[VWS 2019] Toàn cảnh bảo mật trong kỷ nguyên dịch vụ đám mây

Email

Vietnam Web Summit là một sự kiện thường niên diễn ra tại Hồ Chí Minh và Hà Nội, giúp các doanh nghiệp tiếp cận với những xu hướng – công nghệ mới nhất trên thị trường. Đến với VWM 2019 dưới tư cách diễn giả khách mời, chuyên gia Nguyễn Hữu Trung đã có bài chia sẻ về “Security in the age of cloud services” (tạm dịch: Toàn cảnh bảo mật trong kỷ nguyên dịch vụ đám mây). Phần trình bày tập trung chỉ ra các vấn đề bảo mật mà doanh nghiệp gặp phải khi triển khai các dịch vụ & hạ tầng đám mây. Hãy cùng điểm qua những ý chính trong bài diễn thuyết, cùng với các lưu ý cho doanh nghiệp khi triển khai sản phẩm trên hạ tầng cloud.


VỀ DIỄN GIẢ

Nguyễn Hữu Trung (TrungNH) là Đồng sáng lập & Giám đốc công nghệ của Công ty cổ phần CyStack Việt Nam, sáng lập nền tảng WhiteHub Bug Bounty. Với 7 năm nghiên cứu chuyên sâu trong lĩnh vực an ninh mạng, Trung đã có nhiều công trình nghiên cứu và phát hiện lỗ hổng nổi bật, và là một trong những nhà nghiên cứu được vinh danh bởi các tập đoàn lớn trên thế giới như Microsoft, HP, Deloitte, D-link…

Nguyễn Hữu Trung tại Vietnam Web Summit 2019

Trung cũng là tác giả nhiều nhiều bài phân tích chuyên sâu về bảo mật, an toàn thông tin được quốc tế đón nhận. Ngoài ra, thông qua nền tảng WhiteHub, anh cũng giúp nhiều doanh nghiệp Việt tăng cường bảo mật cho sản phẩm công nghệ của họ thông qua các chương trình Bug Bounty.

Bài diễn thuyết tại VWS 2019 được chia thành 3 phần:

  • AWS: các vấn đề bảo mật khi triển khai và sử dụng các dịch vụ đám mây của Amazon. Doanh nghiệp cần tránh những lỗi bảo mật cơ bản nào khi triển khai và vận hành hệ thống?
  • Docker: các vấn đề bảo mật khi sử dụng docker & mẹo bảo mật hữu ích.
  • Services exposed: những dịch vụ đám mây phổ biến dễ bị lộ dữ liệu trong quá trình vận hành.

AWS

Bản thân các dịch vụ mà AWS cung cấp rất an toàn. Theo khảo sát, một trong những lý do chính dẫn tới các vụ vi phạm dữ liệu của dịch vụ AWS là do lỗi vận hành hệ thống của đội ngũ CNTT.

Cấu hình sai tài nguyên đám mây là nguyên nhân hàng đầu của vi phạm dữ liệu, có thể cho phép xóa hoặc sửa đổi tài nguyên và gián đoạn dịch vụ.

Theo CSA Top Threats to Cloud Computing: Egregious Eleven

Dưới đây là các vec-tơ tấn công AWS mà tin tặc có thể nhắm đến:

  • IAM
  • Các dịch vụ (Services)
  • Network
  • Instance (Máy ảo, EC2)
  • Ứng dụng tùy biến & phần mềm bên thứ ba.

Các sai lầm phổ biến với AWS:

Sử dụng AWS access key không đúng cách

Sai lầm đầu tiên trong việc quản trị hệ thống cloud là tạo access keys cho root users. Hành động này có thể gây ra những rủi ro bảo mật nghiêm trọng, bởi vì:

  • Thông tin của root users cho phép toàn quyền truy cập tới tất cả tài nguyên trong tài khoản; và
  • Mất key đồng nghĩa với mất toàn bộ dữ liệu.

Giải pháp: sử dụng quyền truy cập tạm thời bằng IAM thay vì tạo ra các access key dài hạn.

Quản lý IAM access key an toàn:

  • Không nhúng access key trực tiếp vào code, sử dụng file credential riêng hoặc các biến environment;
  • Sử dụng access key khác nhau cho những ứng dụng khác nhau;
  • Thay đổi access key thường xuyên
  • Xóa các key không còn sử dụng
  • Cài đặt bảo mật nhiều lớp cho những dịch vụ thiết yếu nhất của bạn.

Cấu hình sai IAM policy

IAM là dịch vụ cốt lõi giúp quản trị quyền truy cập trong hệ sinh thái AWS. Cấu hình sai IAM policy là nguyên nhân chính dẫn đến các lỗ hổng bảo mật: leo thang đặc quyền và data exfiltration.

AWS S3 bucket

Mặc dù là một trong những dịch vụ tuyệt vời nhất của AWS, nhưng hầu hết nguyên nhân gây rò rỉ dữ liệu liên quan tới AWS, đều tới từ việc cấu hình sai S3 buckets.

7% S3 buckets trên toàn thế giới được thiết lập quyền truy cập công khai không giới hạn.

BleepingComputer

Cấu hình sai S3 khiến hacker có thể:

  • Có được quyền truy cập và đọc files lưu trữ trong S3 bucket;
  • write/upload files lên S3 bucket;
  • Thay đổi quyền truy cập và đổi nội dung của tất cả các files.

S3 sub-domain takeover

Trong phần này, diễn giả trình bày về một lỗ hổng phát sinh khi sử dụng tính năng tạo website tĩnh trên S3 (static website hosting). Đây là một tính năng tuyệt vời của S3 cho phép người dùng host một domain phụ (dưới dạng web tĩnh) và lưu trữ nội dung hoàn toàn miễn phí. Tuy nhiên, chỉ cần một sai lầm nhỏ trong việc quản lý bản ghi DNS cũng có thể khiến website được tạo trên S3 bị hacker chiếm đoạt và thay đổi nội dung.

Đặc biệt hơn, không chỉ những doanh nghiệp nhỏ, mà cả Microsoft, Google và nhiều tập đoàn lớn khác cũng mắc phải những sai lầm tưởng chừng đơn giản nhưng rất nguy hiểm này trong quá trình bảo mật website.

Các vấn đề bảo mật của Serverless

Nhiều người có suy nghĩ, không phải quản lý server thì sẽ không có rủi ro. Đây là một lầm tưởng phổ biến.

Ngay cả khi bạn sử dụng FaaS (Function as a Service) và không phải thiết lập cũng như quản lý bất kỳ một máy chủ nào, bạn vẫn đối mặt với hàng loạt các nguy cơ bị tấn công như:

  • Injection
  • Broken authentication (vượt qua cơ chế xác thực)
  • Insecure deployment settings (deploy không an toàn)
  • Misuse of permissions and roles (lỗi trong việc phân quyền)
  • Insufficient logging (không ghi log ứng dụng)
  • Insecure storing of app secrets (lưu trữ thông tin nhạy cảm không an toàn)
  • DoS attack and financial exhaustion (tấn công từ chối dịch vụ)
  • Improper exception handling (quản lý ngoại lệ không hợp lý)

Docker

Không còn xa lạ với các nhà phát triển phần mềm, docker giúp triển khai các ứng dụng Linux, Windows vào trong các container ảo hóa. Tuy nhiên, nếu thực thi không đúng cách, các nhà phát triển sẽ đối mặt với nhiều rủi ro bảo mật nảy sinh từ việc sử dụng công nghệ này. Dưới đây là lời khuyên của diễn giả:

DON’T

Diễn giả nhấn mạnh lỗi sai cơ bản mà bạn không nên mắc phải khi sử dụng công nghệ docker:

  • Cấp toàn bộ quyền cho một container (privilege mode). Điều này dẫn tới container có quyền thực thi tương đương với host, và đây là một rủi ro an ninh với nhà phát triển nếu như tin tặc xâm nhập được vào container.

DO

Để tăng cường bảo mật khi phát triển sản phẩm với docker, dưới đây là ba điều bạn nên làm:

  • Phân quyền hợp lý
  • Sử dụng chế độ Read-only
  • Giới hạn tài nguyên cho Docker để chống tấn công DDoS

Hướng dẫn chi tiết có trong tài liệu được chia sẻ.

Services exposed

Trong phần này, diễn giả phân tích một số dịch vụ phổ biến có khả năng bị lộ lọt thông tin nhạy cảm thông qua một số sai lầm trong cấu hình, chẳng hạn

  • Kurbernetes, dẫn chứng là sự kiện dịch vụ đám mây của Tesla bị hack và dùng cho malware đào tiền ảo (crypto-currency mining).
  • Kibana
  • Elastic

Nhận những bài viết
chất lượng do chúng tôi chọn lọc








Email