Trong bài viết này, chúng ta sẽ tìm hiểu về các hành động cần thiết để bảo vệ, quản lý và tối ưu hóa tài khoản AWS mới của bạn, từ việc cài đặt cảnh báo đến tạo ngân sách và quản lý quyền truy cập. Điều này sẽ giúp bạn khởi đầu một cách an toàn và hiệu quả trong việc sử dụng dịch vụ của AWS.
1. Bật bảo mật 2 lớp cho tài khoản Root (Root Account)
Đầu tiên, cần phân biệt tài khoản Root và IAM User. Nói cho dễ hiểu thì tài khoản Root là tài khoản ban đầu bạn tạo ra và đăng nhập bằng email password. Tài khoản này rất quan trọng và bạn nên áp dụng các biện pháp bảo mật ưu tiên nhất cho tài khoản này.
Tài khoản Root và IAM user
Note:
Bảo mật 2 lớp: Two-factor authentication, bảo mật 2FA….
Mình viết là “bảo mật 2 lớp cho tài khoản Root” không phải là chỉ bảo mật 2 lớp cho tài khoản Root này thôi, mà là ít nhất bạn lười cỡ nào thì cũng nên bảo mật 2 lớp cho tài khoản này.
Setup MFA cho tài khoản Root
Hiện nay có nhiều phương pháp và app để cài đặt bảo mật 2 lớp như Google Authenticator do Google cung cấp, hoặc như Lastpass authenticator… Bạn chọn bên nào cũng được, mình thì mình chọn Lastpass bởi vì mình quen dùng cả bộ và mình không thích màu xám logo của Google Authenticator, thật là u ám.
2. Tạo mật khẩu mạnh cho tài khoản Root
Điều này gần như ai cũng hiểu là cần thiết nhưng không phải ai cũng thực hành tốt. Nguyên nhân là do đặt khó thì khó nhớ, đặt dễ nhớ thì bị dễ đoán và dễ trùng với các mật khẩu mà đã đặt với các dịch vụ khác. Một trong các dịch vụ trùng mật khẩu đó mà lộ ra thì có thể đi cả cụm.
Tip, có thể dùng các tool tạo và quản lý password random siêu mạnh như Lastpass, 1password. Dùng các tool này bạn chỉ cần nhớ 1 master password thôi, các pass khác khi cần thì lấy từ app ra.
3. Tạo tài khoản admin và không sử dụng tài khoản Root cho các tác vụ hàng ngày.
Ngay cả với các tác vụ quyền admin bạn cũng không nên dùng tài khoản Root. Dùng tài khoản Root càng nhiều thì càng dễ bị rò rỉ. Nên anh em không nên dùng Root nhé.
Tạo lấy các tài khoản IAM User dùng cho các mục đích cụ thể nhé. Cái nào nghi ngờ rò rỉ rồi thì xóa đi tạo cái mới cho an toàn anh em à.
4. Bật CloudTrail cho tất cả các region
Bật nó lên để nắm được ai? đã làm gì? ở đâu? khi nào? bằng cách nào? trên tài khoản của bạn.Khi nghi ngờ có hành động lạ nào đó đới với tài khoản của bạn thì nơi đầu tiên bạn truy vết điều tra là ở đây.
Một cách cực đoan, tránh việc không thể kiểm soát tài khoản của mình chặt chẽ thì bạn dùng region nào thì chỉ active region đó lên thôi. Test dev thì khuyên anh em nên dùng US East (N. Virginia)us-east-1 để làm nhé.
5. Cài đặt budget và billing alert
Thông tin và tiền bạc đều là tài sản quan trọng, và việc bị tấn công vào tài khoản có thể dẫn đến việc mất tiền hoặc rò rỉ dữ liệu, cả hai đều rất nghiêm trọng.
Đôi khi chúng ta không có đủ thời gian để theo dõi các giao dịch lạ, các dịch vụ tiêu tốn tiền mà không phải do chúng ta thực hiện. Đặt một ngân sách và cảnh báo về thanh toán cho tài khoản của bạn giúp bạn kiểm soát việc tiêu tiền của mình.
Ví dụ, nếu bạn dự tính chi 10 đô cho việc phát triển và thử nghiệm trong tháng này, bạn có thể đặt ngân sách là 10 đô và thiết lập cảnh báo qua email khi bạn đã tiêu hết 80% ngân sách này. Điều này giúp bạn phát hiện sớm và giải quyết vấn đề trước khi mất quá nhiều tiền.
Một cách đơn giản để làm điều này là phân chia thời gian thành các phần tương ứng với các mức cảnh báo qua email. Hoặc bạn cũng có thể thiết lập các tiêu chí cảnh báo theo ngày, ví dụ, nếu bạn mất 100 đô vào ngày đầu tiên của tháng, đó chắc chắn là một dấu hiệu cảnh báo.
6. Đặt alias cho các tài khoản
Bạn có tài khoản cá nhân, cũng như các tài khoản của khách hàng và công ty, mỗi tài khoản được đánh số ID riêng. Việc nhầm lẫn giữa các tài khoản có thể xảy ra, đặc biệt khi bạn đang bận rộn với công việc. Trong quá trình làm nhiều task, có thể bạn sẽ vô tình xóa mất tài nguyên của khách hàng vì nhầm lẫn đó là tài khoản của mình. Để giải quyết vấn đề này, việc đặt tên định danh (alias) sẽ giúp bạn phân biệt các tài khoản dễ dàng hơn và tránh được các lỗi do sơ suất của con người.
Tổng kết
Ở trên là những gợi ý cá nhân về các bước nên thực hiện khi thiết lập tài khoản AWS. Không chỉ áp dụng cho việc tạo tài khoản mới, mà còn cho những tài khoản đã tồn tại từ trước, bạn đã thực hiện các hành động này chưa? Hãy cùng tham khảo và áp dụng để tăng cường bảo mật hơn cho tài khoản của bạn.
