Skip to main content

Detection

คุณสามารถใช้การควบคุมเชิงตรวจจับ (Detective controls) เพื่อระบุภัยคุกคามหรืออุบัติการณ์ด้านความมั่นคงปลอดภัยที่อาจเกิดขึ้นได้ การควบคุมเหล่านี้เป็นส่วนสำคัญของกรอบการกำกับดูแล (Governance frameworks) และสามารถใช้เพื่อสนับสนุนกระบวนการด้านคุณภาพ ข้อผูกพันทางกฎหมายหรือการปฏิบัติตามกฎระเบียบ รวมถึงใช้สำหรับความพยายามในการระบุและตอบสนองต่อภัยคุกคาม

การควบคุมเชิงตรวจจับมีหลายประเภท ตัวอย่างเช่น การทำรายการทรัพย์สิน (Inventory) พร้อมรายละเอียดคุณลักษณะต่างๆ จะช่วยให้การตัดสินใจ (และการควบคุมวงจรชีวิตทรัพย์สิน) มีประสิทธิภาพมากขึ้น และช่วยกำหนดค่าพื้นฐานการปฏิบัติงาน (Operational baselines) นอกจากนี้ คุณยังสามารถใช้การตรวจสอบภายใน (Internal auditing) ซึ่งเป็นการตรวจสอบการควบคุมที่เกี่ยวข้องกับระบบสารสนเทศ เพื่อยืนยันว่าแนวปฏิบัติเป็นไปตามนโยบายและข้อกำหนด และตรวจสอบว่าคุณได้ตั้งค่าการแจ้งเตือนอัตโนมัติที่ถูกต้องตามเงื่อนไขที่กำหนดไว้ การควบคุมเหล่านี้เป็นปัจจัยเชิงรับที่สำคัญซึ่งช่วยให้องค์กรของคุณระบุและทำความเข้าใจขอบเขตของกิจกรรมที่ผิดปกติได้

ใน AWS คุณสามารถใช้การควบคุมเชิงตรวจจับได้โดยการประมวลผล Log, เหตุการณ์ (Events) และการตรวจสอบ (Monitoring) ซึ่งช่วยให้สามารถทำการตรวจสอบย้อนหลัง (Auditing), การวิเคราะห์อัตโนมัติ และการตั้งนาฬิกาปลุกแจ้งเตือน (Alarming) ได้ โดย CloudTrail จะบันทึก Log การเรียกใช้งาน AWS API, CloudWatch จะคอยตรวจสอบ Metric ต่างๆ พร้อมระบบแจ้งเตือน และ AWS Config จะจัดเก็บประวัติการเปลี่ยนแปลงการตั้งค่า (Configuration history) นอกจากนี้ยังมี Amazon GuardDuty ซึ่งเป็นบริการตรวจจับภัยคุกคามแบบ Managed Service ที่จะคอยตรวจสอบพฤติกรรมที่เป็นอันตรายหรือการเข้าถึงโดยไม่ได้รับอนุญาตอย่างต่อเนื่อง เพื่อช่วยปกป้องบัญชี AWS และเวิร์กโหลดของคุณ รวมถึงยังมี Log ในระดับบริการ (Service-level logs) ให้ใช้งานด้วย เช่น คุณสามารถใช้ Amazon S3 เพื่อบันทึก Log การร้องขอเข้าถึงข้อมูลได้

คำถามต่อไปนี้จะเน้นที่การพิจารณาด้านความมั่นคงปลอดภัย:

SEC 4: คุณตรวจจับและสืบสวนเหตุการณ์ด้านความปลอดภัยอย่างไร? บันทึกและวิเคราะห์เหตุการณ์จาก Log และ Metric เพื่อให้มองเห็นสถานะของระบบ ดำเนินการต่อเหตุการณ์ด้านความปลอดภัยและภัยคุกคามที่อาจเกิดขึ้นเพื่อช่วยให้เวิร์กโหลดของคุณปลอดภัย

การจัดการ Log (Log management) มีความสำคัญต่อเวิร์กโหลดตามหลัก Well-Architected ด้วยเหตุผลตั้งแต่ด้านความปลอดภัย หรือด้านนิติวิทยาศาสตร์ดิจิทัล (Forensics) ไปจนถึงข้อกำหนดทางกฎหมายหรือระเบียบข้อบังคับ สิ่งสำคัญคือคุณต้องวิเคราะห์ Log และตอบสนองต่อสิ่งเหล่านั้นเพื่อให้สามารถระบุอุบัติการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นได้ AWS มีฟังก์ชันที่ช่วยให้การจัดการ Log ทำได้ง่ายขึ้น โดยให้ความสามารถในการกำหนดวงจรการเก็บรักษาข้อมูล (Data-retention lifecycle) หรือกำหนดจุดที่ข้อมูลจะถูกเก็บรักษา จัดเก็บถาวร (Archive) หรือลบออกในที่สุด สิ่งนี้ช่วยให้การจัดการข้อมูลที่คาดการณ์ได้และน่าเชื่อถือนั้นง่ายขึ้นและคุ้มค่าใช้จ่ายมากขึ้น