AWS Control Tower là một dịch vụ của Amazon cho phép quản lý các tài khoản trong môi trường multi-account. Vậy tại sao phải quản lý multiple accounts và AWS Control Tower giúp ích gì cho việc quản lý đó, bài viết hôm nay sẽ cùng làm rõ.

Tại sao phải quản lý multiple accounts

Một số người dùng vẫn đang vận hành môi trường production và môi trường test trong cùng một tài khoản AWS. Nhưng AWS khuyến nghị rằng sử dụng multiple accounts là phương pháp tốt nhất.

Việc phân chia tài khoản theo tính năng rất quan trọng trong việc thực hiện multiple accounts. Nó không chỉ ngăn chặn được các hoạt động ngoài ý muốn, mà còn giảm thiểu quyền truy cập cho từng tài khoản.

IMG_256

Để thực hiện quản lý multiple accounts, nên sử dụng AWS Organizations và thiết lập xác thực số điện thoại và địa chỉ email nhóm phòng khi có sự thay đổi người quản lý.

Quản lý multiple accounts với AWS Control Tower

AWS Control Tower là dịch vụ tốt nhất để kiểm soát tài khoản AWS.

Sử dụng Control Tower, bạn có thể dễ dàng thiết kế tài khoản và chính sách trong môi trường multiple accounts.

Điểm mấu chốt là có thể tạo ra môi trường tài khoản được kiểm soát tốt (Landing Zone). 

Sau đây là hai điểm quan trọng:

✓ Tự động thiết lập

✓ Duy trì kiểm soát Security log

Một số thuật ngữ thường được sử dụng trong Control Tower:

Control (còn được gọi là Guardrails)

Đây là quy tắc áp dụng quản lý liên tục trên môi trường AWS. Có ba loại control: control phòng ngừa, control phát hiện và control chủ động.

Áp dụng ba loại categories: Required, Highly Recommended, và Optional.

Ví dụ: Control có chọn lọc [Disallow Changes to Bucket Policy for Amazon S3 Buckets] (không cho phép thay đổi Bucket policy của Amazon S3 buckets) (trước đây gọi là Disallow Policy Changes to Log Archive), kiểm soát việc chia sẻ log archive. Bạn sẽ không thể thay đổi IAM policy trong tài khoản chia sẻ log archive.

Landing Zone

Landing Zone là một môi trường AWS multi-account có kiến trúc tốt, được cấu thành bởi tính bảo mật và sự tuân thủ. Việc triển khai Landing Zone cho phép quản lý và giám sát tập trung các tài nguyên AWS dưới quyền quản lý của Organizations.

Trong các bài tập của AWS, một tài khoản “Audit” kiểm tra tất cả các tài khoản và một “Log Archive” tổng hợp và quản lý nhật ký từ tất cả các tài khoản sẽ được tạo tự động. AWS Control Tower sẽ tự động thiết lập các tài khoản cần thiết và cấu hình chuyển tiếp log.

IMG_256

Tài khoản Audit là tài khoản bị hạn chế được thiết kế cho phép truy cập đọc và ghi với tất cả các tài khoản trong landing zone. Từ tài khoản Audit, bạn có thể truy cập vào các tài khoản khác thông qua chương trình sử dụng role chuyên biệt chỉ được cấp cho các hàm Lambda.

Tài khoản Audit không cho phép đăng nhập thủ công vào các tài khoản khác.

Tài khoản log archive được sử dụng làm kho lưu trữ log cho tất cả hoạt động API và cấu hình tài nguyên từ tất cả các tài khoản trong landing zone.

Dashboard

AWS Control Tower cung cấp một Dashboard giúp quản lý môi trường đã tạo một cách hiệu quả. Nó hiển thị tổng hợp số lượng các nhóm và tài khoản được tạo, số lượng guardrails và số lượt vi phạm được phát hiện đối với các guardrails đã kích hoạt.

Account Factory

Account Factory là một account template có thể cấu hình, giúp tiêu chuẩn hóa việc cấp phát các tài khoản mới với các cài đặt đã được phê duyệt trước đó.

Quy trình áp dụng template diễn ra theo trình tự sau:

1) Xác định  Account baseline

2) Cấp phát tài khoản thông qua AWS Service Catalog

3) Áp dụng guardrails

Ứng dụng của AWS Control Tower

Có thể bạn nghĩ rằng số lượng tài khoản của mình vẫn còn ít nên chưa cần thiết phải sử dụng, nhưng thực tế việc thiết lập từ sớm sẽ giúp quản lý và vận hành sau này trở nên dễ dàng hơn, đó cũng là ưu điểm của Control Tower.

Security Controls

Khả năng quản lý toàn diện của AWS Control Tower giúp dễ dàng xác định, lập bản đồ và quản lý các điều khiển cần thiết để đạt được mục tiêu kiểm soát thông thường như áp dụng nguyên tắc phân quyền tối thiểu, giới hạn truy cập mạng, áp dụng mã hóa dữ liệu, v.v.

Trong “tài khoản audit” có cơ chế xác định lộ trình truy cập để nhân viên an ninh dễ dàng xử lý các thiết lập rủi ro khi được phát hiện. 

Ngoài ra, còn cung cấp nền tảng cần thiết để tự động sửa chữa các cấu hình rủi ro.

Quản lý Centralized log  (CloudTrail và Config)

Quản lý Centralized AWS CloudTrail log và AWS Config log được lưu trữ trong Amazon Simple Storage Service (Amazon S3). Điều này giúp điều tra và giải quyết sự cố, làm sáng tỏ toàn bộ sự việc, đồng thời có thể chịu trách nhiệm giải thích với các bên liên quan.

Dễ dàng điều tra khi có sự cố xảy ra (log archive account)

Quản lý log trong tài khoản lưu trữ log riêng biệt với tài khoản sử dụng thông thường, giúp log trở thành bằng chứng hiệu quả khi có sự cố. Log được lưu trữ trong một tài khoản khác nên chỉ có số lượng người có quyền truy cập hạn chế, giúp giảm thiểu rủi ro làm sai lệch thông tin.

Best Practices của Control Tower

Phần mà Control Tower có thể xử lý chủ yếu bao gồm CloudTrail và Config. Do đó, việc sử dụng SecurityHub để trực quan hoá và chuẩn bị cho các mối đe dọa chưa xác định bằng GuardDuty sẽ rất hiệu quả. 

Có thể không cần cùng cấp độ an ninh với Production account, nhưng việc phục hồi sau sự cố sẽ tốn chi phí tương tự ở các môi trường khác. 

Quản lý tập trung chuẩn bị cho mối đe dạo từ Organizations bằng các dịch vụ AWS là bài kiểm tra tốt khi sử dụng Control Tower.

Customization for Control Tower (CfCT)

Khi muốn tùy chỉnh AWS Control Tower, hãy sử dụng Customization for Control Tower (CfCT).

CfCT giúp tùy chỉnh Landing Zone của AWS Control Tower và tiếp tục tuân thủ các phương pháp hay nhất của AWS. Việc tùy chỉnh được thực hiện qua các template AWS CloudFormation và chính sách điều khiển dịch vụ (SCP).

Tính năng CfCT này được tích hợp với lifecycle events của AWS Control Tower, vì vậy việc triển khai tài nguyên sẽ luôn được đồng bộ hóa với Landing Zone. Ví dụ, khi sử dụng Account Factory để tạo một tài khoản mới, tất cả tài nguyên gắn liền với tài khoản đó sẽ tự động được triển khai. Bạn cũng có thể triển khai các mẫu tùy chỉnh và chính sách đến các tài khoản cá nhân và đơn vị tổ chức (OU) trong tổ chức.

Hơn nữa, khi sử dụng CfCT cùng với lifecycle events, bạn có thể thực hiện việc triển khai tài nguyên dựa trên việc hoàn thành một loạt sự kiện trước đó.

Sử dụng lifecycle events, bạn có thể tự động triển khai tài nguyên đến các tài khoản và OU.

Tổng kết

Control Tower là một dịch vụ cho phép bạn xây dựng một Landing Zone theo các phương pháp hay nhất của AWS.

– Bạn có thể thực hiện kiểm soát như lưu trữ bằng chứng và áp dụng guardrails.

– Bạn cũng có thể đáp ứng các yêu cầu độc lập bằng cách áp dụng các quy tắc tùy chỉnh.