Skip to main content

Infrastructure protection

การปกป้องโครงสร้างพื้นฐาน (Infrastructure protection) ครอบคลุมถึงระเบียบวิธีในการควบคุม เช่น การป้องกันเชิงลึก (Defense in depth) ซึ่งจำเป็นเพื่อให้เป็นไปตามแนวทางปฏิบัติที่ดีที่สุดและข้อผูกพันขององค์กรหรือกฎระเบียบต่างๆ การใช้ระเบียบวิธีเหล่านี้มีความสำคัญอย่างยิ่งต่อความสำเร็จในการดำเนินงานอย่างต่อเนื่อง ทั้งบนคลาวด์และแบบ On-premises

ใน AWS คุณสามารถใช้การตรวจสอบแพ็กเก็ตแบบ Stateful และ Stateless ได้ โดยเลือกใช้เทคโนโลยีที่เป็นของ AWS เอง หรือใช้ผลิตภัณฑ์และบริการของพาร์ทเนอร์ที่มีให้เลือกผ่าน AWS Marketplace คุณควรใช้ Amazon Virtual Private Cloud (Amazon VPC) เพื่อสร้างสภาพแวดล้อมส่วนตัวที่มีความปลอดภัยและขยายขนาดได้ ซึ่งคุณสามารถกำหนดโทโพโลยีของเครือข่ายได้เอง รวมถึงเกตเวย์ (Gateways), ตารางเส้นทาง (Routing tables) ตลอดจนซับเน็ตแบบสาธารณะและส่วนตัว

คำถามต่อไปนี้จะเน้นที่การพิจารณาด้านความมั่นคงปลอดภัย:

  • SEC 5: คุณปกป้องทรัพยากรเครือข่ายของคุณอย่างไร? ทุกเวิร์กโหลดที่มีการเชื่อมต่อเครือข่าย ไม่ว่าจะเป็นอินเทอร์เน็ตหรือเครือข่ายส่วนตัว จำเป็นต้องมีการป้องกันหลายชั้นเพื่อช่วยป้องกันภัยคุกคามทางเครือข่ายจากทั้งภายนอกและภายใน

  • SEC 6: คุณปกป้องทรัพยากรประมวลผล (Compute resources) ของคุณอย่างไร? ทรัพยากรประมวลผลในเวิร์กโหลดของคุณต้องการการป้องกันหลายชั้นเพื่อช่วยป้องกันภัยคุกคามจากทั้งภายนอกและภายใน ทรัพยากรประมวลผลเหล่านี้รวมถึง EC2 instances, Containers, AWS Lambda functions, บริการฐานข้อมูล, อุปกรณ์ IoT และอื่นๆ

การป้องกันหลายชั้น (Multiple layers of defense) เป็นสิ่งที่แนะนำในสภาพแวดล้อมทุกรูปแบบ ในกรณีของการปกป้องโครงสร้างพื้นฐาน แนวคิดและวิธีการส่วนใหญ่สามารถใช้ได้ทั้งกับโมเดลบนคลาวด์และ On-premises การบังคับใช้การป้องกันแนวเขต (Boundary protection), การตรวจสอบจุดเข้าและออก (Ingress/Egress), รวมถึงการบันทึก Log, การตรวจสอบ และการแจ้งเตือนที่ครอบคลุม ล้วนเป็นสิ่งสำคัญต่อแผนความมั่นคงปลอดภัยสารสนเทศที่มีประสิทธิภาพ

ลูกค้าของ AWS สามารถปรับแต่งหรือเสริมความแข็งแกร่ง (Harden) ให้กับการตั้งค่าของ Amazon EC2, Amazon ECS container หรือ AWS Elastic Beanstalk และบันทึกการตั้งค่านี้ไว้ในรูปแบบของ Amazon Machine Image (AMI) ที่แก้ไขไม่ได้ (Immutable) จากนั้น ไม่ว่าจะเปิดใช้งานผ่าน Auto Scaling หรือเปิดใช้งานด้วยตนเอง เซิร์ฟเวอร์เสมือน (Instances) ใหม่ทั้งหมดที่ถูกรันด้วย AMI นี้จะได้รับการตั้งค่าที่ผ่านการ Harden มาแล้วเหมือนกันทั้งหมด