Thứ Năm, tháng 4 11, 2024

AWS SECURITY CHECKLIST ĐÃ ĐƯỢC BUILD NHƯ THẾ NÀO?

 

⁉️ Đợt trước mình có nhận được yêu cầu từ đội QA là giúp đội đi audit cloud security một số dự án. Bước đầu đi audit, QA có show security checklist của công ty nhưng mông lung quá, các câu hỏi, guideline checklist đặt ra rất chung chung, không có hướng dẫn cụ thể khiến cho người đi audit rất khó để audit và đội dự án cũng rất khó để làm theo.
 
Câu hỏi đặt ra là cần tìm một Security framework support việc đảm bảo an toàn thông tin. Dựa vào Security framework, dự án có thể thiết lập các process, và các hoạt động quản trị để giải quyết vấn đề an toàn thông tin.
 
👉 Security Framework được sử dụng để giúp dự án vượt qua những lần audit, vì vậy framework phải hỗ trợ các yêu cầu cụ thể được xác định trong tiêu chuẩn (1) hoặc quy định(2).

📌(1)* Tiêu chuẩn (standard) là các quy tắc, các bước bắt buộc phải tuân theo. Ví dụ: Chuẩn ISO/IEC 27000:2018
 
📌(2)* Quy định (regulations) là những ràng buộc về mặt pháp lý. Các quy định thường được chính phủ đưa ra. Việc không tuân thủ các quy định có thể dẫn đến các hình phạt về tài chính, kiện tụng.

👉👉 Hiện nay có khá nhiều Framework được phát triển để đảm bảo an toàn thông tin.
 
1️⃣ NIST Frameworks: là một tập hợp các tài liệu hướng dẫn và thực hành tốt nhất được phát triển bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) nhằm hỗ trợ các tổ chức quản lý rủi ro an ninh mạng hiệu quả.
 
Trong đó ta chú ý tới chuẩn NIST SP 800 Series, NIST SP 800 series giải quyết hầu như mọi khía cạnh của bảo mật thông tin, và hiện nay đang tập trung nhiều vào cloud security.
  • NIST SP 800-53 : Là chuẩn IT security cho chính phủ Hoa Kỳ và được sử dụng rộng rãi trong môi trường tư nhân.
  • NIST SP 800-171: Chuẩn IT security tương tự như 800-53 nhưng tổng quát hơn và không đi sâu vào chi tiết.
2️⃣ CIS - Center for Internet Security: là một tổ chức phi lợi nhuận, phi chính phủ có trụ sở tại Hoa Kỳ, chuyên cung cấp các giải pháp an ninh mạng cho các tổ chức thuộc mọi quy mô.
 
CIS Phát triển các tiêu chuẩn an ninh mạng, bao gồm:
  • CIS Controls: Tập hợp các biện pháp kiểm soát an ninh mạng cơ bản giúp giảm thiểu rủi ro an ninh mạng cho các tổ chức.
  • CIS Benchmarks: Tập hợp các cấu hình bảo mật được đề xuất cho các hệ thống máy tính và phần mềm phổ biến.
  • Cung cấp các chương trình đào tạo về an ninh mạng, bao gồm:
    • CIS Certified Secure Software Developer (CSSD): Chương trình đào tạo dành cho các nhà phát triển phần mềm về cách viết mã an toàn.
    • CIS Certified Secure Systems Administrator (CSSA): Chương trình đào tạo dành cho các quản trị viên hệ thống về cách bảo mật hệ thống máy tính.
  • Chia sẻ thông tin và kiến thức về an ninh mạng thông qua các ấn phẩm, hội thảo trên web và các sự kiện khác.
3️⃣ CISA, RBI, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP,... và còn nhiều chuẩn khác nữa.
 
`AWS Security checklist` được customize từ các chuẩn trên cho phù hợp với tình hình thực tế dự án và của công ty.
 
Checklist, guideline có rồi nhưng qua việc đi audit hai dự án thì thấy mặc dù `AWS Security checklist` đã khá chi tiết, nhưng để check được hết các item trong checklist mọi người mất khá nhiều thời gian có khi cả ngày, từ đó xuất phát nhu cầu phải có một tool để có thể auto check được các item trong checklist.

👉 Hiện tại có khá nhiều tool mất tiền implement theo các chuẩn trên. Sau khi đánh giá một số tool open source mình đánh giá khá cao tool prowler và đang có ý định custom lại một ít để phù hợp với `AWS Security checklist`.
Prowler support hầu hết các cloud provider nổi tiếng hiện tại như AWS, GCP, Azure.

Prowler architecture:
Prowler example results:
 
Với Prowler tool thì việc check audit sẽ giảm từ 1 ngày xuống còn khoảng 15 phút.

Một vài knowledge muốn chia sẻ với những người cùng đam mê công nghệ!

Không có nhận xét nào:

Đăng nhận xét

Thông tin v/v Kiểm Tra lỗi khi tạo nhân vật mới

Thông tin v/v Kiểm Tra lỗi khi tạo nhân vật mới mà không nhận được hỗ trợ FULL túi đồ, hòm đồ, túi thú..vv. Sau quá trình kiểm tra logs hệ t...