Hiện nay, an ninh dữ liệu trở nên ngày càng quan trọng, và AWS Verified Access là một giải pháp xuất sắc để đảm bảo tính an toàn cho ứng dụng của bạn trên môi trường điện toán đám mây. Đặc biệt, cập nhật mới nhất của AWS Verified Access, giờ đây đã hỗ trợ customer-managed KMS key – một bước đột phá quan trọng trong việc tối ưu hóa quản lý và bảo mật dữ liệu của bạn.

AWS Verified Access là gì?

Đây là dịch vụ cho phép các ứng dụng riêng tư trong VPC truy cập vào public endpoint bằng IDP (Identity Provider) đáng tin cậy nếu đáp ứng một số điều kiện nhất định, chẳng hạn như khi đáp ứng các chính sách đã định cấu hình.

Mô hình hoạt động của AWS Verified Access
Mô hình hoạt động của AWS Verified Access

Verified Access Instance

Với Verified Access Instance, các instance sẽ đánh giá yêu cầu của ứng dụng và cho phép chỉ truy cập vào các trường hợp đã đáp ứng điều kiện bảo mật.

Verified Access Endpoint

Mỗi endpoint đại diện cho một ứng dụng. Bạn có thể tạo load balancer endpoint (điểm cuối cân bằng tải) hoặc network interface endpoint (điểm cuối giao diện mạng)

Verified Access Group

Nhóm các access endpoint (điểm cuối truy cập) được xác thực. Bạn nên nhóm các endpoint của ứng dụng có yêu cầu bảo mật giống nhau để đơn giản hóa việc quản lý chính sách. Ví dụ, bạn có thể nhóm các endpoint của tất cả các ứng dụng bán hàng.

Access policy

Một nhóm các quy tắc do người dùng xác định để quyết định cho phép hoặc từ chối quyền truy cập vào ứng dụng. Bạn có thể chỉ định kết hợp các yếu tố như ID người dùng và trạng thái bảo mật của thiết bị. Tạo group access policy (chính sách truy cập nhóm) cho mỗi access group (nhóm truy cập). Theo tuỳ chọn, bạn có thể tạo chính sách sẵn có cho ứng dụng và gắn nó vào endpoint cụ thể.

Nhà cung cấp tin cậy

Verified Access hoạt động với AWS và nhà cung cấp tin cậy của bên thứ ba. Mỗi instance Verified Access cần phải được gắn với ít nhất một IdP tin cậy. Bạn có thể gắn một ID trust provider và nhiều device trust provider vào mỗi instance Verified Access.

Dữ liệu tin cậy

Dữ liệu liên quan đến bảo mật của người dùng hoặc thiết bị mà nhà cung cấp đã xác thực gửi cho Verified Access được gọi là trust context (truy cập tin cậy). Ví dụ như địa chỉ email của người dùng hoặc phiên bản hệ điều hành của thiết bị. Verified Access đánh giá dữ liệu này để so sánh với chính sách truy cập khi có yêu cầu truy cập vào ứng dụng.

KMS key là gì?

KMS Keys trong AWS Key Management Service (KMS) là các khóa mã hóa chủ chốt dùng để mã hóa và giải mã dữ liệu. Chúng có vai trò quan trọng trong việc bảo vệ dữ liệu trong hệ thống AWS.

AWS tạo ra AWS-managed key, còn người dùng tạo ra customer-managed key.

Sau đây là bảng so sánh sự khác biệt của AWS-managed key và customer-managed key: 

Loại KMS key KMS key metadataKMS keyChỉ dùng cho tài khoản AWSRotation tự độngBảng giá
Customer-managed keyĐược quản lýĐược quản lý
Đúng
Tuỳ chọnPhí hàng tháng (tính theo giờ)
AWS-managed keyĐược quản lýKhông được quản lý
Đúng
Yêu cầuPhí tính theo mức sử dụng, không mất phí hàng tháng

Bạn có thể thực hiện các thao tác sau với customer-managed key:

  • Thiết lập và quản lý key policy, IAM policy
  • Kích hoạt và vô hiệu hóa key
  • Xoay vòng các tài liệu được mã hóa (Rotation cryptography materials)
  • Thêm tag
  • Tạo alias tham chiếu đến KMS key
  • Đặt lịch xóa KMS key

Nội dung cập nhật customer-managed KMS key

Verified Access hiện đã hỗ trợ customer-managed KMS key (CMK) để mã hóa dữ liệu được lưu trữ. Điều này giúp bạn dễ dàng đáp ứng yêu cầu về tuân thủ quy định của tổ chức.

Trước đây, AWS Verified Access đã sử dụng AWS-managed KMS key để mã hóa tất cả các thông tin, bao gồm thông tin của nhà cung cấp xác thực, group policy, và endpoint policy. Với bản cập nhật này, Verified Access đã hỗ trợ thêm customer-managed KMS key.

Ứng dụng bản cập nhật customer-managed KMS key 

  1. Trên màn hình “Additional encryption – optional” từ bảng điều khiển quản lý đã hiển thị mục “Customize encrytion settings (advanced)”.
Bảng Additional encryption - optional
Bảng Additional encryption – optional
  1. Chọn vào “Customize encrytion settings (advanced)” và nhấp vào “Create an AWS KMS key” sẽ chuyển đến màn hình tạo “Customer-managed KMS key”.
Bảng Configure key
Bảng Configure key

Tham khảo: 【アップデート】AWS Verified AccessがKMSのカスタマーマネージドキーをサポートしました