Tags:
Topics: 
Node Thumbnail

การใช้บริการคลาวด์สตอเรจนั้นนับเป็นความสะดวกอย่างมาก เพราะผู้ใช้สามารถใช้งานได้ทั้งสำหรับงานภายในที่ผู้เข้าถึงไฟล์ต้องมีสิทธิ์เฉพาะ หรือใช้เผยแพร่ไฟล์ต่อสาธารณะก็ทำได้ง่ายเพียงไม่กี่คำสั่ง แต่ความผิดพลาดเช่นนี้คงเกิดขึ้นเรื่อยๆ ทำให้ทาง AWS เผยแพร่บล็อกการมอนิเตอร์ S3 เพื่อมอนิเตอร์สถานะการตั้งค่าของ bucket ว่ามีการเปิดต่อสาธารณะหรือไม่

สถาปัตยกรรมที่ AWS เสนอ ใช้ฟีเจอร์ AWS Config Event ที่แจ้งเตือนเมื่อมีการคอนฟิกค่าใหม่ จากนั้นมอนิเตอร์ความเปลี่ยนแปลงด้วย CloudWatch และส่งค่าเข้าไปยัง Lambda เพื่อตั้งค่ากลับเป็น bucket ปิดโดยอัตโนมัติหากพบว่า bucket ที่เปิดขึ้นมาไม่ได้รับอนุญาต พร้อมกับแจ้งเตือนผู้ดูแลระบบผ่านบริการ SNS

บทความสอนในระดับจับมือทำ แสดงการคอนฟิกทีละระบบ และโค้ดสำหรับ AWS Lambda พร้อมกับเตือนให้ตรวจสอบว่าระบบทั้งหมดทำงานได้ถูกต้องดี

หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าจะทำให้ได้กันแทบทุกราย

ที่มา - AWS Security Blog

No Description

Get latest news from Blognone

Comments

By: btoy
ContributorAndroidWindows
on 3 May 2018 - 08:55 #1047591
btoy's picture

สอนในระดับจับมือทำ 555 โอย เห็นภาพชัดมาก


..: เรื่อยไป

By: Tum
ContributorAndroid
on 3 May 2018 - 09:16 #1047594

"หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย"

เอ๊ะ..คุ้นๆ ว่าเจ้าที่โดน เป็น AWS Partner เจ้าใหญ่เลยนะครับ :P

By: hisoft
ContributorWindows PhoneWindows
on 3 May 2018 - 10:33 #1047605 Reply to:1047594
hisoft's picture

มีคำว่า "แทบ" แสดงว่าต้องยกเว้นบางรายไว้แน่ๆ เลย

By: Holy
ContributorAndroidWindowsIn Love
on 3 May 2018 - 13:06 #1047643 Reply to:1047605
Holy's picture

นั่งอ่านไปก็รู้สึกแสบๆ เบาๆ พอเจอประโยคนี้ผมหลุดขำก๊ากเลย

By: hisoft
ContributorWindows PhoneWindows
on 3 May 2018 - 15:07 #1047664 Reply to:1047643
hisoft's picture

?

By: panurat2000
ContributorSymbianUbuntuIn Love
on 3 May 2018 - 13:42 #1047653 Reply to:1047594
panurat2000's picture

ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย

น่าะจะ => น่าจะ

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 3 May 2018 - 09:20 #1047595
tanersirakorn's picture

หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย

หากคอนฟิกยากเกินไป ติดต่อคนในหน่วยงานเครือเดียวกันเอง น่าจะทำให้ได้กันแทบทุกราย :v


Blog | Twitter

By: overbid
ContributorAndroidRed HatUbuntu
on 3 May 2018 - 10:01 #1047601 Reply to:1047595

+1 คนทำได้มีเยอะ แต่คนที่อธิบายให้คนตัดสินใจเข้าใจซิยาก

By: waroonh
Windows
on 3 May 2018 - 09:20 #1047596

จงใจเปิดครับ เพราะสะดวกสะบาย ไม่ต้องจำว่า password คือ P@$$w0rd หรือ 1234

By: sonkub
AndroidWindows
on 3 May 2018 - 09:54 #1047599

AWS Authorized Training เลยมั้ยละ

By: javaboom
WriteriPhone
on 3 May 2018 - 10:30 #1047603
javaboom's picture

เป็นเรื่องที่ไม่ควรพลาดเลย

ควรให้คนที่เข้าใจ security กับ AWS ไปใช้ cloudformation เพื่อกำหนดการใช้ AWS resources/services พร้อมกำหนด role กับ permission ที่เหมาะสม ควรจำกัดไม่ให้ผู้ใช้เข้าถึง access key, AWS account, และ AWS console แล้วเมื่อไหร่ก็ตามที่ผู้ใช้คนไหน/แอพไหนต้องการใช้ AWS ส่วนใดก็ตาม ก็ให้ role ที่เหมาะสมกับเขาไป แล้วก็ใช้ AWS Config มาช่วยหา config drift อีกที(กันพลาด) แถมช่วย audit ได้ด้วย แต่ส่วนตัวผมชอบ Inspec (Chef) เป็น opensource ด้วย ใช้กับ AWS ได้ดี ใช้กับ S3 bucket ก็ง่าย


My Blog

By: xx555
ContributoriPhone
on 3 May 2018 - 11:08 #1047618

ฉลาดลึก โง่กว้าง

By: anoid on 3 May 2018 - 20:06 #1047705 Reply to:1047618

คือดีหรือไม่ดีอะครับ 5555

By: KR on 3 May 2018 - 15:56 #1047676

ทำไมมันเจ็บ

By: xx555
ContributoriPhone
on 4 May 2018 - 09:02 #1047770

แต่รายนั้นเขาอ้างเด็กฝึกงานเหมือน Dtac หรือยังนะ