiện vi phạm hoặc khắc phục sự cố.

Bảo mật container: AWS sử dụng Amazon Security Groups để áp dụng chính sách bảo mật cho container, nhưng điều này chỉ giới hạn ở cấp cụm (clusters) thay vì từng pod riêng lẻ. Để có cái nhìn đầy đủ về các luồng giao tiếp, bạn cần một giải pháp có thể nhận diện ngữ cảnh của mạng phủ (overlay network) đang chạy bên trên và cung cấp khả năng phân tích chi tiết đến cấp độ pod. Điều này trở nên phức tạp hơn khi bạn muốn tạo các chính sách mạng bao gồm cả máy ảo (VMs) và container, dẫn đến việc các tổ chức thường phải quản lý hai bộ kiểm soát bảo mật riêng biệt.

Áp dụng PaaS: Hiện nay, việc sử dụng các tài nguyên PaaS cùng với việc di chuyển khối lượng công việc quan trọng lên đám mây đang trở thành xu hướng nổi bật, phản ánh nhu cầu ngày càng tăng của các tổ chức tập trung vào đám mây. Tuy nhiên, các tài nguyên PaaS không hỗ trợ tác nhân (agent), do đó hầu hết các giải pháp bảo mật dựa trên tác nhân đều bị hạn chế và không thể bảo vệ toàn diện cho các tài nguyên PaaS. Điều này có thể dẫn đến chính sách bảo mật đám mây bị phân mảnh, gia tăng khối lượng công việc cho đội ngũ của bạn và có khả năng để lộ những lỗ hổng mà kẻ tấn công có thể khai thác.

Giải quyết những vấn đề này với nền tảng bảo mật tích hợp tất cả trong một

Amazon cung cấp một số công cụ tích hợp sẵn, chẳng hạn như Amazon Security Groups, để đối phó với những thách thức khi di chuyển hạ tầng lên đám mây. Chúng tôi khuyến khích các tổ chức tận dụng tối đa quản lý danh tính và truy cập (IAM) của AWS bằng cách sử dụng nhóm để gán quyền, xoay vòng thông tin xác thực thường xuyên, và sử dụng nhóm IAM để đơn giản hóa. Tuy nhiên, các công cụ này chỉ là điểm khởi đầu trong môi trường đám mây công cộng năng động hiện nay, đặc biệt khi bạn xem xét một môi trường lai bao gồm cả hạ tầng kế thừa, công nghệ container, và các tài nguyên PaaS đang được triển khai trên nhiều môi trường đám mây công cộng khác nhau.

Một giải pháp bảo mật tiên tiến sẽ giúp bạn bổ sung những gì AWS cung cấp bằng một công nghệ có khả năng loại bỏ các điểm mù và hoạt động liền mạch với toàn bộ hệ thống bảo mật của bạn, ngay cả trong môi trường lai. Dưới đây là những gì Akamai mang đến.

Khả năng hiển thị toàn diện các instance trên AWS

Khi hạ tầng CNTT của bạn trở nên phức tạp hơn, việc có khả năng quan sát tự động và chi tiết là rất quan trọng. Nếu thêm, xóa, hoặc thay đổi thủ công, bạn dễ gặp lỗi và thiếu sót, làm chậm tiến độ và cản trở việc chuyển sang đám mây. Ngược lại, khả năng quan sát tự động sẽ giúp phát hiện tất cả ứng dụng và luồng dữ liệu, cho phép bạn theo dõi từng instance, thậm chí đến từng quy trình cụ thể.

Akamai Guardicore Segmentation, sản phẩm cốt lõi của nền tảng Akamai Guardicore cho Zero Trust, bao gồm một API mạnh mẽ của AWS để thu thập dữ liệu phối hợp, cùng với một thành phần chuyên biệt để thu thập thông tin về tài sản, luồng dữ liệu và thẻ, mang đến cho bạn bối cảnh giá trị mà bạn có thể sử dụng để gán nhãn và lập bản đồ ứng dụng. Khi bạn thiết lập cơ sở hạ tầng, bạn sẽ có đầy đủ chi tiết để hiểu rõ cách các ứng dụng của mình giao tiếp với nhau, các mối quan hệ phụ thuộc ở đâu và cách tạo chính sách để đảm bảo tính linh hoạt và nhanh nhạy. Thay vì sử dụng một giải pháp bảo mật riêng cho từng nhà cung cấp đám mây hoặc môi trường, người dùng có thể xem thông tin gốc của đám mây và dữ liệu đặc thù của AWS ngay trên cùng một bảng điều khiển. Giải pháp của chúng tôi hoạt động trên nhiều nền tảng, hạ tầng và đám mây, đảm bảo bạn không có bất kỳ điểm mù nào.

Phân đoạn và thực thi — một chính sách theo sát khối lượng công việc

Khi bạn có cái nhìn tổng quan về tất cả các môi trường, bạn có thể bắt đầu thiết kế và áp dụng chính sách bảo mật. Chính sách nhận diện ứng dụng sẽ cung cấp độ chi tiết cao hơn so với Amazon Security Groups, cho phép bạn kiểm soát ở Layer 7, thay vì Layer 4. Mặc dù một số tổ chức cố gắng dùng tường lửa thế hệ mới tại chỗ để hạn chế di chuyển ngang của lưu lượng mạng, nhưng cách này chỉ có thể phân đoạn thô và không đủ chi tiết. Nó cũng rất khó thực hiện vì cần thay đổi hạ tầng và mạng lớn để chuyển lưu lượng qua tường lửa. Dù có thể dùng tại chỗ, vấn đề vẫn là làm sao duy trì được mức độ kiểm soát này khi chuyển sang đám mây.

Microsegmentation ở lớp 7 là giải pháp, với chính sách được xây dựng cho các khối lượng công việc động, mà không cần thay đổi hạ tầng mạng cơ bản. Khi chính sách theo sát khối lượng công việc, chúng tôi đã loại bỏ nhu cầu thay đổi thủ công và nâng cao khả năng của tổ chức bạn trong việc áp dụng tính linh hoạt và các quy trình DevOps nhanh chóng. Một chính sách microsegmentation có thể đơn giản hóa môi trường lai bằng cách thực thi các quy tắc trên các khu vực, VPC, container, máy ảo (VM), và tại chỗ, tất cả đều với một chính sách đồng nhất. Bắt đầu từ khả năng quan sát mà chúng tôi cung cấp, bạn có thể định nghĩa và áp dụng các chính sách phân đoạn chỉ trong vài phút. Quy trình tạo chính sách của bạn cũng được cải thiện nhờ các khuyến nghị chính sách tự động, cung cấp các giao thức bảo mật tốt nhất trên đám mây công cộng.

Phát hiện vi phạm và phản ứng sự cố trên đám mây AWS

Với Akamai, bạn có thể cải thiện bảo mật AWS của mình vượt xa phân đoạn và khả năng hiển thị. Phát hiện vi phạm chính sách giúp bạn phát hiện các mối đe dọa mạng và phản ứng ngay lập tức, với thông tin chi tiết ở mức ứng dụng. Chúng tôi cung cấp nhiều phương pháp phát hiện vi phạm, giúp cảnh báo nhanh chóng về các hành động xâm nhập trong môi trường đám mây lai.

• Reputation analysis: Tự động phát hiện thông tin đáng ngờ trong các luồng dữ liệu, từ tên miền và địa chỉ IP đến mã băm tệp và dòng lệnh.
• Dynamic deception: Tương tác với kẻ tấn công mà họ không biết, hướng họ đến một môi trường honeypot với mức độ tương tác cao, nơi bạn có thể an toàn học hỏi từ hành vi của họ.
• Tools to speed incident response: Tích hợp với AWS để cho phép mọi vi phạm chính sách hoặc sự cố bảo mật được gửi ngay lập tức đến AWS Security Hub, giúp bạn phản ứng kịp thời với các mối đe dọa.
• Custom threat hunting: Tận dụng hạ tầng và thông tin tình báo đe dọa toàn cầu mạnh mẽ của Akamai để chặn đứng các mối đe dọa tinh vi nhất trong môi trường đám mây lai của bạn với dịch vụ Akamai Hunt.

Kết hợp tất cả lại để nâng cao bảo mật trên AWS và các nền tảng khác.

Việc tận dụng lợi ích của đám mây công cộng không nhất thiết phải đồng nghĩa với việc hy sinh bảo mật, khả năng hiển thị hoặc kiểm soát so với những gì tổ chức của bạn có trên môi trường tại chỗ. Với Akamai, bạn có thể có cái nhìn toàn diện về tài sản và tài nguyên AWS của mình cùng với toàn bộ hạ tầng. Sử dụng bản đồ cơ sở này, việc tạo chính sách trở nên liền mạch và nâng cao các biện pháp bảo mật hiện tại, mang đến khả năng kiểm soát chi tiết mà không cần sự hỗ trợ thủ công. Các công cụ bổ sung như phát hiện vi phạm và phản ứng sự cố cung cấp cho bạn một giải pháp bảo mật từ đầu đến cuối, bao phủ tất cả các yếu tố bảo mật trên đám mây AWS và hơn thế nữa.

Nguồn: Protecting Workloads in AWS with Comprehensive Segmentation – Simpler, Faster Security