อาจจะเป็นข้อความถึงใครบางคน AWS เขียนบล็อกขั้นตอนมอนิเตอร์ S3 ป้องกันการเปิดสาธารณะ

By: lew

on 3 May 2018 - 08:51 Tags:

Topics:

AWS

Security

การใช้บริการคลาวด์สตอเรจนั้นนับเป็นความสะดวกอย่างมาก เพราะผู้ใช้สามารถใช้งานได้ทั้งสำหรับงานภายในที่ผู้เข้าถึงไฟล์ต้องมีสิทธิ์เฉพาะ หรือใช้เผยแพร่ไฟล์ต่อสาธารณะก็ทำได้ง่ายเพียงไม่กี่คำสั่ง แต่ความผิดพลาดเช่นนี้คงเกิดขึ้นเรื่อยๆ ทำให้ทาง AWS เผยแพร่บล็อกการมอนิเตอร์ S3 เพื่อมอนิเตอร์สถานะการตั้งค่าของ bucket ว่ามีการเปิดต่อสาธารณะหรือไม่

สถาปัตยกรรมที่ AWS เสนอ ใช้ฟีเจอร์ AWS Config Event ที่แจ้งเตือนเมื่อมีการคอนฟิกค่าใหม่ จากนั้นมอนิเตอร์ความเปลี่ยนแปลงด้วย CloudWatch และส่งค่าเข้าไปยัง Lambda เพื่อตั้งค่ากลับเป็น bucket ปิดโดยอัตโนมัติหากพบว่า bucket ที่เปิดขึ้นมาไม่ได้รับอนุญาต พร้อมกับแจ้งเตือนผู้ดูแลระบบผ่านบริการ SNS

บทความสอนในระดับจับมือทำ แสดงการคอนฟิกทีละระบบ และโค้ดสำหรับ AWS Lambda พร้อมกับเตือนให้ตรวจสอบว่าระบบทั้งหมดทำงานได้ถูกต้องดี

หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าจะทำให้ได้กันแทบทุกราย

ที่มา - AWS Security Blog

No Description

Hiring! บริษัทที่น่าสนใจ

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

CP AXTRA Public Company Limited - Lotus's

CP AXTRA Lotus's is revolutionizing the retail industry as a Retail Tech company.

Comments

By: btoy

on 3 May 2018 - 08:55 #1047591

สอนในระดับจับมือทำ 555 โอย เห็นภาพชัดมาก

..: เรื่อยไป

By: Tum

on 3 May 2018 - 09:16 #1047594

"หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย"

เอ๊ะ..คุ้นๆ ว่าเจ้าที่โดน เป็น AWS Partner เจ้าใหญ่เลยนะครับ :P

By: hisoft

on 3 May 2018 - 10:33 #1047605 Reply to:1047594

มีคำว่า "แทบ" แสดงว่าต้องยกเว้นบางรายไว้แน่ๆ เลย

By: Holy

on 3 May 2018 - 13:06 #1047643 Reply to:1047605

นั่งอ่านไปก็รู้สึกแสบๆ เบาๆ พอเจอประโยคนี้ผมหลุดขำก๊ากเลย

By: hisoft

on 3 May 2018 - 15:07 #1047664 Reply to:1047643

By: panurat2000

on 3 May 2018 - 13:42 #1047653 Reply to:1047594

ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย

น่าะจะ => น่าจะ

By: tanersirakorn

on 3 May 2018 - 09:20 #1047595

หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าะจะทำให้ได้กันแทบทุกราย

หากคอนฟิกยากเกินไป ติดต่อคนในหน่วยงานเครือเดียวกันเอง น่าจะทำให้ได้กันแทบทุกราย :v

Blog | Twitter

By: overbid

on 3 May 2018 - 10:01 #1047601 Reply to:1047595

+1 คนทำได้มีเยอะ แต่คนที่อธิบายให้คนตัดสินใจเข้าใจซิยาก

By: waroonh

on 3 May 2018 - 09:20 #1047596

จงใจเปิดครับ เพราะสะดวกสะบาย ไม่ต้องจำว่า password คือ P@$$w0rd หรือ 1234

By: sonkub

on 3 May 2018 - 09:54 #1047599

AWS Authorized Training เลยมั้ยละ

By: javaboom

on 3 May 2018 - 10:30 #1047603

เป็นเรื่องที่ไม่ควรพลาดเลย

ควรให้คนที่เข้าใจ security กับ AWS ไปใช้ cloudformation เพื่อกำหนดการใช้ AWS resources/services พร้อมกำหนด role กับ permission ที่เหมาะสม ควรจำกัดไม่ให้ผู้ใช้เข้าถึง access key, AWS account, และ AWS console แล้วเมื่อไหร่ก็ตามที่ผู้ใช้คนไหน/แอพไหนต้องการใช้ AWS ส่วนใดก็ตาม ก็ให้ role ที่เหมาะสมกับเขาไป แล้วก็ใช้ AWS Config มาช่วยหา config drift อีกที(กันพลาด) แถมช่วย audit ได้ด้วย แต่ส่วนตัวผมชอบ Inspec (Chef) เป็น opensource ด้วย ใช้กับ AWS ได้ดี ใช้กับ S3 bucket ก็ง่าย

My Blog

By: xx555

on 3 May 2018 - 11:08 #1047618

ฉลาดลึก โง่กว้าง

By: anoid on 3 May 2018 - 20:06 #1047705 Reply to:1047618

คือดีหรือไม่ดีอะครับ 5555

By: KR on 3 May 2018 - 15:56 #1047676

ทำไมมันเจ็บ

By: xx555

on 4 May 2018 - 09:02 #1047770

แต่รายนั้นเขาอ้างเด็กฝึกงานเหมือน Dtac หรือยังนะ

Main menu