75
Amazon Web Services ภาพรวมของกระบวนการรักษาความปลอดภัย สิงหาคม 2015 หน้า 1 จาก 75 Amazon Web Services: ภาพรวมของกระบวนการรักษาความปลอดภัย สิงหาคม 2015 (โปรดดูเวอร์ชันล่าสุดสาหรับเอกสารนี้ทีhttp://aws.amazon.com/security/ )

AmazonWebServices: ภาพรวมของกระบวนการรักษาความปลอดภัย · Amazon Web Services – ภาพรวมของกระบวนการรักษาความปลอดภัย

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 1 จาก 75

Amazon Web Services: ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

(โปรดดเวอรชนลาสดส าหรบเอกสารนท http://aws.amazon.com/security/ )

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 2 จาก 75

สารบญ

ขอมลเบองตน .................................................................................................................................................................................. 5 โมเดลความรบผดชอบในการรกษาความปลอดภยรวมกน ............................................................................................................................ 5

ความรบผดชอบในการรกษาความปลอดภยของ AWS ........................................................................................................................... 6 ความรบผดชอบในการรกษาความปลอดภยของลกคา .............................................................................................................................. 6

การรกษาความปลอดภยส าหรบโครงสรางพนฐานสวนกลางของ AWS .......................................................................................................... 7 โปรแกรมการปฏบตตามขอก าหนดของ AWS ..................................................................................................................................... 7 การรกษาความปลอดภยทางกายภาพและทางสภาพแวดลอม ...................................................................................................................... 8

ระบบตรวจหาและดบเพลง .......................................................................................................................................................... 8 ไฟฟา .................................................................................................................................................................................... 8 สภาพอากาศและอณหภม ............................................................................................................................................................ 8 การจดการ .............................................................................................................................................................................. 8 การปลดการท างานของอปกรณเกบขอมล ........................................................................................................................................ 8

การบรหารความตอเนองทางธรกจ ..................................................................................................................................................... 9 ความพรอมใชงาน ..................................................................................................................................................................... 9 การตอบสนองตอเหตการณ ......................................................................................................................................................... 9 การตรวจสอบจากผบรหารทงบรษท............................................................................................................................................... 9 การสอสาร .............................................................................................................................................................................. 9

การรกษาความปลอดภยเครอขาย ...................................................................................................................................................... 10 สถาปตยกรรมเครอขายทปลอดภย ................................................................................................................................................ 10 จดเชอมตอทปลอดภย ............................................................................................................................................................... 10 การปกปองการสงขอมล ............................................................................................................................................................ 10 การแบงแยกหนาทของ Amazon Corporate ............................................................................................................................... 10 การออกแบบการคงทนตอความเสยหาย ......................................................................................................................................... 11 การตรวจสอบและการปกปองเครอขาย .......................................................................................................................................... 12

การเขาถง AWS ......................................................................................................................................................................... 14 การรววและการตรวจสอบบญช ................................................................................................................................................... 14 การตรวจสอบภมหลง ............................................................................................................................................................... 14 นโยบายขอมลประจ าตว ............................................................................................................................................................ 14

หลกการการออกแบบทปลอดภย ...................................................................................................................................................... 14 การจดการการเปลยนแปลง ............................................................................................................................................................. 15

ซอฟตแวร ............................................................................................................................................................................. 15 โครงสรางพนฐาน .................................................................................................................................................................... 15

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 3 จาก 75

คณสมบตการรกษาความปลอดภยของบญช AWS ................................................................................................................................... 16 ขอมลประจ าตว AWS ................................................................................................................................................................. 16

รหสผาน ............................................................................................................................................................................... 17

AWS Multi-Factor Authentication (AWS MFA) ............................................................................................................. 17

คยการเขาถง ........................................................................................................................................................................... 18 คคย ..................................................................................................................................................................................... 18 ใบรบรอง X.509.................................................................................................................................................................... 18

บญชผใชแตละราย ....................................................................................................................................................................... 19 จดเชอมตอ HTTPS ทปลอดภย ..................................................................................................................................................... 19 ลอกการรกษาความปลอดภย ........................................................................................................................................................... 19 การตรวจสอบการรกษาความปลอดภยของ AWS Trusted Advisor ..................................................................................................... 21

การรกษาความปลอดภยเฉพาะของบรการ AWS ..................................................................................................................................... 21 บรการประมวลผล ....................................................................................................................................................................... 21

การรกษาความปลอดภยของ Amazon Elastic Compute Cloud (Amazon EC2) .......................................................................... 21 การรกษาความปลอดภยของ Auto Scaling .................................................................................................................................. 25

บรการเครอขาย ........................................................................................................................................................................... 26 การรกษาความปลอดภยของ Amazon Elastic Load Balancing ................................................................................................... 26 การรกษาความปลอดภยของ Amazon Virtual Private Cloud (Amazon VPC) ............................................................................ 27 การรกษาความปลอดภยของ Amazon Route 53.......................................................................................................................... 31 การรกษาความปลอดภยของ Amazon CloudFront ...................................................................................................................... 32 การรกษาความปลอดภยของ AWS Direct Connect .................................................................................................................... 34

บรการพนทเกบขอมล ................................................................................................................................................................... 35 การรกษาความปลอดภยของ Amazon Simple Storage Service (Amazon S3) ............................................................................ 35 การรกษาความปลอดภยของ AWS Glacier ................................................................................................................................. 37 การรกษาความปลอดภยของ AWS Storage Gateway ................................................................................................................. 38 การรกษาความปลอดภยของ AWS Import/Export ...................................................................................................................... 39

บรการฐานขอมล ......................................................................................................................................................................... 41 การรกษาความปลอดภยของ Amazon DynamoDB ..................................................................................................................... 41 การรกษาความปลอดภยของ Amazon Relational Database Service (Amazon RDS) ................................................................. 42 การรกษาความปลอดภยของ Amazon Redshift........................................................................................................................... 46 การรกษาความปลอดภยของ Amazon ElastiCache ..................................................................................................................... 48

บรการส าหรบแอปพลเคชน ............................................................................................................................................................ 50 การรกษาความปลอดภยของ Amazon CloudSearch ................................................................................................................... 50 การรกษาความปลอดภยของ Amazon Simple Queue Service (Amazon SQS) ........................................................................... 51 การรกษาความปลอดภยของ Amazon Simple Notification Service (Amazon SNS) .................................................................. 51 การรกษาความปลอดภยของ Amazon Simple Workflow Service (Amazon SWF) .................................................................... 52 การรกษาความปลอดภยของ Amazon Simple Email Service (Amazon SES) ............................................................................ 52 การรกษาความปลอดภยบรการของ Amazon Elastic Transcoder .................................................................................................. 53 การรกษาความปลอดภยของ Amazon AppStream ...................................................................................................................... 54

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 4 จาก 75

บรการส าหรบการวเคราะห ............................................................................................................................................................. 55 การรกษาความปลอดภยของ Amazon Elastic MapReduce (Amazon EMR) .............................................................................. 55 การรกษาความปลอดภยของ Amazon Kinesis ............................................................................................................................ 56 การรกษาความปลอดภยของ AWS Data Pipeline ....................................................................................................................... 56

บรการดานการปรบใชงานและการจดการ ........................................................................................................................................... 57

AWS Identity and Access Management (AWS IAM) ...................................................................................................... 57

การรกษาความปลอดภยของ Amazon CloudWatch .................................................................................................................... 58 การรกษาความปลอดภยของ AWS CloudHSM .......................................................................................................................... 59 การรกษาความปลอดภยของ AWS CloudTrail ........................................................................................................................... 60

บรการบนมอถอ .......................................................................................................................................................................... 60

Amazon Cognito ............................................................................................................................................................... 60

Amazon Mobile Analytics ................................................................................................................................................ 62

แอปพลเคชนตางๆ ....................................................................................................................................................................... 62

Amazon WorkSpaces ........................................................................................................................................................ 62

Amazon WorkDocs ........................................................................................................................................................... 63

ภาคผนวก – อภธานศพท ................................................................................................................................................................... 65 การเปลยนแปลงจากเวอรชนลาสด (พ.ย. 2014): ................................................................................................................................. 73

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 5 จาก 75

ขอมลเบองตน

Amazon Web Services (AWS) ใหบรการแพลตฟอรมการประมวลผลแบบคลาวดทปรบขนาดได ซงมาพรอมกบความพรอมใชงานและ

ความนาเชอถอระดบสง จงเปนเครองมอทชวยใหลกคาสามารถใชงานแอปพลเคชนไดหลากหลาย การใหความชวยเหลอในดานการปกปองความลบ ความถกตอง และความพรอมใชงานของระบบและขอมลของลกคา เปนสงท AWS ใหความส าคญสงสด รวมไปถงการรกษาความไวใจและความเชอมนของลกคา เอกสารฉบบนจดท าขนเพอตอบค าถามตางๆ เชน “AWS ชวยปกปองขอมลของฉนอยางไร” และมการอธบายกระบวนการรกษาความปลอดภยทางกายภาพและทางการปฏบตงานของ AWS โดยเฉพาะส าหรบโครงสรางพนฐานดานเครอขายและเซรฟเวอรภายใตการจดการของ AWS ตลอดจน

การปรบใชการรกษาความปลอดภยเฉพาะบรการ

โมเดลความรบผดชอบในการรกษาความปลอดภยรวมกน

กอนทเราจะดกนทรายละเอยดวธท AWS รกษาความปลอดภยใหทรพยากร เราควรมาพดถงความแตกตางของการรกษาความปลอดภยในระบบคลาวด เมอเทยบกบการรกษาความปลอดภยในศนยขอมลภายในองคกรของคณ เมอคณยายระบบคอมพวเตอรและขอมลไปยงคลาวด คณและผใหบรการ

ระบบคลาวดจะตองรบผดชอบตอการรกษาความปลอดภยรวมกน ในกรณน AWS จะรบผดชอบตอการรกษาความปลอดภยใหกบโครงสรางพนฐาน

ส าคญทรองรบระบบคลาวด และคณจะตองรบผดชอบตอทกสงทคณใสไวในระบบคลาวดหรอเชอมตอกบระบบคลาวด โมเดลความรบผดชอบในการ

รกษาความปลอดภยรวมกนนจะชวยลดภาระดานการปฏบตงานในหลายๆ ทาง และในบางกรณอาจชวยปรบปรงแผนการรกษาความปลอดภยเรมตน

ของคณ โดยทคณไมตองด าเนนการเพมเตมใดๆ ในสวนของคณ

รปภาพ 1: โมเดลความรบผดชอบในการรกษาความปลอดภยรวมกนของ AWS

ปรมาณงานการก าหนดคาการรกษาความปลอดภยทคณตองท าจะตางกนออกไป โดยขนอยกบบรการทคณเลอกและระดบความส าคญของขอมล อยางไรกตาม มคณสมบตการรกษาความปลอดภยบางอยาง เชน บญชผใชสวนบคคลและขอมลรบรองตวตน, SSL/TLS ส าหรบการสงขอมล และ การบนทกกจกรรมของผใช ทคณควรเปนผก าหนดคา ไมวาจะใชบรการ AWS ใดกตาม ส าหรบขอมลเพมเตมเกยวกบคณสมบตการรกษาความปลอดภยเหลาน โปรดดทสวน “คณสมบตการรกษาความปลอดภยของบญช AWS” ดานลาง

บญชและขอมลประจ าตว

ลกคา

โครงสรางพนฐานสวนกลางของ AWS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 6 จาก 75

ความรบผดชอบในการรกษาความปลอดภยของ AWS

Amazon Web Services รบผดชอบตอการปกปองโครงสรางพนฐานสวนกลางทใชงานบรการทงหมดทมใหใน AWS Cloud โครงสรางพนฐานนประกอบดวยฮารดแวร ซอฟตแวร เครอขาย และสถานทตงทใชงานบรการ AWS การปกปองโครงสรางพนฐานนเปนสงท AWS ใหความส าคญเปนอนดบแรก และแมคณจะไมสามารถไปทศนยขอมลหรอออฟฟศเพอดการปกปองนดวยตนเอง เรากมรายงานหลายฉบบจากผตรวจสอบภายนอกทไดตรวจสอบการปฏบตตามขอก าหนดของเราโดยเทยบกบมาตรฐานและกฎระเบยบดานการรกษาความปลอดภยของคอมพวเตอรตางๆ (ส าหรบขอมลเพมเตม โปรดไปท (aws.amazon.com/compliance)

โปรดทราบวานอกเหนอจากการปกปองโครงสรางพนฐานสวนกลางน AWS ยงรบผดชอบตอการก าหนดคาผลตภณฑทถอวาเปนบรการทมการจดการ อกดวย ตวอยางของบรการประเภทดงกลาวไดแก Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic

MapReduce, Amazon WorkSpaces และอกหลายๆ บรการ บรการเหลานมาพรอมกบทรพยากรระบบคลาวดทสามารถปรบขนาดไดและมความยดหยน อกทงยงมขอดเสรมคอสามารถบรหารจดการได ส าหรบบรการเหลาน AWS จะจดการงานการรกษาความปลอดภยพนฐาน เชน ระบบปฏบตการเยอน (OS) การแกไขความบกพรองของฐานขอมล การก าหนดคาไฟรวอลล และการกคนจากความเสยหายรนแรง ส าหรบบรการการจดการสวนใหญเหลาน ทงหมดทคณตองท ากคอการก าหนดคาการควบคมการเขาถงแบบลอจคล และปองกนขอมลประจ าตวของบญช มเพยงบรการบางอยางทอาจตองการการด าเนนการเพมเตม เชน การตงคาบญชผใชส าหรบฐานขอมล อยางไรกตามงานการก าหนดคาการรกษาความปลอดภยจะด าเนนการโดยบรการน

ความรบผดชอบในการรกษาความปลอดภยของลกคา

คณสามารถใช AWS Cloud ในการจดเตรยมเซรฟเวอร พนทเกบขอมล และเดสกทอปในแบบเสมอน โดยใชเวลาเพยงไมกนาทแทนทจะตองใชเวลาหลายสปดาห นอกจากน คณยงสามารถใชการวเคราะหและเครองมอเวรกโฟลวระบบคลาวดเพอประมวลผลขอมลตามทคณตองการ แลวเกบไวในศนยขอมลของคณเองหรอในระบบคลาวด บรการ AWS ทคณใชจะก าหนดปรมาณงานการก าหนดคาทคณตองด าเนนการ ในฐานะทเปนสวนหนงของความรบผดชอบในการรกษาความปลอดภยของคณ

ผลตภณฑ AWS ทอยในประเภททเปนทรจกของการใหบรการโครงสรางพนฐาน (IaaS) เชน Amazon EC2, Amazon VPC และ Amazon S3

อยภายใตการควบคมของคณโดยสมบรณ และคณจ าเปนตองด าเนนการก าหนดคาการรกษาความปลอดภย ตลอดจนงานดานการบรหารจดการทงหมด ตวอยางเชน ส าหรบ EC2 Instance คณตองรบผดชอบในการจดการ OS เยอน (รวมถงการอปเดตและการแกไขความบกพรองในดานการรกษาความปลอดภย), ซอฟตแวรแอปพลเคชนหรอยทลตใดๆ ทคณตดตงในอนสแตนซ และการก าหนดคาของไฟรวอลลจาก AWS (เรยกวากลมการรกษาความปลอดภย) ในแตละอนสแตนซ งานเหลานเปนงานการรกษาความปลอดภยเดยวกนกบทคณเคยท า ไมวาเซรฟเวอรของคณจะตงอยทใดกตาม

บรการการจดการของ AWS เชน Amazon RDS หรอ Amazon Redshift จะมาพรอมกบทรพยากรทงหมดทคณตองการในการด าเนนการเฉพาะดาน แตไมรวมถงการก าหนดคาทมาพรอมกนดวย ดวยบรการการจดการ คณจะไมตองกงวลกบการเปดใชงานและการดแลจดการอนสแตนซแตอยางใด รวมไปถงการแกไขขอบกพรองของ OS เยอนหรอฐานขอมล หรอการจ าลองแบบฐานขอมล เพราะ AWS จะจดการใหคณเอง แตส าหรบบรการทงหมด คณควรปกปองขอมลประจ าตวของบญช AWS และตงคาบญชผใชแตละรายดวย Identity and Access Management (IAM) ของ Amazon

เพอใหผใชแตละรายของคณมขอมลประจ าตวของตนเอง และเพอใหคณสามารถใชงานการแบงหนาทได นอกจากน เราขอแนะน าใหใช Multi-Factor

Authentication (MFA) กบแตละบญช ซงจ าเปนตองใช SSL/TLS ในการสอสารกบทรพยากร AWS ของคณ และขอแนะน าใหตงคาการบนทกกจกรรม API/ผใชดวย AWS CloudTrail ส าหรบขอมลเพมเตมเกยวกบมาตรการเพมเตมทคณสามารถใชได โปรดดท รายงานแนวทางปฏบตการรกษาความปลอดภยของ AWS และขอแนะน าใหอานในเวบเพจ ทรพยากรการรกษาความปลอดภยของ AWS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 7 จาก 75

การรกษาความปลอดภยส าหรบโครงสรางพนฐานสวนกลางของ AWS

AWS ใชงานโครงสรางพนฐานระบบคลาวดสวนกลางทคณใชเพอจดเตรยมทรพยากรระบบคอมพวเตอรพนฐานตางๆ เชน การประมวลผลและพนทเกบขอมล โครงสรางพนฐานสวนกลางของ AWS รวมถง สถานท เครอขาย ฮารดแวร และซอฟตแวรปฏบตการ (เชน OS โฮสต ซอฟตแวรเสมอน ฯลฯ)

ซงรองรบการจดเตรยมและการใชงานทรพยากรเหลาน โครงสรางพนฐานสวนกลางของ AWS ไดรบการออกแบบและจดการโดยองตามแนวทางปฏบตดานการรกษาความปลอดภย รวมถงมาตรฐานในการก ากบดแลการรกษาความปลอดภยตางๆ ในฐานะลกคา AWS คณมนใจไดเลยวาคณก าลงสรางโครงสรางเวบบนโครงสรางพนฐานระบบคอมพวเตอรทมความปลอดภยทสดระบบหนงของโลก

โปรแกรมการปฏบตตามขอก าหนดของ AWS

โปรแกรมการปฏบตตามขอก าหนดของ Amazon Web Services ชวยใหลกคาเขาใจการควบคมทแขงแกรงทมอยของ AWS และการปกปองขอมลในระบบคลาวด เนองจากระบบถกสรางบนโครงสรางพนฐานของระบบคลาวด AWS ความรบผดชอบในดานการปฏบตตามกฎระเบยบจะตองมรวมกน ดวยการผกคณสมบตบรการทเออตอการตรวจสอบและมงเนนทการควบคมเขากบมาตรฐานการปฏบตตามกฎระเบยบและการตรวจสอบทเกยวของ เครองมอเปดใชงานการปฏบตตามขอก าหนดของ AWS https://aws.amazon.com/compliance/compliance-enablers/นนสรางขนบนโปรแกรมดงเดม ซงชวยลกคาในการสรางและใชงานในสภาพแวดลอมการควบคมความปลอดภยของ AWS โครงสรางพนฐาน IT ท AWS มอบใหกบลกคาไดรบการออกแบบและจดการโดยสอดคลองกบแนวทางปฏบตดานการรกษาความปลอดภย และมาตรฐานการรกษาความปลอดภยทาง IT ตางๆ ซงรวมถง:

SOC 1/SSAE 16/ISAE 3402 (เดมคอ SAS 70)

SOC 2

SOC 3

FISMA, DIACAP และ FedRAMP

DOD CSM ระดบ 1-5

PCI DSS ระดบ 1

ISO 9001 / ISO 27001

ITAR

FIPS 140-2

MTCS ระดบ 3

นอกจากน ความยดหยนและการควบคมทมาพรอมกบแพลตฟอรม AWS จะชวยใหลกคาสามารถปรบใชโซลชนทสอดคลองตามมาตรฐานอตสาหกรรมเฉพาะหลากหลายรายการ ซงรวมถง:

Criminal Justice Information Services (CJIS)

พนธมตรความปลอดภยบนระบบคลาวด (CSA)

Family Educational Rights and Privacy Act (FERPA)

Health Insurance Portability and Accountability Act (HIPAA)

Motion Picture Association of America (MPAA)

AWS มาพรอมกบขอมลหลากหลายทเกยวของกบสภาพแวดลอมการควบคม IT ส าหรบลกคา ในรปของเอกสาร รายงาน เอกสารรบรอง การรบรองคณภาพ และการยนยนจากหนวยงานอนๆ โปรดดขอมลเพมเตมเกยวกบรายงานความเสยงและการปฏบตตามขอก าหนดบนเวบไซต: http://aws.amazon.com/compliance/

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 8 จาก 75

การรกษาความปลอดภยทางกายภาพและทางสภาพแวดลอม

ศนยขอมลของ AWS คอแนวทางดานสถาปตยกรรมและวศวกรรมทล าสมย และเปยมดวยนวตกรรม Amazon มประสบการณหลากหลายปในการออกแบบ สราง และด าเนนการกบศนยขอมลขนาดใหญ และไดน าประสบการณนมาใชกบแพลตฟอรมและโครงสรางพนฐานของ AWS ศนยขอมล AWS ตงอยในสถานททไมโดดเดน มการควบคมการเขาถงทางกายภาพอยางเขมงวด ทงสวนนอกสดและจดทางเขาของอาคาร โดยเจาหนาทรกษา ความปลอดภยมออาชพทใชการตรวจตราทางกลองวงจรปด ระบบการตรวจหาการบกรก และวธการทางอเลกทรอนกสอนๆ เจาหนาททไดรบอนญาต

จะตองผานการตรวจสอบสองปจจยอยางนอยสองครง จงจะเขาสชนตางๆ ของศนยขอมลได ผเยยมชมและผรบจางจะตองแสดงบตรประจ าตวและไดรบ

การลงทะเบยน และตดตามโดยเจาหนาททไดรบอนญาตอยางตอเนอง

AWS ใหสทธการเขาถงศนยขอมลและขอมลแกพนกงานและผรบจางทตองการสทธดงกลาวในเชงธรกจเทานน เมอพนกงานไมจ าเปนตองมสทธในเชงธรกจอกตอไป สทธเขาถงของพวกเขาจะถกเพกถอนทนท แมวาจะยงคงเปนพนกงานของ Amazon หรอ Amazon Web Services อยกตาม สทธเขาถงศนยขอมลทางกายภาพทงหมดของ AWS จะไดรบการบนทกขอมลและตรวจสอบเปนประจ า

ระบบตรวจหาและดบเพลง

มการตดตงอปกรณตรวจหาและดบเพลงอตโนมตเพอลดความเสยง ระบบตรวจหาเพลงจะใชเซนเซอรตรวจจบควนในทกพนทของศนยขอมล รวมถงพนทโครงสรางพนฐานทางเครองกลและไฟฟา หองเยน และหองเกบอปกรณเครองก าเนดไฟฟา พนทเหลานไดรบการปองกนดวยระบบหวกระจายน าแบบทอเปยก แบบทอแหงชะลอน าเขา Double-interlocked หรอแบบใชแกซ

ไฟฟา

ระบบไฟฟาของศนยขอมลไดรบการออกแบบมาใหมก าลงไฟเหลอเฟอเตมท และสามารถท าการบ ารงรกษาโดยไมมผลตอการปฏบตงานตลอด 24 ชวโมง 7 วนตอสปดาห หนวยอปกรณส ารองไฟฟา (UPS) เปนแหลงไฟฟาส ารองในกรณทระบบไฟฟาลมเมอมการใชก าลงไฟส าหรบเหตการณส าคญและจ าเปนในสถานท ศนยขอมลจะใชเครองก าเนดไฟฟาในการจายก าลงไฟส ารองส าหรบสวนตางๆ ทงหมด

สภาพอากาศและอณหภม

การควบคมสภาพอากาศมความจ าเปนส าหรบการรกษาอณหภมปฏบตงานทคงทส าหรบเซรฟเวอรและฮารดแวรอนๆ ซงจะปองกนการเกดความรอนมากเกนไปและลดความเปนไปไดในการเกดเหตการณบรการหยดท างาน ศนยขอมลไดรบการปรบสภาพเพอรกษาสภาพบรรยากาศทระดบทเหมาะสม เจาหนาทและระบบจะคอยตรวจสอบและควบคมอณหภมและความชนทระดบทเหมาะสม

การจดการ

AWS จะตรวจสอบระบบและอปกรณส าหรบไฟฟา เครองกล และระบบชวยเหลอฉกเฉน เพอใหปญหาตางๆ ไดรบการระบอยางทนทวงท มการด าเนนการบ ารงรกษาเชงปองกนเพอรกษาความพรอมในการใชอปกรณอยางตอเนอง

การปลดการท างานของอปกรณเเกบบขอมล

เมออปกรณเกบขอมลสนสดอายการใชงาน การด าเนนการ AWS จะมขนตอนในการปลดการท างาน ซงออกแบบมาเพอปองกนไมใหขอมลของลกคาถกเปดเผยตอบคคลทไมไดรบอนญาต AWS ใชเทคนคตามทระบใน DoD 5220.22-M (“National Industrial Security Program Operating

Manual”) หรอ NIST 800-88 (“Guidelines for Media Sanitization”) เพอท าลายขอมลอนเปนสวนหนงของกระบวนการปลดการท างาน อปกรณเกบขอมลแบบแมเหลกทถกปลดการท างานทงหมดจะถกลบสภาพแมเหลก และท าลายทงตามวธทเปนมาตรฐานอตสาหกรรม

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 9 จาก 75

การบรหารความตอเนองทางธรกจ

โครงสรางพนฐานของ Amazon มความพรอมใชงานในระดบสง และมอบคณสมบตในการปรบใชสถาปตยกรรม IT ทมความยดหยนแกลกคา AWS

ไดออกแบบระบบมาใหสามารถทนตอความลมเหลวของระบบหรอของฮารดแวร โดยมผลกระทบตอลกคานอยทสด การบรหารความตอเนองทางธรกจของศนยขอมลท AWS อยภายใตการควบคมดแลของ Amazon Infrastructure Group

ความพรอมใชงาน

ศนยขอมลสรางเปนกลมอยในภมภาคตางๆ ทวโลก ศนยขอมลทงหมดเปนแบบออนไลน และใหบรการแกลกคา ไมมศนยขอมลใดทเปนแบบ “Cold”

หรอไมมการใชงานเปนเวลานาน ในกรณทระบบลมเหลว จะมกระบวนการอตโนมตทยายการรบสงขอมลออกจากบรเวณทไดรบผลกระทบ แอปพลเคชนหลกจะไดรบการปรบใชในการก าหนดคา N+1 เพอทในกรณทเกดการลมเหลวของศนยขอมล จะไดมความจเพยงพอทชวยใหมการรบสงขอมลเพอสรางสมดลส าหรบไซตทเหลอ

AWS มาพรอมกบความยดหยนส าหรบการวางอนสแตนซและการเกบขอมลภายในภมภาคทางภมศาสตรหลากหลายแหง รวมถงขาม Availability

Zone ภายในแตละภมภาค Availability Zone แตละโซนออกแบบมาใหเปนโซนทความลมเหลวจะไมขนตอกน ซงหมายความวา Availability

Zone นนแยกจากกนทางกายภาพภายในเขตเมองทวไป และอยในทราบทมความเสยงตอการเกดอทกภยในระดบต า (การจดประเภทโซนอทกภยทเฉพาะเจาะจงจะแตกตางไปตามภมภาค) นอกเหนอจากอปกรณส ารองไฟฟา (UPS) ทแยกกนและสถานทสรางการส ารองขอมลแบบนอกสถานทแลว ยงมการจายไฟผานสายไฟคนละสายจากหนวยอปกรณทแยกกน เพอลดจดเดยวของความลมเหลวตอไป Availability Zone จะเชอมตอกนทงหมดกบ

ผใหบรการเครอขายแบบ Tier 1 หลายราย

คณควรออกแบบการใชงาน AWS ของคณใหใชประโยชนจากภมภาคและ Availability Zone หลายแหง การกระจายแอปพลเคชนขาม Availability Zone หลายแหงจะชวยท าใหสามารถรกษาความยดหยนในกรณทเกดความลมเหลวในรปแบบใดๆ รวมถงการเกดภยธรรมชาตหรอระบบหยดท างาน

การตอบสนองตอเหตการณเ

ทมการจดการเหตการณของ Amazon ใชวธการวนจฉยตามมาตรฐานอตสาหกรรมในการด าเนนการแกไขปญหาเมอเกดเหตการณทสงผลกระทบ

ตอธรกจ การปฏบตการของเจาหนาทครอบคลมการตรวจสอบเหตการณและการจดการกบผลกระทบและการแกไขปญหา โดยมการด าเนนการตลอด 24 ชวโมงไมมวนหยด

การตรวจสอบจากผบรหารทงบรษท

กลมการตรวจสอบภายในของ Amazon ไดท าการตรวจสอบแผนเกยวกบความยดหยนของบรการ AWS เมอเรวๆ น ซงมการตรวจสอบเปนระยะ

โดยสมาชกของทมผบรหารอาวโสและกรรมาธการตรวจสอบของคณะกรรมการผบรหาร

การสอสาร

AWS ใชวธการสอสารภายในทหลากหลายวธในระดบโลก เพอชวยใหพนกงานเขาใจบทบาทและความรบผดชอบของแตละบคคล และเพอแจงใหทราบ

ถงเหตการณส าคญอยางทนทวงท วธเหลาน ไดแก โปรแกรมการแนะน าเบองตนและการฝกอบรมส าหรบพนกงานใหม การประชมฝายบรหารทจดขนเปนประจ าเพออปเดตขาวสารเกยวกบผลการด าเนนธรกจและหวขออนๆ รวมไปถงวธทางอเลกทรอนกส เชน การประชมผานวดโอ ขอความอเมล และการโพสตขอมลผานอนทราเนตของ Amazon

AWS ยงใชวธการสอสารภายนอกทหลากหลาย เพอรองรบฐานลกคาและชมชน โดยมการใชกลไกทท าใหทมสนบสนนลกคาไดรบแจงถงปญหาดาน

การปฏบตการทมผลตอประสบการณทลกคาไดรบ “Service Health Dashboard” มใหบรการและไดรบการดแลจดการโดยทมสนบสนนลกคา เพอแจงใหลกคาทราบถงปญหาใดๆ ทอาจสงผลกระทบโดยกวาง “AWS Security Center” พรอมใหบรการเพอมอบความปลอดภยใหคณ ตลอดจนรายละเอยดการปฏบตตามขอก าหนดของ AWS และคณยงสามารถสมครรบขอมลขอเสนอ AWS Support ซงรวมถงการสอสารโดยตรงกบทมสนบสนนลกคาและการแจงเตอนเชงรกเมอเกดประเดนทมผลตอลกคา

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 10 จาก 75

การรกษาความปลอดภยเครอขาย

เครอขาย AWS ไดรบการออกแบบมาใหคณสามารถเลอกระดบความปลอดภยและความยดหยนทเหมาะสมกบเวรกโหลดของคณ เพอใหคณสามารถสรางสถาปตยกรรมเวบทตงอยแยกกนและสามารถท างานตอไปไดแมเกดขอบกพรอง พรอมทงมทรพยากรระบบคลาวด AWS จงไดใชโครงสรางพนฐานเครอขายระดบโลกซงไดรบการตรวจสอบและจดการอยางรอบคอบ

สถาปตยกรรมเครอขายทปลอดภย

อปกรณเครอขาย รวมถงไฟรวอลลและอปกรณแบงเขตอนๆ พรอมใหใชงานเพอตรวจสอบและควบคมการสอสารทขอบเขตภายนอกของเครอขายและทขอบเขตภายในทส าคญภายในเครอขาย อปกรณแบงเขตเหลานจะใชชดกฎ รายการควบคมการเขาถง (ACL) และการก าหนดคา ในการควบคมกระแสขอมลทสงไปยงบรการระบบขอมลทเฉพาะเจาะจง

ACL หรอนโยบายโฟลวการรบสงขอมล จะไดรบการสรางบนอนเทอรเฟซทมการจดการแตละรายการ ซงจะจดการและบงคบใหเกดโฟลวการรบสงขอมล นโยบาย ACL ไดรบการอนมตโดย Amazon Information Security นโยบายเหลานไดรบการบงคบใชโดยอตโนมตโดยใชเครองมอ ACL-

Manage ของ AWS เพอใหมนใจวาอนเทอรเฟซทไดรบการจดการเหลานจะท าใหมการใช ACL ทอปเดตทสด

จดเชอมตอทปลอดภย

AWS ไดวางจดเชอมตอจ านวนจ ากดในระบบคลาวดเพอใหสามารถตรวจสอบการสอสารขาเขาและขาออก รวมไปถงการรบสงขอมลทางเครอขายอยางครอบคลม จดเชอมตอลกคาเหลานเรยกวาต าแหนงขอมล API และยงสามารถใชการเขาถง HTTP แบบปลอดภย (HTTPS) ซงชวยใหคณสรางเซสชนการสอสารทปลอดภยกบพนทเกบขอมลหรออนสแตนซการประมวลผลภายใน AWS เพอเปนการรองรบลกคาทมขอก าหนดการเขารหส FIPS โหลด

บาลานเซอรแบบ SSL-terminating ใน AWS GovCloud (US) จะเปนไปตามมาตรฐาน FIPS 140-2

นอกจากน AWS ยงใชอปกรณเครอขายทออกแบบมาโดยเฉพาะส าหรบการจดการการเชอมตอการสอสารดวยผใหบรการอนเทอรเนต (ISP) AWS จะใชการเชอมตอกบบรการสอสารมากกวาหนงรายการทสวนเชอมอนเทอรเนตแตละรายการของเครอขาย AWS การเชอมตอเหลานจะมอปกรณเครอขายเฉพาะ

การปกปองการสงขอมล

คณสามารถเชอมตอกบจดเชอมตอ AWS ผาน HTTP หรอ HTTPS โดยใช Secure Sockets Layer (SSL) ซงเปนโปรโตคอลการเขารหสทออกแบบมาเพอปองกนการดกขอมล การดดแปลง หรอการปลอมแปลงขอความ

ส าหรบลกคาทตองการการรกษาความปลอดภยเครอขายเพมเตมอกชน AWS ขอเสนอ Amazon Virtual Private Cloud (VPC) ซงใหบรการซบเนตสวนตวภายใน AWS Cloud รวมถงความสามารถในการใชอปกรณ IPsec Virtual Private Network (VPN) เพอมอบทนเนลทม

การเขารหสระหวาง Amazon VPC และศนยขอมลของคณ ส าหรบขอมลเพมเตมเกยวกบตวเลอกการก าหนดคา VPC โปรดอานสวน การรกษา ความปลอดภยของ Amazon Virtual Private Cloud (Amazon VPC) ทดานลาง

การแบงแยกหนาทของ Amazon Corporate

ตามตรรกะแลว เครอขาย AWS Production จะแยกออกจากเครอขาย Amazon Corporate โดยใชชดการรกษาความปลอดภยเครอขาย / อปกรณแบงแยกทซบซอน นกพฒนาและผดแลระบบ AWS ในเครอขายบรษททตองการสทธเขาถงคอมโพเนนตของ AWS Cloud เพอท าการบ ารงรกษา จะตองรองขอสทธเขาถงผานทางระบบการออกทคเกตของ AWS อยางชดแจง ค าขอทงหมดจะไดรบการตรวจสอบและอนมตโดยผใหบรการทเกยวของ

จากนน บคลากรของ AWS ทไดรบการอนมตจะเชอมตอกบเครอขาย AWS ผานโฮสตทมความเสยงถกโจมตทจ ากดการเขาถงอปกรณเครอขายและคอมโพเนนตคลาวดอนๆ และมการบนทกกจกรรมทงหมดเพอการตรวจสอบการรกษาความปลอดภย การเขาถงโฮสตทมความเสยงถกโจมตจะตองมการรบรองสทธคยสาธารณะ SSH ส าหรบบญชผใชทงหมดบนโฮสต ส าหรบขอมลเพมเตมเกยวกบสทธเขาถงแบบลอจคลส าหรบนกพฒนาและผดแลระบบ AWS โปรดดท สทธเขาถง AWS ดานลาง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 11 จาก 75

การออกแบบการคงทนตอความเสยหาย

โครงสรางพนฐานของ Amazon มความพรอมใชงานในระดบสง และมอบความสามารถในการปรบใชสถาปตยกรรม IT ทมความยดหยนใหแกลกคา AWS ไดออกแบบระบบมาใหสามารถทนตอความลมเหลวของระบบหรอของฮารดแวร โดยมผลกระทบตอลกคานอยทสด

ศนยขอมลสรางเปนกลมอยในภมภาคตางๆ ทวโลก ศนยขอมลทงหมดเปนแบบออนไลน และใหบรการแกลกคา ไมมศนยขอมลใดทเปนแบบ “Cold” หรอไมมการใชงานเปนเวลานาน ในกรณทระบบลมเหลว จะมกระบวนการอตโนมตทยายการรบสงขอมลออกจากบรเวณทไดรบผลกระทบ แอปพลเคชนหลกจะไดรบการปรบใชในการก าหนดคา N+1 เพอทในกรณทเกดการลมเหลวของศนยขอมล จะไดมความจเพยงพอทชวยใหมการรบสงขอมลเพอสรางสมดลส าหรบไซตทเหลอ

AWS มาพรอมกบความยดหยนส าหรบการวางอนสแตนซและการเกบขอมลภายในภมภาคทางภมศาสตรหลากหลายแหง รวมถงขาม Availability

Zone ภายในแตละภมภาค Availability Zone แตละโซนออกแบบมาใหเปนโซนทความลมเหลวจะไมขนตอกน ซงหมายความวา Availability

Zone นนแยกจากกนทางกายภาพภายในเขตเมองทวไป และอยในทราบทมความเสยงตอการเกดอทกภยในระดบต า (การจดประเภทโซนอทกภยทเฉพาะเจาะจงจะแตกตางไปตามภมภาค) นอกเหนอจากการใชอปกรณส ารองไฟฟา (UPS) ทแยกกนและเครองมอสรางการส ารองขอมลแบบนอกสถานทแลว ยงมการจายไฟผานสายไฟคนละสายจากหนวยอปกรณทแยกกน เพอลดจดเดยวของความลมเหลวตอไป Availability Zone จะเชอมตอกนทงหมดกบผใหบรการเครอขายแบบ Tier 1 หลายราย

คณควรออกแบบการใชงาน AWS ของคณใหใชประโยชนจากภมภาคและ Availability Zone หลายแหง การกระจายแอปพลเคชนขาม Availability Zone หลายแหงจะชวยท าใหสามารถรกษาความยดหยนในกรณทเกดสถานการณความลมเหลวใดๆ รวมถงการเกดภยธรรมชาตหรอระบบหยดท างาน อยางไรกตาม คณควรค านงถงขอก าหนดดานความเปนสวนตวและการปฏบตตามขอก าหนดทขนอยกบสถานท เชน Data Privacy

Directive ของ EU จะไมมการท าส าเนาขอมลระหวางภมภาค เวนแตจะด าเนนการโดยลกคาในเชงรก จงชวยใหลกคาทมการขอก าหนดในดานความเปนสวนตวละการวางต าแหนงขอมลประเภทเหลานสามารถสรางสภาพแวดลอมทมการปฏบตตามกฎระเบยบได ควรทราบวาการสอสารทงหมดระหวางภมภาคเปนการสอสารแบบขามโครงสรางพนฐานอนเทอรเนตสาธารณะ ดงนนจงควรใชวธการเขารหสทเหมาะสมในการปกปองขอมลส าคญ

โดยในขณะน ม 11 ภมภาค ไดแก สหรฐอเมรกาฝงตะวนออก (เวอรจเนยตอนเหนอ), สหรฐอเมรกาฝงตะวนตก (โอรกอน), สหรฐอเมรกาฝงตะวนตก (แคลฟอรเนยตอนเหนอ), AWS GovCloud (สหรฐอเมรกา), EU (ไอรแลนด), EU (แฟรงกเฟรต), เอเชยแปซฟก (สงคโปร), เอเชยแปซฟก (โตเกยว), เอเชยแปซฟก (ซดนย), อเมรกาใต (เซาเปาโล) และจน (ปกกง)

AWS GovCloud (สหรฐอเมรกา) เปนภมภาคของ AWS ทแยกออกมา ซงออกแบบมาเพอชวยใหหนวยงานรฐบาลของสหรฐอเมรกาและลกคาสามารถยายเวรกโหลดไปยงระบบคลาวด เปนการชวยใหพวกเขาด าเนนการไดตามขอก าหนดดานกฎระเบยบและการก ากบดแล เฟรมเวรก AWS

GovCloud (สหรฐอเมรกา) ชวยใหหนวยงานรฐบาลสหรฐอเมรกาและผรบจางด าเนนการไดสอดคลองตาม International Traffic in Arms

Regulations (ITAR) ของสหรฐอเมรกา รวมถงขอก าหนดของ Federal Risk and Authorization Management Program (FedRAMP)

AWS GovCloud (US) ไดรบ Agency Authorization to Operate (ATO) จากกระทรวงสาธารณสขสหรฐ (HHS) โดยใช FedRAMP ทไดรบการรบรองจาก Third Party Assessment Organization (3PAO) ส าหรบบรการตางๆ ของ AWS

ภมภาคของ AWS GovCloud (US) มการออกแบบทคงทนตอความเสยหาย เชนเดยวกบภมภาคอนๆ ทม Availability Zone สองโซน นอกจากน ภมภาคของ AWS GovCloud (สหรฐอเมรกา) ยงเปนบรการ Virtual Private Cloud (VPC) ของ AWS ทจ าเปนตามคาเรมตน ส าหรบการสรางสวนทแยกตางหากของ AWS cloud และการใชงาน EC2 Instance ของ Amazon ทมทอยแบบสวนตว (RFC 1918) โปรดดขอมลเพมเตมเกยวกบ GovCloud บนเวบไซต AWS: http://aws.amazon.com/govcloud-us/

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 12 จาก 75

รปภาพ 2: ภมภาคและ Availability Zone

โปรดทราบวาจ านวนของ Availability Zone อาจมการเปลยนแปลง

การตรวจสอบและการปกปองเครอขาย

AWS ใชประโยชนจากระบบการตรวจสอบอตโนมตทหลากหลาย เพอมอบประสทธภาพและความพรอมใหบรการในระดบสง เครองมอตรวจสอบของ AWS ไดรบการออกแบบมาเพอใหตรวจหากจกรรมทผดปกตหรอไมไดรบอนญาต รวมถงเงอนไขทจดการสอสารขาเขาและขาออก เครองมอเหลานจะตรวจสอบการใชงานเซรฟเวอรและเครอขาย กจกรรมการสแกนพอรต การใชงานแอปพลเคชน และความพยายามในการบกรกโดยไมไดรบอนญาต เครองมอเหลานมความสามารถในการก าหนดเกณฑการวดประสทธภาพแบบก าหนดเองส าหรบกจกรรมทผดปกต

มการตดตงระบบภายใน AWS อยางครอบคลมเพอการตรวจสอบตววดผลการปฏบตการหลก และยงมการก าหนดคาการแจงเตอนใหแจงเจาหนาทฝายปฏบตการและฝายบรหาร เพอเตอนลวงหนาเมอมการละเมดเกณฑตามตววดผลการปฏบตการหลก มการใชก าหนดการแบบเตรยมพรอมส าหรบการปฏบตงาน เพอใหเจาหนาทพรอมรบมอกบปญหาดานการปฏบตงานตลอดเวลา ซงรวมถงระบบเพจเจอร เพอใหมการแจงเตอนเจาหนาทปฏบตการอยางรวดเรวและเชอถอได

เอกสารจะไดรบการดแลจดการเพอชวยเหลอและแจงขอมลแกเจาหนาทปฏบตการ เพอการจดการเหตการณและปญหาตางๆ หากการแกไขปญหาตองมการท างานรวมกน จะมการใชระบบการประชมซงรองรบความสามารถในการสอสารและการบนทกขอมล ผน าดานการโทรทผานการฝกอบรมจะอ านวยความสะดวกในดานการสอสารและความคบหนาในระหวางการจดการปญหาดานการด าเนนการทตองการความรวมมอระหวางกน และยงมการรวบรวมขอมลวนจฉยภายหลงเกดปญหาดานการด าเนนการ ไมวาจะมผลกระทบตอภายนอกหรอไมกตาม และจะมการรางเอกสารสาเหตความผดพลาด (COE) เพอใหมการบนทกสาเหตทแทจรงและมการด าเนนการเชงปองกนในอนาคต โดยจะมการตดตามผลการใชมาตรการเชงปองกนในระหวางการประชมการด าเนนการประจ าสปดาห

ภมภาคของ AWS

*ภมภาคจน (ปกกง) เปดใหทดลองใชบรการแบบจ ากดจ านวนเฉพาะบรษทจนและบรษทขามชาตบางแหงทมลกคาอยในประเทศจน ลกคากลมน

จะตองสรางบญช AWS และก าหนดขอมลประจ าตวแยกตางหากอกชดไมใหซ ากบบญช AWS อนๆ ทใชงานในระดบทวโลก

พนทให

บรการ E

พนทให

บรก

พนทให

การ B พนทให

บรการ A

พนทให

บรการ B

พนทให

บรการ C

พนทให

บรการ A

พนทให

บรการ B

พนทให

บรการ C

พนทให

บรการ A

พนทให

บรการ B

พนทให

บรการ C

พนทให

บรการ A

พนทให

บรการ B

GovCloud (สหรฐฯ)

สหรฐฯ ตะวนตก (CA)

สหรฐฯ ตะวนตก (OR)

สหรฐฯ ตะวนออก (VN)

พนทให

บรการ C

พนทให

บรการ D

พนทให

บรการ A

พนทให

บรการ B

พนทให

บรการ A

พนทให

บรการ B

พนทให

บรการ A

ยโรป (แฟรงเฟรต) ยโรป (ไอรแลนด)

จน (ปกกง)* อเมรกาใต (เซาเปาโล)

พนทให

บรการ A

พนทให

บรการ B

เอเชยแปซฟก (สงคโปร)

พนทให

บรการ A

พนทให

บรการ B

เอเชยแปซฟก (ซดนย)

พนทให

บรการ A

พนทให

บรการ B

เอเชยแปซฟก (โตเกยว)

พนทให

บรการ C

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 13 จาก 75

เครองมอการตรวจสอบการรกษาความปลอดภยของ AWS จะชวยระบการโจมตโดยปฏเสธการใหบรการ (DoS) ซงรวมถงการโจมตแบบกระจาย, แบบ Flooding และการโจมตทางซอฟตแวร/โลจค โดยเมอมการระบถงการโจมต DoS กระบวนการตอบสนองตอเหตการณของ AWS กจะเรมตนขน นอกเหนอจากเครองมอปองกน DoS แลว ผใหบรการการสอสารทางไกลจ านวนมากของแตละภมภาค รวมถงการมความจขอมลเพมเตม ยงชวยปองกนความเปนไปไดในการเกดการโจมต DoS

เครอขาย AWS มาพรอมกบการปกปองใหปลอดภยจากปญหาดานการรกษาความปลอดภยเครอขายแบบดงเดม และคณยงสามารถด าเนนการปองกนเพมเตมตอไปได ตวอยางเชน:

การโจมตดวยการปฏเสธการใหบรการแบบกระจาย (DDoS) ต าแหนงขอมล API ของ AWS จะโฮสตอยในโครงสรางพนฐานขอมลอนเทอรเนตระดบโลก ซงใชประโยชนจากความเชยวชาญดานวศวกรรมเชนเดยวกบทใชสรางให Amazon กลายเปนผคาปลกออนไลนรายใหญทสดของโลก และมการใชเทคนคการลดความเสยหายจาก DDoS ทเปนเอกสทธของเรา นอกจากน เครอขาย AWS ยงไดรบการโฮสตจากหลายทโดยผานผใหบรการหลายรายเพอใหมความหลากหลายในการเขาถงอนเทอรเนต

การโจมตแบบ Man in the Middle (MITM) API ของ AWS ทงหมดพรอมใชงานผานต าแหนงขอมลทไดรบการปกปองดวย SSL ซงมาพรอมกบการรบรองความถกตองของเซรฟเวอร EC2 AMI ของ Amazon จะสรางใบรบรองโฮสต SSH ใหมในการบทครงแรกโดยอตโนมต และจะลอกอนเขาสคอนโซลของอนสแตนซ จากนนคณสามารถใช API ทปลอดภยในการเรยกคอนโซลและเขาถงใบรบรองโฮสตกอนเขาสระบบอนสแตนซเปนครงแรก เราขอแนะน าใหคณใช SSL ส าหรบการด าเนนการทงหมดกบ AWS

การปลอมแปลง IP (IP Spoofing) EC2 Instance ของ Amazon จะไมสามารถสงการรบสงขอมลทางเครอขายทถกปลอมแปลงได โครงสรางพนฐานไฟรวอลลแบบโฮสตและควบคมดวย AWS จะไมอนญาตใหอนสแตนซสงการรบสงขอมลทม IP ตนทางหรอทอย MAC

ทไมใชของตนเอง

การสแกนพอรเต การสแกนพอรตทไมไดรบอนญาตจากลกคา EC2 ของ Amazon ถอวาเปนการฝาฝนนโยบายการใชงานทยอมรบไดของ AWS จะมการด าเนนการกบการฝาฝนนโยบายการใชงานทยอมรบไดของ AWS อยางจรงจง และการฝาฝนทงหมดทไดรบรายงานจะไดรบ

การสบสวน ลกคาสามารถรายงานการกระท าผดทตองสงสยผานชองทางการตดตอทมใหบนเวบไซตของเราท: http://aws.amazon.com/contact-us/report-abuse/ เมอ AWS ตรวจพบการสแกนพอรตโดยไมไดรบอนญาต การสแกนนนจะถกหยดและถกบลอก โดยทวไปแลว การสแกนพอรตของ Amazon EC2 Instance จะไมมผล เนองจากคาเรมตนก าหนดใหพอรตขาเขาทงหมดใน Amazon EC2 Instance ปดอยและเปดโดยคณเทานน การจดการกลมการรกษาความปลอดภยทเขมงวดของคณจะชวยบรรเทาความเสยหายจากภยคกคามของการสแกนพอรตตอไปได หากคณก าหนดคากลมการรกษาความปลอดภยโดยอนญาตใหมการรบสงขอมลจากตนทางใดกไดมายงพอรตทระบ พอรตนนกจะเสยงตอการสแกนพอรต ในกรณดงกลาวน คณตองใชมาตรการรกษาความปลอดภยทเหมาะสมเพอปกปองบรการ รบขอมลซงอาจจ าเปนตอแอปพลเคชนของตน ไมใหถกคนพบโดยการสแกนพอรตทไมไดรบอนญาต ตวอยางเชน เวบเซรฟเวอรตองมพอรต 80

(HTTP) เปดส าหรบสาธารณะอยางชดเจน และผดแลระบบเซรฟเวอรนตองรบผดชอบตอการรกษาความปลอดภยของซอฟตแวรเซรฟเวอร HTTP เชน Apache คณอาจรองขอสทธเพอด าเนนการสแกนความเสยงตามทจ าเปนตอการปฏบตตามขอก าหนดทระบของคณ การสแกนเหลานตองถกจ ากดอยทอนสแตนซของคณเอง และตองไมฝาฝนนโยบายการใชงานทยอมรบไดของ AWS การอนมตขนสงส าหรบการสแกนประเภทเหลานสามารถเรมตนไดโดยการสงค าขอผานเวบไซตท: https://aws-portal.amazon.com/gp/aws/html-forms-

controller/contactus/AWSSecurityPenTestRequest

การดกจบขอมลแพบคเกบตโดยผเชารายอน อนสแตนซเสมอนทใชงานในโหมดทประกอบดวยหลายองคประกอบไมสามารถรบ หรอ “ดกจบ”

การรบสงขอมลทมวตถประสงคส าหรบอนสแตนซเสมอนอน ขณะทคณสามารถวางอนเทอรเฟซในโหมดทประกอบดวยหลายองคประกอบ ไฮเปอรไวเซอรจะไมสงการรบสงขอมลใดๆ ไปยงอนเทอรเฟซ ซงไมไดระบใหกบอนเทอรเฟซ แมอนสแตนซเสมอนสองรายการทเปนเจาของโดยลกคาเดยวกนจะตงอยในโฮสตทางกายภาพเดยวกน กไมสามารถรบขอมลการรบสงขอมลอนๆ แตละรายการได การโจมต เชน การเปลยนแปลงแคช ARP (ARP Cache Poisoning) จะใชไมไดภายใน Amazon EC2 และ Amazon VPC อยางไรกตาม Amazon

EC2 ใหการปกปองทเพยงพอจากความพยายามในการดขอมลผใชรายอนโดยไมตงใจหรอโดยประสงครายของลกคารายหนง ในฐานะทเปนแนวทางปฏบตมาตรฐาน คณควรเขารหสการรบสงขอมลส าคญ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 14 จาก 75

นอกเหนอจากการตดตามตรวจสอบแลว ยงมการสแกนหาความเสยงเปนประจ าในระบบปฏบตการของโฮสต เวบแอปพลเคชน และฐานขอมลทใชงานโฮสตในสภาพแวดลอม AWS โดยใชเครองมอตางๆ นอกจากน ทมรกษาความปลอดภยของ AWS ยงสมครรบขอมลฟดขาว เพอใหทราบขอมลเกยวกบขอบกพรองของเวนเดอรทเกยวของ และคอยตรวจสอบโปรแกรมแพตชใหมๆ จากเวบไซตของเวนเดอรและเอาทเลตทเกยวของอนๆ อยางทนทวงท ลกคา AWS ยงสามารถรายงานปญหากบทาง AWS ผานเวบไซต AWS Vulnerability Reporting ท: http://aws.amazon.com/security/vulnerability-reporting/

การเขาถง AWS

เครอขาย AWS Production จะแยกออกจากเครอขาย Amazon Corporate และตองใชชดขอมลประจ าตวทแยกตางหากส าหรบการเขาถงแบบ

ลอจคอล เครอขาย Amazon Corporate จะใช ID ผใช, รหสผาน และ Kerberos ขณะทเครอขาย AWS Production จะตองมการรบรองความถกตองของคยสาธารณะ SSH ผานโฮสตทมความเสยงถกโจมต

นกพฒนาและผดแลระบบ AWS ในเครอขาย Amazon Corporate ทตองการสทธเขาถงคอมโพเนนตของ AWS Cloud จะตองรองขอสทธเขาถงผานทางระบบการจดการการเขาถง AWS อยางชดแจง ค าขอทงหมดจะไดรบการตรวจสอบและอนมตโดยเจาของหรอผจดการทเหมาะสม

การรววและการตรวจสอบบญช

บญชจะไดรบการตรวจสอบทก 90 วน โดยตองมการอนมตซ าอยางชดแจง หรอมการยกเลกทรพยากรโดยอตโนมต สทธเขาถงจะถกยกเลกโดยอตโนมต

เมอเรกคอรดพนกงานถกยกเลกในระบบทรพยากรบคคลของ Amazon ดวยเชนกน บญช Windows และ UNIX จะถกปดใชงาน และระบบการจดการสทธของ Amazon จะลบผใชออกจากระบบทงหมด

ค าขอเปลยนแปลงสทธเขาถงจะไดรบการเกบบนทกในลอกการตรวจสอบเครองมอการจดการสทธของ Amazon เมอมการเปลยนแปลงในฟงกชนงาน

ของพนกงานเกดขน จะตองมการอนมตสทธเขาถงทตอเนองใหกบทรพยากร ไมเชนนนจะถกยกเลกโดยอตโนมต

การตรวจสอบภมหลง

AWS ไดสรางนโยบายและขนตอนแบบเปนทางการ เพอรางมาตรฐานขนต าส าหรบการเขาถงแพลตฟอรมและโฮสตโครงสรางพนฐานของ AWS

แบบลอจคล AWS จะด าเนนการตรวจสอบภมหลงทางอาชญากรรม ตามทกฎหมายอนญาต ในฐานะทเปนสวนหนงของแนวทางการคดกรองพนกงานกอนการจางงาน และเทยบเทากบต าแหนงและระดบสทธเขาถงของพนกงาน นโยบายนจะระบความรบผดชอบตามหนาทส าหรบการดแลระบบการเขาถงแบบลอจคอลและการรกษาความปลอดภยดวย

นโยบายขอมลประจ าตว

ระบบการรกษาความปลอดภยของ AWS จะสรางนโยบายขอมลประจ าตวดวยการก าหนดคาและชวงเวลาการหมดอายตามทจ าเปน โดยตองมรหสผานทซบซอนและบงคบใหเปลยนทก 90 วน

หลกการการออกแบบทปลอดภย

กระบวนการพฒนาของ AWS ด าเนนการตามแนวทางการปฏบตในดานการพฒนาซอฟตแวรทปลอดภย ซงรวมถงการตรวจสอบการออกแบบอยางเปนทางการจากทมรกษาความปลอดภยของ AWS, การก าหนดตนแบบภยคกคาม และการด าเนนการประเมนความเสยง มการใชงานเครองมอวเคราะหรหสแบบสแตตกในฐานะทเปนสวนหนงของกระบวนการสรางมาตรฐาน และซอฟตแวรทปรบใชทงหมดจะตองรบการทดสอบการเจาะระบบเปนประจ า ซงด าเนนการโดยผเชยวชาญในอตสาหกรรมทคดเลอกมาอยางรอบคอบ การประเมนความเสยงในการรกษาความปลอดภยของเราจะเรมตนในขนการออกแบบและจะมการด าเนนการไปตลอดขนตอนการปฏบตงานอยางตอเนอง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 15 จาก 75

การจดการการเปลยนแปลง

การเปลยนแปลงในโครงสรางพนฐาน AWS ทมอย ซงเกดขนเปนประจ า เรงดวน และทเกดจากการก าหนดคา จะไดรบการอนญาต บนทก ทดสอบ อนมต และจดเกบเปนเอกสารตามมาตรฐานอตสาหกรรมส าหรบระบบทคลายคลงกน จะมการอปเดตในโครงสรางพนฐานของ AWS เพอลดผลกระทบทจะเกดตอลกคาและการใชบรการของลกคา AWS จะแจงใหลกคาทราบทางอเมล หรอทาง AWS Service Health Dashboard

(http://status.aws.amazon.com/) หากเปนไปไดวาบรการจะไดรบผลกระทบในเชงลบ

ซอฟตเแวรเ

AWS จะใชแนวทางทเปนระบบในการจดการกบการเปลยนแปลง เพอใหการเปลยนแปลงในบรการทมผลตอลกคาไดรบการตรวจสอบ ทดสอบ อนมต และแจงขอมลอยางทวถง กระบวนการจดการการเปลยนแปลงของ AWS ไดรบการออกแบบมาใหปองกนการหยดใหบรการโดยไมตงใจ ตลอดจนรกษาความถกตองของการใหบรการแกลกคา การเปลยนแปลงทปรบใชในสภาพแวดลอมการใชงานจรง ไดแก:

ตรวจสอบ: ตองมการตรวจสอบการเปลยนแปลงในแงมมทางเทคนค

ทดสอบ: การเปลยนแปลงทก าลงน าไปใชจะไดรบการทดสอบ เพอชวยใหมนใจไดวาการเปลยนแปลงจะมผลอยางทคาด และไมสงผลในทางลบตอประสทธภาพการท างาน

อนมต: การเปลยนแปลงทงหมดตองไดรบการอนมต เพอระบสงทละเลยตามความเหมาะสมและความเขาใจถงผลกระทบทางธรกจ

โดยทวไปแลว การเปลยนแปลงจะน าไปใชงานจรงในการปรบใชตามล าดบขนทเรมตนดวยพนททมผลกระทบต าทสด การปรบใชจะไดรบการทดสอบในระบบเดยว และไดรบการตรวจสอบอยางใกลชด เพอใหสามารถประเมนผลกระทบได เจาของบรการจะมตววดทก าหนดคาไดจ านวนมากทจะวดผลสภาวะการอางองแบบอปสตรมของบรการ จะมการตรวจสอบตววดเหลานอยางใกลชดโดยใชเกณฑและระบบการแจงเตอน และมการจดเกบเอกสารเกยวกบวธการโรลแบคในทคเกต Change Management (CM)

หากท าได จะมการจดก าหนดการการเปลยนแปลงตามกรอบเวลาการเปลยนแปลงตามปกต การเปลยนแปลงฉกเฉนในระบบการใชงานจรงซงตองมการเบยงเบนจากขนตอนการจดการการเปลยนแปลงมาตรฐาน จะเชอมโยงกบเหตการณ รวมถงไดรบการบนทกและอนมตตามความเหมาะสม

AWS จะด าเนนการตรวจสอบการเปลยนแปลงในบรการหลกๆ ดวยตนเองเปนระยะ เพอตรวจสอบคณภาพ รกษามาตรฐานระดบสง และสนบสนนการปรบปรงกระบวนการจดการการเปลยนแปลงอยางตอเนอง และจะมการวเคราะหขอผดพลาดใดๆ เพอหาสาเหตทแทจรง ตลอดจนระบการด าเนนการตามความเหมาะสมเพอท าใหการเปลยนแปลงสอดคลองกบขอก าหนด หรอโรลแบคการเปลยนแปลงหากจ าเปน นอกจากนยงมการด าเนนการเพอจดการและแกไขปญหาในดานกระบวนการหรอบคคล

โครงสรางพนฐาน

ทม Corporate Applications ของ Amazon จะพฒนาและจดการซอฟตแวรเพอสรางระบบอตโนมตใหกระบวนการ IT ส าหรบโฮสต UNIX/Linux ในแงของการใหบรการซอฟตแวรจากบรษทอน ซอฟตแวรทพฒนาเปนการภายใน และการจดการการก าหนดคา ทมโครงสรางพนฐานจะดแลรกษาและด าเนนการกบเฟรมเวรกการจดการการก าหนดคา UNIX/Linux เพอด าเนนการจดการในดานความสามารถในการปรบขนาดของฮารดแวร ความพรอมใชงาน การตรวจสอบ และการรกษาความปลอดภย ดวยการจดการโฮสตจากสวนกลางผานการใชกระบวนการอตโนมตทชวยจดการการเปลยนแปลง Amazon จงสามารถบรรลเปาหมายในดานความพรอมใชงานระดบสง ความสามารถในการท าซ า ความสามารถในการปรบขนาด การรกษาความปลอดภย และการกคนจากความเสยหายรนแรง วศวกรระบบและเครอขายจะตรวจสอบสถานะของเครองมออตโนมตเหลานเปนประจ า โดยตรวจสอบรายงานเพอตอบสนองตอโฮสตทไมสามารถรบหรออปเดตการก าหนดคาและซอฟตแวรได

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 16 จาก 75

จะมการตดตงซอฟตแวรการจดการการก าหนดคาทพฒนาเปนการภายในเมอฮารดแวรใหมไดรบการจดเตรยม เครองมอเหลานท างานบนโฮสต UNIX

ทงหมด เพอตรวจสอบวามการก าหนดคา และซอฟตแวรไดรบการตดตงอยางสอดคลองตามมาตรฐานทก าหนดโดยบทบาททระบใหกบโฮสต ซอฟตแวรการจดการการก าหนดคานจะชวยอปเดตแพคเกจทตดตงในโฮสตอยแลวเปนประจ าดวย เฉพาะเจาหนาททไดรบอนมตและไดรบการเปดใชงานผานบรการสทธเทานนทสามารถลอกอนเขาสเซรฟเวอรการจดการการก าหนดคาสวนกลาง

คณสมบตการรกษาความปลอดภยของบญช AWS

AWS มาพรอมกบเครองมอและคณสมบตทหลากหลาย ซงคณสามารถใชเพอปกปองบญช AWS และทรพยากรใหปลอดภยจากการใชทไมไดรบอนญาต ซงรวมถงขอมลประจ าตวส าหรบการควบคมสทธเขาถง, ต าแหนงขอมล HTTPS ส าหรบการรบสงขอมลทเขารหส, การสรางบญชผใช IAM ทแยกตางหาก, การบนทกกจกรรมผใชเพอการตรวจสอบความปลอดภย และการตรวจสอบการรกษาความปลอดภยของผใหค าปรกษาทเชอถอได คณสามารถใชประโยชนจากเครองมอการรกษาความปลอดภยเหลาน ไมวาคณจะเลอกบรการ AWS ใดกตาม

ขอมลประจ าตว AWS

เพอชวยใหมนใจวาเฉพาะผใชและกระบวนการทไดรบอนญาตเทานนทจะสามารถเขาถงบญช AWS และทรพยากรตางๆ AWS จงใชขอมลประจ าตวประเภทตางๆ เพอการรบรองความถกตอง ซงรวมถงรหสผาน คยการเขารหส ลายเซนดจทล และใบรบรอง และเรายงมตวเลอกในการก าหนดใหม Multi-

Factor Authentication (MFA) ส าหรบการลอกอนเขาสบญช AWS หรอบญชผใช IAM ตารางตอไปนอธบายถงขอมลประจ าตวประเภทตางๆ ของ AWS และการใชงาน

ประเภทของขอมลประจ าตว การใชงาน ค าอธบาย

รหสผาน การลอกอนเขาส AWS Management

Console ของบญชรทของ AWS หรอบญชผใช IAM

สตรงอกขระทใชในการลอกอนเขาสบญช AWS หรอบญช IAM ของคณ

รหสผาน AWS ตองประกอบดวยอกขระอยางนอย 6 ตว และสามารถมอกขระไดถง 128 ตว

Multi-Factor

Authentication

(MFA)

การลอกอนเขาส AWS Management

Console ของบญชรทของ AWS หรอบญชผใช IAM

รหส 6 หลกส าหรบใชครงเดยวทจ าเปนส าหรบการลอกอนเขาสบญช AWS

หรอบญชผใช IAM ของคณ นอกเหนอไปจากรหสผานของคณ

คยการเขาถง ค าขอทมการลงชอดวยลายเซนดจทลทสงไปยง AWS API (โดยใช AWS SDK,

CLI หรอ REST/API การสบคน)

ประกอบดวย ID คยการเขาถง และคยการเขาถงลบ คณจะใชคยการเขาถงในการเซนชอค าขอทางโปรแกรมแบบดจทล ทคณท ากบ AWS

คคย การลอกอน SSH ไปยง EC2

Instance

URL ทลงชอดวย CloudFront

ตองระบคคยในการเชอมตอกบ EC2 Instance ทเปดใชงานจาก AMI

สาธารณะ คยท Amazon EC2 ใชไดแก คย SSH-2 RSA 1024 บต

คณสามารถมคคยทสรางโดยอตโนมตส าหรบคณ เมอคณเปดใชงานอนสแตนซ หรอคณสามารถอปโหลดดวยตวคณเอง

ใบรบรอง X.509 ค าขอ SOAP ทลงชอดวยลายเซนดจทลทสงไปยง AWS API

ใบรบรองเซรฟเวอร SSL ส าหรบ

HTTPS

ใบรบรอง X.509 ใชเพอลงชอค าขอทใช SOAP เทานน (ปจจบนใชเฉพาะกบ Amazon S3) คณสามารถให AWS สรางใบรบรอง X.509 และ คยสวนตวทคณสามารถดาวนโหลดได หรอคณสามารถอปโหลดใบรบรอง ของคณเองโดยใชเพจขอมลประจ าตวการรกษาความปลอดภย

คณสามารถดาวนโหลดรายงานขอมลประจ าตวส าหรบบญชของคณจากเพจขอมลประจ าตวการรกษาความปลอดภยไดทกเมอ รายงานนจะมรายชอผใชทงหมดของบญชของคณ รวมถงสถานะของขอมลประจ าตว เชน ตองใชรหสผานหรอไม รหสผานหมดอายและตองเปลยนเปนประจ าหรอไม

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 17 จาก 75

เวลาครงลาสดทเปลยนรหสผาน เวลาครงลาสดทหมนเวยนคยการเขาถง และไดเปดใชงาน MFA หรอไม

เพอเหตผลในดานความปลอดภย หากขอมลประจ าตวของคณสญหายหรอจ าไมได คณจะไมสามารถกคนหรอดาวนโหลดซ าได แตคณสามารถสรางขอมลประจ าตวใหม แลวปดใชงานหรอลบขอมลประจ าตวชดเกาออก

อนทจรงแลว AWS แนะน าใหคณเปลยน (หมนเวยน) คยการเขาถงและใบรบรองของคณเปนประจ า เพอชวยใหคณท าเชนนไดโดยไมสงผลกระทบตอความพรอมใชงานของแอปพลเคชนของคณ AWS จงรองรบการใชคยการเขาถงและใบรบรองหลายรายการพรอมกน ดวยคณสมบตน คณจะสามารถหมนเวยนคยและใบรบรองเขาและออกส าหรบการท างานไดเปนประจ า โดยการท างานของแอปพลเคชนไมตองหยดชะงก ซงชวยบรรเทาความเสยงจากการทคยหรอใบรบรองสญหายหรอละเมดขอก าหนด AWS IAM API ชวยใหคณสามารถหมนเวยนคยการเขาถงบญช AWS ของคณ รวมถงคยส าหรบบญชผใช IAM

รหสผาน

ตองมรหสผานเพอเขาใชบญช AWS ของคณ, บญชผใช IAM แตละราย, ฟอรมการสนทนาของ AWS และ AWS Support Center คณจะระบรหสผานเมอคณสรางบญชเปนครงแรก และคณสามารถเปลยนรหสผานไดทกเมอโดยไปทเพจขอมลประจ าตวการรกษาความปลอดภย รหสผาน AWS

สามารถมอกขระสงสดถง 128 ตว และสามารถใชอกขระพเศษ เราจงขอแนะน าใหคณสรางรหสผานทแขงแกรงและคาดเดายาก

คณสามารถตงคานโยบายรหสผานส าหรบบญชผใช IAM ของคณ เพอใหมนใจวามการใชรหสผานทคาดเดายากและมการเปลยนรหสผานบอยๆ นโยบายรหสผานคอชดของกฎทก าหนดประเภทรหสผานทผใช IAM สามารถตงได ส าหรบขอมลเพมเตมเกยวกบนโยบายรหสผาน โปรดไปท การจดการรหสผาน ในสวนการใช IAM

AWS Multi-Factor Authentication (AWS MFA)

AWS Multi-Factor Authentication (AWS MFA) คอชนการรกษาความปลอดภยเพมเตมส าหรบการเขาใชบรการ AWS เมอคณเปดใชงานคณสมบตเสรมน คณจะตองระบรหส 6 หลกส าหรบใชครงเดยวนอกเหนอไปจากชอผใชและรหสผานมาตรฐาน กอนทจะใหสทธเขาถงการตงคาบญช AWS หรอบรการและทรพยากรของ AWS คณจะไดรบรหสทใชครงเดยวจากอปกรณการรบรองความถกตองทคณมอยในครอบครอง คณสมบตนเรยกวาการรบรองความถกตองโดยใชหลายปจจย เนองจากมการตรวจสอบปจจยการรบรองความถกตองมากกวาหนงปจจยกอนทจะใหสทธ เชน รหสผาน (สงทคณทราบ) และรหสทแนนอนจากอปกรณการบรองความถกตองของคณ (สงทคณม) คณสามารถเปดใชงานอปกรณ MFA ส าหรบบญช AWS ของคณ รวมถงส าหรบผใชทคณสรางภายใตบญช AWS ของคณดวย AWS IAM นอกจากน คณสามารถเพมการปกปอง MFA ส าหรบการเขาถงในบญช AWS ตางๆ เมอคณตองการอนญาตใหผใชทคณสรางภายใตบญช AWS สามารถใชบทบาท IAM ในการเขาถงทรพยากรภายใตบญช AWS อน คณสามารถก าหนดใหผใชตองใช MFA กอนทจะใชบทบาทเปนชนการรกษาความปลอดภยเพมเตม

AWS MFA รองรบการใชทงโทเคนฮารดแวรและอปกรณ MFA เสมอน อปกรณ MFA เสมอน จะใชโปรโตคอลเดยวกบอปกรณ MFA จรง แตสามารถใชงานในอปกรณฮารดแวรเคลอนทใดๆ รวมถงสมารทโฟน อปกรณ MFA เสมอนจะใชแอปพลเคชนซอฟตแวรทสรางรหสการรบรองความถกตอง 6 หลกทสามารถใชงานรวมกบมาตรฐาน Time- Based One-Time Password (TOTP) ตามทอธบายไวใน RFC 6238 แอปพลเคชน MFA เสมอนสวนใหญใหคณสามารถโฮสตอปกรณ MFA เสมอนไดมากกวาหนงรายการ ซงเพมความสะดวกมากกวาอปกรณ MFA แบบฮารดแวร อยางไรกตาม คณควรทราบวาเนองจาก MFA เสมอนอาจท างานบนอปกรณทมความปลอดภยนอยกวา เชน สมารทโฟน MFA เสมอนจงอาจไมไดใหความปลอดภยในระดบเดยวกบอปกรณ MFA แบบฮารดแวร

นอกจากน คณยงสามารถบงคบใชการรบรองความถกตองของ MFA ส าหรบ API บรการ AWS เพอใหการปกปองในอกระดบส าหรบการด าเนนการทมประสทธภาพสงหรอทมสทธพเศษ เชน การสนสด Amazon EC2 Instance หรอการอานขอมลส าคญทจดเกบใน Amazon S3 คณท าเชนนไดดวยการเพมขอก าหนดการรบรองความถกตองของ MFA ไปยงนโยบายการเขาถง IAM คณสามารถเชอมโยงนโยบายการเขาถงเหลานกบผใช IAM, กลม IAM หรอทรพยากรทรองรบรายการควบคมการเขาถง (ACL) เชน บคเกต Amazon S3, คว SQS และหวขอ SNS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 18 จาก 75

เปนเรองงายทจะรบโทเคนฮารดแวรจากผใหบรการภายนอกทเขารวม รวมถงรบแอปพลเคชน MFA เสมอนจาก AppStore และตงคาส าหรบการใชงานผานเวบไซต AWS โปรดดขอมลเพมเตมเกยวกบ AWS MFA บนเวบไซต AWS: http://aws.amazon.com/mfa/

คยเการเขาถง

AWS ก าหนดใหตองมการลงชอค าขอ API ทงหมด กลาวคอ ตองรวมลายเซนดจทลท AWS สามารถใชเพอตรวจสอบขอมลประจ าตวของผขอ คณจะค านวณลายเซนดจทลโดยใชฟงกชนแฮชการเขารหส ขอมลทปอนไปยงฟงกชนแฮชในกรณนจะมขอความค าขอและคยการเขาถงลบ หากคณใช AWS

SDK ใดๆ ในการสรางค าขอ จะมการค านวณลายเซนดจทลใหคณ มฉะนนแลว คณสามารถใหแอปพลเคชนค านวณและรวมไวในค าขอ REST หรอการสบคนของคณ ดวยการท าตามค าแนะน าในเอกสารของเรา

กระบวนการลงชอไมเพยงแตชวยปกปองความถกตองของขอความดวยการปองกนไมใหมการแกไขค าขอขณะทอยระหวางสง แตยงชวยปองกนการโจมตแบบ Replay ทอาจเกดขนดวย ค าขอตองสงถง AWS ภายใน 15 นาทนบจากประทบเวลาในค าขอ มฉะนนแลว AWS จะปฏเสธค าขอ

เวอรชนลาสดของกระบวนการค านวณลายเซนดจทลคอ Signature Version 4 ซงจะค านวณลายเซนโดยใชโปรโตคอล HMAC-SHA256 Version

4 มตววดส าหรบการปกปองเพมเตมเมอเทยบกบเวอรชนกอนหนา ดวยการก าหนดใหคณลงชอขอความโดยใชคยทไดมาจากคยการเขาถงลบของคณ แทนทจะใชคยการเขาถงลบนนเอง นอกจากน คณจะไดรบคยการลงชอตามขอบเขตขอมลประจ าตว ซงจะชวยสนบสนนการแยกการเขารหสของคยการลงชอ

เนองจากคยการเขาถงสามารถใชในทางทผดไดหากตกไปอยในมอของผไมไดรบอนญาต เราจงขอแนะน าใหคณเกบคยไวในทปลอดภยและไมฝงไวกบรหสของคณ ส าหรบลกคาทมกลมขนาดใหญของ EC2 Instance ทมการปรบขนาดทยดหยน การใชบทบาท IAM จะเปนวธทปลอดภยและสะดวกกวาในการจดการการกระจายคยการเขาถง บทบาท IAM จะมาพรอมกบขอมลประจ าตวชวคราว ซงไมเพยงแตจะโหลดไปยงอนสแตนซเปาหมายโดยอตโนมตเทานน แตยงหมนเวยนหลายครงในแตละวนโดยอตโนมตดวย

คคยเ

Amazon EC2 Instance ซงสรางมาจาก AMI สาธารณะจะใชคคยสาธารณะ/สวนตว แทนทจะใชรหสผานส าหรบลงชอเขาใชผาน Secure Shell

(SSH) คยสาธารณะจะฝงอยในอนสแตนซของคณ และคณจะใชคยสวนตวในการลงชอเขาใชอยางปลอดภยโดยไมใชรหสผาน หลงจากทคณสราง AMI

ของคณเอง คณจะสามารถเลอกกลไกเพอลอกอนเขาสอนสแตนซใหมของคณอยางปลอดภย

คณสามารถมคคยทสรางโดยอตโนมตส าหรบคณ เมอคณเปดใชงานอนสแตนซ หรอคณสามารถอปโหลดดวยตวคณเอง เกบคยสวนตวของคณไวในทปลอดภยในระบบของคณ และบนทกททคณจดเกบไว

ส าหรบ Amazon CloudFront คณสามารถใชคคยเพอสราง URL ทลงชอส าหรบเนอหาสวนตว เชน เมอคณตองการกระจายเนอหาทจ ากดส าหรบ

คนทซอเทานน คณจะสรางคคย Amazon CloudFront โดยใชเพจขอมลประจ าตวการรกษาความปลอดภย เฉพาะบญชระดบรทเทานนทสามารถสรางคคย CloudFront และไมสามารถสรางโดยผใช IAM

ใบรบรอง X.509

ใบรบรอง X.509 ใชเพอลงชอค าขอทใช SOAP ใบรบรอง X.509 จะมคยสาธารณะและขอมลเมตาเพมเตม (เชน วนทหมดอายท AWS จะตรวจสอบเมอคณอปโหลดใบรบรอง) และจะเชอมโยงกบคยสวนตว เมอคณสรางค าขอ คณจะสรางลายเซนดจทลดวยคยสวนตวของคณ แลวรวมลายเซนนนในค าขอ พรอมกบใบรบรองของคณ AWS จะตรวจสอบวาคณเปนผสงดวยการถอดรหสลายเซนดวยลายเซนทมคยสาธารณะทอยในใบรบรองของคณ และ AWS

จะตรวจสอบดวยวาใบรบรองทคณสงตรงกบใบรบรองทคณอปโหลดไปยง AWS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 19 จาก 75

ส าหรบบญช AWS ของคณ คณสามารถให AWS สรางใบรบรอง X.509 และคยสวนตวทคณสามารถดาวนโหลดได หรอคณสามารถอปโหลดใบรบรองของคณเองโดยใชเพจขอมลประจ าตวการรกษาความปลอดภย ส าหรบผใช IAM คณตองสรางใบรบรอง X.509 (การลงชอใบรบรอง) โดยใชซอฟตแวรของบรษทอน AWS ไมสามารถสรางใบรบรอง X.509 ส าหรบผใช IAM ได ซงตรงกนขามกบขอมลประจ าตวของบญชระดบรท หลงจากทคณสรางใบรบรอง คณจะเชอมโยงใบรบรองนนกบผใช IAM โดยใช IAM

นอกเหนอจากค าขอ SOAP แลว ใบรบรอง X.509 ยงใชเปนใบรบรองเซรฟเวอร SSL/TLS ส าหรบลกคาทตองการใช HTTPS ในการเขารหสการสงขอมลของตน ในการใชใบรบรองส าหรบ HTTPS คณสามารถใชเครองมอโอเพนซอรสเชน OpenSSL ในการสรางคยสวนตวทไมซ ากน คณจะตองมคยสวนตวในการสราง Certificate Signing Request (CSR) ทคณสงไปยงผมอ านาจออกใบรบรอง (CA) เพอรบใบรบรองเซรฟเวอร จากนนคณจะใช AWS CLI ในการอปโหลดใบรบรอง คยสวนตว และเชนใบรบรองไปยง IAM

นอกจากนคณยงตองมใบรบรอง X.509 ในการสราง Linux AMI ทปรบแตงส าหรบ EC2 Instance ตองมใบรบรองเฉพาะเมอคณสราง AMI

ทสนบสนนดวยอนสแตนซ (ตรงขามกบ AMI ทสนบสนนดวย EBS) คณสามารถให AWS สรางใบรบรอง X.509 และคยสวนตวทคณสามารถ

ดาวนโหลดได หรอคณสามารถอปโหลดใบรบรองของคณเองโดยใชเพจขอมลประจ าตวการรกษาความปลอดภย

บญชผใชแตละราย

AWS มาพรอมกบกลไกแบบรวมศนยทเรยกวา AWS Identity and Access Management (IAM) ส าหรบการสรางและจดการผใชแตละรายภายในบญช AWS ของคณ ผใชสามารถเปนบคคล ระบบ หรอแอปพลเคชนทโตตอบกบทรพยากร AWS ไมวาจะดวยการก าหนดดวยโปรแกรม หรอผาน AWS Management Console หรอ AWS Command Line Interface (CLI) ผใชแตละรายจะมชอทไมซ ากนภายในบญช AWS และ มชดขอมลประจ าตวการรกษาความปลอดภยทไมซ ากนและไมใชรวมกบผใชอนๆ AWS IAM ชวยก าจดความจ าเปนในการใชรหสผานหรอคยรวมกน และชวยใหคณสามารถลดการใชขอมลประจ าตวของบญช AWS ของคณ

ดวย IAM คณจะก าหนดนโยบายทควบคมวาผใชสามารถเขาถงบรการ AWS ใดบาง และสามารถท าสงใดกบบรการเหลานน คณสามารถใหเฉพาะสทธขนต าทจ าเปนส าหรบการท างานของตนแกลกคา โปรดดขอมลเพมเตมจากสวน AWS Identity and Access Management (AWS IAM) ทดานลาง

จดเชอมตอ HTTPS ทปลอดภย

เพอความปลอดภยดานการสอสารทยอดเยยมยงขนเมอเขาถงทรพยากร AWS คณควรใช HTTPS ในการสงขอมลแทนทจะใช HTTP HTTPS ใชโปรโตคอล SSL/TLS ซงใชการเขารหสคยสาธารณะในการปองกนการดกฟง การดดแปลง และการปลอมแปลง บรการ AWS ทงหมดมาพรอมกบจดเชอมตอลกคาทปลอดภย (หรอเรยกวาต าแหนงขอมล API) ซงชวยใหคณสรางเซสชนการสอสาร HTTPS ทปลอดภย

หลายบรการมชดการเขารหสขอมลททนสมยยงขน และใชโปรโตคอล Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) ECDHE

อนญาตใหไคลเอนต SSL/TLS สามารถระบ Perfect Forward Secrecy ซงจะใชคยเซสชนซงเปนคยชวคราวและไมมการเกบไวในทใดๆ เปนการปองกนไมใหบคคลอนทไมไดรบอนญาตถอดรหสจากขอมลทบนทกไว แมวาคยลบระยะยาวจะถกละเมดความปลอดภยกตาม

ลบอกการรกษาความปลอดภย

ขอมลประจ าตวและต าแหนงขอมลทเขารหสมความส าคญตอการปองกนปญหาดานความปลอดภย ในท านองเดยวกน ลอกกส าคญส าหรบการท าความเขาใจเหตการณหลงจากทเกดปญหาขนแลว และเพอใหมประสทธภาพเหมอนเปนเครองมอรกษาความปลอดภย ลอกตองไมเพยงแสดงสงทเกดขนเทานน แตยงตองระบถงทมาดวย เพอชวยคณในการสบสวนหลงทราบขอเทจจรง และการตรวจหาการบกรกทแทบจะเปนแบบเรยลไทม AWS CloudTrail จะชวย ใหคณมลอกส าหรบค าขอทรพยากร AWS ทงหมดภายในบญชของคณ ส าหรบแตละเหตการณ คณสามารถดบรการทเขาถง การด าเนนการทกระท า และ ผทสงค าขอ CloudTrail จะจบขอมลเกยวกบการเรยก API ทกรายการ รวมถงทรพยากร AWS ทกอยางทคณใช ตลอดจนเหตการณการลงชอเขาใช

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 21 จาก 75

เมอคณเปดใชงาน CloudTrail จะมการสงไฟลบนทกเหตการณทกๆ 5 นาท คณสามารถก าหนดคา CloudTrail ใหรวบรวมไฟลบนทกจากหลายภมภาคลงในบคเกตเดยวของ Amazon S3 ได จากทนน คณสามารถอปโหลดไฟลบนทกไปยงโซลชนการจดการและการวเคราะหไฟลบนทกทคณชอบ เพอด าเนนการวเคราะหการรกษาความปลอดภยและตรวจหารปแบบพฤตกรรมของผใช ตามคาเรมตน ไฟลบนทกจะไดรบการจดเกบอยางปลอดภยอยใน Amazon S3 แตคณสามารถเกบถาวรไปยง Amazon Glacier ไดดวย เพอใหตรงตามขอก าหนดดานการตรวจสอบและการปฏบตตามขอก าหนด

นอกเหนอจากลอกกจกรรมผใชของ CloudTrail แลว คณสามารถใชคณสมบตลอกของ Amazon CloudWatch Logs เพอรวบรวมขอมลและตรวจสอบระบบ แอปพลเคชน และไฟลบนทกทก าหนดเองจาก EC2 Instance และแหลงอนๆ โดยแทบจะเปนแบบเรยลไทม ตวอยางเชน คณควรตรวจสอบไฟลบนทกของเวบเซรฟเวอรส าหรบขอความผใชไมถกตอง เพอตรวจหาลงกขาเขาทใชไมได หรอขอความของผใชทไมถกตองเพอตรวจหา ความพยายามลอกอนทไมไดรบอนญาตไปยงระบบปฏบตการเยอน

การตรวจสอบการรกษาความปลอดภยของ AWS Trusted Advisor

บรการสนบสนนลกคาของ AWS Trusted Advisor ไมเพยงแตจะตรวจสอบประสทธภาพและความยดหยนของระบบคลาวดเทานน แตยงตรวจสอบการรกษาความปลอดภยของระบบคลาวดดวย ผใหค าปรกษาทเชอถอไดจะตรวจสอบสภาพแวดลอม AWS ของคณ และใหค าแนะน าเมอมโอกาสในการประหยดเงน ปรบปรงประสทธภาพของระบบ หรออดชองวางของการรกษาความปลอดภย และยงแจงเตอนเกยวกบการก าหนดคาการรกษาความปลอดภยทไมถกตองทพบไดบอยซงอาจเกดขน เชน การเปดบางพอรตไวซงท าใหคณเสยงตอการถกแฮกและการเขาถงทไมไดรบอนญาต การละเลยการสรางบญช IAM ส าหรบผใชภายในของคณ การอนญาตการเขาถงบคเกต Amazon S3 แบบสาธารณะ, การไมเปดการบนทกกจกรรมผใช (AWS CloudTrail)

หรอการไมใช MFA ในบญช AWS ระดบรทของคณ และคณยงมตวเลอกส าหรบผตดตอทดแลการรกษาความปลอดภยขององคกรของคณใหไดรบอเมลรายสปดาหทแจงสถานะลาสดของการตรวจสอบการรกษาความปลอดภยของ Trusted Advisor ของคณโดยอตโนมต

บรการ AWS Trusted Advisor มอบการตรวจสอบสรายการแกลกคาทกรายโดยไมเสยคาใชจายเพมเตม ซงรวมถงการตรวจสอบการรกษาความปลอดภยทส าคญสามรายการ ไดแก การไมจ ากดการใชงานพอรตทระบ การใช IAM และ MFA ในบญชระดบรท และเมอคณลงทะเบยน AWS

Support ระดบธรกจหรอระดบองคกร คณจะไดรบสทธเขาถงการตรวจสอบจากผใหค าปรกษาทเชอถอไดทงหมด

การรกษาความปลอดภยเฉพาะของบรการ AWS

การรกษาความปลอดภยไมเพยงฝงอยในโครงสรางพนฐาน AWS ทกชนเทานน แตยงอยในแตละบรการทมในโครงสรางพนฐานนนดวย บรการ AWS

ไดรบการออกแบบมาใหท างานกบเครอขายและแพลตฟอรม AWS ทงหมดไดอยางมประสทธภาพและปลอดภย โดยแตละบรการจะมคณสมบตการรกษาความปลอดภยทเขมขน เพอใหคณสามารถปกปองขอมลส าคญและแอปพลเคชนของคณได

บรการประมวลผล

Amazon Web Services มาพรอมกบบรการประมวลผลดวยระบบคลาวดในแบบตางๆ ซงมการเลอกใชอนสแตนซการประมวลผลอนหลากหลายทสามารถเพมหรอลดขนาดโดยอตโนมตใหตรงกบความตองการของแอปพลเคชนหรอของบรษทของคณ

การรกษาความปลอดภยของ Amazon Elastic Compute Cloud (Amazon EC2)

Amazon Elastic Compute Cloud (EC2) เปนคอมโพเนนตหลกในการใหบรการโครงสรางพนฐาน (IaaS) ของ Amazon ซงใหความจส าหรบการประมวลผลทปรบขนาดไดโดยใชอนสแตนซในศนยขอมลของ AWS Amazon EC2 ออกแบบมาเพอการประมวลผลระดบเวบท าไดงายขนดวยการท าใหคณสามารถรบและก าหนดคาความจขอมลโดยมความขดแยงในระดบต าสด คณจะสรางและเปดใชอนสแตนซ ซงเปนคอลเลกชนของฮารดแวรและซอฟตแวรของแพลตฟอรม

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 22 จาก 75

การรกษาความปลอดภยหลายระดบ

การรกษาความปลอดภยภายใน Amazon EC2 มหลายระดบ ไดแก ระบบปฏบตการ (OS) ของแพลตฟอรมโฮสต, OS ของอนสแตนซเสมอน หรอระบบปฏบตการเยอน, ไฟรวอลล และการเรยก API ทลงชอ แตละรายการเหลานสรางอยบนความสามารถของรายการอนๆ เปาหมายคอการปองกนขอมลทอยภายใน Amazon EC2 ไมใหถกขดขวางโดยระบบหรอผใชทไมไดรบอนญาต และเพอให Amazon EC2 Instance ปลอดภยทสดเทาทจะเปนไปไดโดยไมตองลดทอนความยดหยนในการก าหนดคาตามทลกคาตองการ

ไฮเปอรเไวเซอรเ

ปจจบน Amazon EC2 ใชไฮเปอรไวเซอร Xen เวอรชนทมการปรบแตงระดบสง ซงใชประโยชนจาก Paravirtualization (ในกรณทเปนผเยยมชมของ Linux) เนองจากผเยยมชมทมการจ าลองเสมอนในแบบ Paravirtualization จะใชไฮเปอรไวเซอรในการใหการสนบสนนส าหรบการด าเนนการ

ทตามปกตแลวจะตองมสทธเขาถงพเศษ ระบบปฏบตการเยอนจงไมมสทธเขาถงทยกระดบส าหรบ CPU CPU มโหมดสทธการใชงานทแยกกนสโหมด:

0-3 ซงเรยกวา Ring Ring 0 เปนโหมดทมสทธพเศษสงสด และ 3 มสทธพเศษนอยทสด OS โฮสตจะท างานใน Ring 0 อยางไรกตาม แทนทระบบปฏบตการเยอนจะท างานใน Ring 0 เหมอนกบระบบปฏบตการโดยสวนใหญ ระบบปฏบตการเยอนจะท างานใน Ring 1 ทมสทธนอยกวา และ

แอปพลเคชนจะท างานใน Ring 3 ทมสทธนอยทสด การจ าลองเสมอนทชดเจนของทรพยากรทางกายภาพนจะท าใหเกดการแบงแยกทชดเจนระหวาง ผเยยมชมกบไฮเปอรไวเซอร ซงสงผลใหมการแบงแยกดานการรกษาความปลอดภยเพมเตมระหวางสองอยางน

การแยกอนสแตนซเ

อนสแตนซทตางกนทท างานบนเครองฟสคลเดยวกนจะถกแยกออกจากกนผานไฮเปอรไวเซอร Xen Amazon มสวนรวมอยในชมชน Xen ซงจะคอยแจงเกยวกบการพฒนาลาสด นอกจากน ไฟรวอลล AWS ยงอยในชนของไฮเปอรไวเซอร ระหวางอนเทอรเฟซเครอขายทางกายภาพกบอนเทอรเฟซเสมอนของอนสแตนซ แพคเกตทงหมดจะตองผานชนน ดงนนรายการขางเคยงของอนสแตนซจะไมมการเขาถงอนสแตนซนนมากกวาโฮสตอนๆ บนอนเทอรเนต และสามารถด าเนนการเหมอนกบอยในโฮสตฟสคลทแยกกน RAM ฟสคลจะถกแยกโดยใชกลไกทคลายกน

อนสแตนซของลกคาไมมสทธเขาถงอปกรณดสกแบบ Raw แตจะแสดงดวยดสกทมการจ าลองเสมอน ชนการจ าลองเสมอนดสกทเปนเอกสทธของ AWS

จะรเซตทกบลอกของพนทเกบขอมลทใชโดยลกคาโดยอตโนมต เพอใหขอมลของลกคาไมแสดงใหลกคารายอนเหนโดยไมตงใจ นอกจากน หนวยความจ าทปนสวนใหกบผเยยมชมจะถกสครบ (ตงคาเปนศนย) โดยไฮเปอรไวเซอร เมอมการยกเลกการปนสวนแกผเยยมชม หนวยความจ าจะไมสงคนไปยงกลมหนวยความจ าวางทพรอมใชงานส าหรบการปนสวนใหม จนกวาการสครบหนวยความจ าจะเสรจสมบรณ

AWS ขอแนะน าใหลกคาปกปองขอมลของตนเพมเตม โดยใชวธการทเหมาะสม โซลชนหนงทใชกนทวไปกคอการเรยกใชระบบไฟลทเขารหสกบอปกรณดสกทมการจ าลองเสมอน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 23 จาก 75

รปภาพ 3: การรกษาความปลอดภยหลายชนของ Amazon EC2

ระบบปฏบตการของโฮสตเ: ผดแลระบบทมความตองการทางธรกจในการเขาใชองคประกอบการจดการ จะตองใชการรบรองความถกตองโดยใชหลายปจจยเพอใหสามารถเขาถงโฮสตการดแลระบบเพอวตถประสงคเฉพาะ โฮสตการดแลระบบเหลานคอระบบทออกแบบ สราง ก าหนดคา และเพมความแขงแกรง มาโดยเฉพาะ เพอใหการปกปององคประกอบการจดการของระบบคลาวด การเขาถงดงกลาวทงหมดจะไดรบการบนทกและตรวจสอบ เมอพนกงานไมจ าเปนตองมสทธเขาถงองคประกอบการจดการในเชงธรกจอกตอไป สทธและการเขาถงโฮสตและระบบทเกยวของจะถกเพกถอน

ระบบปฏบตการเยอน: ในฐานะทเปนลกคา คณจะเปนผควบคมอนสแตนซเสมอนทงหมด คณสทธเขาถงระดบรากอยางเตมทหรอการควบคมระดบผดแลระบบเหนอบญช บรการ และแอปพลเคชน สวน AWS จะไมมสทธเขาถงอนสแตนซของคณหรอระบบปฏบตการเยอน AWS ขอแนะน าใหใชชดพนฐานของแนวทางปฏบตดานการรกษาความปลอดภย เพอรวมการปดใชงานการเขาถงดวยรหสผานเทานนส าหรบผเยยมชมของคณ และใชการรบรองความถกตองโดยใชหลายปจจยบางรปแบบเพอรบสทธการเขาถงอนสแตนซของคณ (หรอการเขาถง SSH Version 2 ทใชใบรบรองเปนอยางนอย) นอกจากน คณควรใชกลไกการยกระดบสทธโดยใชเกณฑตอผใช ตวอยางเชน หากระบบปฏบตการเยอนเปน Linux หลงจากเพมความแขงแกรงใหอนสแตนซของคณแลว คณควรใช SSHv2 ทใชใบรบรองในการเขาถงอนสแตนซเสมอน ปดใชงานการลอกอนรทระยะไกล ใชการลอกรายการค าสง และใช ‘sudo’ ส าหรบการยกระดบสทธ คณควรสรางคคยของคณเองเพอรบประกนวาคยจะไมซ ากน และไมใชรวมกบลกคารายอนหรอกบ AWS

นอกจากน AWS ยงสนบสนนการใชโปรโตคอลเครอขาย Secure Shell (SSH) เพอใหคณสามารถลอกอนเขาส UNIX/Linux EC2 Instance

ของคณไดอยางปลอดภย การรบรองความถกตองส าหรบ SSH ทใชกบ AWS จะด าเนนการผานคยสาธารณะ/สวนตว เพอลดความเสยงของการเขาถงอนสแตนซของคณโดยไมไดรบอนญาต และคณยงสามารถเชอมตอกบอนสแตนซ Windows ของคณจากระยะไกลโดยใช Remote Desktop

Protocol (RDP) ดวยการใชประโยชนจากใบรบรอง RDP ทสรางมาส าหรบอนสแตนซของคณ

นอกจากนคณยงสามารถควบคมการอปเดตและการแกไขระบบปฏบตการเยอนของคณ รวมถงการอปเดตการรกษาความปลอดภย AMI ระบบ Windows

และ Linux ท Amazon มให จะไดรบการอปเดตเปนประจ าดวยโปรแกรมแพตชลาสด ดงนน หากคณไมตองการเกบรกษาขอมลหรอการปรบแตงในอนสแตนซ Amazon AMI ทใชงานของคณ คณกเพยงเปดใชอนสแตนซใหมดวย AMI ทอปเดตลาสด นอกจากน ยงมการอปเดตส าหรบ Amazon

Linux AMI ผานพนทเกบขอมล Yum ของ Amazon Linux

กลมการรกษา

ความปลอดภย

ส าหรบลกคา n

อนเทอรเฟซ กายภาพ

ไฟรวอลล

กลมการรกษา

ความปลอดภย

ส าหรบลกคา 2

กลมการรกษา

ความปลอดภย

ส าหรบลกคา 1

ลกคา 1 ลกคา 2 ลกคา n

ไฮเปอรไวเซอร

อนเทอรเฟซเสมอน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 24 จาก 75

ไฟรเวอลลเ: Amazon EC2 มาพรอมกบโซลชนไฟรวอลลทสมบรณ ไฟรวอลลขาเขาทบงคบใชนไดรบการก าหนดคาในโหมดปฏเสธทงหมดแบบ

ดฟอลต และลกคา Amazon EC2 ตองเปดพอรตทตองใชส าหรบอนญาตการรบสงขอมลขาเขาอยางชดเจน การรบสงขอมลอาจถกจ ากดดวยโปรโตคอล ดวยพอรตบรการ รวมถงดวยทอย IP ตนทาง (IP เฉพาะหรอบลอก Classless Inter-Domain Routing (CIDR))

สามารถก าหนดคาไฟรวอลลในกลมทอนญาตใหใชชนอนสแตนซตางๆ เพอใหมกฎทแตกตางกน ตวอยางเชน กรณของแอปพลเคชนเวบ 3 Tier แบบดงเดม กลมของเวบเซรฟเวอรจะมพอรต 80 (HTTP) และ/หรอพอรต 443 (HTTPS) ทเปดส าหรบอนเทอรเนต กลมของเซรฟเวอรแอปพลเคชนจะมพอรต 8000 (เฉพาะแอปพลเคชน) ทเขาถงไดเฉพาะกลมเวบเซรฟเวอรเทานน กลมของเซรฟเวอรฐานขอมลจะมพอรต 3306 (MySQL) ทเปดเฉพาะส าหรบกลมเซรฟเวอรแอปพลเคชนเทานน ทงสามกลมนจะอนญาตการเขาถงระดบผดแลระบบบนพอรต 22 (SSH) แตเฉพาะจากเครอขายบรษทของลกคาเทานน แอปพลเคชนทมความปลอดภยสงสามารถปรบใชโดยใชกลไกทมความหมายน โปรดดไดอะแกรมดานลาง:

รปภาพ 4: ไฟรเวอลลเกลมการรกษาความปลอดภย Amazon EC2

จะไมมการควบคมไฟรวอลลผานระบบปฏบตการเยอน แตจะก าหนดใหใชใบรบรอง X.509 และคยส าหรบอนญาตการเปลยนแปลง จงชวยเพมการรกษาความปลอดภยอกชน AWS รองรบความสามารถในการใหสทธเขาถงแบบละเอยดไปยงฟงกชนการดแลระบบทแตกตางกนในอนสแตนซและไฟรวอลล จงชวยใหคณสามารถใชงานการรกษาความปลอดภยเพมเตมผานการแยกหนาทได ระดบการรกษาความปลอดภยทไดมาจากไฟรวอลล คอฟงกชนทระบ วาคณเปดพอรตใด เปนระยะเวลาเทาใด และเพอวตถประสงคใด สถานะดฟอลตคอการปฏเสธการรบสงขอมลขาเขาทงหมด และคณควรวางแผนสงทคณ

จะเปดเมอสรางและรกษาความปลอดภยใหแอปพลเคชนของคณ โดยเกณฑตออนสแตนซยงคงตองการใหมการจดการการรบสงขอมลและการออกแบบ

การรกษาความปลอดภยทมขอมลครบถวน AWS ขอแนะน าใหคณใชตวกรองตออนสแตนซเพมเตม พรอมทงไฟรวอลลทใชโฮสต เชน IPtables หรอ Windows Firewall และ VPN สงนจะจ ากดการรบสงขอมลทงขาเขาและขาออก

การเขาถง API: การเรยก API เพอเปดใชและยกเลกอนสแตนซ เปลยนแปลงพารามเตอรไฟรวอลล และด าเนนการฟงกชนอนๆ ทงหมดจะไดรบการลงชอโดยคยการเขาถงลบของ Amazon ของคณ ซงอาจเปนคยการเขาถงลบของบญช AWS หรอคยการเขาถงลบของผใชทสรางดวย AWS IAM ถาไมมสทธเขาถงคยการเขาถงลบของคณ จะไมสามารถเรยก Amazon EC2 API ในนามของคณได นอกจากน ยงสามารถเขารหสการเรยก API ดวย SSL

เพอรกษาความลบ Amazon ขอแนะน าใหใชต าแหนงขอมล API ทปองกนดวย SSL เสมอ

สามารถใหสทธ ssh ในการเขาถงทรพยากร

AWS บางอยาง เชน ชนของฐานขอมล

แกบคคลภายนอกทไดรบอนญาต

พอรตอนเทอรเนตอนๆ ทงหมด

จะถกบลอกตามคาเรมตน

AWS ใชเครอขายสวนตวซงรองรบ ssh

ในการเขาถงขอมลระหวางแตละชน (tier)

อยางปลอดภย และสามารถตงคาเพอจ ากด

การเขาถงระหวางแตละชนได

ไฟรวอลลกลมการรกษา

ความปลอดภย Amazon EC2

เจาหนาทวศวกรมสทธ ssh

ในการเขาถงชนของเวบ

ซงท าหนาทเปน Bastion

เปดใหเชอมตออนเทอรเนต

เฉพาะพอรต 80 และ 433

โวลม EBS

ชนของฐานขอมล

ชนของแอปพลเคชน

ชนของเวบ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 25 จาก 75

สทธ: AWS IAM ใหคณสามารถควบคมไดวาการท างานใดบางของ API ทผใชมสทธเรยกใช

การรกษาความปลอดภยของ Elastic Block Storage (Amazon EBS)

Amazon Elastic Block Storage (EBS) ชวยใหคณสามารถสรางโวลมพนทเกบขอมลตงแต 1 GB ไปจนถง 16 TB ซงสามารถตดตงเปนอปกรณไดดวย EC2 Instance ของ Amazon โวลมพนทเกบขอมลจะท างานเหมอนเปนอปกรณบลอกแบบ Raw ทยงไมฟอรแมต โดยมชออปกรณทผใชระบและอนเทอรเฟซอปกรณบลอก คณสามารถสรางระบบไฟลบนโวลม Amazon EBS หรอใชงานดวยวธอนๆ ทคณจะใชกบอปกรณบลอกของคณ (เชน ฮารดไดรฟ) โวลม Amazon EBS มการจ ากดใหเขาถงไดเฉพาะบญช AWS ทสรางโวลม และผใชทอยภายใตบญช AWS ทสรางดวย AWS IAM หากผใชไดรบสทธใหเขาใชการด าเนนการของ EBS ได โดยปฏเสธสทธในการดหรอเขาถงโวลมส าหรบบญชและผใช AWS อนๆ ทงหมด

ขอมลทจดเกบในโวลม Amazon EBS จะจดเกบในสถานทตงทางภายภาพตางๆ อยางเพยงพอ ในฐานะทเปนสวนหนงของการด าเนนการตามปกตของบรการเหลานน และไมมการคดคาใชจายเพมเตม อยางไรกตาม การจ าลองแบบของ Amazon EBS จะจดเกบอยภายใน Availability Zone ทเปนโซนเดยวกน โดยไมขามหลายโซน ขอแนะน าอยางยงใหคณด าเนนการสแนปชอตตามปกตกบ Amazon S3 เพอความมนคงของขอมลในระยะยาว ส าหรบลกคาทไดออกแบบฐานขอมลการท ารายการทซบซอนโดยใช EBS ขอแนะใหด าเนนการส ารองขอมลไปยง Amazon S3 ผานระบบการจดการฐานขอมล เพอใหสามารถตรวจสอบลอกและการท ารายการทกระจายได AWS จะไมส ารองขอมลทจดเกบอยในดสกเสมอนทเชอมโยงกบอนสแตนซทท างานอยบน Amazon EC2

คณสามารถสรางสแนปชอตโวลม Amazon EBS ทเปดใหใชงานส าหรบบญช AWS อนๆ เพอใชเปนเกณฑส าหรบการสรางโวลมของคณเอง การใช สแนปชอตโวลม Amazon EBS รวมกนจะไมเปนการใหสทธในการเปลยนแปลงหรอลบสแนปชอตเรมแรกแกบญช AWS อนๆ เนองจากสทธนนสงวนไวอยางชดเจนส าหรบบญช AWS ทสรางโวลม สแนปชอต EBS เปนมมมองระดบบลอกของโวลม EBS ทงหมด โปรดทราบวาขอมลทไมแสดงใหเหนในระบบไฟลบนโวลม เชน ไฟลทถกลบ อาจแสดงอยในสแนปชอต EBS หากคณตองการสรางสแนปชอตทใชรวมกน คณควรด าเนนการอยางระมดระวง หากโวลมมขอมลส าคญหรอมไฟลทถกลบไปแลว โวลม EBS ใหมควรไดรบการสรางขน ขอมลทจะอยในสแนปชอตทใชรวมกนควรไดรบการคดลอกไปยงโวลมใหม และสแนปชอตทสรางจากโวลมใหม

โวลม Amazon EBS จะแสดงใหคณเหนในรปแบบอปกรณบลอกแบบ Raw ทยงไมฟอรแมต ซงมการลางขอมลกอนเปดใหใชงาน การลางขอมลจะเกดขนในทนทกอนการน ากลบมาใชใหม เพอใหคณมนใจไดวากระบวนการลางขอมลจะเสรจสมบรณด หากคณมขนตอนทก าหนดใหตองลางขอมลทงหมดดวยวธการเฉพาะ เชน ตามทระบรายละเอยดใน DoD 5220.22-M (“National Industrial Security Program Operating Manual”) หรอ NIST 800-88 (“Guidelines for Media Sanitization”) คณสามารถด าเนนการดงกลาวใน Amazon EBS ได คณควรด าเนนการลางขอมลพเศษกอนลบโวลม เพอใหเปนไปตามขอก าหนดทระบไวของคณ

การเขารหสขอมลส าคญเปนแนวทางการรกษาความปลอดภยทด และ AWS จะมอบความสามารถในการเขารหสโวลม EBS และสแนปชอตดวย AES-256 การเขารหสจะเกดขนบนเซรฟเวอรทโฮสต EC2 Instance ซงจะเขารหสขอมลเมอท าการยายขอมลระหวาง EC2 Instance กบพนทเกบขอมล EBS เพอทจะสามารถท าเชนนอยางมประสทธภาพและมความหนวงต า คณสมบตการเขารหส EBS จะใชงานไดเฉพาะในอนสแตนซของ EC2

ประเภททมประสทธภาพมากกวาเทานน (เชน M3, C3, R3, G2)

การรกษาความปลอดภยของ Auto Scaling

Auto Scaling ชวยใหคณสามารถเพมหรอลดความจของ Amazon EC2 ใหเปนไปตามเงอนไขทคณก าหนด เพอใหจ านวน EC2 Instance ของ Amazon ทคณก าลงใชเพมขนอยางราบรนในระหวางทความตองการใชงานเพมขนอยางรวดเรว ทงนเพอเปนการรกษาประสทธภาพการท างาน และ ลดจ านวนลงโดยอตโนมตเมอความตองการใชงานลดลง เพอเปนการลดคาใชจาย

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 26 จาก 75

เชนเดยวกบบรการ AWS ทงหมด คณสมบต Auto Scaling ตองการใหทกค าขอใน API การควบคมมการรบรองความถกตอง เพอใหมเฉพาะผใชทผานการรบรองความถกตองเทานนทสามารถเขาถงและจดการ Auto Scaling ได ค าขอไดรบการรบรองดวยลายเซน HMAC-SHA1 ทค านวณจากค าขอและคยสวนตวของผใช อยางไรกตาม การเรยกขอมลประจ าตวออกไปยง EC2 Instance ใหมซงเปดใชดวย Auto Scaling อาจเปนเรองทาทายส าหรบกลมขนาดใหญหรอมการปรบขนาดทยดหยน เพอเปนการลดความซบซอนของกระบวนการน คณสามารถใชบทบาทภายใน IAM เพอใหอนสแตนซใหม

ทเปดใชพรอมบทบาทไดรบการระบขอมลประจ าตวโดยอตโนมต เมอคณเปดใช EC2 Instance พรอมกบบทบาท IAM ขอมลประจ าตวของการรกษาความปลอดภย AWS ทมสทธทระบตามบทบาทจะไดรบการจดเตรยมไปยงอนสแตนซอยางปลอดภย และจะไดรบการท าใหพรอมใชงานส าหรบ

แอปพลเคชนของคณผาน Amazon EC2 Instance Metadata Service Metadata Service จะท าใหขอมลประจ าตวของการรกษาความปลอดภยชวคราวใหมพรอมใชงานกอนทขอมลประจ าตวทใชงานอยในปจจบนจะหมดอาย เพอใหขอมลประจ าตวทใชไดพรอมใชงานบนอนสแตนซ นอกจากน ขอมลประจ าตวของการรกษาความปลอดภยชวคราวจะไดรบการหมนเวยนหลายครงในแตละวน ทงนเพอเปนการเพมระดบการรกษาความปลอดภย คณยงสามารถควบคมการเขาถง Auto Scaling ไดโดยการสรางผใชในบญช AWS โดยใช AWS IAM และการควบคมการด าเนนการของ Auto Scaling

API ทผใชเหลานมสทธเรยกใชได โปรดดขอมลเพมเตมเกยวกบการใชบทบาทเมอเปดใชงานอนสแตนซในคมอผใช Amazon EC2 บนเวบไซต AWS: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/UsingIAM

บรการเครอขาย

Amazon Web Services มาพรอมกบบรการเครอขายตางๆ ทชวยใหคณสามารถสรางเครอขายทแยกออกมาตามตรรกะตามทคณก าหนด รวมถงสามารถสรางการเชอมตอเครอขายสวนตวกบ AWS Cloud และใชบรการ DNS ทเชอถอไดและมความพรอมใชงานในระดบสง ตลอดจนสงเนอหาไปยงผใชดวยการถายโอนขอมลความเรวสงและมความหนวงต าโดยใชเวบเซอรวสการสงเนอหา

การรกษาความปลอดภยของ Amazon Elastic Load Balancing

Amazon Elastic Load Balancing ใชจดการการรบสงขอมลในกลมของ Amazon EC2 Instance ซงมการกระจายการรบสงขอมลไปยงอนสแตนซใน Availability Zone ทงหมดภายในภมภาค Elastic Load Balancing มขอดทงหมดของโหลดบาลานเซอรภายในองคกร พรอมกบมประโยชนดานการรกษาความปลอดภยหลายอยาง เชน:

การเขาควบคมงานการเขารหสและการถอดรหสจาก Amazon EC2 Instance และการจดการในแบบรวมศนยในโหลดบาลานเซอร

ใหลกคามชองทางการตดตอจดเดยว และสามารถใชเปนดานแรกของการปองกนการโจมตในเครอขายของคณ

เมอใชใน Amazon VPC จะสนบสนนการสรางและการจดการกลมการรกษาความปลอดภยทเชอมโยงกบ Elastic Load Balancing

เพอมอบทางเลอกในดานเครอขายและการรกษาความปลอดภยเพมเตม

สนบสนนการเขารหสการรบสงขอมลแบบครบวงจรโดยใช TLS (เดมคอ SSL) ในเครอขายทใชการเชอมตอ HTTP แบบปลอดภย (HTTPS) เมอมการใช TLS จะสามารถจดการใบรบรองเซรฟเวอร TLS ทใชเพอสนสดการเชอมตอไคลเอนตไดจากสวนกลางในโหลดบาลานเซอร ไมใชในแตละอนสแตนซทงหมด

HTTPS/TLS ใชคยลบระยะยาวเพอสรางคยเซสชนระยะสน ซงจะใชระหวางเซรฟเวอรกบเบราเซอรเพอสรางขอความทเขารหส (เขารหสลบ) Amazon

Elastic Load Balancing จะก าหนดคาโหลดบาลานเซอรของคณดวยชดรหสลบทก าหนดไวลวงหนา ซงใชส าหรบการตอรอง TLS เมอมการสราง การเชอมตอระหวางไคลเอนตกบโหลดบาลานเซอรของคณ ชดรหสลบทก าหนดไวลวงหนาชวยใหสามารถใชงานรวมกบไคลเอนตทหลากหลาย และใชอลกอรธมการเขารหสทเขมงวดทสด อยางไรกตาม ลกคาบางรายอาจมขอก าหนดทอนญาตใหใชเฉพาะการเขารหสและโปรโตคอลบางอยาง (เชน PCI,

SOX ฯลฯ) จากไคลเอนต เพอใหมนใจวาการด าเนนการเปนไปตามมาตรฐาน ในกรณเหลาน Amazon Elastic Load Balancing จะมตวเลอกในการเลอกการก าหนดคาอนๆ ส าหรบโปรโตคอลและรหสลบ TLS ซงคณสามารถเลอกเพอเปดใชงานหรอปดใชงานรหสลบตามขอก าหนดเฉพาะของคณ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 27 จาก 75

เพอชวยใหมนใจวามการใชชดรหสลบทใหมกวาและเขมงวดยงขนเมอสรางการเชอมตอทปลอดภย คณสามารถก าหนดคาโหลดบาลานเซอรใหสามารถตดสนขนสดทายในการเลอกชดรหสลบในระหวางการตอรองไคลเอนต-เซรฟเวอร เมอมการเลอกตวเลอก Server Order Preference โหลดบาลานเซอรจะเลอกชดรหสลบตามการจดล าดบความส าคญของเซรฟเวอรของชดรหสลบ ไมใชของไคลเอนต ซงชวยใหคณสามารถควบคมระดบการรกษาความปลอดภยทไคลเอนตใชในการเชอมตอกบโหลดบาลานเซอรของคณ

เพอความเปนสวนตวในการสอสารในระดบทสงขน Amazon Elastic Load Balancer จะอนญาตใหใช Perfect Forward Secrecy ซงจะใช คยเซสชนซงเปนคยชวคราวและไมมการเกบไวในทใดๆ เปนการปองกนไมใหมการถอดรหสจากขอมลทบนทกไว แมวาคยลบระยะยาวจะถกละเมด

ความปลอดภยกตาม

Amazon Elastic Load Balancing ชวยใหคณสามารถระบทอย IP เรมตนของไคลเอนตทเชอมตอกบเซรฟเวอรของคณ ไมวาคณจะใชการปรบสมดลการโหลดแบบ HTTPS หรอ TCP กตาม โดยทวไปแลว ขอมลการเชอมตอไคลเอนต เชน ทอย IP และพอรต จะสญหายไปเมอค าขอมการใช พรอกซผานโหลดบาลานเซอร เนองจากโหลดบาลานเซอรจะสงค าขอไปยงเซรฟเวอรในนามของไคลเอนต ซงท าใหโหลดบาลานเซอรของคณปรากฏขนเหมอนกบก าลงรองขอไคลเอนต การมทอย IP ไคลเอนตเรมตนมประโยชนเมอคณตองการขอมลเพมเตมเกยวกบผทมาเยยมชมแอปพลเคชนของคณ เพอทจะรวบรวมสถตการเชอมตอ วเคราะหลอกการรบสงขอมล หรอจดการไวทลสตของทอย IP

Amazon Elastic Load Balancing จะเขาใชลอกทมขอมลเกยวกบค าขอ HTTP และ TCP แตละรายการ ทประมวลผลโดยโหลดบาลานเซอรของคณ ซงรวมถงทอย IP และพอรตของไคลเอนตทรองขอ ทอย IP แบคเอนดของอนสแตนซทประมวลผลค าขอ ขนาดของค าขอและการตอบกลบ และรายการค าขอตามจรงจากไคลเอนต (ตวอยางเชน GET http://www.example.com: 80/HTTP/1.1) ค าขอทงหมดทสงไปยงโหลดบาลานเซอร จะไดรบการบนทก รวมถงค าขอทไมเคยสงไปยงอนสแตนซแบคเอนด

การรกษาความปลอดภยของ Amazon Virtual Private Cloud (Amazon VPC)

ตามปกตแลว Amazon EC2 Instance แตละรายการทคณเปดใชงานจะไดรบการระบทอย IP แบบสมในพนทวางของทอย Amazon EC2

Amazon VPC ชวยใหคณสามารถสรางสวนทแยกตางหากของ AWS cloud และเปดใชงาน EC2 Instance ของ Amazon ทมทอยแบบสวนตว (RFC 1918) ในชวงทอยตามทคณเลอก (เชน 10.0.0.0/16) คณสามารถก าหนดซบเนตภายใน VPC ของคณ โดยจดกลมอนสแตนซประเภททคลายกนตามชวงของทอย IP แลวตงคาการก าหนดเสนทางและการรกษาความปลอดภยเพอควบคมโฟลวของการรบสงมลเขาและออกจากอนสแตนซและซบเนต

AWS มเทมเพลตสถาปตยกรรม VPC ทหลากหลาย พรอมทงการก าหนดคาทมาพรอมกบระดบการเขาถงสาธารณะทตางกน:

VPC ทมเฉพาะซบเนตสาธารณะเดยว อนสแตนซของคณจะท างานในสวนของ AWS Cloud ทเปนสวนตวและแยกออกมา โดยมการเชอมตออนเทอรเนตโดยตรง สามารถใช ACL เครอขายและกลมการรกษาความปลอดภยเพอด าเนนการควบคมทเขมงวดส าหรบการรบสงขอมลทางเครอขายขาเขาและขาออกไปยงอนสแตนซของคณ

VPC ทมซบเนตสาธารณะและสวนตว นอกจากจะมซบเนตสาธารณะแลว การก าหนดคานยงเพมซบเนตสวนตวทมอนสแตนซทไมสามารถระบทอยจากอนเทอรเนตได อนสแตนซในซบเนตสวนตวสามารถสรางการเชอมตอขาออกไปยงอนเทอรเนตผานซบเนตสาธารณะโดยใช Network

Address Translation (NAT)

VPC ทมซบเนตสาธารณะและสวนตว และการเขาถง VPN ของฮารดแวร การก าหนดคานจะเพมการเชอมตอ IPsec VPN ระหวาง Amazon VPC ของคณกบศนยขอมลของคณ เพอใหสามารถขยายศนยขอมลไปยงระบบคลาวดไดอยางมประสทธภาพ ขณะทมการใหการเขาถงโดยตรงผานอนเทอรเนตส าหรบอนสแตนซซบเนตสาธารณะใน Amazon VPC ของคณ ในการก าหนดคาน ลกคาสามารถเพมอปกรณ VPN ทฝงศนยขอมลขององคกรได

VPC ทมเฉพาะซบเนบตสวนตวและการเขาถง VPN ของฮารเดแวรเ อนสแตนซของคณจะท างานในสวนของ AWS Cloud ทเปนสวนตวและแยกออกมา โดยมซบเนตสวนตวทมอนสแตนซทไมสามารถระบทอยจากอนเทอรเนตได คณสามารถเชอมตอซบเนตสวนตวนกบศนยขอมลบรษทผานทนเนล IPsec VPN

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 28 จาก 75

นอกจากน คณยงสามารถเชอมตอ VPC สองรายการของคณกบทอย IP สวนตว ซงท าใหอนสแตนซใน VPC สองรายการสามารถสอสารกนเหมอนกบ

อยภายในเครอขายเดยวกน คณสามารถสรางการเชอมตอแบบเพยรของ VPC ระหวาง VPC ของคณเอง หรอกบ VPC ในบญช AWS อนภายในภมภาคเดยวกน

คณสมบตการรกษาความปลอดภยภายใน Amazon VPC ประกอบดวยกลมการรกษาความปลอดภย, ACL เครอขาย, ตารางการก าหนดเสนทาง และ เกตเวยภายนอก แตละรายการเหลานเปนสวนเสรมส าหรบการใหบรการเครอขายแยกทปลอดภย ซงสามารถขยายผานการใชงานการเขาถงอนเทอรเนตโดยตรงหรอการเชอมตอแบบสวนตวกบเครอขายอน อนสแตนซ Amazon EC2 ทท างานภายใน Amazon VPC จะรบประโยชนทงหมดตามทอธบายไวดานลาง ซงเกยวของกบระบบปฏบตการเยอนและการปองกนการดกจบขอมลแพคเกต

อยางไรกตาม โปรดทราบวาคณตองสรางกลมการรกษาความปลอดภย VPC ส าหรบ Amazon VPC ของคณโดยเฉพาะ กลมการรกษาความปลอดภย Amazon EC2 ใดๆ ทคณสรางจะไมท างานภายใน Amazon VPC ของคณ นอกจากน กลมการรกษาความปลอดภยของ Amazon VPC ยงมความสามารถเพมเตมทกลมการรกษาความปลอดภยของ Amazon EC2 ไมม เชน ความสามารถในการเปลยนแปลงกลมการรกษาความปลอดภยหลงจากเปดใชอนสแตนซ และความสามารถในการระบโปรโตคอลทมหมายเลขโปรโตคอลมาตรฐาน (ตรงขามกบการมเพยง TCP, UDP หรอ ICMP)

Amazon VPC แตละรายการเปนเครอขายแยกทมลกษณะเฉพาะภายในระบบคลาวด โดยการรบสงขอมลทางเครอขายภายใน Amazon VPC แตละรายการจะแยกออกจาก Amazon VPC อนๆ ทงหมด โดยขณะทคณสราง คณจะเลอกชวงทอย IP ส าหรบ Amazon VPC แตละรายการ คณอาจสรางและเชอมโยงอนเทอรเนตเกตเวย เกตเวยสวนตวเสมอน หรอทงสองอยาง เพอสรางการเชอมตอภายนอก โดยอยภายใตการควบคมดานลางน

การเขาถง API: การเรยกเพอสรางและลบ Amazon VPC, เปลยนแปลงการก าหนดเสนทาง กลมการรกษาความปลอดภย และพารามเตอร ACL

เครอขาย และด าเนนการฟงกชนอนๆ ทงหมดจะไดรบการลงชอโดยคยการเขาถงลบของ Amazon ของคณ ซงอาจเปนคยการเขาถงลบของบญช AWS

หรอคยการเขาถงลบของผใชทสรางดวย AWS IAM กได ถาไมมสทธเขาถงคยการเขาถงลบของคณ จะไมสามารถเรยก Amazon VPC API ในนามของคณ นอกจากน ยงสามารถเขารหสการเรยก API ดวย SSL เพอรกษาความลบ Amazon ขอแนะน าใหใชต าแหนงขอมล API ทปองกนดวย SSL

เสมอ นอกจากน AWS IAM ยงชวยใหลกคาสามารถควบคมไดวาการท างานใดบางของ API ทผใชทสรางใหมมสทธเรยกใช

ตารางซบเนบตและเสนทาง: คณจะสรางซบเนตอยางนอยหนงรายการภายใน Amazon VPC แตละรายการ อนสแตนซแตละรายการทเปดใชใน Amazon

VPC จะเชอมตอกบซบเนตหนงรายการ การโจมตการรกษาความปลอดภยเลเยอร 2 แบบดงเดม ซงรวมถงการปลอมแปลง MAC และ การปลอมแปลง ARP จะถกบลอก

ซบเนตแตละรายการใน Amazon VPC จะเชอมโยงกบตารางการก าหนดเสนทาง และการรบสงขอมลทางเครอขายทงหมดทออกจากซบเนตจะไดรบการประมวลผลโดยตารางการก าหนดเสนทางเพอระบปลายทาง

ไฟรเวอลลเ (กลมการรกษาความปลอดภย): Amazon VPC รองรบโซลชนไฟรวอลลทงหมดทสามารถกรองการใชงานขาเขาและขาออกจากอนสแตนซ เชนเดยวกบ Amazon EC2 กลมคาเรมตนท าใหการสอสารขาเขาจากสมาชกคนอนในกลมเดยวกนและการสอสารขาออกไปยงจดหมายปลายทางใดๆ ปรมาณการใชงานสามารถจ ากดดวยโปรโตคอล IP ตามพอรตบรการ และทอย IP ตนทางและปลายทาง (IP เฉพาะหรอบลอก Classless Inter-

Domain Routing (CIDR))

จะไมมการควบคมไฟรวอลลผานระบบปฏบตการเยอน แตจะสามารถแกไขไดผานการเรยกใช Amazon VPC API เทานน AWS รองรบความสามารถในการใหสทธเขาถงแบบละเอยดไปยงฟงกชนการดแลระบบทแตกตางกนในอนสแตนซและไฟรวอลล จงชวยใหคณสามารถใชงานการรกษาความปลอดภยเพมเตมผานการแยกหนาทได ระดบการรกษาความปลอดภยทไดมาจากไฟรวอลล คอฟงกชนทระบวาคณเปดพอรตใด เปนระยะเวลาเทาใด และเพอวตถประสงคใด โดยเกณฑตออนสแตนซยงคงตองการใหมการจดการการรบสงขอมลและการออกแบบการรกษาความปลอดภยทมขอมลครบถวน AWS

ขอแนะน าใหคณใชตวกรองตออนสแตนซเพมเตม พรอมทงไฟรวอลลทใชโฮสต เชน IPtables หรอ Windows Firewall ตอไป

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 29 จาก 75

รปภาพ 5: สถาปตยกรรมเครอขายของ Amazon VPC

รายการควบคมการเขาถงเครอขาย: ในการเพมความปลอดภยอกระดบภายใน Amazon VPC คณสามารถก าหนดคา ACL เครอขายได ซงไดแก ตวกรองการรบสงขอมลแบบไมเกบสถานะทใชกบการรบสงขอมลขาเขาหรอขาออกทงหมดจากซบเนตภายใน Amazon VPC ACL เหลานสามารถประกอบดวยกฎทมล าดบในการอนญาตหรอปฏเสธปรมาณการใชงานตามโปรโตคอล IP, ตามพอรตบรการ และทอย IP ตนทาง/ปลายทาง

เชนเดยวกบกลมการรกษาความปลอดภย ACL เครอขายไดรบการจดการผาน Amazon VPC API โดยเพมการปกปองอกระดบ และใชงานการรกษาความปลอดภยเพมเตมผานการแยกหนาท ไดอะแกรมดานลางแสดงวธการควบคมการรกษาความปลอดภยระหวางกน เพอใชงานโทโพโลยเครอขายทยดหยน ขณะทสามารถควบคมโฟลวการรบสงขอมลทางเครอขายทงหมด

เกตเวยลกคา

ภมภาคของ AWS

พนทใหบรการ B

พนทใหบรการ A

ซบเนตสาธารณะ

ซบเนตสวนตว

อนเทอรเนตเกตเวย

เราทเตอร

เกตเวยสวนตวแบบเสมอน ศนยขอมลลกคา

อนเทอรเนต

ส านกงานประจ าภมภาคของลกคา

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 30 จาก 75

รปภาพ 6: โทโพโลยเครอขายทยดหยน

เกตเวยเสวนตวเสมอน: เกตเวยสวนตวเสมอนชวยใหสามารถเชอมตอระหวาง Amazon VPC กบเครอขายอนๆ ในแบบสวนตว การรบสงขอมลทางเครอขายภายในเกตเวยสวนตวเสมอนจะแยกออกจากการรบสงขอมลทางเครอขายภายในเกตเวยสวนตวเสมอนอนๆ ทงหมด คณสามารถสรางการเชอมตอ VPN กบเกตเวยสวนตวเสมอนจากอปกรณเกตเวยในองคกรของคณ จะมการรกษาความปลอดภยใหการเชอมตอแตละรายการของคณดวยคยทใชรวมกนลวงหนารวมกบทอย IP ของอปกรณเกตเวยของลกคา

อนเทอรเเนบตเกตเวยเ: อนเทอรเนตเกตเวยอาจเชอมโยงไปกบ Amazon VPC เพอใหสามารถเชอมตอโดยตรงกบ Amazon S3, บรการ AWS อนๆ และอนเทอรเนต แตละอนสแตนซทตองการการเขาถงนตองม IP แบบยดหยนทเชอมโยงกบอนสแตนซ หรอตองก าหนดเสนทางการรบสงขอมลผานอนสแตนซ NAT นอกจากน เสนทางเครอขายยงไดรบการก าหนดคา (ดดานบน) ใหสงขอมลไปยงอนเทอรเนตเกตเวยโดยตรง AWS ม NAT AMI

อางองซงคณสามารถขยายเพอด าเนนการบนทกเครอขาย การตรวจสอบแพคเกตแบบลก การกรองชนแอปพลเคชน หรอการควบคมการรกษาความปลอดภยอนๆ

สามารถแกไขสทธการเขาถงนผานการเรยกใช Amazon VPC API เทานน AWS รองรบความสามารถในการใหสทธเขาถงแบบละเอยดไปยงฟงกชนการดแลระบบทแตกตางกนในอนสแตนซและอนเทอรเนตเกตเวย จงชวยใหคณสามารถใชงานการรกษาความปลอดภยเพมเตมผานการแยกหนาทได

ตารางเสนทางขอมล ตารางเสนทางขอมล

ACL เครอขาย

ขาออก

ACL เครอขาย

ขาเขา

ACL เครอขาย

ขาออก

เราทเตอร

ซบเนต ซบเนต

อนสแตนซ 3 อนสแตนซ 2 อนสแตนซ 1

กลมการรกษา

ความปลอดภยขาออก

กลมการรกษา

ความปลอดภยขาเขา

ACL เครอขาย

ขาเขา

อนเทอรเนตเกตเวย เกตเวยสวนตวแบบเสมอน

SG

ขาออก

SG

ขาออก

SG

ขาเขา

SG

ขาเขา

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 30 จาก 75

อนสแตนซเเฉพาะ: ภายใน VPC คณสามารถเปดใชงาน Amazon EC2 Instance ทมการแยกทางกายภาพในระดบฮารดแวรของโฮสต (กลาวคอ จะท างานบนฮารดแวรทมผเชารายเดยว) สามารถสราง Amazon VPC ดวยการเชา ‘เฉพาะ’ เพอใหอนสแตนซทงหมดทเปดใชใน Amazon VPC จะใชประโยชนจากคณสมบตนได หรออาจสราง Amazon VPC ดวยการเชา ‘ดฟอลต’ แต คณสามารถระบการเชาเฉพาะส าหรบอนสแตนซทเฉพาะเจาะจงและเปดใชงานในการเชานน

Elastic Network Interface: Amazon EC2 Instance แตละรายการมอนเทอรเฟซเครอขายดฟอลตทไดรบการระบทอย IP สวนตวในเครอขาย VPC ของ Amazon คณสามารถสรางและเชอมโยงอนเทอรเฟซเครอขายเพมเตม หรอทเรยกวา Elastic Network Interface (ENI) เขากบ Amazon EC2 Instance ใดๆ ใน Amazon VPC ของคณ ส าหรบอนเทอรเฟซเครอขายรวมสองรายการตออนสแตนซ การเชอมโยงอนเทอรเฟซเครอขายมากกวาหนงรายการเขากบอนสแตนซมประโยชนเมอคณตองการสรางเครอขายการจดการ ใชอปกรณเครอขายและการรกษาความปลอดภยใน Amazon VPC ของคณ หรอสรางอนสแตนซแบบ Dual-homed ดวยเวรกโหลด/บทบาทในซบเนตแยก แอตทรบวตของ ENI ซงรวมถงทอย IP

สวนตว, ทอย IP แบบยดหยน และทอย MAC จะตดตาม ENI เมอมการเชอมโยงหรอถอดออกจากอนสแตนซ และเชอมโยงกบอนสแตนซอนอกครง โปรดดขอมลเพมเตมเกยวกบ Amazon VPC บนเวบไซต AWS: http://aws.amazon.com/vpc/

การควบคมการเขาถงเครอขายเพมเตมดวย EC2-VPC

หากคณเปดใชงานอนสแตนซในภมภาคทคณไมมอนสแตนซกอนท AWS จะเปดใชคณสมบต EC2-VPC ใหม (หรอเรยกวา VPC ดฟอลต)

อนสแตนซทงหมดจะไดรบการจดเตรยมโดยอตโนมตใน VPC ดฟอลตทพรอมใชงาน คณสามารถเลอกทจะสราง VPC เพมเตม หรอคณสามารถสราง VPC ส าหรบอนสแตนซในภมภาคทคณมอนสแตนซอยแลวกอนทเราจะเปดใชงาน EC2-VPC

หากคณสราง VPC ในภายหลง โดยใช VPC ตามปกต คณจะระบบลอก CIDR, สรางซบเนต, ปอนการก าหนดเสนทางและการรกษาความปลอดภยส าหรบซบเนตเหลานน และจดเตรยมอนเทอรเนตเกตเวยหรออนสแตนซ NAT หากคณตองการใหหนงในซบเนตของคณสามารถเชอมตออนเทอรเนตได เมอคณเปดใช EC2 Instance ใน EC2-VPC งานสวนใหญเหลานจะด าเนนการโดยอตโนมตใหคณเอง เมอคณเปดใชอนสแตนซไปยง VPC ดฟอลตโดยใช EC2-VPC เราจะด าเนนการตอไปนเพอตงคาใหกบคณ:

สรางซบเนตดฟอลตใน Availability Zone แตละโซน

สรางอนเทอรเนตเกตเวยและเชอมตอกบ VPC ดฟอลตของคณ

สรางตารางเสนทางหลกส าหรบ VPC ดฟอลตของคณทมกฎทสงการรบสงขอมลทงหมดทก าหนดไวส าหรบอนเทอรเนตไปยงอนเทอรเนต เกตเวย

สรางกลมการรกษาความปลอดภยเรมตนและเชอมโยงกบ VPC ดฟอลตของคณ

สรางรายการควบคมการเขาถง (ACL) ของเครอขายดฟอลต และเชอมโยงกบ VPC ดฟอลตของคณ

เชอมโยงตวเลอก DHCP ดฟอลตทตงคามาส าหรบบญช AWS ของคณกบ VPC ดฟอลตของคณ

นอกเหนอจาก VPC ดฟอลตทมชวง IP สวนตวของตวเองแลว EC2 Instance ทเปดใชใน VPC ดฟอลตยงสามารถรบ IP สาธารณะได

ตารางตอไปนสรปใหเหนถงความแตกตางระหวางอนสแตนซทใชงานใน EC2-Classic, อนสแตนซทใชงานใน VPC ดฟอลต และอนสแตนซทใชงานใน VPC ทไมใชคาเรมตน

ลกษณะการท างาน EC2-Classic EC2-VPC (VPC ดฟอลตเ) VPC ปกต

ทอย IP สาธารณะ อนสแตนซของคณไดรบทอย IP

สาธารณะ

อนสแตนซของคณทเปดใชซบเนตดฟอลตไดรบทอย IP สาธารณะ

อนสแตนซของคณไมไดรบทอย IP

สาธารณะตามคาเรมตน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 31 จาก 75

ลกษณะการท างาน EC2-Classic EC2-VPC (VPC ดฟอลตเ) VPC ปกต

ตามคาเรมตน เวนแตคณจะระบไวเปนอยางอนในระหวางการเปดใช

เวนแตคณจะระบไวเปนอยางอนในระหวางการเปดใช

ทอย IP สวนตว อนสแตนซของคณไดรบทอย IP

สวนตวจากชวง EC2-Classic ทกครงทเรมตน

อนสแตนซของคณไดรบทอย IP

สวนตวแบบสแตตกจากชวงทอยของ VPC ดฟอลตของคณ

อนสแตนซของคณไดรบทอย IP

สวนตวแบบสแตตกจากชวงทอยของ VPC ของคณ

ทอย IP สวนตวหลายรายการ

เราเลอกทอย IP เดยวส าหรบอนสแตนซของคณ ไมรองรบทอย IP หลายรายการ

คณสามารถระบทอย IP สวนตวหลายรายการใหกบอนสแตนซของคณ

คณสามารถระบทอย IP สวนตวหลายรายการใหกบอนสแตนซของคณ

ทอย IP แบบยดหยน EIP ถกแยกออกจากอนสแตนซของคณเมอคณหยดการท างาน

EIP ยงคงเชอมโยงกบอนสแตนซของคณเมอคณหยดการท างาน

EIP ยงคงเชอมโยงกบอนสแตนซของคณเมอคณหยดการท างาน

ชอโฮสต DNS ชอโฮสต DNS ไดรบการเปดใชงานตามคาเรมตน

ชอโฮสต DNS ไดรบการเปดใชงานตามคาเรมตน

ชอโฮสต DNS ถกปดใชงานตามคาเรมตน

กลมการรกษาความปลอดภย กลมการรกษาความปลอดภยสามารถอางองกลมการรกษาความปลอดภยทเปนของบญช AWS อนๆ

กลมการรกษาความปลอดภยสามารถอางองกลมการรกษาความปลอดภยส าหรบ VPC ของคณเทานน

กลมการรกษาความปลอดภยสามารถอางองกลมการรกษาความปลอดภยส าหรบ VPC ของคณเทานน

การเชอมโยงกลมการรกษาความปลอดภย

คณตองสนสดอนสแตนซของคณเพอเปลยนแปลงกลมการรกษาความปลอดภย

คณสามารถเปลยนแปลงกลมการรกษาความปลอดภยของอนสแตนซทใชงานของคณ

คณสามารถเปลยนแปลงกลมการรกษาความปลอดภยของอนสแตนซทใชงานของคณ

กฎของกลมการรกษาความปลอดภย

คณสามารถเพมกฎส าหรบการรบสงขอมลขาเขาเทานน

คณสามารถเพมกฎส าหรบการรบสงขอมลขาเขาและขาออก

คณสามารถเพมกฎส าหรบการรบสงขอมลขาเขาและขาออก

การเชา อนสแตนซของคณท างานบนฮารดแวรทใชรวมกน คณไมสามารถเรยกใชอนสแตนซในฮารดแวรทเปนการเชาแบบเดยว

คณสามารถเรยกใชอนสแตนซของคณบนฮารดแวรทใชรวมกนหรอบนฮารดแวรทเปนการเชาแบบเดยว

คณสามารถเรยกใชอนสแตนซของคณบนฮารดแวรทใชรวมกนหรอบนฮารดแวรทเปนการเชาแบบเดยว

โปรดทราบวากลมการรกษาความปลอดภยส าหรบอนสแตนซใน EC2-Classic จะตางจากกลมการรกษาความปลอดภยส าหรบอนสแตนซใน EC2-VPC

เลกนอย ตวอยางเชน คณสามารถเพมกฎส าหรบการรบสงขอมลขาเขาส าหรบ EC2-Classic แตคณสามารถเพมกฎส าหรบการรบสงขอมลทงขาเขาและ

ขาออกไปยง EC2-VPC ได ใน EC2-Classic คณไมสามารถเปลยนแปลงกลมการรกษาความปลอดภยทระบใหกบอนสแตนซหลงจากเปดใชงานแลว แตใน EC2-VPC คณสามารถเปลยนแปลงกลมการรกษาความปลอดภยทระบใหกบอนสแตนซหลงจากเปดใชงานแลวได นอกจากน คณไมสามารถใชกลมการรกษาความปลอดภยทคณสรางไวส าหรบใชกบ EC2-Classic ทมอนสแตนซใน VPC ของคณ คณตองสรางกลมการรกษาความปลอดภยส าหรบใชกบอนสแตนซใน VPC ของคณโดยเฉพาะ กฎทคณสรางส าหรบใชกบกลมการรกษาความปลอดภยส าหรบ VPC ไมสามารถอางองกลมการรกษาความปลอดภยส าหรบ EC2-Classic และกลบกน

การรกษาความปลอดภยของ Amazon Route 53

Amazon Route 53 เปนบรการ Domain Name System (DNS) ทสามารถปรบขนาดไดและมความพรอมใชงานระดบสง ซงจะตอบรบการสบคน DNS โดยแปลโดเมนเนมเปนทอย IP เพอใหคอมพวเตอรสามารถสอสารกนได Route 53 สามารถใชเพอเชอมตอค าขอผใชกบโครงสรางพนฐานทท างานใน AWS เชน อนสแตนซ Amazon EC2 หรอบคเกต Amazon S3 หรอกบโครงสรางพนฐานภายนอก AWS

Amazon Route 53 ใหคณสามารถจดการทอย IP (เรกคอรด) ทแสดงส าหรบโดเมนเนมของคณ และ Amazon Route 53 จะตอบค าขอ (การสบคน) เพอแปลโดเมนเนมใหเปนทอย IP ทตรงกน การสบคนส าหรบโดเมนของคณจะไดรบการก าหนดเสนทางไปยงเซรฟเวอร DNS ทอยใกลกน

โดยอตโนมต โดยใช Anycast เพอใหเกดความหนวงในระดบทต าทสดเทาทจะเปนไปได Route 53

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 32 จาก 75

ชวยใหคณสามารถจดการการรบสงขอมลโดยรวมผานประเภทการก าหนดเสนทางทหลากหลาย รวมถง Latency Based Routing (LBR), Geo

DNS และ Weighted Round-Robin (WRR) —ซงทงหมดนสามารถรวมเขากบ DNS Failover เพอชวยสรางสถาปตยกรรมรปแบบตางๆ ทมความหนวงต าและคงทนตอความเสยหาย อลกอรธมเฟลโอเวอรทใชโดย Amazon Route 53 ไดรบการออกแบบมาใหสามารถก าหนดเสนทางการรบสงขอมลไปยงต าแหนงขอมลทมสภาพปกต และยงชวยหลกเลยงการท าใหความเสยหายทเกดขนแยลงอนเนองมาจากแอปพลเคชนและการตรวจสอบสภาวะการท างานทก าหนดคาไมถกตอง ภาวะการใชต าแหนงขอมลมากเกนไป และความลมเหลวของพารตชน

นอกจากน Route 53 ยงมการจดทะเบยนโดเมนเนม คณสามารถซอและจดการโดเมนเนม เชน example.com และ Route 53 จะก าหนดการตงคา DNS ดฟอลตโดยอตโนมตส าหรบโดเมนของคณ คณสามารถซอ จดการ และถายโอน (ทงเขาและออก) โดเมนจากโดเมนระดบบนสด (TLDs) แบบทวไปและเฉพาะประเทศทมใหเลอกหลากหลาย ในระหวางกระบวนการลงทะเบยน คณมทางเลอกในการเปดใชงานการปองกนสวนตวส าหรบโดเมนของคณ ตวเลอกนจะซอนขอมลสวนตวของคณโดยสวนใหญจากฐานขอมล Whois สาธารณะ เพอชวยในการขดขวาง Scraping และสแปม

Amazon Route 53 สรางขนโดยใชโครงสรางพนฐานของ AWS ทเชอถอไดและมความพรอมใชงานระดบสง ลกษณะทกระจายของเซรฟเวอร AWS

DNS ชวยใหมนใจไดถงความสามารถทสม าเสมอในการก าหนดเสนทางผใชมายงแอปพลเคชนของคณ และ Route 53 ยงชวยใหมนใจถงความพรอมใชงานส าหรบเวบไซตของคณ ดวยการใหบรการตรวจสอบสภาวะการท างานและความสามารถ DNS Failover คณสามารถก าหนดคา Route 53 ไดอยางงายดายใหตรวจสอบสภาวะของเวบไซตของคณเปนประจ า (แมแตเวบไซตทปลอดภยซงพรอมใชงานผาน SSL เทานน) รวมถงใหสลบไปยงไซตส ารองหากรายการหลกไมตอบสนอง

เชนเดยวกบบรการ AWS ทงหมด Amazon Route 53 ก าหนดใหมการรบรองความถกตองของทกค าขอทสงไปยง API การควบคม เพอใหเฉพาะผใชทผานการรบรองความถกตองเทานนทสามารถเขาถงและจดการ Route 53 ได ค าขอ API ไดรบการลงชอดวยลายเซน HMAC-SHA1 หรอ HMAC-SHA256 ทค านวณจากค าขอและจากคยการเขาถงลบ AWS ของผใช นอกจากน API การควบคมของ Amazon Route 53 ยงสามารถเขาถงไดผานต าแหนงขอมลทเขารหสดวย SSL เทานน โดยรองรบการก าหนดเสนทางทง IPv4 และ IPv6

คณสามารถควบคมการเขาถงฟงกชนการจดการ DNS ของ Amazon Route 53 ดวยการสรางผใชในบญช AWS โดยใช AWS IAM และควบคมการท างานของ Route 53 ทผใชเหลานมสทธด าเนนการได

การรกษาความปลอดภยของ Amazon CloudFront

Amazon CloudFront มอบวธงายๆ ใหผใชสามารถกระจายเนอหาไปยงผใช โดยมาพรอมกบการถายโอนขอมลความเรวสงและมความหนวงต า บรการนมอบเนอหาแบบไดนามก สแตตก และเนอหาการสตรมโดยใชเครอขายของสถานทตง Edge ทมอยทวโลก ค าขอส าหรบออบเจกตของลกคา จะไดรบการก าหนดเสนทางไปยงสถานทตง Edge ทใกลทสดโดยอตโนมต เพอใหมการสงเนอหาดวยประสทธภาพการท างานทดทสด Amazon CloudFront

ไดรบการออกแบบมาใหท างานรวมกบบรการ AWS อนๆ เชน Amazon S3, Amazon EC2, Amazon Elastic Load Balancing และ Amazon Route 53 ไดอยางด และยงท างานรวมกบเซรฟเวอรเรมตนทไมใชของ AWS ซงเกบขอมลเวอรชนเรมแรกทแนนอนของไฟลของคณไดอยางราบรน

Amazon CloudFront ก าหนดใหทกค าขอทสงไปยง API การควบคมตองไดรบการรบรองความถกตอง เพอใหมเฉพาะผใชทไดรบอนญาตเทานนทสามารถสราง แกไข หรอลบการกระจาย Amazon CloudFront ของตนได ค าขอไดรบการรบรองดวยลายเซน HMAC-SHA1 ทค านวณจากค าขอและคยสวนตวของผใช นอกจากน API การควบคมของ Amazon CloudFront ยงสามารถเขาถงไดผานต าแหนงขอมลทเปดใชงาน SSL เทานน

ไมมการรบประกนถงความคงทนของขอมลทเกบอยในสถานทตง Edge ของ Amazon CloudFront บรการอาจลบออบเจกตออกจากสถานทตง Edge

เปนครงคราว หากไมมการรองขอออบเจกตเหลานนบอยๆ Amazon S3 มาพรอมกบความคงทน ซงใชงานเปนเซรฟเวอรเรมตนส าหรบ Amazon

CloudFront ทมส าเนาเรมตนทแนนอนของออบเจกตทสงโดย Amazon CloudFront

หากคณตองการควบคมไดวาใครจะสามารถดาวนโหลดเนอหาจาก Amazon CloudFront คณสามารถเปดใชงานคณสมบตเนอหาสวนตวของบรการ คณสมบตนมสองคอมโพเนนต คอมโพเนนตแรกคอการควบคมวธการสงเนอหาจากสถานทตง Edge ของ Amazon CloudFront ไปยงผดบนอนเทอรเนต องคประกอบทสองคอการควบคมวธการทสถานทตง Edge ของ Amazon CloudFront

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 33 จาก 75

จะเขาใชออบเจกตใน Amazon S3 และ CloudFront ยงรองรบการจ ากดทางภมศาสตร ซงจะจ ากดการเขาถงเนอหาของคณตามต าแหนงทตงทางภมศาสตรของผดของคณ

ในการควบคมการเขาถงส าเนาตนฉบบของออบเจกตของคณใน Amazon S3 Amazon CloudFront จะอนญาตใหคณสราง “ขอมลประจ าตวการเขาถงตนฉบบ” อยางนอยหนงรายการ และเชอมโยงรายการเหลานกบการกระจายของคณ เมอขอมลประจ าตวการเขาถงตนฉบบเชอมโยงกบการกระจาย Amazon CloudFront แลว การกระจายจะใชเมอขอมลประจ าตวนนในการเรยกออบเจกตจาก Amazon S3 จากนนคณสามารถใชคณสมบต ACL

ของ Amazon S3 ซงจะจ ากดการเขาถงแกขอมลประจ าตวการเขาถงตนฉบบนน เพอใหส าเนาตนฉบบของออบเจกตไมสามารถอานไดโดยสาธารณะ

ในการควบคมวาใครสามารถดาวนโหลดออบเจกตจากสถานทตง Edge ของ Amazon CloudFront บรการจะใชระบบการตรวจสอบ URL ทมการลงชอ ในการใชระบบน กอนอนคณตองสรางคคยสาธารณะ-สวนตว และอปโหลดคยสาธารณะไปยงบญชของคณโดยผาน AWS Management Console

ล าดบทสอง คณจะก าหนดคาการกระจาย Amazon CloudFront ของคณเพอระบวาบญชใดทคณตองการอนญาตใหลงชอค าขอได – คณสามารถระบ บญช AWS ทคณตองการใหลงชอค าขอไดถงหาบญช ล าดบทสาม เมอคณไดรบค าขอ คณจะสรางเอกสารนโยบายทระบเงอนไขทคณตองการให Amazon

CloudFront ใชกบเนอหาของคณ เอกสารนโยบายเหลานสามารถระบชอของออบเจกตทถกขอ วนทและบรการของค าขอ และ IP ตนทาง (หรอชวง CIDR) ของไคลเอนตทรองขอ จากนนคณจะค านวณแฮช SHA1 ของเอกสารนโยบายของคณ และลงชอโดยใชคยสวนตวของคณ สดทาย คณจะรวมทงเอกสารนโยบายทเขารหสและลายเซนเปนพารามเตอรสตรงการสบคนเมอคณอางองออบเจกต เมอ Amazon CloudFront ไดรบค าขอของคณ จะท าการถอดรหสลายเซนโดยใชคยนโยบายของคณ Amazon CloudFront จะใหบรการเฉพาะค าขอทมเอกสารนโยบายทถกตองและมลายเซนทตรงกน

โปรดทราบวาเนอหาสวนตวเปนคณสมบตเสรมทตองเปดใชงานเมอคณตงคาการกระจาย CloudFront ของคณ เนอหาทสงโดยไมไดเปดใชงานคณสมบตนจะสามารถอานไดจากสวนกลาง

Amazon CloudFront มตวเลอกในการถายโอนเนอหาผานการเชอมตอทเขารหส (HTTPS) ตามคาเรมตน CloudFront จะยอมรบค าขอผานทงโปรโตคอล HTTP และ HTTPS อยางไรกตาม คณสามารถก าหนดคา CloudFront ใหตองใช HTTPS ส าหรบค าขอทงหมด หรอให CloudFront

เปลยนเสนทางค าขอ HTTP เปน HTTPS ไดดวย และคณยงสามารถก าหนดคาการกระจาย CloudFront ใหอนญาต HTTP ส าหรบบางออบเจกต แตก าหนดใหใช HTTPS ส าหรบออบเจกตอนๆ

รปภาพ 7: การสงขอมลทเขารหสของ Amazon CloudFront

คณสามารถก าหนดคาจดเรมตน CloudFront เพอก าหนดให CloudFront ดงขอมลออบเจกตจากจดเรมตนของคณโดยใชโปรโตคอลทผดใชเพอรองของออบเจกต ตวอยางเชน เมอคณใชการตงคา CloudFront น และผดใช HTTPS ในการขอออบเจกตจาก CloudFront ทาง CloudFront กจะใช HTTPS ในการสงตอค าขอไปยงจดเรมตนของคณเชนกน

Amazon CloudFront ใชโปรโตคอล SSLv3 หรอ TLSv1 และชดการเขารหสบางอยาง ซงรวมถงโปรโตคอล Elliptic Curve Diffie-Hellman

Ephemeral (ECDHE) ในการเชอมตอกบทงผดและจดเรมตน ECDHE อนญาตใหไคลเอนต SSL/TLS

เซรฟเวอร

ตนทาง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 34 จาก 75

สามารถระบ Perfect Forward Secrecy ซงจะใชคยเซสชนซงเปนคยชวคราวและไมมการเกบไวในทใดๆ เปนการปองกนไมใหบคคลอนทไมไดรบอนญาตถอดรหสจากขอมลทบนทกไว แมวาคยลบระยะยาวจะถกละเมดความปลอดภยกตาม

โปรดทราบวาหากคณใชเซรฟเวอรของคณเองเปนจดเรมตน และคณตองการใช HTTPS ทงระหวางผดกบ CloudFront และระหวาง CloudFront

กบจดเรมตนของคณ คณตองตดตงใบรบรอง SSL ทถกตองบนเซรฟเวอร HTTP ทลงชอโดยผมอ านาจออกใบรบรองจากภายนอก เชน VeriSign หรอ DigiCert

ตามคาเรมตน คณสามารถสงเนอหาไปยงผดผาน HTTPS โดยใชโดเมนเนมการกระจาย CloudFront ใน URL ของคณ เชน https://dxxxxx.cloudfront.net/image.jpg หากคณตองการสงเนอหาของคณผาน HTTPS โดยใชโดเมนเนมและใบรบรอง SSL ของคณเอง คณสามารถใช SSL ทก าหนดเองของ SNI หรอ SSL ทก าหนดเองของ IP เฉพาะ SSL ทก าหนดเองของ Server Name Identification (SNI)

ท าให CloudFront สามารถอางองสวนขยาย SNI ของโปรโตคอล TLS ทรองรบโดยเวบเบราเซอรททนสมยทสด อยางไรกตาม ผใชบางรายอาจไมสามารถเขาถงเนอหาของคณเนองจากเบราเซอรเกาบางรนไมรองรบ SNI (ส าหรบรายชอเบราเซอรทรองรบ โปรดไปท http://aws.amazon.com/cloudfront/faqs/) ดวย SSL ทก าหนดเองของ IP เฉพาะ CloudFront จะระบทอย IP ใหกบใบรบรอง SSL ของคณทสถานทตง Edge ของ CloudFront เพอให CloudFront สามารถเชอมโยงค าขอทก าลงจะมาถงกบใบรบรอง SSL ทเหมาะสม

ลอกการเขาถง Amazon CloudFront ประกอบดวยชดขอมลเกยวกบค าขอเนอหา ซงรวมถงออบเจกตทขอ, วนทและเวลาของค าขอ, สถานทตง Edge

ทใหบรการค าขอ, ทอย IP ของไคลเอนต, ผอางอง และเอเจนตผใช ในการใชงานลอกการเขาถง เพยงระบชอของบคเกต Amazon S3 เพอจดเกบลอกเมอคณก าหนดคาการกระจาย Amazon CloudFront ของคณ

การรกษาความปลอดภยของ AWS Direct Connect

AWS Direct Connect ชวยใหคณสามารถเตรยมการใชงานการเชอมโยงโดยตรงระหวางเครอขายภายในกบภมภาคของ AWS

โดยใชการเชอมตอเฉพาะทสามารถรองรบปรมาณงานสง การท าเชนนอาจชวยลดตนทนเครอขายของคณ ตลอดจนปรบปรงปรมาณการรบสงขอมล หรอชวยใหการใชงานเครอขายมความมนคงสม าเสมอมากขน การเชอมตอเฉพาะทมอยนใหคณสามารถสรางอนเทอรเฟซแบบเสมอนทเชอมตอโดยตรงกบ AWS

Cloud (เชน ไปยง Amazon EC2 และ Amazon S3) และ Amazon VPC

ดวย Direct Connect คณจะสามารถบายพาสผใหบรการอนเทอรเนตในพาธเครอขายของคณ คณสามารถจดหาพนทวางภายในสงอ านวยความสะดวก

ทเกบต าแหนงทตงของ AWS Direct Connect และปรบใชอปกรณทอยใกลๆ เมอปรบใชแลว คณสามารถเชอมตออปกรณนเขากบ AWS Direct

Connect โดยใชการเชอมตอแบบไขว ต าแหนงทตง AWS Direct Connect แตละรายการจะชวยใหสามารถเชอมตอกบภมภาคของ AWS ทใกลทสดตามหลกภมศาสตร และสามารถเขาถงภมภาคของสหรฐอเมรกาอนๆ ตวอยางเชน คณสามารถจดเตรยมการเชอมตอแบบเดยวกบต าแหนงทตงของ AWS Direct Connect ใดๆ ในสหรฐอเมรกา และใชเพอเขาถงบรการ AWS สาธารณะในภมภาคของสหรฐอเมรกาทงหมดและ AWS

GovCloud (สหรฐอเมรกา)

ดวยการใช 802.1q VLANs มาตรฐานอตสาหกรรม ระบบจะสามารถแบงพารตชนการเชอมตอเฉพาะใหเปนอนเทอรเฟซเสมอนหลายรายการได ซง ชวยใหคณสามารถใชการเชอมตอเดยวกนในการเขาถงทรพยากรสาธารณะ เชน ออบเจกตทจดเกบอยใน Amazon S3 โดยใชพนททอย IP และทรพยากรสวนตว เชน Amazon EC2 Instance ทท างานอยภายใน Amazon VPC โดยใชพนท IP สวนตว ในขณะทรกษาการแยกเครอขายระหวางสภาพแวดลอมสาธารณะและสวนตว

Amazon Direct Connect ก าหนดใหตองมการใช Border Gateway Protocol (BGP) กบ Autonomous System Number (ASN) ในการสรางอนเทอรเฟซเสมอน คณจะใชคยการเขารหส MD5 ส าหรบการอนมตขอความ MD5 จะสรางแฮชทก าหนดคยโดยใชคยลบของคณ คณสามารถให AWS สรางคย BGP MD5 โดยอตโนมต หรอคณสามารถระบคยของคณเองได

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 35 จาก 75

บรการพนทเกบบขอมล

Amazon Web Services มบรการพนทเกบขอมลตนทนต า ทมาพรอมกบความทนทานและความพรอมใชงานในระดบสง AWS มตวเลอกพนทเกบขอมลส าหรบการส ารองขอมล การเกบถาวร และการกคนจากความเสยหายรนแรง ตลอดจนพนทเกบขอมลบลอกและออบเจกต

การรกษาความปลอดภยของ Amazon Simple Storage Service (Amazon S3)

Amazon Simple Storage Service (S3) ชวยใหคณสามารถอปโหลดและเรยกขอมลจากทกทบนเวบไดตลอดเวลา Amazon S3 จะจดเกบขอมลในรปแบบออบเจกตภายในบคเกต ออบเจกตสามารถเปนไฟลประเภทใดกได เชน ไฟลขอความ รปภาพ วดโอ เปนตน เมอคณเพมไฟลไปยง Amazon S3

คณจะมตวเลอกในการรวมไฟลในขอมลเมตา และก าหนดสทธส าหรบควบคมการเขาถงไฟล ส าหรบแตละบคเกต คณจะสามารถควบคมการเขาถงบคเกต (ซงสามารถสราง ลบ และแสดงรายการออบเจกตในบคเกต) ดลอกการเขาถงส าหรบบคเกตและออบเจกตของบคเกต และเลอกภมภาคทางภมศาสตรท Amazon S3 จะจดเกบบคเกตและเนอหาของบคเกต

การเขาถงขอมล

การเขาถงขอมลทจดเกบใน Amazon S3 จะถกจ ากดตามคาเรมตน เฉพาะเจาของบคเกตและออบเจกตเทานนทมสทธเขาถงทรพยากรของ Amazon S3

ทพวกเขาสราง (โปรดทราบวาเจาของบคเกต/ออบเจกตคอเจาของบญช AWS ไมใชผใชทสรางบคเกต/ออบเจกต) มหลายวธในการควบคมการเขาถงบคเกตและออบเจกต ดงน:

นโยบาย Identity and Access Management (IAM) AWS IAM ชวยใหองคกรทมพนกงานจ านวนมากสามารถสรางและจดการผใชหลายรายภายใตบญช AWS เดยว นโยบาย IAM จะเชอมโยงกบผใช ท าใหสามารถควบคมสทธเขาถงบคเกตหรอออบเจกตส าหรบผใชภายใตบญช AWS จากสวนกลางได เมอมนโยบาย IAM คณจะสามารถใหสทธเขาถงทรพยากร Amazon S3 ของคณแกผใชภายในบญช AWS ของคณเองเทานน

รายการควบคมการเขาถง (ACL) ภายใน Amazon S3 คณสามารถใช ACL เพอใหสทธการอานหรอเขยนในพนทจดเกบหรอออบเจกตไปยงกลมของผใช คณสามารถใช ACL ในการใหสทธเขาถงทรพยากร Amazon S3 ของคณใหแกบญช AWS อนๆ (ผใชทไมเฉพาะเจาะจง)

นโยบายบคเกบต สามารถใชนโยบายบคเกตใน Amazon S3 เพอเพมหรอปฏเสธสทธขามออบเจกตบางสวนหรอทงหมดภายในบคเกตเดยว โดยสามารถเชอมโยงนโยบายกบผใช กลม หรอบคเกต Amazon S3 ท าใหสามารถจดการสทธใชงานจากสวนกลางได ดวยนโยบายบคเกต คณจะสามารถใหสทธเขาถงทรพยากร Amazon S3 ของคณแกผใชภายในบญช AWS ของคณหรอ บญช AWS อนๆ

ประเภทของการควบคมการเขาถง การควบคมระดบบญช AWS? การควบคมระดบผใช?

นโยบาย IAM ไม ใช ACL ใช ไม

นโยบายบคเกต ใช ใช

คณสามารถจ ากดการเขาถงทรพยากรทเฉพาะเจาะจงตามเงอนไขบางอยาง ตวอยางเชน คณสามารถจ ากดการเขาถงตามเวลาทขอ (เงอนไขวนท), มการสงค าขอโดยใช SSL (เงอนไขบลน) หรอไม, ทอย IP ของผขอ (เงอนไขทอย IP) หรอตามแอปพลเคชนไคลเอนตของผขอ (เงอนไขสตรง) ในการระบเงอนไขเหลาน คณจะใชคยนโยบาย ส าหรบขอมลเพมเตมเกยวกบนโยบายเฉพาะการด าเนนการภายใน Amazon S3 โปรดดท คมอนกพฒนา Amazon Simple Storage Service

Amazon S3 ยงมอบทางเลอกแกนกพฒนาในการใชการรบรองความถกตองของสตรงการสบคน ซงชวยใหพวกเขาแชรออบเจกต Amazon S3 ผาน URL ทใชไดส าหรบชวงเวลาทระบลวงหนา การรบรองความถกตองของสตรงการสบคนมประโยชนส าหรบการระบการเขาถง HTTP

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 36 จาก 75

หรอเบราเซอรไปยงทรพยากรทตองการการรบรองความถกตองตามปกต ลายเซนในสตรงการสอบถามจะท าใหค าขอมความปลอดภย

การถายโอนขอมล

เพอความปลอดภยสงสด คณสามารถอปโหลด/ดาวนโหลดขอมลไปยง Amazon S3 ผานต าแหนงขอมลทมการเขารหสดวย SSL ต าแหนงขอมลทมการเขารหสสามารถเขาถงไดจากทงอนเทอรเนตและจากภายใน Amazon EC2 เพอใหมการถายโอนขอมลอยางปลอดภยทงภายใน AWS และระหวางแหลงทมาภายนอก AWS

พนทเกบบขอมล

Amazon S3 มอบหลายทางเลอกในการปกปองขอมลทไมมการเคลอนไหว ส าหรบลกคาทตองการจดการการเขารหสของตนเอง พวกเขาสามารถใชการเขารหสไลบรารไคลเอนต เชน Amazon S3 Encryption Client เพอเขารหสขอมลกอนอปโหลดไปยง Amazon S3 หรอคณสามารถใช Server

Side Encryption (SSE) ของ Amazon S3 ไดหากคณตองการให Amazon S3 จดการกระบวนการเขารหสใหคณ ขอมลไดรบการเขารหสดวยคยทสรางโดย AWS หรอดวยคยทคณระบ ทงนขนอยกบขอก าหนดของคณ Amazon S3 SSE ชวยใหคณสามารถเขารหสขอมลเมออปโหลดโดยเพมสวนหวของค าขอเพมเตมเมอเขยนออบเจกต การถอดรหสจะเกดขนโดยอตโนมตเมอมการเรยกขอมล

โปรดทราบวาขอมลเมตาทคณสามารถรวมในออบเจกตของคณ จะไมไดรบการเขารหส ดงนน AWS ขอแนะน าใหลกคาไมรวมขอมลส าคญไวในขอมล

เมตา Amazon S3

Amazon S3 SSE ใชตวแปลงรหสแบบกลม (Block Cipher) ทแขงแกรงทสดทมอย นนคอ Advanced Encryption Standard 256 บต (AES-256) ดวย Amazon S3 SSE ออบเจกตทมการปองกนทงหมดจะไดรบการเขารหสดวยคยการเขารหสเฉพาะ คยออบเจกตนจะไดรบการเขารหสดวยคยหลกทมการหมนเวยนเปนประจ า Amazon S3 SSE มอบการรกษาความปลอดภยเพมเตมดวยการจดเกบขอมลทเขารหสและคยการเขารหสไวในโฮสตทแตกตางกน นอกจากน Amazon S3 SSE ยงท าใหคณสามารถบงคบใชขอก าหนดการเขารหสได ตวอยางเชน คณสามารถสราง และใชนโยบายบคเกตทก าหนดวาเฉพาะขอมลทเขารหสเทานนทสามารถอปโหลดไปยงบคเกตของคณ

ส าหรบการเกบขอมลในระยะยาว คณสามารถเกบถาวรเนอหาของบคเกต Amazon S3 ของคณไปยงบรการเกบถาวรของ AWS ทชอ Glacier คณสามารถก าหนดใหถายโอนขอมลไปยง Glacier ตามชวงเวลาทระบ ดวยการสรางกฎวงจรการท างานใน Amazon S3 ทอธบายวาคณตองการใหเกบถาวรออบเจกตใดไปยง Glacier และเมอใด ในฐานะทเปนสวนหนงของกลยทธการจดการขอมล คณยงสามารถระบวา Amazon S3 ควรรอเปนระยะเวลาเทาใดหลงจากทวางออบเจกตไวใน Amazon S3 เพอลบ

เมอออบเจกตถกลบออกจาก Amazon S3 การลบการแมปจากชอสาธารณะไปยงออบเจกตจะเรมตนโดยอตโนมต และจะไดรบการประมวลผลขามระบบโดยรวม โดยใชเวลาหลายวนาท เมอการแมปถกลบออกแลว จะไมมการเขาถงจากระยะไกลไปยงออบเจกตทลบ จากนนจะมการเรยกสทธพนทเกบขอมลอกครงส าหรบการใชงานโดยระบบ

ความคงทนและความนาเชอถอของขอมล

Amazon S3 ไดรบการออกแบบมาใหมความคงทน 99.999999999% และมออบเจกตทพรอมใชงาน 99.99% ตลอดชวงปทระบ ออบเจกตจะไดรบการจดเกบบนหลายอปกรณในสถานทตงตางๆ ทอยในภมภาคของ Amazon S3 เพอเปนการสนบสนนความคงทน การด าเนนการ PUT และ COPY

ของ Amazon S3 จะจดเกบขอมลลกคาขามสถานทตางๆ แบบอะซงโครนส กอนทจะสงคนคา SUCCESS เมอจดเกบแลว Amazon S3 จะรกษาความคงทนของออบเจกตดวยการตรวจหาและแกไขความซ าซอนทสญหายใดๆ อยางรวดเรว และ Amazon S3 ยงตรวจสอบความถกตองของขอมลทจดเกบเปนประจ าโดยใช checksum หากตรวจพบความเสยหาย ระบบจะซอมแซมโดยใชขอมลซ า นอกจากน Amazon S3 ยงค านวณ checksum

ในการรบสงขอมลทางเครอขายทงหมดเพอตรวจหาความเสยหายของแพคเกตขอมลเมอจดเกบหรอเรยกขอมล

Amazon S3 มาพรอมกบการปกปองในอกระดบดวยการก าหนดเวอรชน คณสามารถใชการก าหนดเวอรชนในการรกษา ดงขอมล และคนคาทกเวอรชนของทกออบเจกตทจดเกบอยในบคเกต Amazon S3 ดวยการก าหนดเวอรชนน คณจะสามารถกคนขอมลไดจากทงการด าเนนการของผใชทไมตงใจ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 37 จาก 75

และความลมเหลวของแอปพลเคชน ตามคาเรมตน ค าขอจะเรยกเวอรชนทมการเขยนขอมลลาสด และสามารถเรยกขอมลออบเจกตเวอรชนทเกากวาไดดวยการระบเวอรชนในค าขอ คณสามารถปองกนเวอรชนเพมไดโดยใชคณสมบต MFA Delete จากการก าหนดเวอรชนของ Amazon S3 เมอมการใชงานกบบคเกต Amazon S3 แตละค าขอส าหรบการลบเวอรชนตองมรหสหกหลกและหมายเลขซเรยลจากอปกรณการรบรองความถกตองโดยใชหลายปจจย

ลบอกการเขาถง สามารถก าหนดคาบคเกต Amazon S3 ใหบนทกการเขาถงบคเกตและออบเจกตภายในได ลอกการเขาถงประกอบดวยค าขอเขาถงแตละรายการ รวมถงประเภทค าขอ, ทรพยากรทขอ, IP ของผขอ และเวลาและวนททขอ เมอมการเปดใชงานการบนทกส าหรบบคเกต ระบบจะรวบรวมเรกคอรดของลอกลงในไฟลบนทกเปนระยะ และสงไปยงบคเกต Amazon S3 ทระบ

Cross-Origin Resource Sharing (CORS)

ลกคา AWS ทใช Amazon S3 ในการโฮสตเวบเพจแบบสแตตกหรอจดเกบออบเจกตทใชโดยเวบเพจอน จะสามารถโหลดเนอหาอยางปลอดภยดวยการก าหนดคาบคเกต Amazon S3 ใหเปดใชงานค าขอแบบขามตนทางอยางชดแจง เบราเซอรสมยใหมจะใชนโยบายตนทางเดยวกนในการบลอก JavaScript หรอ HTML5 ไมใหอนญาตค าขอโหลดเนอหาจากไซตหรอโดเมนอน เพอชวยใหมนใจวาจะไมมการโหลดเนอหาประสงครายจากแหลงทมความนาเชอถอนอย (เชน ในระหวางการโจมตการเขยนสครปตขามไซต) เมอมการเปดใชงานนโยบาย Cross-Origin Resource Sharing (CORS)

เวบเพจภายนอก สไตลชท และแอปพลเคชน HTML5 จะสามารถอางองสนทรพยตางๆ เชน แบบอกษรบนเวบและรปภาพในบคเกต Amazon S3 ไดอยางปลอดภย

การรกษาความปลอดภยของ AWS Glacier

เชนเดยวกบ Amazon S3 บรการ Amazon Glacier มาพรอมกบพนทจดเกบขอมลทมตนทนต า ปลอดภย และทนทาน อยางไรกตามในขณะท Amazon S3 ออกแบบมาเพอการเรยกขอมลทรวดเรว Glacier นนมจดประสงคเพอใชเปนบรการเกบถาวรส าหรบขอมลทมการเขาถงไมบอยนก และส าหรบการเรยกขอมลทควรใชเวลาหลายชวโมง

Amazon Glacier จะจดเกบไฟลเปนขอมลเกบถาวรอยภายในชดเกบขอมลประจ าตว ขอมลเกบถาวรสามารถเปนขอมลในรปแบบใดๆ เชน รปภาพ วดโอ หรอเอกสาร และสามารถมหนงหรอหลายไฟล คณสามารถจดเกบขอมลเกบถาวรจ านวนไมจ ากดในชดเกบขอมลประจ าตวเดยว และสามารถสราง ชดเกบขอมลประจ าตวไดถง 1,000 รายการตอภมภาค ขอมลเกบถาวรแตละรายการสามารถเกบขอมลไดถง 40 TB

การอปโหลดขอมล

ในการถายโอนขอมลไปยงชดเกบขอมลประจ าตวของ Amazon Glacier คณสามารถอปโหลดขอมลเกบถาวรดวยการอปโหลดครงเดยวหรอโดยใชการด าเนนการหลายสวน ในการด าเนนการอปโหลดครงเดยว คณสามารถอปโหลดขอมลเกบถาวรทมขนาดถง 4 GB อยางไรกตาม ลกคาสามารถเกบถาวรอยางไดผลดขนดวยการใช Multipart Upload API ในการอปโหลดขอมลเกบถาวรทมขนาดใหญกวา 100 MB การใช Multipart Upload API

จะชวยใหคณสามารถอปโหลดขอมลเกบถาวรขนาดใหญ โดยอปโหลดไดสงสดถง 40,000 GB การเรยก Multipart Upload API ออกแบบมาเพอปรบปรงการอปโหลดส าหรบขอมลเกบถาวรทมขนาดใหญขน โดยชวยใหสามารถอปโหลดสวนตางๆ แยกกนในแบบขนานและตามล าดบใดกได หากการอปโหลดแบบหลายสวนลมเหลว คณกเพยงอปโหลดสวนทลมเหลวอกครง แทนทจะตองอปโหลดขอมลเกบถาวรทงหมด

เมอคณอปโหลดขอมลไปยง Glacier คณตองค านวณและระบแฮชแบบทร Glacier จะตรวจสอบแฮชกบขอมลเพอชวยใหแนใจวาไมมการเปลยนแปลงระหวางการสง แฮชแบบทรสรางโดยการค านวณแฮชส าหรบแตละสวนของขอมลทมขนาดเปนเมกะไบต และรวมแฮชเขากบทรเพอแสดงสวนทตดตอกนของขอมล

เพอเปนทางเลอกส าหรบการใชคณสมบตการอปโหลดแบบหลายสวน ลกคาทตองการอปโหลดขอมลขนาดใหญมากไปยง Amazon Glacier อาจพจารณาถงการใชบรการ AWS Import/Export แทนการใชการถายโอนขอมล AWS Import/Export จะชวยยายขอมลขนาดใหญไปยง AWS

โดยใชอปกรณเกบขอมลแบบพกพาไดในการโอนยาย AWS จะถายโอนขอมลของคณออกจากอปกรณเกบขอมลโดยตรง โดยใชเครอขายภายในความเรวสงของ Amazon โดยการบายพาสอนเทอรเนต

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 38 จาก 75

นอกจากน คณยงสามารถใช Amazon S3 ในการถายโอนขอมลไปยง Glacier ตามชวงเวลาทระบ คณสามารถสรางกฎวงจรการท างานใน Amazon

S3 ทอธบายวาคณตองการใหเกบถาวรออบเจกตใดไปยง Glacier และเมอใด และคณยงสามารถระบวา Amazon S3 ควรรอเปนระยะเวลาเทาใดหลงจากทวางออบเจกตไวใน Amazon S3 เพอลบ

เพอความปลอดภยในระดบทสงขน คณสามารถอปโหลด/ดาวนโหลดขอมลไปยง Amazon Glacier ผานต าแหนงขอมลทมการเขารหสดวย SSL

ต าแหนงขอมลทมการเขารหสสามารถเขาถงไดจากทงอนเทอรเนตและจากภายใน Amazon EC2 เพอใหมการถายโอนขอมลอยางปลอดภยทงภายใน AWS และระหวางแหลงทมาภายนอก AWS

การเรยกขอมล

การเรยกขอมลเกบถาวรจาก Amazon Glacier จะตองมการเรมงานการเรยกขอมล ซงโดยทวไปแลวจะเสรจสมบรณภายใน 3 ถง 5 ชวโมง จากนน คณจะสามารถเขาถงขอมลผานค าขอ HTTP GET โดยคณยงคงสามารถใชขอมลนนไดเปนเวลา 24 ชวโมง

คณสามารถเรยกขอมลเกบถาวรทงหมดหรอไฟลหลายไฟลจากขอมลเกบถาวรได หากตองการเรยกขอมลเฉพาะสวนยอยของขอมลเกบถาวร คณสามารถใชค าขอเรยกขอมลเพอระบชวงของขอมลเกบถาวรทมไฟลทคณตองการ หรอคณสามารถเรมตนค าขอเรยกขอมลหลายรายการ โดยระบชวงของไฟลอยางนอยหนงไฟลส าหรบแตละรายการ และคณยงสามารถจ ากดจ านวนรายการในคลงชดเกบขอมลประจ าตวทเรยกขอมล ดวยการกรองชวงวนทสรางขอมลเกบถาวรหรอโดยการตงคาขดจ ากดรายการสงสด ไมวาคณจะเลอกวธใด เมอคณเรยกสวนของขอมลเกบถาวร คณสามารถใช checksum ทใหมาเพอชวยใหมนใจถงความถกตองของไฟล ในกรณทชวงทเรยกขอมลสอดคลองกบแฮชแบบทรของขอมลเกบถาวรโดยรวม

พนทเกบบขอมล

Amazon Glacier จะเขารหสขอมลโดยใช AES-256 โดยอตโนมต และเกบขอมลอยางมนคงในรปแบบทไมมการเปลยนแปลง Amazon Glacier

ออกแบบมาเพอมอบความมนคง 99.999999999% โดยเฉลยรายปส าหรบการเกบถาวร โดยมการจดเกบขอมลเกบถาวรในสถานทตางๆ และในหลายอปกรณ Glacier ด าเนนการตรวจสอบความถกตองของขอมลอยางเปนระบบและออกแบบมาใหสามารถแกไขตนเองไดโดยอตโนมต ซงแตกตางจากระบบแบบดงเดมทก าหนดใหมการตรวจสอบแบบใชแรงคนและการซอมแซมดวยตนเอง

การเขาถงขอมล

เฉพาะบญชของคณเทานนทสามารถเขาถงขอมลของคณใน Amazon Glacier ในการควบคมการเขาถงขอมลของคณใน Amazon Glacier

คณสามารถใช AWS IAM เพอระบวาผใชรายใดภายในบญชของคณทมสทธในการด าเนนการในชดเกบขอมลประจ าตวทระบ

การรกษาความปลอดภยของ AWS Storage Gateway

บรการ AWS Storage Gateway จะเชอมตออปกรณซอฟตแวรในองคกรกบพนทเกบขอมลระบบคลาวด เพอมอบการท างานรวมกนทราบรนและปลอดภยระหวางสภาพแวดลอมทาง IT กบโครงสรางพนฐานพนทเกบขอมลของ AWS บรการนชวยใหคณสามารถอปโหลดขอมลไปยงบรการพนทเกบขอมล Amazon S3 ทปรบขนาดได เชอถอได และปลอดภยของ AWS เพอการส ารองขอมลทประหยดตนทนและการกคนจากความเสยหายรนแรงทรวดเรว

AWS Storage Gateway จะส ารองขอมลแบบนอกสถานทไปยง Amazon S3 อยางโปรงใส ในรปแบบของสแนปชอต Amazon EBS Amazon

S3 จะจดเกบสแนปชอตเหลานอยางพอเพยงบนหลายอปกรณในสถานทตงตางๆ พรอมตรวจหาและแกไขความซ าซอนทสญหายใดๆ สแนปชอต Amazon EBS จะชวยใหสามารถส ารองขอมลไดในทนท ซงสามารถเรยกคนแบบในองคกร หรอใชเพอเรมตนอนสแตนซปรมาณขอมลของ Amazon

EBS ใหม ขอมลจะไดรบการจดเกบภายในภมภาคเดยวทคณระบ

การรกษาความปลอดภยของ AWS Storage Gateway ม 3 ตวเลอกดงน:

Gateway-Stored Volumes (ททระบบคลาวดเเปนขอมลส ารอง) ในตวเลอกน ขอมลโวลมของคณจะจดเกบภายในเครอง แลวสงออกไปยง Amazon S3 ซงจะมการเกบขอมลในรปแบบทเขารหสทเพยงพอ และพรอมใชงานในรปแบบของสแนปชอต Elastic Block Storage

(EBS) เมอคณใชโมเดลน พนทเกบขอมลในองคกรของคณจะใชเปนรายการหลก ชวยใหการเขาถงชดขอมลทงหมดของคณมความหนวงต า และพนทเกบขอมลระบบคลาวดใชส าหรบการส ารองขอมล

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 39 จาก 75

Gateway-Cached Volumes (ททระบบคลาวดเเปนรายการหลก) ในตวเลอกน ขอมลโวลมของคณจะจดเกบแบบเขารหสใน Amazon

S3 ซงมองเหนไดในเครอขายองคกรของคณผานอนเทอรเฟซ iSCSI ขอมลทเขาถงลาสดจะไดรบการแคชแบบในองคกรเพอการเขาถงภายในทมความหนวงต า เมอคณใชโมเดลน พนทเกบขอมลระบบคลาวดจะใชเปนรายการหลก แตคณจะไดรบการเขาถงชดขอมลทใชงานในโวลมทแคชในองคกรแบบมความหนวงต า

Gateway-Virtual Tape Library (VTL) ในตวเลอกน คณสามารถก าหนดคา Gateway-VTL ดวยไดรฟแบบเทปเสมอนไดสงสด 10 รายการตอเกตเวย, Medium Changer 1 รายการ และคารทรดจเทปแบบเสมอนสงสด 1500 รายการ ไดรฟแบบเทปเสมอนแตละรายการจะตอบสนองตอชดค าสง SCSI เพอทแอปพลเคชนการส ารองขอมลในองคกรทมอยของคณ (ไมวาจะเปนแบบ disk-to-tape หรอ disk-to-

disk-to- tape) จะท างานไดโดยไมตองมการแกไข

ไมวาคณจะเลอกตวเลอกใด ระบบกจะถายโอนขอมลแบบอะซงโครนสจากฮารดแวรทเกบขอมลในองคกรของคณไปยง AWS โดยผาน SSL ขอมลจะไดรบการจดเกบแบบเขารหสใน Amazon S3 โดยใช Advanced Encryption Standard (AES) 256 ซงเปนมาตรฐานการเขารหสดวยคยแบบซมเมตรกทใชคยการเขารหส 256 บต AWS Storage Gateway จะอปโหลดเฉพาะขอมลทมการเปลยนแปลง ซงชวยลดจ านวนการสงขอมลผานอนเทอรเนต

AWS Storage Gateway จะท างานเปนเครองเสมอน (VM) ทคณปรบใชบนโฮสตในศนยขอมลทใช VMware ESXi Hypervisor v 4.1 หรอ v 5 หรอ Microsoft Hyper-V (คณดาวนโหลดซอฟตแวร VMware ในระหวางกระบวนการตงคา) และคณสามารถเรยกใชภายใน EC2 โดยใช AMI เกตเวยไดดวย ในระหวางกระบวนการตดตงและก าหนดคา คณสามารถสรางโวลมทจดเกบไดสงสดถง 12 รายการ, โวลมทแคช 20 รายการ หรอ คารทรดจเทปแบบเสมอน 1500 รายการตอเกตเวย เมอตดตงแลว แตละเกตเวยจะดาวนโหลด ตดตง และปรบใชการอปเดตและโปรแกรมแพทชโดยอตโนมต กจกรรมนจะเกดขนในระหวางการบ ารงรกษา ซงคณสามารถตงคาเกณฑตอเกตเวยได

โปรโตคอล iSCSI สนบสนนการรบรองความถกตองระหวางเปาหมายและตวเรมตนผาน CHAP (Challenge-Handshake Authentication

Protocol) CHAP ใหการปกปองจากการโจมตแบบ Man in the Middle และแบบ Playback ดวยการตรวจสอบขอมลประจ าตวของตวเรมตน iSCSI เปนระยะ ตามทไดรบการรบรองความถกตองใหเขาถงเปาหมายโวลมของพนทเกบขอมล ในการตงคา CHAP คณตองก าหนดคาทงในคอนโซล AWS Storage Gateway และในซอฟตแวรตวเรมตน iSCSI ทคณใชเพอเชอมตอกบเปาหมาย

หลงจากทคณปรบใช AWS Storage Gateway VM แลว คณตองเปดใชงานเกตเวยโดยใชคอนโซล AWS Storage Gateway กระบวนการเปดใชงานจะเชอมโยงเกตเวยของคณกบบญช AWS ของคณ เมอคณสรางการเชอมตอนแลว คณจะสามารถจดการเกอบทกแงมมของเกตเวยของคณจากคอนโซล ในกระบวนการเปดใชงาน คณจะระบทอย IP ของเกตเวยของคณ ตงชอเกตเวย ระบภมภาคของ AWS ทคณตองการจดเกบการส ารองขอมลสแนปชอต และระบโซนเวลาของเกตเวย

การรกษาความปลอดภยของ AWS Import/Export

AWS Import/Export เปนวธการทงายและปลอดภยส าหรบถายโอนขอมลจ านวนมากไปยงทเกบขอมล Amazon S3, EBS หรอ Glacier ในแบบกายภาพ โดยทวไปแลว บรการนจะใชโดยลกคาทมขอมลมากกวา 100 GB และ/หรอมความเรวในการเชอมตอชา ซงท าใหอตราการถายโอนขอมลผานอนเทอรเนตมความลาชามาก AWS Import/Export ชวยใหคณสามารถเตรยมอปกรณเกบขอมลทคณสงไปยงสถานทตงของ AWS ทปลอดภย AWS

จะถายโอนขอมลออกจากอปกรณเกบขอมลโดยตรง โดยใชเครอขายภายในความเรวสงของ Amazon โดยการบายพาสอนเทอรเนต ในทางกลบกน คณสามารถสงออกขอมลจาก AWS ไปยงอปกรณเกบขอมลแบบพกพาไดเชนเดยวกน

เชนเดยวกบบรการ AWS อนๆ บรการ AWS Import/Export ก าหนดใหคณตองระบและรบรองความถกตองของอปกรณเกบขอมลของคณ อยางปลอดภย ในกรณน คณจะสงค าของานไปยง AWS ซงรวมถงบคเกต Amazon S3, ภมภาค Amazon EBS, ID คยการเขาถง AWS และ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 40 จาก 75

ทอยส าหรบการสงคน จากนนคณจะไดรบตวระบเฉพาะส าหรบงาน ลายเซนดจทลส าหรบรบรองความถกตองของอปกรณของคณ และทอย AWS

ส าหรบจดสงอปกรณเกบขอมลไป ส าหรบ Amazon S3 คณจะวางไฟลลายเซนไวในไดเรกทอรรทของอปกรณ ส าหรบ Amazon EBS คณจะตด เทปบารโคดไวทดานนอกอปกรณ ไฟลลายเซนจะใชเฉพาะส าหรบการรบรองความถกตอง และไมอปโหลดไปยง Amazon S3 หรอ EBS

ส าหรบการถายโอนไปยง Amazon S3 คณจะระบบคเกตทเฉพาะเจาะจง ซงขอมลควรโหลดไปยงบคเกตน และตรวจสอบใหแนใจวาบญชทท าการโหลดมสทธในการเขยนส าหรบบคเกต คณควรระบรายการควบคมการเขาถงทจะใชกบแตละออบเจกตทโหลดไปยง Amazon S3 ดวย

ส าหรบการถายโอนไปยง EBS คณจะระบภมภาคเปาหมายส าหรบการด าเนนการน าเขา EBS หากอปกรณเกบขอมลมความจนอยกวาหรอเทากบขนาดปรมาณสงสด 1 TB ระบบจะโหลดเนอหาไปยงสแนปชอต Amazon EBS โดยตรง หากความจของอปกรณเกบขอมลเกน 1 TB ระบบจะจดเกบอมเมจของอปกรณไวภายในบคเกตลอก S3 ทระบ จากนนคณจะสามารถสราง RAID ของโวลม Amazon EBS โดยใชซอฟตแวรเชน Logical Volume

Manager และคดลอกอมเมจจาก S3 ไปยงโวลมใหมน

เพอการปกปองในอกระดบ คณสามารถเขารหสขอมลในอปกรณกอนทจะสงไปยง AWS ส าหรบขอมล Amazon S3 คณสามารถใชอปกรณทปองกนดวยรหส PIN ทมการเขารหสฮารดแวร หรอใชซอฟตแวร TrueCrypt ในการเขารหสขอมลกอนทจะสงไปยง AWS ส าหรบขอมล EBS และ Glacier

คณสามารถเลอกใชวธการเขารหสใดกได ซงรวมถงอปกรณทปองกนดวยรหส PIN AWS จะถอดรหสขอมล Amazon S3 ของคณกอนน าเขาโดยใชรหส PIN และ/หรอรหสผาน TrueCrypt ทคณระบในการก าหนดคณลกษณะการน าเขาของคณ AWS จะใช PIN ของคณในการเขาใชอปกรณทปองกนดวยรหส PIN แตไมถอดรหสขอมลทเขารหสดวยซอฟตแวรส าหรบการน าเขาไปยง Amazon EBS หรอ Amazon Glacier ตารางตอไปน จะสรปขอมลตวเลอกการเขารหสของคณ ส าหรบงานการน าเขา/สงออกแตละประเภท

น าเขาไปยง Amazon S3

ตนทาง ปลายทาง ผลลพธ ไฟลบนระบบไฟลอปกรณ

เขารหสขอมลโดยใชอปกรณทปองกนดวย PIN และ/หรอ TrueCrypt

กอนการจดสง

ออบเจกตในบคเกต Amazon S3 ทมอย AWS ถอดรหสขอมลกอนทจะน าเขา

หนงออบเจกตส าหรบแตละไฟล AWS ลบขอมลในอปกรณหลงจากการน าเขา

ทกครงกอนท าการจดสง

สงออกจาก Amazon S3

ตนทาง ปลายทาง ผลลพธ ออบเจกตในบคเกต Amazon

S3 หนงต าแหนงหรอมากกวา ก าหนดรหส PIN และ/หรอรหสผานท

AWS จะใชเขารหสขอมล

ไฟลบนอปกรณจดเกบขอมล AWS ฟอรแมตอปกรณ

AWS คดลอกขอมลไปยงไฟลคอนเทนเนอรทเขารหสบนอปกรณ

หนงไฟลส าหรบแตละออบเจกต AWS เขารหสขอมลกอนท าการจดสง ใชอปกรณทปองกนดวยรหส PIN และ/หรอ

TrueCrypt เพอถอดรหสไฟล

น าเขาไปยง Amazon Glacier

ตนทาง ปลายทาง ผลลพธ ทงอปกรณ

เขารหสขอมลโดยใชวธการเขารหสทคณเลอกกอนท าการจดสง

ไฟลเกบถาวรไฟลเดยวในระบบเกบขอมลทมอยของ Amazon Glacier

AWS ไมถอดรหสอปกรณ

อมเมจของอปกรณจดเกบเปนไฟลเกบถาวร ไฟลเดยว

AWS ลบขอมลในอปกรณหลงจากการน าเขาทกครงกอนท าการจดสง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 41 จาก 75

น าเขาไปยง Amazon EBS (ความจของอปกรณเ < 1 TB)

ตนทาง ปลายทาง ผลลพธ ทงอปกรณ

เขารหสขอมลโดยใชวธการเขารหส ทคณเลอกกอนท าการจดสง

สแนปชอตเดยวของ Amazon EBS

AWS ไมถอดรหสอปกรณ

อมเมจของอปกรณจดเกบเปนสเแนปชอตเดยว หากมการเขารหสอปกรณ อมเมจกจะถก

เขารหสดวย AWS ลบขอมลในอปกรณหลงจากการน าเขา

ทกครงกอนท าการจดสง

น าเขาไปยง Amazon EBS (ความจของอปกรณเ > 1 TB)

ตนทาง ปลายทาง ผลลพธ ทงอปกรณ

เขารหสขอมลโดยใชวธการเขารหส ทคณเลอกกอนท าการจดสง

หลายออบเจกตในบคเกต Amazon S3 ทมอย

AWS ไมถอดรหสอปกรณ

อมเมจอปกรณทแยกสวนออกเปนชดสแนปชอตขนาด 1 TB จดเกบเปนออบเจกตในบคเกต

Amazon S3 ทระบไวในไฟลก าหนดคณลกษณะ

หากมการเขารหสอปกรณ อมเมจกจะถก เขารหสดวย

AWS ลบขอมลในอปกรณหลงจากการน าเขาทกครงกอนท าการจดสง

หลงจากการน าเขาเสรจสมบรณ AWS Import/Export จะลบเนอหาในอปกรณจดเกบขอมลเพอปองกนขอมลในระหวางการจดสงคน AWS

จะเขยนทบบลอกทสามารถเขยนไดทงหมดบนอปกรณจดเกบขอมลดวยคาศนย คณจะตองแบงพารตชนใหมและฟอรแมตอปกรณหลงจากลางขอมล หาก AWS ลบขอมลบนอปกรณไมได กจะก าหนดเวลาใหมการท าลายอปกรณ และทมสนบสนนของเราจะตดตอหาคณตามทอยอเมลทระบไวในไฟลก าหนดคณลกษณะทคณสงมาพรอมกบอปกรณ

เมอจดสงอปกรณไปตางประเทศ ตองมการระบตวเลอกศลกากรและฟลดยอยทจ าเปนบางฟลดในไฟลก าหนดคณลกษณะทสงไปยง AWS AWS

Import/Export จะใชคาเหลานเพอตรวจสอบการจดสงสนคาเขาเขาและจดเตรยมเอกสารศลกากรขาออก ตองระบสองตวเลอกเหลานไมวาขอมลบนอปกรณจะมการเขารหสและมการจ าแนกประเภทซอฟตแวรการเขารหสหรอไมกตาม เมอจดสงขอมลทเขารหสไปยงหรอมาจากสหรฐอเมรกา ซอฟตแวรการเขารหสจะตองจดอยในประเภท 5D992 ตามระเบยบขอบงคบของฝายบรหารการสงออกของประเทศสหรฐอเมรกา

บรการฐานขอมล

Amazon Web Services มโซลชนฐานขอมลจ านวนมากส าหรบนกพฒนาและธรกจตางๆ ตงแตบรการฐานขอมลเชงสมพนธและ NoSQL ทม การจดการไปจนถงบรการแคชในหนวยความจ าและบรการคลงขอมลระดบเพตะไบต

การรกษาความปลอดภยของ Amazon DynamoDB

Amazon DynamoDB เปนบรการฐานขอมล NoSQL ทมการจดการ พรอมประสทธภาพในการท างานทรวดเรวและสามารถคาดการณได และสามารถรองรบการขยายระบบในอนาคตไดอยางไรปญหา Amazon DynamoDB ใหคณสามารถถายโอนภาระการดแลระบบในการด าเนนงานและ การปรบจ านวนฐานขอมลแบบกระจายไปยง AWS คณจงไมตองกงวลกบการเตรยมใชงานฮารดแวร การตดตง และการก าหนดคา การจ าลองแบบ การแกไขความบกพรองของซอฟตแวรหรอการปรบขนาดคลสเตอร

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 42 จาก 75

คณสามารถสรางตารางฐานขอมลทสามารถจดเกบและเรยกดขอมลตามจ านวนทตองการและรองรบปรมาณค าขอไดทกระดบ DynamoDB จะกระจายขอมลและปรมาณการใชงานตารางไปยงเซรฟเวอรทมอยมากพอโดยอตโนมต เพอจดการกบจ านวนค าขอทคณระบและปรมาณขอมลทจดเกบไว พรอมกบยงคงรกษาประสทธภาพการท างานใหมเสถยรภาพและรวดเรว รายการขอมลทงหมดจะมการจดเกบไวบนโซลดสเทตไดรฟ (SSDs) และจ าลองไปยง Availability Zone หลายแหงในภมภาค เพอรกษาความพรอมใชงานระดบสงและความคงทนของขอมล

คณสามารถตงคาการส ารองขอมลอตโนมตโดยใชเทมเพลตพเศษใน AWS Data Pipeline ทสรางมาเพอคดลอกตาราง DynamoDB โดยเฉพาะ คณสามารถเลอกการส ารองขอมลทงหมดหรอเฉพาะสวนทเพมไปยงตารางในภมภาคเดยวกนหรอตางภมภาคได คณสามารถใชส าเนาเพอกคนระบบจาก ภยพบต (DR) ในกรณทขอผดพลาดในโคดท าใหตารางตนฉบบเสยหายหรอเพอรวมขอมล DynamoDB ระหวางภมภาคตางๆ เพอรองรบแอปพลเคชนทมอยในหลายภมภาค

คณสามารถตงคาสทธใน AWS IAM เพอควบคมวาใครบางทสามารถใชทรพยากรและ API ของ DynamoDB นอกเหนอจากการควบคมการเขาถง ในระดบทรพยากรดวย IAM แลว คณยงสามารถควบคมการเขาถงในระดบฐานขอมลไดดวยกลาวคอคณสามารถสรางสทธในระดบฐานขอมลทอนญาตหรอปฏเสธสทธการเขาถงรายการ (แถว) และแอตทรบวต (คอลมน) ตามความตองการของแอปพลเคชน สทธในระดบฐานขอมลเหลานเรยกวา การควบคมการเขาถงในรายละเอยด และคณสรางสทธดงกลาวโดยใชนโยบาย IAM ทระบไววาสถานการณใดบางทผใชหรอแอปพลเคชนสามารถเขาถงตาราง DynamoDB นโยบาย IAM สามารถจ ากดการเขาถงแตละรายการในตาราง การเขาถงแอตทรบวตในแตละรายการเหลานน หรอทงสองอยางในเวลาเดยวกน

คณสามารถเลอกใชการเชอมโยงขอมลประจ าตวบนเวบเพอควบคมการเขาถงของผใชแอปพลเคชนทผานการรบรองความถกตองโดยการลอกอนดวย Amazon, Facebook หรอ Google การเชอมโยงขอมลประจ าตวบนเวบท าใหไมจ าเปนตองสรางผใช IAM แตละราย แตผใชสามารถลงชอเขาใชไปยงผใหบรการขอมลประจ าตว และขอรบขอมลประจ าตวเพอความปลอดภยชวคราวจาก AWS Security Token Service (AWS STS) AWS

STS จะสงคนขอมลประจ าตว AWS ชวคราวไปยงแอปพลเคชน และอนญาตใหแอปพลเคชนเขาถงตาราง DynamoDB เฉพาะได

นอกเหนอจากสทธของผใชและฐานขอมลแลว แตละค าขอส าหรบบรการ DynamoDB ตองมลายเซน HMAC-SHA256 ทถกตองดวย ไมเชนนน ค าขอจะถกปฏเสธ AWS SDK จะรบรองค าขอโดยอตโนมต แตหากตองการเขยนค าขอ HTTP POST ดวยตนเอง คณตองก าหนดลายเซนทสวนหวของค าขอทสงไปยง Amazon DynamoDB คณตองรองขอขอมลประจ าตวเพอความปลอดภยชวคราวจาก AWS Security Token Service เพอค านวณลายเซน ใชขอมลประจ าตวเพอความปลอดภยชวคราวเพอรบรองค าขอทคณสงไปยง Amazon DynamoDB

Amazon DynamoDB สามารถเขาถงไดผานต าแหนงขอมลทมการเขารหสดวย SSL ต าแหนงขอมลทเขารหสสามารถเขาถงไดทงจากอนเทอรเนตและภายใน Amazon EC2

การรกษาความปลอดภยของ Amazon Relational Database Service (Amazon RDS)

Amazon RDS ใหคณสามารถสรางอนสแตนซของฐานขอมลเชงสมพนธ (DB) ไดอยางรวดเรว พรอมมอบความยดหยนในการปรบขนาดทรพยากรการประมวลผลทเกยวของ และความจของพนทจดเกบขอมลใหสอดคลองกบความตองการของแอปพลเคชน Amazon RDS จะจดการกบอนสแตนซฐานขอมลในนามของคณ เชน การด าเนนการส ารองขอมล การจดการสลบการท างานอตโนมตเมอเกดขอผดพลาด และการดแลรกษาซอฟตแวรฐานขอมล ปจจบนน Amazon RDS สามารถใชงานไดกบโปรแกรมฐานขอมล MySQL, Oracle, Microsoft SQL Server และ PostgreSQL

แอตทรบวตเ

รายการ

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 43 จาก 75

Amazon RDS มหลายคณสมบตทชวยเพมความนาเชอถอใหกบฐานขอมลการผลตทส าคญ เชน กลมการรกษาความปลอดภยฐานขอมล สทธ การเชอมตอดวย SSL การส ารองขอมลอตโนมต สแนปชอตฐานขอมล และการใชงานแบบหลาย AZ นอกจากน อนสแตนซฐานขอมลยงสามารถใชงานใน Amazon VPC ส าหรบการแยกเครอขายเพมเตมดวย

การควบคมการเขาถง ครงแรกทคณสรางอนสแตนซฐานขอมลภายใน Amazon RDS คณสามารถสรางบญชผใชหลกซงใชงานภายในระบบ Amazon RDS เพอควบคมการเขาถงอนสแตนซฐานขอมลเทานน บญชผใชหลกเปนบญชผใชฐานขอมลในระบบทใหคณสามารถลอกออนเขาสอนสแตนซฐานขอมลไดพรอมกบมสทธ การใชงานทงหมดในฐานขอมล คณสามารถระบชอผใชหลกและรหสผานทคณตองการเชอมโยงกบอนสแตนซฐานขอมลแตละตวเมอคณสรางอนสแตนซฐานขอมล หลงจากทสรางอนสแตนซฐานขอมล คณจงสามารถใชขอมลประจ าตวผใชหลกเพอเชอมตอกบฐานขอมลได ตอไปคณกสามารถสรางบญชผใชเพมเตมเพอจ ากดผทเขาถงอนสแตนซฐานขอมลได

คณสามารถควบคมการเขาถงอนสแตนซฐานขอมล Amazon RDS โดยใช DB Security Groups ซงคลายกบ Amazon EC2 Security

Groups แตไมสามารถใชแทนกนได DB Security Groups จะท างานเหมอนกบไฟรวอลลทควบคมการเขาถงบนเครอขายทจะไปยงอนสแตนซฐานขอมล Database Security Groups ก าหนดโหมดการเขาถงเรมตนเปน “ปฏเสธทงหมด” และลกคาตองไดรบสทธเปนการเฉพาะในการเขาถงเครอขาย ซงมอยดวยกนสองวธ คอ การอนญาตส าหรบชวง IP เครอขาย หรอการอนญาตส าหรบ Amazon EC2 Security Group ทมอย DB

Security Groups จะอนญาตใหเขาถงเฉพาะพอรตของเซรฟเวอรฐานขอมลเทานน (พอรตอนๆ ทงหมดจะถกบลอก) และสามารถอปเดตไดโดยไมตอง รสตารทอนสแตนซฐานขอมล Amazon RDS ซงท าใหลกคาสามารถควบคมการเขาถงฐานขอมลของพวกเขาไดอยางราบรน เมอใช AWS IAM คณยงสามารถควบคมการเขาถงอนสแตนซฐานขอมล RDS ไดดวย AWS IAM ใหคณสามารถควบคมไดวาการท างานใดบางของ RDS ทผใช AWS

IAM แตละรายมสทธเรยกใช

การแยกเครอขาย

หากตองการควบคมการเขาถงเครอขายเพมเตม คณสามารถเรยกใชอนสแตนซฐานขอมลใน Amazon VPC ได Amazon VPC ใหคณสามารถแยกอนสแตนซฐานขอมลโดยการระบชวง IP ทคณตองการใช และเชอมตอกบโครงสรางพนฐานของระบบสารสนเทศทคณมอยผาน IPsec VPN ทเขารหสตามมาตรฐานอตสาหกรรม การเรยกใช Amazon RDS ใน VPC จะท าใหคณมอนสแตนซฐานขอมลอยภายในซบเนตสวนตว คณยงสามารถสรางเกตเวยสวนตวเสมอนทขยายเครอขายองคกรไปยง VPC และท าใหสามารถเขาถงอนสแตนซฐานขอมล RDS ใน VPC ดงกลาวไดดวย โปรดดรายละเอยดเพมเตมจาก คมอการใชงาน Amazon VPC

ส าหรบการใชงานแบบหลาย AZ การก าหนดซบเนตส าหรบ Availability Zone ทงหมดในภมภาคจะท าให Amazon RDS สามารถสรางระบบสแตนดบายใหมใน Availability Zone อนได หากจ าเปน คณสามารถสราง DB Subnet Groups ซงเปนคอลเลกชนของซบเนตทคณอาจตองการก าหนดใหกบอนสแตนซฐานขอมล RDS ใน VPC DB Subnet Group แตละกลมจะตองมอยางนอยหนงซบเนตส าหรบ Availability Zone

ทงหมดในภมภาคทก าหนด ในกรณน เมอคณสรางอนสแตนซฐานขอมลใน VPC หมายถงคณเลอก DB Subnet Group จากนน Amazon RDS จะใช DB Subnet Group นนและ Availability Zone ทคณตองการ เพอเลอกซบเนตและทอย IP ภายในซบเนตนน Amazon RDS จะสรางและเชอมโยง Elastic Network Interface เขากบอนสแตนซฐานขอมลดวยทอย IP นน

อนสแตนซฐานขอมลทใชงานภายใน Amazon VPC สามารถเขาถงไดจากอนเทอรเนตหรอจาก Amazon EC2 Instance ภายนอก VPC ผาน VPN

หรอโฮสต Bastion ทคณสามารถเปดใชงานในซบเนตแบบสาธารณะ ในการใชโฮสต Bastion คณตองสรางซบเนตแบบสาธารณะทม EC2 Instance

ท าหนาทเปน SSH Bastion ซบเนตแบบสาธารณะนจะตองมอนเทอรเนตเกตเวยและกฎการก าหนดเสนทางทอนญาตใหรบสงขอมลผานโฮสต SSH ซงจะตองสงตอค าขอไปยงทอย IP แบบสวนตวของอนสแตนซฐานขอมล Amazon RDS

DB Security Groups สามารถใชเพอชวยรกษาความปลอดภยใหกบอนสแตนซฐานขอมลภายใน Amazon VPC รวมถงการเขาและออกของการรบสงขอมลทางเครอขายทแตละซบเนตสามารถอนญาตหรอปฏเสธผานทาง ACL เครอขาย การเขาหรอการออกจาก Amazon VPC ส าหรบการรบสงขอมลทางเครอขายทงหมดผานการเชอมตอ IPsec VPN สามารถตรวจสอบดวยโครงสรางพนฐานการรกษาความปลอดภยภายในองคกร ซงไดแก ไฟรวอลลของเครอขายและระบบตรวจจบการบกรก

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 44 จาก 75

การเขารหส

คณสามารถเขารหสการเชอมตอระหวางแอปพลเคชนและอนสแตนซฐานขอมลโดยใช SSL ส าหรบ MySQL และ SQL Server, RDS จะสรางใบรบรอง SSL และตดตงใบรบรองนนบนอนสแตนซฐานขอมลเมอมการเตรยมใชงานอนสแตนซ ส าหรบ MySQL ใหเปดใชงานไคลเอนต mysql

โดยใชพารามเตอร --ssl_ca ในการอางองคยสาธารณะเพอเขารหสการเชอมตอ ส าหรบ SQL Server ใหดาวนโหลดคยสาธารณะและน าเขาใบรบรองไปยงระบบปฏบตการ Windows Oracle RDS จะใชการเขารหสเครอขายในระบบของ Oracle กบอนสแตนซฐานขอมล คณเพยงแคเพมตวเลอกการเขารหสเครอขายในระบบไปยงกลมตวเลอกและเชอมโยงกลมตวเลอกนนเขากบอนสแตนซฐานขอมล เมอการเชอมตอถกเขารหส ขอมลทมการถายโอนระหวางอนสแตนซฐานขอมลกบแอปพลเคชนกจะไดรบการเขารหสในระหวางการถายโอน คณยงสามารถก าหนดใหอนสแตนซฐานขอมลยอมรบเฉพาะการเชอมตอทเขารหสเทานนไดดวย

Amazon RDS สนบสนน Transparent Data Encryption (TDE) ส าหรบ SQL Server (SQL Server Enterprise Edition) และ Oracle (สวนหนงของตวเลอก Oracle Advanced Security ทมอยใน Oracle Enterprise Edition) คณสมบต TDE จะเขารหสขอมล โดยอตโนมตกอนทจะเขยนลงในทเกบขอมลและจะถอดรหสโดยอตโนมตเมออานขอมลจากทเกบขอมล หากคณตองการใหเขารหสขอมล MySQL ขณะ “จดเกบอย” ในฐานขอมล แอปพลเคชนตองจดการกบการเขารหสและการถอดรหสของขอมล

โปรดทราบวาการสนบสนน SSL ภายใน Amazon RDS ใชส าหรบการเขารหสการเชอมตอระหวางแอปพลเคชนและอนสแตนซฐานขอมล ไมควรใชรบรองความถกตองของอนสแตนซฐานขอมล

แมวา SSL จะมประโยชนในการรกษาความปลอดภย แตการเขารหสดวย SSL เปนการท างานทตองมการประมวลผลระดบสง และจะท าใหเกดความลาชาในการเชอมตอกบฐานขอมลเพมขน หากตองการเรยนรเพมเตมเกยวกบวธการท SSL ท างานรวมกบ MySQL โปรดดทเอกสาร MySQL จาก ทน หากตองการเรยนรวา SSL ท างานรวมกบ SQL Server อยางไร โปรดอานขอมลเพมเตมใน คมอการใชงาน RDS

การส ารองขอมลและการท าสแนปชบอตฐานขอมลอตโนมต Amazon RDS มสองวธการทแตกตางกนในการส ารองขอมลและการคนคาอนสแตนซฐานขอมล: การส ารองขอมลและการท าสแนปชอตฐานขอมลอตโนมต (DB Snapshots)

คณสมบตการส ารองขอมลอตโนมตของ Amazon RDS ซงเปดใชงานโดยคาเรมตน จะกคนขอมลตามจดเวลาทตองการส าหรบอนสแตนซฐานขอมล Amazon RDS จะส ารองฐานขอมลและลอกการท ารายการและจดเกบขอมลทงคไวตามระยะเวลาการเกบรกษาทผใชระบ ซงท าใหคณสามารถคนคาซงเปดใชงานโดยคาเรมตนไดทกๆ วนาทระหวางชวงเวลาการเกบรกษาไปจนถง 5 นาทลาสด คณสามารถก าหนดคาชวงเวลาการเกบรกษาการส ารองขอมลอตโนมตไดสงสด 35 วน

ระหวางเวลาการส ารองขอมล I/O ทเกบขอมลอาจหยดท างานชวคราวระหวางการส ารองขอมล โดยทวไปแลว การหยดท างานชวคราวของ I/O จะเกดขนเปนเวลาไมกนาท การหยดท างานชวคราวของ I/O นสามารถหลกเลยงดวยการใชงานฐานขอมลแบบหลาย AZ เนองจากการส ารองขอมลจะด าเนนการจากระบบสแตนดบาย

DB Snapshots เปนการส ารองอนสแตนซฐานขอมลโดยผใช ฐานขอมลส ารองทงหมดเหลานจะมการจดเกบไวโดย Amazon RDS จนกวาคณจะลบออก คณสามารถคดลอกสแนปชอตฐานขอมลไดทกขนาดและยายไปมาระหวางภมภาคสาธารณะของ AWS หรอคดลอกสแนปชอตเดยวกนไปยงหลายภมภาคพรอมกน จากนน กสามารถสรางอนสแตนซฐานขอมลใหมจากสแนปชอตฐานขอมลไดทกเมอทคณตองการ

การจ าลองอนสแตนซเฐานขอมล

ทรพยากรการประมวลผลบนระบบคลาวดของ Amazon ตงอยในศนยขอมลทมความพรอมใชงานระดบสงในภมภาคตางๆ ของโลก และแตละภมภาคจะมต าแหนงทตงเฉพาะหลายแหงทเรยกวา Availability Zone Availability Zone แตละแหงไดรบการออกแบบมาใหตดขาดจากความลมเหลวทเกดกบ Availability Zone อนๆ และสามารถเชอมตอเครอขายกบ Availability Zone อนๆ ในภมภาคเดยวกนไดรวดเรวขนและมคาใชจายนอยลง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 45 จาก 75

เพอออกแบบใหฐานขอมล Oracle, PostgreSQL หรอ MySQL มความพรอมใชงานสง คณสามารถเรยกใชอนสแตนซฐานขอมล RDS ใน Availability Zone ตางๆ ซงเปนตวเลอกทเรยกวา การใชงานแบบหลาย AZ เมอใชตวเลอกน Amazon จะเตรยมใชงานและดแลรกษาแบบจ าลองระบบสแตนดบายในแบบซงโครนสส าหรบอนสแตนซฐานขอมลใน Availability Zone ทแตกตางกน อนสแตนซฐานขอมลหลกจะไดรบการจ าลองแบบพรอมกนไปทว Availability Zone ในลกษณะเปนแบบจ าลองระบบสแตนดบาย ในกรณทอนสแตนซฐานขอมลหรอ Availability Zone

ท างานลมเหลว Amazon RDS จะสลบการท างานเมอเกดความลมเหลวไปยงระบบสแตนดบายโดยอตโนมต เพอใหฐานขอมลสามารถกลบมาใชงาน ไดอยางรวดเรวโดยทผดแลระบบไมตองเขาไปจดการ

Amazon RDS จะมตวเลอกแบบจ าลองการอานส าหรบลกคาทใช MySQL และตองการเพมขนาดจ านวนเกนกวาความจทจ ากดไวของอนสแตนซฐานขอมลเดยว ส าหรบปรมาณงานของฐานขอมลทมการอานจ านวนมาก เมอคณสรางแบบจ าลองการอาน การอปเดตของอนสแตนซฐานขอมลตนทางจะ ถกจ าลองเปนแบบจ าลองการอานโดยใชSynchronous Replication ในระบบของ MySQL คณสามารถสรางแบบจ าลองการอานหลายตวส าหรบ

อนแสตนซฐานขอมลตนทางทก าหนดและกระจายปรมาณการอานขอมลของแอปพลเคชนไปยงแบบจ าลองการอานเหลานน นอกเหนอจากความพรอมใชงานในการเขยนฐานขอมลทเพมขนและความคงทนของขอมลทมใหจากการใชงาน Multi-AZ แบบจ าลองการอานสามารถสรางดวยการใชงานแบบ หลาย AZ เพอประโยชนในการปรบขยายส าหรบการอานอกดวย

การแกไขความบกพรองของซอฟตเแวรเอตโนมต Amazon RDS จะท าใหแนใจวาซอฟตแวรฐานขอมลเชงสมพนธทเพมความสามารถในการใชงานจะมการอปเดตดวยโปรแกรมแพตซลาสดอยเสมอ โดยหากจ าเปน โปรแกรมแพตซจะมการใชระหวางชวงเวลาการบ ารงรกษาทคณสามารถควบคมได คณสามารถมองวาชวงเวลาการบ ารงรกษาของ Amazon RDS เปนโอกาสในการควบคมเวลาทมการเปลยนแปลงอนสแตนซฐานขอมล (เชน การปรบขนาดคลาสของอนสแตนซฐานขอมล) และ การแกไขความบกพรองของซอฟตแวร ในกรณทมการรองขอหรอมความจ าเปน หากกรณ “การบ ารงรกษา” มก าหนดเวลาในสปดาหทก าหนด การด าเนนการจะเรมตนและสนสดในบางเวลาระหวางชวงการบ ารงรกษาระยะเวลา 30 นาททคณระบ

การบ ารงรกษาทก าหนดให Amazon RDS ตองออฟไลนอนสแตนซฐานขอมลเปนการประมวลผลการปรบขนาด (ซงโดยทวไปแลว จะใชเวลาตงแตเรมตนจนถงสนสดเพยงไมกนาท) หรอการแกไขความบกพรองของซอฟตแวรทจ าเปน การแกไขความบกพรองของซอฟตแวรทจ าเปนจะมก าหนดเวลาโดยอตโนมตส าหรบโปรแกรมแพตซทเกยวของกบความปลอดภยและความคงทน การแกไขความบกพรองดงกลาวเกดขนไมบอยนก (โดยทวไปแลว จะอยททกๆ สองสามเดอนครง) และแทบไมใชเวลาเกนกวาสวนของชวงเวลาการบ ารงรกษา หากคณไมระบชวงเวลารายสปดาหทตองการเมอสรางอนสแตนซฐานขอมล จะมการก าหนดคาเรมตนไว 30 นาท หากคณตองการเปลยนเวลาการบ ารงรกษาในนามของคณ คณสามารถท าไดโดยการเปลยนอนสแตนซฐานขอมลใน AWS Management Console หรอโดยการใช ModifyDBInstance API อนสแตนซฐานขอมลแตละตวมชวงเวลาการบ ารงรกษาทแตกตางกนไดตามตองการ หากคณเลอกใหเปนแบบนน

การเรยกใชอนสแตนซฐานขอมลเปนการใชงานแบบหลาย AZ ยงชวยลดผลกระทบของการบ ารงรกษาไดดวย เนองจาก Amazon RDS จะด าเนนการบ ารงรกษาตามขนตอนตอไปน: 1) บ ารงรกษาระบบสแตนดบาย 2) เลอนระดบระบบสแตนดบายเปนระบบหลก และ 3) บ ารงรกษาระบบหลกเดม ซงจะกลายเปนระบบสแตนดบายใหม

เมอเรยกใช API การลบอนสแตนซฐานขอมล (DeleteDBInstance) ของ Amazon RDS อนสแตนซฐานขอมลจะถกก าหนดใหลบออก เมออนสแตนซไมแสดงสถานะ ‘deleting’ อกตอไป แสดงวาถกลบออกไปแลว ในตอนนจะไมสามารถเขาถงอนสแตนซไดอก และท าใหไมสามารถคนคาและไมมการแสดงโดยเครองมอใดๆ หรอ API เวนแตจะมการขอใหคดลอกสแนปชอตลาสดไว

การแจงขอมลเหตการณเ คณสามารถรบการแจงขอมลเหตการณส าคญตางๆ ทอาจเกดขนบนอนสแตนซ RDS เชน การหยดท างานของอนสแตนซ การเรมตนการส ารองขอมล มการสลบการท างานเมอเกดขอผดพลาดขน การเปลยนแปลงกลมการรกษาความปลอดภย หรอพนทจดเกบขอมลเหลอนอย บรการ Amazon RDS จดกลมเหตการณเปนประเภทตางๆ ทคณสามารถสมครรบขอมลเพอใหไดรบการแจงขอมลเมอเกดเหตการณในประเภทนนๆ คณสามารถสมครรบขอมลประเภทเหตการณส าหรบอนสแตนซฐานขอมล สแนปชอตฐานขอมล กลมรกษาความปลอดภยฐานขอมล หรอกลมพารามเตอรฐานขอมล เหตการณ RDS จะมการเผยแพรผาน AWS SNS และสงใหกบคณทางอเมลหรอขอความ ส าหรบขอมลเพมเตมเกยวกบประเภทเหตการณทมการแจงขอมลของ RDS โปรดดท คมอการใชงาน RDS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 46 จาก 75

การรกษาความปลอดภยของ Amazon Redshift

Amazon Redshift เปนบรการคลงขอมล SQL ระดบเพตะไบตทท างานกบทรพยากรการประมวลผลและทเกบขอมลของ AWS ทมการจดการและ มประสทธภาพสง บรการดงกลาวไมไดแคออกแบบมาใหสามารถรองรบการปรบเพม-ลดไดอยางรวดเรวเทานน แตยงมการปรบปรงการสบคนขอมลใหมความเรวขนมากแมในชดขอมลทมขนาดมหาศาลกตาม Redshift จะใชเทคนคตางๆ เชน การจดเกบขอมลแบบคอลมน การบบอดขอมล และแผนทการแบงเขตเพอลดจ านวน IO ทจ าเปนตองใชในการสบคนขอมล เพอชวยเพมประสทธภาพในการท างาน นอกจากน ยงมสถาปตยกรรมการประมวลผลแบบขนานขนาดใหญ (MPP) การท างานแบบขนานและการกระจายการด าเนนการ SQL เพอใชประโยชนจากทรพยากรทมอยทงหมด

เมอคณสรางคลงขอมล Redshift จะเตรยมใชงานคลสเตอรแบบโหนดเดยวหรอหลายโหนดตามการระบชนดและจ านวนโหนดทจะใชสรางคลสเตอร ชนดของโหนดจะก าหนดขนาดของทเกบขอมล หนวยความจ า และ CPU ของแตละโหนด คลสเตอรแบบหลายโหนดแตละตวจะมโหนดตวน าและ โหนดประมวลผลสองโหนดหรอมากกวา โหนดตวน าจะจดการเชอมตอ แยกวเคราะหการสบคน สรางแผนการท างาน และจดการการด าเนนการสบคนในโหนดประมวลผล โหนดประมวลผลจะจดเกบขอมล ด าเนนการประมวลผล และเรยกใชการสบคนตามทก าหนดใหโดยโหนดตวน า โหนดตวน าของแตละคลสเตอรสามารถเขาถงไดผานต าแหนงขอมลของ ODBC และ JDBC โดยใชไดรเวอร PostgreSQL มาตรฐาน โหนดการประมวลผลจะท างาน บนเครอขายทแยกตางหากและไมสามารถเขาถงไดโดยตรง

หลงจากทเตรยมใชงานคลสเตอร คณสามารถอปโหลดชดขอมลและด าเนนการสบคนการวเคราะหขอมลโดยใชเครองมอบน SQL ทวไปและ แอปพลเคชน Business Intelligence

การเขาถงคลสเตอรเ โดยคาเรมตน คลสเตอรทคณสรางจะถกปดไวส าหรบทกคน Amazon Redshift ใหคณสามารถก าหนดคากฎไฟรวอลล (กลมการรกษาความปลอดภย) เพอควบคมเครอขายทจะเขาถงคลสเตอรของคลงขอมล นอกจากน คณยงสามารถเรยกใช Redshift ภายใน Amazon VPC เพอแยกคลสเตอรคลงขอมลในเครอขายเสมอนของคณเอง และเชอมตอกบโครงสรางพนฐานระบบสารสนเทศทคณมอยโดยใช IPsec VPN ทเขารหสตามมาตรฐานอตสาหกรรม

บญช AWS ทสรางคลสเตอรจะมสทธเขาถงคลสเตอรเตมรปแบบ ภายในบญช AWS คณจะสามารถใช AWS IAM เพอสรางบญชผใชและจดการสทธส าหรบบญชเหลานนได คณสามารถก าหนดสทธผใชทแตกตางกนในการท างานของคลสเตอรเฉพาะทจ าเปนส าหรบงานของพวกเขาเมอใช IAM

คณตองใหสทธใน Redshift ทระดบฐานขอมลนอกเหนอจากการใหสทธการเขาถงทระดบทรพยากร เชนเดยวกบฐานขอมลทงหมด ผใชฐานขอมล จะไดรบการก าหนดชอบญชผใชทสามารถเชอมตอกบฐานขอมลและมการรบรองความถกตองเมอพวกเขาลอกอนเขาส Amazon Redshift ใน Redshift คณจะใหสทธกบผใชฐานขอมลในแบบตอคลสเตอรแทนแบบตอตาราง อยางไรกตาม ผใชสามารถดไดเฉพาะขอมลในแถวของตารางทสรางตามกจกรรมของตนเองเทานน และจะไมเหนแถวทสรางโดยผใชรายอน

ผใชทสรางออบเจกตฐานขอมลจะเปนเจาของออบเจกตฐานขอมลนน ตามคาเรมตนแลว มเฉพาะผใชระดบสงหรอเจาของออบเจกตเทานนทสามารถสบคน แกไข หรอใหสทธในออบเจกตได ส าหรบผใชทจะใชออบเจกต คณจะตองใหสทธทจ าเปนกบผใชหรอกลมทผใชดงกลาวอย และมเพยงเจาของออบเจกตเทานนทสามารถแกไขหรอลบออบเจกต

การส ารองขอมล

Amazon Redshift จะกระจายขอมลไปยงโหนดการประมวลผลทงหมดในคลสเตอร เมอคณเรยกใชคลสเตอรทมโหนดการประมวลผลอยางนอยสองโหนด ขอมลในแตละโหนดจะไดรบการมเรอรบนดสกในโหนดอนๆ เสมอ เพอปองกนความเสยงทจะเกดการสญหายของขอมล นอกจากน ขอมลทงหมดทเขยนไปยงโหนดในคลสเตอรจะไดรบการส ารองไปยง Amazon S3 โดยใชสแนปชอตอยางตอเนอง Redshift จะจดเกบสแนปชอตตามระยะเวลาทผใชก าหนด ซงสามารถเกบไวไดตงแตหนงถงสามสบหาวน นอกจากน คณยงสามารถสรางสแนปชอตของตนเองไดตลอดเวลา โดยสแนปชอตเหลานจะปรบปรงจากสแนปชอตของระบบทมอยทงหมดและถกเกบรกษาไวจนกวาคณจะลบออกอยางชดเจน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 47 จาก 75

Amazon Redshift จะตรวจสอบสถานะของคลสเตอรอยางตอเนองและจ าลองแบบขอมลใหมจากไดรฟทท างานลมเหลวโดยอตโนมตและท าหนาทแทนโหนด เมอจ าเปน ทงหมดนเกดขนไดโดยไมตองมการด าเนนการของคณ แมวาคณอาจเหนวาประสทธภาพในการท างานลดลงเลกนอยระหวางกระบวนการจ าลองแบบใหมกตาม

คณสามารถใชสแนปชอตระบบหรอของผใชเพอคนคาคลสเตอรโดยใช AWS Management Console หรอ Amazon Redshift APIs คลสเตอรจะสามารถใชงานไดทนทขอมลเมตาของระบบไดรบการคนคา และคณสามารถเรมการเรยกใชการสบคนขณะทขอมลของผใชถกเกบพกไวในแบบเบองหลงได

การเขารหสขอมล

เมอสรางคลสเตอร คณสามารถเลอกเขารหสคลสเตอรเพอใหมการปองกนขอมลทเกบไวเพมเตม เมอคณใชงานการเขารหสในคลสเตอร Amazon

Redshift จะจดเกบขอมลทงหมดในตารางทผใชสรางในรปแบบทมการเขารหสโดยใชคยการเขารหสบลอก AES-256 ทใชฮารดแวรเพอเรงความเรว

ในการท างาน ซงจะรวมถงขอมลทงหมดทเขยนไปยงดสกและขอมลส ารองใดๆ

Amazon Redshift จะใชสถาปตยกรรมทอางองคยแบบสเทยรส าหรบการเขารหส คยเหลานประกอบดวยคยการเขารหสขอมล คยฐานขอมล คยคลสเตอร และคยหลก:

คยการเขารหสขอมลจะเขารหสบลอกขอมลในคลสเตอร โดยแตละบลอกขอมลจะไดรบการก าหนดคย AES- 256 ทสรางขนแบบสม คยเหลานจะถกเขารหสโดยใชคยฐานขอมลส าหรบคลสเตอร

คยฐานขอมลจะเขารหสคยการเขารหสขอมลในคลสเตอร คยฐานขอมลเปนคย AES- 256 ทสรางขนแบบสม ซงจดเกบไวบนดสกในเครอขายทแยกตางหากจากคลสเตอร Amazon Redshift และเขารหสดวยคยหลก Amazon Redshift จะสงผานคยฐานขอมลในชองทางทปลอดภยและเกบไวในหนวยความจ าของคลสเตอร

คยคลสเตอรจะเขารหสคยฐานขอมลส าหรบคลสเตอร Amazon Redshift คณสามารถใช AWS หรออปกรณรกษาความปลอดภยฮารดแวร (HSM) จดเกบคยคลสเตอร HSM มการควบคมการสรางและการจดการคยโดยตรง และท าใหการจดการคยแยกออกจาก

แอปพลเคชนและฐานขอมลอยางชดเจน

คยหลกจะเขารหสคยคลสเตอรหากจดเกบไวใน AWS โดยคยหลกจะเขารหสคยฐานขอมลทเขารหสดวยคยคลสเตอรหากมการจดเกบ

คยคลสเตอรไวใน HSM

คณสามารถให Redshift หมนเวยนคยการเขารหสส าหรบคลสเตอรทเขารหสไดตลอดเวลา ในกระบวนการหมนเวยน คยตางๆ จะไดรบการอปเดตส าหรบการท าสแนปชอตแบบดวยตนเองและแบบอตโนมตของคลสเตอรทงหมด

ดงนน การใชงานการเขารหสในคลสเตอรจะมผลกระทบกบประสทธภาพการท างาน แมวาจะมการใชฮารดแวรเพอเพมความเรวในการท างานกตาม การเขารหสยงใชกบการส ารองขอมลดวย เมอคนคาจากสแนปชอตทเขารหส จะมการเขารหสคลสเตอรใหมเชนกน

คณสามารถใชการเขารหสในฝงเซรฟเวอรของ Amazon S3 เพอเขารหสไฟลขอมลการโหลดตารางเมอคณอปโหลดไปยง Amazon S3 ได เมอคณโหลดขอมลจาก Amazon S3 ค าสง COPY จะถอดรหสขอมลขณะโหลดตาราง

การบนทกกจกรรมเพอตรวจสอบฐานขอมล

Amazon Redshift จะบนทกการท างานของ SQL ทงหมด รวมถงความพยายามในการเชอมตอ การสบคน และการเปลยนแปลงฐานขอมล คณสามารถเขาถงไฟลบนทกเหลานโดยใชการสบคน SQL กบตารางของระบบหรอเลอกดาวนโหลดไปยงบคเกตทปลอดภยของ Amazon S3 จากนน คณสามารถใชไฟลบนทกการตรวจสอบเหลานเพอตรวจสอบคลสเตอรส าหรบวตถประสงคดานความปลอดภยและการแกไขปญหา

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 48 จาก 75

การแกไขความบกพรองของซอฟตเแวรเอตโนมต Amazon Redshift จะจดการกบงานทงหมดในการตงคา การท างานและการปรบขนาดคลงขอมล รวมถงการเตรยมใชงานความจ การตรวจสอบคลสเตอร และการใชโปรแกรมแพตซและอปเกรดกบโปรแกรม Amazon Redshift โปรแกรมแพตซใชในระหวางชวงเวลาการบ ารงรกษาทระบไวเทานน

การเชอมตอดวย SSL

เพอปองกนขอมลในระหวางการสงภายใน AWS Cloud, Amazon Redshift จะใช SSL ทใชฮารดแวรเพอเพมความเรวในการท างานเพอสอสาร กบ Amazon S3 หรอ Amazon DynamoDB ส าหรบ COPY, UNLOAD, การส ารองขอมล และการคนคา คณสามารถเขารหสการเชอมตอระหวางไคลเอนตและคลสเตอรโดยการระบ SSL ในกลมพารามเตอรทเชอมโยงกบคลสเตอร หากตองการใหไคลเอนตรบรองความถกตองกบเซรฟเวอร Redshift คณสามารถตดตงคยสาธารณะ (ไฟล .pem) ส าหรบใบรบรอง SSL บนไคลเอนต และใชคยดงกลาวเชอมตอกบคลสเตอร

Amazon Redshift มรปแบบการเขารหสขอมลทใหมขนและเขมงวดมากกวาการใชโปรโตคอล Elliptic Curve Diffie-Hellman Ephemeral

ECDHE อนญาตใหไคลเอนต SSL ก าหนด Perfect Forward Secrecy ระหวางไคลเอนตและคลสเตอร Redshift Perfect Forward

Secrecy จะใชคยเซสชนทเปนคยชวคราวและไมมการเกบไวในทใดๆ เพอชวยปองกนไมใหบคคลอนทไมไดรบอนญาตถอดรหสจากขอมลทบนทกไว แมวาคยลบระยะยาวจะถกละเมดความปลอดภยกตาม หากคณเชอมตอจากเครองมอของไคลเอนต SQL ทใช ECDHE เขารหสการสอสารระหวางไคลเอนตและเซรฟเวอร คณไมจ าเปนตองก าหนดคาใดๆ ใน Amazon Redshift เพอเปดใชงาน ECDHE เพราะ Amazon Redshift จะใชรายการการเขารหสทมใหเพอเชอมตออยางเหมาะสม

การรกษาความปลอดภยของ Amazon ElastiCache

Amazon ElastiCache เปนเวบเซอรวสทชวยใหตงคา การจดการ และปรบขนาดสภาพแวดลอมการแคชในหนวยความจ าแบบกระจายในระบบคลาวดไดงายๆ บรการดงกลาวจะปรบปรงประสทธภาพการท างานของเวบแอปพลเคชนโดยใหคณสามารถเรยกดขอมลจากระบบการแคชในหนวยความจ าทมการจดการและรวดเรว แทนการเรยกดขอมลทงหมดจากฐานขอมลบนดสกทชากวา บรการดงกลาวสามารถใชปรบปรงเวลาแฝงและปรมาณงานส าหรบการท างานของแอปพลเคชนทตองอานขอมลจ านวนมาก (เชน เครอขายทางสงคม การเลนเกม การแชรสอและพอรทลถามตอบ) หรอการท างานทตองมการประมวลผลจ านวนมาก (เชน โปรแกรมแนะน าขอมล) การแคชจะชวยเพมประสทธภาพของแอปพลเคชนใหดยงขนโดยการจดเกบขอมลสวนทส าคญไวในหนวยความจ าเพอลดเวลาในการเขาถงลง ขอมลทแคชอาจมผลคนหาของการสบคนฐานขอมลทตองใช I/O จ านวนมากหรอ

ผลการค านวณทตองมการประมวลผลระดบสง

บรการ Amazon ElastiCache จะท างานการจดการทตองใชเวลานานโดยอตโนมตในสภาพแวดลอมการแคชในหนวยความจ า เชน การจดการโปรแกรมแพตซ การตรวจสอบความลมเหลว และการกคน ซงจะท างานรวมกบ Amazon Web Services อนๆ (เชน Amazon EC2, Amazon

CloudWatch และ Amazon SNS) เพอใหการแคชในหนวยความจ ามความปลอดภย ประสทธภาพสง และไดรบการจดการเปนอยางด ตวอยางเชน แอปพลเคชนทท างานอยใน Amazon EC2 สามารถเขาถงคลสเตอร Amazon ElastiCache ในภมภาคเดยวกนไดอยางปลอดภยโดยทใชเวลา นอยมาก

การใชบรการ Amazon ElastiCache ใหคณสามารถสรางแคชคลสเตอร ซงเปนคอลเลกชนของโหนดแคชหนงโหนดหรอมากกวา และแตละโหนด

จะเรยกใชอนสแตนซของบรการ Memcached โหนดแคชเปนกลม RAM ขนาดคงทบนเครอขายทมการรกษาความปลอดภย โหนดแคชแตละตวจะเรยกใชอนสแตนซของบรการ Memcached และมชอและพอรต DNS ของตนเอง โหนดแคชทไดรบการสนบสนนมอยหลายชนด และแตละชนดจะมจ านวนหนวยความจ าทเกยวของแตกตางกน คณสามารถตงคาแคชคลสเตอรใหมจ านวนเฉพาะของโหนดแคชและกลมพารามเตอรแคชทควบคมคณสมบตของโหนดแคชแตละตวได โหนดแคชทงหมดภายในแคชคลสเตอรออกแบบใหเปนชนดโหนดเดยวกนและมคาพารามเตอรและกลมการรกษาความปลอดภยเดยวกนดวย

Amazon ElastiCache ชวยใหคณควบคมการเขาถงแคชคลสเตอรโดยใช Cache Security Groups Cache Security Group ท าหนาทเหมอนกบไฟรวอลลทจะควบคมการเขาถงแคชคลสเตอรบนเครอขาย ตามคาเรมตน การเขาถงบนเครอขาย

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 49 จาก 75

ไปยงแคชคลสเตอรจะถกปด หากคณตองการใหแอปพลเคชนเขาถงแคชคลสเตอรได คณตองเปดใหมการเขาถงจากโฮสตในกลมการรกษาความปลอดภย EC2 เฉพาะอยางชดเจน หลงจากก าหนดคากฎการเขา จะมการใชกฎเดยวกนแคชคลสเตอรทงหมดทเชอมโยงกบ Cache Security Group นน

การอนญาตใหเขาถงแคชคลสเตอรบนเครอขาย คณตองสราง Cache Security Group และใช Authorize Cache Security Group Ingress

API หรอค าสง CLI เพออนญาตกลมการรกษาความปลอดภย EC2 ทตองการ (ซงท าใหมการระบอนสแตนซ EC2 ทไดรบอนญาต) การควบคมการเขาถงตามชวง IP ในปจจบนยงไมสามารถใชไดกบแคชคลสเตอร ไคลเอนตทงหมดทเขาถงแคชคลสเตอรตองอยภายในเครอขาย EC2 และไดรบอนญาตผาน Cache Security Groups

ElastiCache ส าหรบ Redis จะมฟงกชนการส ารองขอมลและการคนคาซงคณสามารถสรางสแนปชอตของคลสเตอร Redis ทงหมดตามทมอยในชวงเวลาทระบ คณสามารถก าหนดเวลาการท าสแนปชอตแบบอตโนมตในแตละวน หรอสามารถสรางสแนปชอตดวยตนเองไดตลอดเวลา ส าหรบการท า สแนปชอตอตโนมต คณตองระบระยะเวลาการเกบรกษา สวนสแนปชอตทท าดวยตนเองจะเกบรกษาไวจนกวาคณจะลบออก สแนปชอตจะเกบไวใน Amazon S3 ทมความคงทนสงและสามารถใชส าหรบการเรมระบบใหม การส ารองขอมล และการจดเกบขอมลถาวร

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 50 จาก 75

บรการส าหรบแอปพลเคชน

Amazon Web Services จะมบรการทไดรบการจดการทหลากหลายเพอใชกบแอปพลเคชน ไดแก บรการตางๆ ทสามารถสตรมแอปพลเคชน ก าหนดคว แจงขอมลดวยขอความ สงอเมล คนหา และแปลงรหส

การรกษาความปลอดภยของ Amazon CloudSearch

Amazon CloudSearch เปนบรการทมการจดการในระบบคลาวดซงท าใหตงคา จดการ และปรบขนาดโซลชนการคนหาส าหรบเวบไซตไดงาย Amazon CloudSearch ใหคณสามารถคนหาคอลเลกชนขอมลขนาดใหญ เชน หนาเวบ ไฟลเอกสาร ประกาศของฟอรม หรอขอมลผลตภณฑ คณจงเพมความสามารถในการคนหาไปยงเวบไซตไดอยางรวดเรวโดยไมตองเปนผเชยวชาญในการคนหาหรอคอยกงวลเกยวกบการเตรยมใชงานฮารดแวร การ ตงคา และการบ ารงรกษา เมอปรมาณของขอมลและการรบสงมการเปลยนแปลง Amazon CloudSearch จะปรบขนาดใหตรงกบความตองการของคณ

โดยอตโนมต

โดเมน Amazon CloudSearch จะปกปดคอลเลกชนขอมลทคณตองการคนหา อนสแตนซการคนหาทประมวลผลค าขอการคนหา และการก าหนดคา ทควบคมวธการคนหาและการจดท าดชนขอมล คณสามารถสรางโดเมนการคนหาทแยกตางหากส าหรบแตละคอลเลกชนขอมลทคณตองการใหคนหาได ส าหรบแตละโดเมน คณสามารถก าหนดคาตวเลอกการจดท าดชนทอธบายฟลดทคณตองการรวมไวในดชนและวธการทคณตองการใชงาน ตวเลอกขอความ

ทก าหนดค าทไมส าคญเฉพาะโดเมน รากศพท และค าพอง นพจนแสดงล าดบทสามารถใชก าหนดวธจดล าดบผลการคนหา และนโยบายการเขาถงทควบคมการเขาถงเอกสารและต าแหนงขอมลการคนหาของโดเมน

การเขาถงต าแหนงขอมลของโดเมนการคนหาจะถกจ ากดดวยทอย IP เพอใหมเฉพาะโฮสตทไดรบอนญาตเทานนทสามารถสงเอกสารและค าขอการคนหา การอนญาตทอย IP จะใชเพอควบคมการเขาถงเอกสารและต าแหนงขอมลการคนหาเทานน ค าขอการก าหนดคาของ Amazon CloudSearch ทงหมด ตองไดรบการรบรองโดยใชการรบรองความถกตอง AWS ทเปนมาตรฐาน

Amazon CloudSearch มต าแหนงขอมลทแยกตางหากส าหรบการเขาถงการก าหนดคา การคนหา และบรการเอกสาร:

บรการส าหรบการก าหนดคาเขาถงไดผานต าแหนงขอมลทวไป: cloudsearch.us-east-1.amazonaws.com

ต าแหนงขอมลของบรการส าหรบเอกสารใชเพอสงเอกสารไปยงโดเมนส าหรบการจดท าดชนและเขาถงไดผานต าแหนงเฉพาะโดเมน:

http://doc-domainname-domainid.us-east-1.cloudsearch.amazonaws.com

ต าแหนงขอมลการคนหาใชเพอสงค าขอการคนหาไปยงโดเมนและเขาถงไดผานต าแหนงขอมลเฉพาะโดเมน:

http://search-domainname-domainid.us-east-1.cloudsearch.amazonaws.com

โปรดทราบวาหากคณไมมทอย IP แบบสแตตก คณจะตองอนญาตคอมพวเตอรใหมทกครงทมการเปลยนแปลงทอย IP หากทอย IP ไดรบการก าหนดแบบไดนามก เปนไปไดวาคณก าลงแชรทอยดงกลาวกบคอมพวเตอรเครองอนๆ บนเครอขาย ซงหมายความวา เมอคณอนญาตทอย IP คอมพวเตอรทงหมดทใชทอย IP นนกจะสามารถเขาถงต าแหนงขอมลของบรการเอกสารในโดเมนการคนหาไดดวย

Amazon CloudSearch ก าหนดใหทกขอทสงไปยง API การควบคมตองไดรบการรบรองความถกตอง เพอใหมเฉพาะผใชทไดรบการรบรองเทานนทสามารถเขาถงและจดการโดเมน CloudSearch ได เชนเดยวกบบรการทงหมดของ AWS ค าขอ API มการรบรองดวยลายเซน HMAC-SHA1 หรอ HMAC-SHA256 ทค านวณจากค าขอและคยการเขาถงลบ AWS ของผใช นอกจากน API การควบคมของ Amazon CloudSearch สามารถเขาถงไดผานต าแหนงขอมลทเขารหสดวย SSL คณสามารถควบคมการเขาถงฟงกชนการจดการของ Amazon CloudSearch ดวยการสรางผใชในบญช AWS โดยใช AWS IAM และควบคมการท างานของ CloudSearch ทผใชเหลานมสทธด าเนนการได

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 51 จาก 75

การรกษาความปลอดภยของ Amazon Simple Queue Service (Amazon SQS)

Amazon SQS เปนบรการก าหนดควขอความทสามารถปรบขยายไดและมความนาเชอถอสง ส าหรบใชในการสอสารดวยขอความแบบอะซงโครนสระหวางคอมโพเนนตแบบกระจายของแอปพลเคชน คอมโพเนนตดงกลาวสามารถเปนคอมพวเตอรหรอ Amazon EC2 Instance หรอทงสองอยางรวมกน Amazon SQS ใหคณสามารถสงขอความจ านวนมากจากคอมโพเนนตตางๆ ไปยงควของ Amazon SQS ไดตลอดเวลา คณสามารถเรยกดขอความจากคอมโพเนนตเดยวกนหรอตางกนไดในทนทหรอในภายหลง (ภายใน 4 วน) ขอความมความคงทนสง โดยแตละขอความจะเกบรกษาไวในควทมความนาเชอถอและความพรอมใชงานสง กระบวนการตางๆ สามารถอาน/เขยนจาก/ไปยงคว Amazon SQS ไดพรอมกนโดยไมรบกวนการท างานกน

Amazon SQS ใหสทธการเขาถงกบบญช AWS หรอผใชทสรางดวย AWS IAM หลงจากผานการรบรองความถกตอง บญช AWS จะมสทธเขาถงการท างานของผใชทงหมดอยางเตมรปแบบ อยางไรกตาม ผใช AWS IAM จะมสทธเขาถงการท างานและควทพวกเขาไดรบการใหสทธผานนโยบายเทานน ตามคาเรมตน การเขาถงแตละควจะมการจ ากดเฉพาะบญช AWS ทสรางควนน อยางไรกตาม คณสามารถอนญาตใหผอนเขาถงควไดโดยใชนโยบายท SQS สรางหรอนโยบายทคณเขยน

Amazon SQS สามารถเขาถงไดผานต าแหนงขอมลทมการเขารหสดวย SSL ต าแหนงขอมลทเขารหสสามารถเขาถงไดทงจากอนเทอรเนตและภายใน Amazon EC2 ขอมลทเกบไวภายใน Amazon SQS จะไมมการเขารหสโดย AWS แตผใชสามารถเขารหสขอมลกอนทจะอปโหลดไปยง Amazon SQS ไดหากวาแอปพลเคชนทใชควนนมวธการถอดรหสขอความเมอเรยกด การเขารหสขอความกอนทจะสงไปยง Amazon SQS จะชวยปองกนไมใหผทไมไดรบอนญาต รวมถง AWS เขาถงขอมลลกคาทส าคญ

การรกษาความปลอดภยของ Amazon Simple Notification Service (Amazon SNS)

Amazon Simple Notification Service (Amazon SNS) เปนเวบเซอรวสทชวยใหตงคา ใชงาน และสงการแจงขอมลจากระบบคลาวดไดงายๆ มความสามารถทจะรองรบการปรบขยายไดด มความยดหยน และคมคาส าหรบนกพฒนาทจะใชเผยแพรขอความจากแอปพลเคชนและจดสงไปยงสมาชกหรอแอปพลเคชนอนๆ ไดทนท

Amazon SNS มอนเทอรเฟซของเวบเซอรวสทใชงานงายส าหรบการสรางหวขอทลกคาตองการแจงขอมลไปยงแอปพลเคชน (หรอบคคล) บอกรบไคลเอนตเขาเปนสมาชกในหวขอเหลาน เผยแพรขอความ และจดสงขอความเหลาน ผานโปรโตคอลทเลอกของไคลเอนต (เชน HTTP/HTTPS, อเมล ฯลฯ) Amazon SNS จะสงการแจงขอมลไปยงไคลเอนตโดยใช กลไก “push” ซงไมจ าเปนตองตรวจสอบเปนระยะๆ หรอ “poll” ส าหรบขอมลใหมและรายการอปเดตตางๆ Amazon SNS สามารถใชสรางเวรกโฟลวตามเหตการณและแอปพลเคชนการสงขอความทมความนาเชอถอสง โดยไมตองมการจดการแอปพลเคชนและมดเดลแวรทซบซอน การใชงานทเปนไปไดส าหรบ Amazon SNS ไดแก แอปพลเคชนการตรวจสอบ ระบบเวรกโฟลว การอปเดตขอมลทตองทนกบเวลา แอปพลเคชนบนมอถอ และอนๆ อกมากมาย Amazon SNS มกลไกควบคมการเขาถงเพอใหหวขอและขอความตางๆ ปลอดภยจากการเขาถงทไมไดรบอนญาต เจาของหวขอสามารถก าหนดนโยบายเพอจ ากดผทสามารถเผยแพรหรอเปนสมาชกของหวขอได นอกจากน เจาของหวขอยงสามารถเขารหสการสงโดยการระบวากลไกในการจดสงตองเปน HTTPS ไดเชนกน

Amazon SNS ใหสทธการเขาถงกบบญช AWS หรอผใชทสรางดวย AWS IAM หลงจากผานการรบรองความถกตอง บญช AWS จะมสทธเขาถงการท างานของผใชทงหมดอยางเตมรปแบบ อยางไรกตาม ผใช AWS IAM จะมสทธเขาถงการท างานและหวขอทพวกเขาไดรบการใหสทธผานนโยบายเทานน ตามคาเรมตน การเขาถงแตละหวขอจะมการจ ากดเฉพาะบญช AWS ทสรางหวขอนน อยางไรกตาม คณสามารถอนญาตใหผอนเขาถง SNS ไดโดยใชนโยบายท SNS สรางหรอนโยบายทคณเขยน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 52 จาก 75

การรกษาความปลอดภยของ Amazon Simple Workflow Service (Amazon SWF)

Amazon Simple Workflow Service (SWF) ท าใหสามารถสรางแอปพลเคชนทจะประสานการท างานกบคอมโพเนนตแบบกระจายไดงายๆ เมอใช Amazon SWF คณสามารถสรางขนตอนการประมวลผลตางๆ ในแอปพลเคชนในลกษณะเปน “งาน” ทจะควบคมการท างานในแอปพลเคชนแบบกระจาย และ Amazon SWF จะประสานงานเหลานเขาดวยกนในแบบทเชอถอไดและสามารถรองรบการขยายระบบ Amazon SWF จดการกบการขนตอกนของการท างาน การจดก าหนดการ และการท างานพรอมกนตามลอจกทนกพฒนาใชกบแอปพลเคชน บรการดงกลาวจะจดเกบงาน สงไปยงคอมโพเนนตของแอปพลเคชน ตดตามความคบหนา และดแลรกษาขอมลใหเปนปจจบนอยเสมอ

Amazon SWF มการเรยกใช API ทแบบเรยบงาย ซงสามารถท างานจากโคดทเขยนดวยภาษาใดกไดและท างานบน EC2 Instance หรอบนเครองทตงอยต าแหนงใดๆ ในโลกทมการเชอมตออนเทอรเนต Amazon SWF ท าหนาทเปนฮบประสานงานทโฮสตแอปพลเคชนใชในการตดตอ คณสามารถสรางเวรกโฟลวทตองการดวยงานทสมพนธกนและลอจกตามเงอนไขทคณตองใชและจดเกบไวดวย Amazon SWF

Amazon SWF ใหสทธการเขาถงกบบญช AWS หรอผใชทสรางดวย AWS IAM ผด าเนนการทงหมดทเขารวมในการท างานของเวรกโฟลวซงไดแกผมหนาทตดสนใจ ผด าเนนกจกรรม ผดแลเวรกโฟลว—ตองเปนผใช IAM ทอยในบญช AWS และเปนเจาของทรพยากรของ Amazon SWF

คณสามารถใหสทธเขาถงเวรกโฟลว Amazon SWF กบผใชทเชอมโยงกบบญช AWS อนได อยางไรกตาม ผใช AWS IAM จะมสทธเขาถง เวรกโฟลวและทรพยากรทพวกเขาไดรบการใหสทธผานนโยบายเทานน

การรกษาความปลอดภยของ Amazon Simple Email Service (Amazon SES)

Amazon Simple Email Service (SES) เปนบรการสงอเมลขาออกอยางเดยวทมอยในโครงสรางพนฐานทเชอถอไดและรองรบการปรบขยายของ Amazon Amazon SES ชวยคณเพมความสามารถในการสงอเมลและคอยตดตามสถานะการจดสงอเมลใหกบคณ Amazon SES ผนวกรวมการท างานเขากบบรการอนๆ ของ AWS ซงท าใหการสงอเมลจากแอปพลเคชนทโฮสตอยบนบรการตางๆ เชน Amazon EC2 เปนเรองงาย

แตนาเสยดายทการใชระบบอเมลอนๆ อาจท าใหผสงสแปมสามารถปลอมแปลงสวนหวของอเมล และเปลยนแปลงทอยอเมลตนทางเพอท าใหดเหมอนวาเปนอเมลทมตนทางมาจากแหลงทมาอนได เพอจดการกบปญหาเหลาน Amazon SES จงก าหนดใหผใชตองยนยนทอยอเมลหรอโดเมนของตนเพอรบรองวาพวกเขาเปนเจาของทอยอเมลหรอโดเมนนนจรงๆ และปองกนไมใหมการใชงานของบคคลอน ในการยนยนโดเมน Amazon SES ก าหนดใหผสงเผยแพรเรกคอรด DNS ท Amazon SES จดหาใหเพอเปนหลกฐานในการควบคมโดเมน Amazon SES จะทบทวนสถานะการยนยนความถกตองของโดเมนเปนระยะ และเพกถอนการยนยนความถกตองหากไมสามารถใชไดอกตอไป

Amazon SES ใชขนตอนเชงรกเพอปองกนการสงเนอหาทนาสงสย เพอให ISP ไดรบอเมลทมคณภาพสงอยางสม าเสมอจากโดเมนของเราและมองวา Amazon SES เปนตนทางอเมลทเชอถอได คณสมบตบางอยางทเพมความสามารถในการจดสงและความนาเชอถอใหกบผสงทงหมดของเรา ไดแก:

• Amazon SES ใชเทคโนโลยการกรองเนอหาเพอชวยตรวจจบและบลอกขอความทมไวรสหรอมลแวรกอนทจะมการสงออกไป

• Amazon SES มระบบแจงขอรองเรยน/แสดงความคดเหนใหกบ ISP รายหลก ระบบแจงขอรองเรยน/แสดงความคดเหนจะแสดงวามอเมลใดบางทผรบท าเครองหมายเปนสแปม Amazon SES ใหคณสามารถเขาถงตววดผลการจดสงเหลานเพอชวยแนะน ากลวธการสงใหกบคณ

• Amazon SES ใชเทคนคทหลากหลายเพอประเมนคณภาพในการสงของผใชแตละราย ระบบกลไกเหลานชวยคนหาและปดโอกาสทจะใช Amazon SES เพอสงอเมลทไมไดรองขอ และตรวจหารปแบบการสงอนๆ ทจะสงผลเสยกบชอเสยงทมตอ ISP ของ Amazon SES

ผใหบรการกลองจดหมาย และบรการปองกนสแปม

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 53 จาก 75

• Amazon SES รองรบระบบกลไกการรบรองความถกตอง เชน Sender Policy Framework (SPF) และ DomainKeys Identified

Mail (DKIM) เมอรบรองความถกตองของอเมล คณตองแสดงหลกฐานยนยนกบ ISP วาคณเปนเจาของโดเมน Amazon SES ท าใหคณรบรองความถกตองของอเมลไดงายๆ หากคณก าหนดคาใหบญชใช Easy DKIM, Amazon SES จะรบรองอเมลในนามของคณกบ DKIM

เพอทคณสามารถใหความส าคญกบกลวธการสงอเมลในดานอนๆ เพอใหมนใจถงความสามารถการจดสงในระดบสงสด เราขอแนะน าใหคณรบรองความถกตองของอเมล

คณสามารถใชขอมลประจ าตวการรกษาความปลอดภยในการยนยนตวตนและแสดงวาคณมสทธทจะตดตอกบ Amazon SES หรอไม เชนเดยวกบบรการ AWS อนๆ ส าหรบขอมลเกยวกบขอมลประจ าตวทจะใช โปรดดท การใชขอมลประจ าตวกบ Amazon SES Amazon SES ยงผสานเขากบ AWS IAM เพอใหคณสามารถระบวาการด าเนนการใดบางของ Amazon SES API ทผใชสามารถท าได

หากคณเลอกสอสารกบ Amazon SES ผานอนเทอรเฟซ SMTP คณตองเขารหสการเชอมตอโดยใช TLS Amazon SES รองรบกลไกสองแบบส าหรบการเชอมตอทมการเขารหสดวย TLS คอ STARTTLS และ TLS Wrapper หากคณเลอกสอสารกบ Amazon SES ผาน HTTP การสอสารทงหมดจะไดรบการปองกนดวย TLS ผานต าแหนงขอมล HTTPS ของ Amazon SES เมอสงอเมลไปยงปลายทางล าดบสดทาย Amazon

SES จะเขารหสเนอหาของอเมลดวย Opportunistic TLS หากระบบอเมลของผรบสนบสนน

การรกษาความปลอดภยบรการของ Amazon Elastic Transcoder

บรการ Amazon Elastic Transcoder ลดความซบซอนและก าหนดใหกระบวนการทมความซบซอนในการแปลงไฟลสอจากรปแบบ ขนาด หรอคณภาพหนงไปเปนอกรปแบบ ขนาด คณภาพในแบบอตโนมต บรการ Elastic Transcoder จะแปลงไฟลวดโอและไฟลเสยงทมความละเอยดมาตรฐาน (SD) หรอความละเอยดสง (HD) ดวยการอานขอมลอนพตจากบคเกต Amazon S3 แปลงรหสและเขยนไฟลทเปนผลลพธไปยงบคเกตอนของ Amazon S3 คณสามารถใชบคเกตเดยวกนส าหรบขอมลอนพตและเอาตพต และบคเกตตางๆ สามารถอยในทกภมภาคของ AWS Elastic

Transcoder ยอมรบไฟลอนพตหลากหลายรปแบบ ไมวาจะเปนรปแบบส าหรบเวบ ผใช หรอรปแบบส าหรบมออาชพ ชนดของไฟลเอาตพต ไดแก MP3, MP4, OGG, TS, WebM, HLS ทใช MPEG-2 TS และ Smooth Streaming ทใชชนดคอนเทนเนอร fmp4 การจดเกบวดโอ H.264

หรอ VP8 และไฟลเสยง AAC, MP3 หรอ Vorbis

คณสามารถเรมจากไฟลอนพตอยางนอยหนงไฟล และสรางงานการแปลงรหสในชนดของเวรกโฟลวทเรยกวา ไปปไลนการแปลงรหส ส าหรบแตละไฟล เมอคณสรางไปปไลน คณตองระบบคเกตขอมลอนพตและเอาตพต รวมทงบทบาท IAM ดวย แตละงานตองอางองเทมเพลตการแปลงสอทเรยกวา คาการแปลงรหสทตงไว และท าใหมการสรางไฟลเอาตพตอยางนอยหนงไฟล คาทตงไวจะบอก Elastic Transcoder วาการตงคาใดทตองใชเมอประมวลผลไฟลอนพตเฉพาะ คณสามารถระบการตงคาจ านวนมากไดเมอคณสรางคาทตงไว ซงรวมถงอตราตวอยาง อตราบต ความละเอยด (ความสงและความกวางของเอาตพต) จ านวนการอางองและคยเฟรม อตราบตของวดโอ ตวเลอกบางอยางส าหรบการสรางภาพขนาดยอ ฯลฯ

วธการทดทสดคอการเรมตนงานตามล าดบทมการสง แตวธการดงกลาวไมสามารถรบประกนอยางแนนอนได และงานตางๆ มกจะไมสนสดตามล าดบ เนองจากการท างานเปนแบบขนานและมความซบซอนแตกตางกน คณสามารถหยดชวคราวและเรมตนไปปไลนใหมได หากจ าเปน

Elastic Transcoder รองรบการใชการแจงขอมลของ SNS เมอแตละงานเรมตนและสนสดลง และเมอจ าเปนตองบอกคณวาตรวจพบขอผดพลาดหรอค าเตอน พารามเตอรการแจงขอมลของ SNS เชอมโยงกบแตละไปปไลน และยงสามารถใชฟงกชน List Jobs By Status เพอคนหางานทงหมดทมสถานะตามทก าหนด (เชน “Completed”) หรอฟงกชน Read Job เพอเรยกดขอมลแบบละเอยดของงานทเจาะจง

Elastic Transcoder ผนวกรวมเขากบ AWS Identity and Access Management (IAM) เชนเดยวกบบรการอนๆ ทงหมดของ AWS คณจงสามารถควบคมการเขาถงบรการและทรพยากรอนๆ ของ AWS ท Elastic Transcoder ตองการ รวมถงบคเกต Amazon S3 และหวขอตางๆ ของ Amazon SNS ตามคาเรมตน ผใช IAM ไมมสทธเขาถง Elastic Transcoder หรอทรพยากรทบรการใชงาน หากคณตองการใหผใช IAM สามารถท างานรวมกบ Elastic Transcoder ได คณใหสทธกบพวกเขาอยางชดเจน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 54 จาก 75

Amazon Elastic Transcoder ก าหนดใหทกค าขอทสงไปยง API การควบคมตองไดรบการรบรองความถกตอง เพอใหมเฉพาะกระบวนการหรอผใชทผานการรบรองตวตนเทานนทสามารถสราง แกไข หรอลบไปปไลนและคาทตงไวของ Amazon Transcoder ของตนได ค าขอมการรบรองดวยลายเซน HMAC-SHA256 ทค านวณจากค าขอและคยทไดมาจากคยการเขาถงลบของผใช นอกจากน Amazon Elastic Transcoder API

สามารถเขาถงไดผานต าแหนงขอมลทเขารหสดวย SSL เทานน

ความคงทนของ Amazon S3 มาจากการทไฟลสอไดรบการจดเกบเปนส าเนาส ารองบนหลายอปกรณในสถานทตงตางๆ ทอยในภมภาคของ Amazon S3

เพอเพมระดบการปองกนไมใหผใชลบไฟลสอโดยไมตงใจ คณสามารถใชคณสมบตการก าหนดเวอรชนใน Amazon S3 เพอเกบรกษา เรยกด และคนคาทกเวอรชนของออบเจกตทงหมดทเกบไวในบคเกต Amazon S3 คณสามารถปองกนเวอรชนเพมไดโดยใชคณสมบต MFA Delete จากการก าหนดเวอรชนของ Amazon S3 เมอมการใชงานกบบคเกต Amazon S3 แตละค าขอส าหรบการลบเวอรชนตองมรหสหกหลกและหมายเลขซเรยลจากอปกรณการรบรองความถกตองโดยใชหลายปจจย

การรกษาความปลอดภยของ Amazon AppStream

บรการ Amazon AppStream มเฟรมเวรกส าหรบเรยกใชแอปพลเคชนการสตรม ซงเปนแอปพลเคชนเฉพาะทตองการไคลเอนตรนเลกส าหรบท างานบนอปกรณมอถอ คณจงสามารถจดเกบและเรยกใชแอปพลเคชนบน GPU ทประมวลผลแบบขนานและมประสทธภาพสงในระบบคลาวด แลวสตรมขอมลอนพตและเอาตพตไปยงอปกรณไคลเอนตใดกได ไมวาจะเปนแอปพลเคชนทมอยกอนซงคณสามารถปรบเปลยนใหท างานกบ Amazon

AppStream หรอแอปพลเคชนใหมทคณออกแบบมาเปนพเศษส าหรบใชท างานกบบรการน

Amazon AppStream SDK ลดขนตอนในการพฒนาแอปพลเคชนการสตรมแบบอนเทอรแอคทฟและแอปพลเคชนไคลเอนตใหนอย SDK ม API

ทจะเชอมตอกบอปกรณของลกคาเขากบแอปพลเคชนโดยตรง เกบบนทกขอมลและเขารหสเสยงและภาพ สตรมเนอหาบนอนเทอรเนตแทบจะเปนแบบเรยลไทม ถอดรหสเนอหาบนอปกรณไคลเอนต และสงขอมลทผใชปอนไปยงแอปพลเคชน เพราะแอปพลเคชนประมวลผลในระบบคลาวด จงสามารถรองรบการปรบขยายเพอจดการกบโหลดการประมวลผลจ านวนมหาศาลได

Amazon AppStream ใชแอปพลเคชนการสตรมบน Amazon EC2 เมอคณเพมแอปพลเคชนการสตรมผาน AWS Management Console

บรการดงกลาวจะสราง AMI ทตองใชในการโฮสตแอปพลเคชน และท าใหแอปพลเคชนสามารถใชงานกบไคลเอนตการสตรมได บรการจะปรบขยาย

แอปพลเคชนตามทจ าเปน ภายในขดจ ากดความจทคณก าหนดเพอใหสามารถตอบสนองความตองการได ไคลเอนตทใช Amazon AppStream SDK

จะเชอมตอกบแอปพลเคชนทสตรมโดยอตโนมต

สวนใหญแลว คณตองการท าใหแนใจวาผใชทเรยกใชไคลเอนตไดรบอนญาตใหใชแอปพลเคชนกอนทจะมการให ID เซสชน เราขอแนะน าใหคณใชบรการส าหรบการใหสทธบางรปแบบ ซงจะรบรองตวตนของไคลเอนตและอนญาตใหสามารถเชอมตอกบแอปพลเคชนได ในกรณน บรการส าหรบการใหสทธยงจะเรยกใช Amazon AppStream REST API เพอสรางเซสชนการสตรมใหมใหกบไคลเอนตดวย โดยหลงจากบรการส าหรบการใหสทธสรางเซสชนใหม จะมการสงคนตวระบเซสชนไปใหกบไคลเอนตทไดรบอนญาตเปนแบบ URL ทมการใหสทธแบบใชครงเดยว จากนน ไคลเอนตสามารถใช URL

ทมการใหสทธเพอเชอมตอกบแอปพลเคชน บรการส าหรบการใหสทธสามารถโฮสตอยบน Amazon EC2 Instance หรอบน AWS Elastic

Beanstalk

Amazon AppStream ใชเทมเพลต AWS CloudFormation ก าหนดใหกระบวนการใชอนสแตนซ GPU EC2 ทมไลบราร AppStream

Windows Application และ Windows Client SDK ทตดตงอยท างานโดยอตโนมต ก าหนดคาส าหรบการเขาถง SSH, RDC หรอ VPN และใหมการก าหนดทอย IP แบบยดหยน ในการใชเทมเพลตนเพอใชเซรฟเวอรการสตรมแบบสแตนดอโลน สงทคณตองท ากแค อปโหลดแอปพลเคชนไปยงเซรฟเวอรและเรยกใชค าสงเพอเปดใชงาน คณสามารถใชเครองมอของ Amazon AppStream Service Simulator เพอทดสอบแอปพลเคชนในโหมดสแตนดอโลนกอนทจะน ามาใชงานในระบบท างานจรง

Amazon AppStream ยงใชโปรโตคอล STX เพอจดการกบการสตรมแอปพลเคชนจาก AWS ไปยงอปกรณเฉพาะท โปรโตคอล STX ของ Amazon AppStream เปนโปรโตคอลทมกรรมสทธทใชสตรมวดโอของแอปพลเคชนคณภาพสง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 55 จาก 75

บนเครอขายทมลกษณะแตกตางกน พรอมกบตรวจสอบลกษณะของเครอขาย และปรบสตรมวดโอโดยอตโนมตเพอใหลาชานอยลงและความละเอยดสงส าหรบลกคา การซงคเสยงและภาพและเกบบนทกขอมลอนพตจากลกคาเพอสงกลบไปยงแอปพลเคชนทก าลงท างานใน AWS จะเสยเวลานอยลง

บรการส าหรบการวเคราะหเ

Amazon Web Services มบรการวเคราะหบนระบบคลาวดเพอชวยคณประมวลผลและวเคราะหปรมาณขอมล ไมวาสงทคณตองการจะเปน

คลสเตอร Hadoop ทมการจดการ การสตรมขอมลแบบเรยลไทม การจดท าคลงขอมลระดบเพตะไบต หรอกระบวนการปฏบตงาน

การรกษาความปลอดภยของ Amazon Elastic MapReduce (Amazon EMR)

Amazon Elastic MapReduce (Amazon EMR) เปนเวบเซอรวสทมการจดการซงคณสามารถใชเรยกคลสเตอร Hadoop ทจะประมวลผลขอมลจ านวนมาก โดยการกระจายงานและขอมลไปยงเซรฟเวอรหลายๆ ตว โดยจะใชเวอรชนขนสงของเฟรมเวรก Apache Hadoop ทท างานบนโครงสรางพนฐานส าหรบการปรบขยายบนเวบของ Amazon EC2 และ Amazon S3 คณเพยงแคอปโหลดขอมลอนพตและแอปพลเคชนการประมวลผลขอมลไปยง Amazon S3 จากนน Amazon EMR จะเปดใชงาน Amazon EC2 Instance ตามจ านวนทคณระบ บรการจะเรมด าเนนโฟลวงานขณะดงขอมลอนพตจาก Amazon S3 ลงใน Amazon EC2 Instance ทท างานอย เมอโฟลวงานสนสดลง Amazon EMR จะถายโอนขอมลเอาตพตไปยง Amazon S3 ซงคณสามารถเรยกดหรอใชขอมลดงกลาวเปนขอมลอนพตในโฟลวงานอนได

เมอเปดใชงานโฟลวงานในนามของคณ Amazon EMR จะตงคากลมการรกษาความปลอดภยของ Amazon EC2 เปนสองกลม คอ โหนดหลกและโหนดรอง กลมการรกษาความปลอดภยหลกมพอรตทเปดไวเพอสอสารกบบรการ และยงมพอรต SSH ทเปดไวเพอใหคณสามารถใช SSH กบอนสแตนซนนโดยใชคยทระบในตอนเรมตนระบบ โหนดรองเรมตนในกลมการรกษาความปลอดภยทแยกตางหาก ซงสามารถท างานกบอนสแตนซหลกเทานน ตาม

คาเรมตน กลมการรกษาความปลอดภยทงคมการตงคาไมอนญาตการเขาถงจากแหลงทมาภายนอก รวมถง Amazon EC2 Instance ทเปนของลกคา รายอน เนองจากกลมการรกษาความปลอดภยเหลานอยภายในบญช คณจงสามารถก าหนดคาใหมโดยใชเครองมอหรอแดชบอรดมาตรฐานของ EC2

Amazon EMR จะปกปองชดขอมลอนพตและเอาตพตของลกคาดวยการใช SSL เพอถายโอนขอมลไปยงและจาก Amazon S3

Amazon EMR ใหคณสามารถควบคมการเขาถงทรพยากรในคลสเตอรไดหลายวธ คณสามารถใช AWS IAM ในการสรางบญชผใชและบทบาท และก าหนดคาสทธทควบคมวามคณสมบตใดบางของ AWS ทผใชและบทบาทเหลานนสามารถเขาถงได เมอคณเปดใชงานคลสเตอร คณสามารถเชอมโยง คคย Amazon EC2 เขากบคลสเตอร แลวน ามาใชงานเมอเชอมตอกบคลสเตอรโดยใช SSH นอกจากน คณยงสามารถตงคาสทธทอนญาตใหผใชรายอนทไมใชผใชเรมตนของ Hadoop สงงานไปยงคลสเตอรได

ตามคาเรมตนแลว หากผใช IAM เปดใชงานคลสเตอรใด ผใชอน IAM ในบญช AWS จะมองไมเหนคลสเตอรนน โดยการกรองนจะใชกบอนเทอรเฟซทงหมดของ Amazon EMR ซงไดแก คอนโซล, CLI, API และ SDKและจะชวยปองกนไมใหผใช IAM เขาถงและการเปลยนแปลงคลสเตอรทผใช IAM รายอนสรางไวโดยไมตงใจ ซงเหมาะกบคลสเตอรทมไวส าหรบการดโดยผใช IAM รายเดยวและบญช AWS หลก นอกจากน คณยงมตวเลอกทจะก าหนดใหผใช IAM ทงหมดในบญช AWS หนงบญชสามารถมองเหนและเขาถงคลสเตอรไดดวย

เพอสรางชนการปองกนเพมเตม คณสามารถเปดใชงาน EC2 Instance ของคลสเตอร EMRใน Amazon VPC ซงเหมอนกบการเปดใชงานในซบเนตสวนตว คณจงสามารถควบคมการเขาถงซบเนตทงหมดได นอกจากน คณยงสามารถเปดใชงานคลสเตอรใน VPC และก าหนดใหคลสเตอรเขาถงทรพยากรบนเครอขายภายในไดโดยใชการเชอมตอ VPN คณสามารถเขารหสขอมลอนพตกอนทจะอปโหลดไปยง Amazon S3 ไดโดยใชเครองมอการเขารหสขอมลทวไป หากคณเขารหสขอมลกอนทจะอปโหลด คณตองเพมขนตอนการถอดรหสในตอนเรมตนโฟลวงานดวยเมอ Amazon Elastic

MapReduce ดงขอมลจาก Amazon S3

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 56 จาก 75

การรกษาความปลอดภยของ Amazon Kinesis

Amazon Kinesis เปนบรการทมการจดการซงออกแบบมาเพอจดการกบการสตรมขอมลจ านวนมากในแบบเรยลไทม โดยสามารถรบขอมลจ านวนมากเทาใดกไดจากแหลงทมาจ านวนมาก เนองจากสามารถปรบขยายและปรบลดไดตามตองการ คณสามารถใช Kinesis ในกรณทตองมการรบและประมวลผลขอมลจ านวนมากในแบบเรยลไทม เชน ไฟลบนทกของเซรฟเวอร สอสงคม หรอฟดขอมลการตลาด และขอมลการคลกลงกบนเวบไซต

แอปพลเคชนจะอานและเขยนเรกคอรดขอมลไปยง Amazon Kinesis ในแบบสตรม คณสามารถสรางสตรม Kinesis จ านวนมากเพอเกบบนทก จดเกบ และสงผานขอมลได Amazon Kinesis จดการกบโครงสรางพนฐาน ทเกบขอมล ระบบเครอขาย และการก าหนดคาทจ าเปนในการรวบรวมและประมวลผลขอมลโดยอตโนมตในระดบทแอปพลเคชนการสตรมตองการ คณจะไมตองกงวลเกยวกบการเตรยมใชงาน การปรบใช หรอการบ ารงรกษาแบบตอเนองของฮารดแวร ซอฟตแวร หรอบรการอนๆ เพอใหสามารถเกบบนทกขอมลและการจดเกบขอมลจ านวนมากในแบบเรยลไทม Amazon

Kinesis ยงจ าลองแบบขอมลในสถานทตงสามแหงในภมภาคของ AWS พรอมกนได เพอใหมความพรอมใชงานสงและความคงทนของขอมล

ใน Amazon Kinesis เรกคอรดขอมลมหมายเลขล าดบ พารตชนคย และบลอบขอมล ซงเปนล าดบของไบตทไมมการเปลยนแปลงและไมตองมการตความ บรการ Amazon Kinesis จะไมตรวจสอบ ตความ หรอเปลยนแปลงขอมลในบลอบ ไมวาลกษณะใดๆ เรกคอรดขอมลสามารถเขาถงไดเพยงแค 24

ชวโมงนบแตเวลาทมการเพมไปยงสตรม Amazon Kinesis และจะมการลบออกโดยอตโนมต

แอปพลเคชนของคณเปนผใชงานของสตรม Amazon Kinesis ซงมกจะท างานอยในกลมของ Amazon EC2 Instance แอปพลเคชน Kinesis จะ ใช Amazon Kinesis Client Library ในการอานจากสตรม Amazon Kinesis Kinesis Client Library คอยดแลรายละเอยดตางๆ ใหกบคณ รวมถงการสลบการท างานเมอเกดขอผดพลาด การกคน และการปรบสมดลการโหลด ซงท าใหแอปพลเคชนสามารถโฟกสอยทการประมวลผลเพยงอยางเดยวเมอพรอมใชงาน หลงการประมวลผลเรกคอรด รหสผใชงานสามารถสงไปพรอมกบสตรม Kinesis อน, เขยนลงในบคเกต Amazon S3 คลงขอมล Redshift หรอตาราง DynamoDB หรอลบออกไปได คณสามารถใชไลบรารตวเชอมตอเพอผนวกรวม Kinesis เขากบบรการอนๆ ของ AWS

(เชน DynamoDB, Redshift และ Amazon S3) รวมถงผลตภณฑของบรษทอนอยาง Apache Storm

คณสามารถควบคมการเขาถงแบบลอจคลกบทรพยากร Kinesis และฟงกชนการจดการโดยสรางผใชจากบญช AWS ทใช AWS IAM และการควบคมการด าเนนการของ Kinesis ทผใชเหลานมสทธท าได เพอชวยอ านวยความสะดวกในการเรยกใชแอปพลเคชนของผผลตและผใชงานใน Amazon EC2 Instance คณสามารถก าหนดคาอนสแตนซนนดวยบทบาท IAM ซงท าใหขอมลประจ าตว AWS ซงแสดงสทธทเชอมโยงกบบทบาท IAM สามารถใชงานไดกบแอปพลเคชนบนอนสแตนซ ซงหมายถงคณไมตองใชขอมลประจ าตวการรกษาความปลอดภยของ AWS แบบระยะยาว บทบาทตางๆ มประโยชนเพมเตมจากการทขอมลประจ าตวชวคราวหมดอายภายในระยะเวลาสนๆ ซงท าใหมวธการปองกนเพมมากขน โปรดดขอมลเพมเตมเกยวกบบทบาท IAM จาก คมอการใช IAM

Amazon Kinesis API สามารถเขาถงไดผานทางต าแหนงขอมลทเขารหสดวย SSL (kinesis.us-east-1.amazonaws.com) เพอชวยใหมนใจวามการสงขอมลทปลอดภยไปยง AWS คณตองเชอมตอกบต าแหนงขอมลนนเพอเขาถง Kinesis แตคณสามารถใช API เพอสงให AWS Kinesis

สรางสตรมในภมภาคใดๆ ของ AWS

การรกษาความปลอดภยของ AWS Data Pipeline

บรการ AWS Data Pipeline ชวยคณด าเนนการและยายขอมลระหวางแหลงขอมลทแตกตางกนในชวงเวลาทระบ โดยใชเวรกโฟลวทขบเคลอนดวยขอมลและการตรวจสอบการขนตอกนในตว เมอสรางไปปไลน คณสามารถก าหนดทรพยากร เงอนไขเบองตน จดหมายปลายทาง ขนตอนการด าเนนการ และก าหนดเวลาการท างาน เมอคณก าหนดและเปดใชงานไปปไลน บรการจะเรยกใชไปปไลนโดยอตโนมตตามก าหนดเวลาทคณระบ

AWS Data Pipeline ท าใหคณไมตองกงวลเกยวกบการตรวจสอบความพรอมของทรพยากร การจดการกบการขนตอกนระหวางงาน การลองใหมส าหรบแตละงานทเกดความลมเหลว/หมดเวลาชวคราว หรอการสรางระบบการแจงขอมลความลมเหลว AWS Data

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 57 จาก 75

Pipeline คอยจดการกบการเปดใชงานบรการและทรพยากรของ AWS ทไปปไลนจ าเปนตองใชเพอด าเนนการกบขอมล (เชน Amazon EC2 หรอ EMR) และการถายโอนผลลพธไปยงทเกบขอมล (เชน Amazon S3, RDS, DynamoDB หรอ EMR)

เมอคณใชคอนโซล AWS Data Pipeline จะสรางบทบาทและนโยบาย IAM ทจ าเปน รวมถงรายการเอนทตทเชอถอไดใหกบคณ บทบาท IAM จะก าหนดวาสงใดบางทไปปไลนเขาถงไดและสามารถด าเนนการอะไรไดบาง นอกจากน เมอไปปไลนสรางทรพยากร เชน EC2 Instance, บทบาท IAM

จะก าหนดทรพยากรและการด าเนนการทอนญาตของ EC2 Instance เมอคณสรางไปปไลน คณระบบทบาท IAM หนงบทบาททจะควบคมไปปไลน และบทบาท IAM อนทจะควบคมทรพยากรของไปปไลน (หมายถงการเปน “บทบาททรพยากร”) ซงสามารถเปนบทบาทเดยวกนส าหรบทงคได เพอเปนสวนหนงของแนวทางปฏบตดานการรกษาความปลอดภยของสทธการใชงานขนต า เราขอแนะน าใหคณเลอกสทธขนต าทจ าเปนส าหรบไปปไลนเพอท างานและก าหนดบทบาท IAM ใหสอดคลองตามนน

AWS Data Pipeline ยงมตวเลอกของต าแหนงขอมล (HTTPS) ทปลอดภยส าหรบการเขาถงผาน SSL เชนเดยวกบบรการ AWS สวนใหญ

บรการดานการปรบใชงานและการจดการ

Amazon Web Services มเครองมอตางๆ เพอชวยในการปรบใชงานและการจดการแอปพลเคชน ซงรวมถงบรการทใหคณสามารถสรางบญชผใช แตละรายการทมขอมลประจ าตวเพอเขาถงบรการ AWS รวมถงบรการส าหรบการสรางและอปเดตสแตกทรพยากรของ AWS การปรบใชแอปพลเคชนส าหรบทรพยากรเหลานน และการตรวจสอบสถานะทรพยากรเหลานนของ AWS เครองมออนๆ จะชวยคณจดการคยการเขารหสโดยใชอปกรณรกษาความปลอดภยฮารดแวร (HSM) และไฟลบนทกกจกรรม AWS API ส าหรบการรกษาความปลอดภยและการปฏบตตามขอก าหนด

AWS Identity and Access Management (AWS IAM)

AWS IAM ใหคณสามารถสรางผใชหลายรายและจดการสทธของผใชแตละรายเหลานภายในบญช AWS ผใชเปนขอมลประจ าตว (ภายในบญช AWS) ทมขอมลประจ าตวการรกษาความปลอดภยเฉพาะทสามารถใชเขาถงบรการตางๆ ของ AWS AWS IAM ชวยขจดความจ าเปนในการแชรรหสผานหรอคย และงายตอการเปดใชหรอปดใชการเขาถงของผใชตามความเหมาะสม

AWS IAM ใหคณสามารถใชแนวทางปฏบตการรกษาความปลอดภย เชน สทธการใชงานขนต า ดวยการใหขอมลประจ าตวเฉพาะกบผใชทกคนทอยภายในบญช AWS และการใหสทธเขาถงบรการและทรพยากรของ AWS กบผใชทจ าเปนตองใชท างานเทานน AWS IAM เปนการรกษาความปลอดภยเรมตน ผใชใหมไมสามารถเขาถง AWS ไดจนกวาจะไดรบสทธอยางชดเจน

AWS IAM ยงผนวกรวมเขากบ AWS Marketplace เพอใหคณสามารถควบคมวามบคคลใดบางในองคกรทสามารถสมครใชงานซอฟตแวรและบรการทเสนออยใน Marketplace เนองจากการสมครใชงานซอฟตแวรบางอยางใน Marketplace จะเปนการเปดใชงาน EC2 Instance ทจะเรยกใชซอฟตแวร ซงถอเปนคณสมบตการควบคมการเขาถงทส าคญ การใช AWS IAM เพอควบคมการเขาถง AWS Marketplace ยงใหเจาของบญช AWS มการควบคมการเขาถงในรายละเอยดเกยวกบตนทนการใชงานและซอฟตแวร

AWS IAM ชวยคณลดการใชขอมลประจ าตวของบญช AWS เมอคณสรางบญชผใช AWS IAM การตดตอกบบรการและทรพยากรของ AWS

ทงหมดควรเกดขนโดยใชขอมลประจ าตวการรกษาความปลอดภยผใชของ AWS IAM โปรดดขอมลเพมเตมเกยวกบ AWS IAM บนเวบไซต AWS:

http://aws.amazon.com/iam/

บทบาทตางๆ

บทบาท IAM จะใชขอมลประจ าตวการรกษาความปลอดภยชวคราวเพอใหคณสามารถมอบหมายสทธการเขาถงใหกบผใชหรอบรการทโดยปกตแลวไมมสทธเขาถงทรพยากรของ AWS บทบาทเปนชดสทธการเขาถงทรพยากรเฉพาะของ AWS แตสทธเหลานไมไดผกอยกบผใชหรอกลมเฉพาะของ IAM

เอนทตทไดรบอนญาต (เชน ผใชมอถอ, EC2 Instance) ยอมรบบทบาทและไดรบขอมลประจ าตวการรกษาความปลอดภยชวคราวส าหรบการรบรองความถกตองกบทรพยากรทก าหนดใหกบบทบาท

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 58 จาก 75

ขอมลประจ าตว การรกษาความปลอดภยชวคราวเพมระดบการรกษาความปลอดภยใหดยงขนเนองจากมระยะเวลาใชงานสน (การหมดอายเรมตนคอ 12

ชวโมง) และเปนความจรงทวาขอมลประจ าตวดงกลาวไมสามารถน ากลบมาใชใหมไดหลงจากหมดอาย วธการดงกลาวเปนประโยชนอยางยงส าหรบการใหสทธการเขาถงทมการควบคมแบบจ ากดในบางสถานการณ

การเขาถงของผใชจากภายนอก (ผทไมใชผใช AWS) ผใชจากภายนอกคอผใช (หรอแอปพลเคชน) ทไมมบญช AWS แตคณสามารถใหสทธเขาถงทรพยากร AWS ในระยะเวลาทจ ากดไวเปนบทบาทตางๆ วธนจะเปนประโยชนหากคณมผทไมใชผใช AWS ทคณสามารถรบรองความถกตองกบบรการภายนอก เชน Microsoft Active Directory, LDAP หรอ Kerberos ขอมลประจ าตว AWS ชวคราวทใชกบบทบาทจะมการเชอมตอขอมลประจ าตวระหวาง AWS กบผทไมใชผใช AWS ในระบบขอมลประจ าตวและการรบรองความถกตองขององคกร

หากองคกรรองรบ SAML 2.0 (Security Assertion Markup Language 2.0) คณสามารถสรางความไววางใจระหวางองคกรในฐานะ

ผใหบรการขอมลประจ าตว (IdP) และองคกรอนๆ ในฐานะเปนผใหบรการ ใน AWS คณสามารถก าหนดคา AWS เปนผใหบรการและใช SAML ลงชอเขาใชครงเดยวจากภายนอก (SSO) ไปยง AWS Management Console หรอเพอรบการเขาถงจากภายนอกในการเรยกใช AWS API กบผใช บทบาทตางๆ ยงเปนประโยชนหากคณสรางแอปพลเคชนบนมอถอหรอส าหรบเวบทเขาถงทรพยากรของ AWS ทรพยากรของ AWS ตองการขอมลประจ าตวการรกษาความปลอดภยส าหรบค าขอการโปรแกรม อยางไรกตาม คณไมควรฝงขอมลประจ าตวการรกษาความปลอดภยระยะยาวลงในแอปพลเคชน เนองจากผใชของแอปพลเคชนสามารถเขาถงขอมลนนไดและน ามาใชหมนเวยนไดยาก คณสามารถใหผใชลงชอเขาใช แอปพลเคชนโดยใชการลอกอนดวย Amazon, Facebook หรอ Google แลวใชขอมลการรบรองความถกตองของพวกเขาเพอก าหนดบทบาทและรบขอมลประจ าตวการรกษาความปลอดภยชวคราวแทน

การเขาถงแบบขามบญช ส าหรบองคกรทใชบญช AWS หลายบญชเพอจดการทรพยากร คณสามารถตงคาบทบาทเพอใหสทธกบผใชในหนงบญชทสามารถเขาถงทรพยากรทอยในบญชอนได ส าหรบองคกรทมบคลากรทแทบไมจ าเปนตองเขาถงทรพยากรทอยในทรพยากรอน การใชบทบาทจะชวยท าใหแนใจวาขอมลประจ าตวมการจดหาในแบบชวคราวตามความจ าเปนเทานน

แอปพลเคชนทท างานบน EC2 Instance ทจ าเปนตองเขาถงทรพยากรของ AWS หากแอปพลเคชนท างานบน Amazon EC2

Instance และจ าเปนตองสรางค าขอส าหรบทรพยากรของ AWS เชน บคเกต Amazon S3 หรอตาราง DynamoDB จะตองใชขอมลประจ าตวการรกษาความปลอดภย การใชบทบาทตางๆ แทนการสรางบญช IAM ส าหรบแตละแอปพลเคชนตออนสแตนซชวยประหยดเวลาไดมากส าหรบลกคาทจดการอนสแตนซจ านวนมากหรอมการปรบขยายจ านวนมากโดยใช AWS Auto Scaling

ขอมลประจ าตวชวคราวประกอบดวยโทเคนความปลอดภย, ID คยการเขาถง และคยการเขาถงลบ เพอใหสทธการเขาถงทรพยากรบางอยางกบผใช คณตองกระจายขอมลประจ าตวการรกษาความปลอดภยชวคราวใหกบผใชทคณก าลงจะใหการเขาถงชวคราว เมอผใชตดตอทรพยากร ผใชสงผานโทเคน และ ID

คยการเขาถง และรบรองค าขอดวยคยการเขาถงลบ โทเคนจะไมท างานกบคยการเขาถงทตางกน วธทผใชสงผานโทเคนจะขนอยกบ API และเวอรชนของผลตภณฑ AWS ทผใชท าการตดตอดวย โปรดดขอมลเพมเตมเกยวกบขอมลประจ าตวการรกษาความปลอดภยชวคราวบนเวบไซต AWS:

http://docs.amazonwebservices.com/STS

การใชขอมลประจ าตวชวคราวเปนวธการปองกนเพมเตมใหกบคณ เนองจากคณไมจ าเปนตองจดการหรอกระจายขอมลประจ าตวระยะยาวใหกบผใชชวคราว นอกจากน ขอมลประจ าตวชวคราวไดรบการโหลดไปยงอนสแตนซเปาหมายโดยอตโนมต คณจงไมตองฝงขอมลดงกลาวลงในต าแหนงทไมปลอดภยอยางโคด ขอมลประจ าตวชวคราวไดรบการหมนเวยนหรอเปลยนโดยอตโนมตไดหลายครงในแตละวน โดยทคณไมตองด าเนนการใดๆ และม

การจดเกบไวอยางปลอดภยตามคาเรมตน

โปรดดขอมลเพมเตมเกยวกบการใชบทบาท IAM เพอจดหาคยโดยอตโนมตบน EC2 Instance ใน คมอการใช IAM บนเวบไซต AWS:

http://docs.amazonwebservices.com/IAM

การรกษาความปลอดภยของ Amazon CloudWatch

Amazon CloudWatch เปนเวบเซอรวสเพอการตรวจสอบทรพยากรของ AWS Cloud ซงเรมตนดวย Amazon EC2 ซงท าใหลกคาสามารถมองเหนขอมลของการใชทรพยากร ประสทธภาพการด าเนนงาน และรปแบบความตองการโดยรวม

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 59 จาก 75

รวมถงตววดผลตางๆ เชน การใช CPU การอานและเขยนดสก และปรมาณการใชงานเครอขาย คณสามารถตงคา CloudWatch เพอแจงใหคณทราบหากเกนขดจ ากดบางอยาง หรอมการใชการท างานแบบอตโนมตอนๆ เชน การเพมหรอการลบ EC2 Instanceหากมการเปดใชงาน Auto-Scaling

CloudWatch ไมเพยงเกบลอกขอมลและสรปตววดผลการใชงานส าหรบทรพยากรของ AWS เทานน แตคณยงสามารถก าหนดใหสงไฟลบนทกอนๆ ไปยง CloudWatch เพอตรวจสอบไดดวย คณสามารถก าหนดเสนทางระบบปฏบตการเยอน แอปพลเคชน และไฟลบนทกแบบก าหนดเองส าหรบซอฟตแวรทตดตงอยบน EC2 Instance ไปยง CloudWatch ซงจะมการเกบรกษาไวยาวนานตราบเทาทคณตองการ คณสามารถก าหนดคา CloudWatch ใหตรวจสอบรายการไฟลบนทกขาเขาเพอหาสญลกษณหรอขอความทตองการและเพอแสดงผลลพธตามตววดผลของ CloudWatch ตวอยางเชน คณควรตรวจสอบไฟลบนทกของเวบเซรฟเวอรส าหรบขอผดพลาด 404 เพอตรวจหาลงกขาเขาทใชไมได หรอขอความของผใชทไมถกตองเพอตรวจหาความพยายามลอกอนทไมไดรบอนญาตไปยงระบบปฏบตการเยอน

Amazon CloudWatch ตองการใหทกค าขอใน API การควบคมมการรบรองความถกตอง เพอใหมเฉพาะผใชทผานการรบรองความถกตองเทานนทสามารถเขาถงและจดการ CloudWatch ได เชนเดยวกบบรการทงหมดของ AWS ค าขอไดรบการรบรองดวยลายเซน HMAC-SHA1 ทค านวณจาก

ค าขอและคยสวนตวของผใช นอกจากน API การควบคมของ Amazon CloudWatch ยงสามารถเขาถงไดผานต าแหนงขอมลทเขารหสดวย SSL

เทานน

คณยงสามารถควบคมการเขาถงส าหรบ Amazon CloudWatch ไดโดยการสรางผใชในบญช AWS โดยใช AWS IAM และการควบคมการด าเนนการของ CloudWatch ทผใชเหลานมสทธเรยกใชได

การรกษาความปลอดภยของ AWS CloudHSM

บรการ AWS CloudHSM ใหลกคามการเขาถงเฉพาะไปยงอปกรณรกษาความปลอดภยฮารดแวร (HSM) ทออกแบบมาเพอจดหาทจดเกบคยการเขารหสทมการรกษาความปลอดภยและการด าเนนงานภายในอปกรณนรภยทมการปองกนการบกรก คณสามารถสราง จดเกบ และจดการคยการเขารหสทใชส าหรบการเขารหสขอมลเพอทใหมแตคณเทานนทสามารถเขาถงได อปกรณ AWS CloudHSM ออกแบบมาเพอจดเกบและด าเนนการกบขอมลทเปนคยการเขารหสอยางปลอดภยส าหรบผใชหลายประเภท เชน การเขารหสฐานขอมล, การจดการสทธดจทล (DRM), โครงสรางพนฐานกญแจสาธารณะ (PKI)

การรบรองความถกตองและการอนญาต การรบรองเอกสาร และการด าเนนการกบรายการ ซงจะรองรบอลกอรธมการเขารหสทเขมงวดทสดท มอย รวมถง AES, RSA และ ECC และอนๆ อกมาก

บรการ AWS CloudHSM ออกแบบมาเพอใชกบ Amazon EC2 และ VPC ดวยการจดหาอปกรณทม IP สวนตวของตนเองภายในซบเนตสวนตว คณสามารถเชอมตอกบอปกรณ CloudHSM จากเซรฟเวอร EC2 ผาน SSL/TLS ซงใชการรบรองความถกตองดวยใบรบรองดจทลแบบสองทางและการเขารหส SSL แบบ 256 บต เพอเปนชองทางการสอสารทปลอดภย

การเลอกบรการ CloudHSM ในภมภาคเดยวกนกบ EC2 Instance จะลดเวลาแฝงของเครอขาย ซงจะชวยเพมประสทธภาพการท างานของแอปพลเคชนได คณสามารถก าหนดคาไคลเอนตบน EC2 Instance ทใหแอปพลเคชนสามารถใช API ทก าหนดโดย HSM รวมถง PKCS#11, MS CAPI และ Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions)

กอนทคณจะเรมใช HSM คณตองตงคาพารตชนอยางนอยหนงพารตชนบนอปกรณ พารตชนการเขารหสเปนขอบเขตการรกษาความปลอดภยทางลอจคลและทางกายภาพทจ ากดการเขาถงคย เพอใหมเฉพาะคณเทานนทสามารถควบคมคยและการด าเนนงานทท าโดย HSM AWS มขอมลประจ าตวส าหรบการดแลระบบของอปกรณ แตขอมลประจ าตวเหลานสามารถใชจดการกบอปกรณเทานน ไมใชส าหรบพารตชน HSM บนอปกรณ AWS ใชขอมลประจ าตวเหลานเพอตรวจสอบและรกษาสถานะและความพรอมใชงานของอปกรณ AWS ไมสามารถดงขอมลคยหรอท าให AWS เปนสาเหตใหอปกรณด าเนนการเขารหสโดยใชคย

อปกรณ HSM มการปองกนการดดแปลงแบบลอจคลและทางกายภาพ และมกลไกการตอบสนองทจะลบขอมลคยการเขารหสและสรางไฟลบนทกเหตการณ หากตรวจพบการเปลยนแปลง HSM ออกแบบมาเพอตรวจหาการเปลยนแปลงหาก

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 60 จาก 75

ตวปองกนทางกายภาพของอปกรณ HSM ถกท าลาย นอกจากน หากมความพยายามเขาถงพารตชน HSM ดวยขอมลประจ าตวผดแลระบบ HSM ท ไมส าเรจตดตอกนสามครง อปกรณ HSM จะลบพารตชน HSM ของอปกรณ

เมอการสมครใชงาน CloudHSM สนสดลง และคณยนยนวาเนอหาของ HSM ไมจ าเปนอกตอไป คณตองลบแตละพารตชนและเนอหารวมถงไฟลบนทกใดๆ AWS ก าหนดคาอปกรณเปนศนยโดยการลบขอมลคยทงหมดอยางถาวรในลกษณะเปนสวนหนงของกระบวนการปลดการท างาน

การรกษาความปลอดภยของ AWS CloudTrail

AWS CloudTrail มไฟลบนทกของค าขอทงหมดส าหรบทรพยากรของ AWS ภายในบญชของคณ ส าหรบแตละเหตการณทบนทกไว คณสามารถดบรการทเขาถง การด าเนนการทกระท า พารามเตอรส าหรบการด าเนนการ และผทสงค าขอ คณไมเพยงสามารถดผใชหรอบรการทด าเนนการในบรการของ AWS เทานนแตยงสามารถดไดวาเปนผใชบญชรทของ AWS หรอผใช IAM หรอเปนขอมลประจ าตวการรกษาความปลอดภยชวคราวส าหรบบทบาทหรอผใชภายนอก

โดยพนฐานแลว CloudTrail เกบบนทกขอมลเกยวกบทก API การเรยกทรพยากรของ AWS ไมวาเปนการเรยกจาก AWS Management

Console, CLI หรอ SDK หากค าขอ API สงคนขอผดพลาด CloudTrail จะระบค าอธบายของขอผดพลาด รวมถงขอความทแสดงการอนญาตท ไมส าเรจ โดยมการเกบบนทกเหตการณการลงชอเขาใช AWS Management Console การสรางเรกคอรดไฟลบนทกทกครงทเจาของบญช AWS

ผใชภายนอก หรอผใช IAM ลงชอเขาใชคอนโซล

เมอคณเปดใชงาน CloudTrail จะมการสงไฟลบนทกเหตการณไปยงบคเกต Amazon S3 ทคณเลอกทกๆ 5 นาท ไฟลบนทกมการจดการตาม ID บญช AWS ภมภาค ชอบรการ วนท และเวลา คณสามารถก าหนดคา CloudTrail ใหรวบรวมไฟลบนทกจากหลายภมภาคลงในบคเกตเดยวของ Amazon S3

ได จากทนน คณสามารถอปโหลดไฟลบนทกไปยงโซลชนการจดการและการวเคราะหไฟลบนทกทคณชอบ เพอด าเนนการวเคราะหการรกษาความปลอดภยและตรวจหารปแบบพฤตกรรมของผใช

ตามคาเรมตน ไฟลบนทกจะเกบไวอยางไมมการก าหนด ไฟลบนทกมการเขารหสโดยอตโนมตโดยใชการเขารหสลบฝงเซรฟเวอรของ Amazon S3 และจะยงคงอยในบคเกตจนกวาคณจะเลอกลบหรอเกบถาวร คณสามารถใชกฎการก าหนดคาวงจรการท างานของ Amazon S3 เพอลบไฟลบนทกของเกาโดยอตโนมตหรอเกบถาวรไปยง Amazon Glacier เมอการเกบรกษาไวไดนานขนชวยประหยดคาใชจายไดจ านวนมาก

คณสามารถจ ากดการเขาถง CloudTrail ไวใหกบผใชบางรายเทานนได เชนเดยวกบบรการอนๆ ทงหมดของ AWS คณสามารถใช IAM เพอควบคมผใช AWS ทสามารถสราง ก าหนดคา หรอลบรองรอย AWS CloudTrail และผใชทสามารถเรมตนและหยดการบนทกไฟลบนทก คณสามารถควบคมการเขาถงไฟลบนทกโดยใชนโยบายบคเกตของ IAM หรอ Amazon S3 คณยงสามารถเพมชนการรกษาความปลอดภยเพมเตมโดยการเปดใชงาน MFA Delete ในบคเกต Amazon S3

บรการบนมอถอ

บรการบนมอถอของ AWS ท าใหคณสามารถสราง จดสง เรยกใช ตรวจสอบ ปรบปรง และปรบขยายแอปพลเคชนทขบเคลอนบนระบบคลาวดส าหรบอปกรณมอถอไดงายขน บรการเหลานยงชวยคณรบรองความถกตองของผใชกบแอปพลเคชนบนมอถอ ซงโครไนซขอมล และรวบรวมและวเคราะหการใชแอปพลเคชน

Amazon Cognito

Amazon Cognito ใหขอมลประจ าตวและซงคบรการตางๆ ส าหรบแอปพลเคชนบนมอถอและส าหรบเวบ ซงจะชวยลดความซบซอนของงานการรบรองความถกตองของผใช รวมถงการจดเกบ การจดการ และการซงคขอมลในอปกรณ แพลตฟอรม และแอปพลเคชนทหลากหลาย พรอมกบใหขอมลประจ าตวทมสทธการใชงานแบบจ ากดชวคราวส าหรบทงผใชทมการรบรองความถกตองและไมไดรบรองความถกตอง โดยไมตองมการจดการโครงสรางพนฐานของแบคเอนด

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 61 จาก 75

Cognito ท างานกบผใหบรการขอมลประจ าตวทมชอเสยงอยาง Google, Facebook และ Amazon เพอรบรองความถกตองของผใชแอปพลเคชนบนมอถอและส าหรบเวบ คณสามารถใชขอดของคณสมบตการระบและการอนญาตทจดหาใหโดยบรการเหลานแทนทจะมการสรางและดแลรกษาการระบและการอนญาตของคณเอง แอปพลเคชนรบรองความถกตองกบหนงในผใหบรการขอมลประจ าตวเหลานโดยใช SDK ของผใหบรการ เมอผใชไดรบการรบรองความถกตองกบผใหบรการ โทเคน OAuth หรอ OpenID Connect ทสงคนจากผใหบรการจะถกสงผานโดยแอปพลเคชนไปยง Cognito ซงจะสงคน Cognito ID ใหมของผใชและชดของขอมลประจ าตว AWS ทมสทธการใชงานแบบจ ากดชวคราว

ในการเรมใช Amazon Cognito คณตองสรางพลขอมลประจ าตวผานทางคอนโซล Amazon Cognito พลขอมลประจ าตวเปนการจดเกบขอมลประจ าตวของผใชทระบใหกบบญช AWS ระหวางการสรางพลขอมลประจ าตว คณจะไดรบการขอใหสรางบทบาท IAM ใหม หรอเลอกบทบาททมอยส าหรบผใช บทบาท IAM เปนชดสทธการเขาถงทรพยากรเฉพาะของ AWS แตสทธเหลานไมไดผกอยกบผใชหรอกลมเฉพาะของ IAM เอนทตทไดรบอนญาต (เชน ผใชมอถอ, EC2 Instance) ยอมรบบทบาทและไดรบขอมลประจ าตวการรกษาความปลอดภยชวคราวส าหรบการรบรองความถกตองกบทรพยากรของ AWS ทก าหนดใหกบบทบาท ขอมลประจ าตวการรกษาความปลอดภยชวคราวเพมระดบการรกษาความปลอดภยใหดยงขนเนองจากมระยะเวลาใชงานสน (การหมดอายเรมตนคอ 12 ชวโมง) และเปนความจรงทวาขอมลประจ าตวดงกลาวไมสามารถน ากลบมาใชใหมไดหลงจากหมดอาย บทบาททคณเลอกมผลกระทบกบบรการ AWS ทผใชสามารถเขาถงไดดวยขอมลประจ าตวชวคราว ตามคาเรมตน Amazon Cognito จะสรางบทบาทใหมทมสทธแบบจ ากด กลาวคอ ผใชมสทธเขาถงบรการ Cognito Sync และ Amazon Mobile Analytics ไดเทานน หากแอปพลเคชนจ าเปนตองเขาถงทรพยากร AWS อน เชน Amazon S3 หรอ DynamoDB คณสามารถแกไขบทบาทไดโดยตรงจากคอนโซลการจดการ IAM

Amazon Cognito ท าใหไมจ าเปนตองสรางบญช AWS เฉพาะหรอบญช IAM ส าหรบผใชของแอปบนเวบ/มอถอทจะเขาถงทรพยากร AWS เมอใชรวมกบบทบาท IAM ผใชมอถอสามารถเขาถงทรพยากรและคณสมบตของแอปพลเคชนของ AWS ไดอยางปลอดภย และยงสามารถบนทกขอมลไปยง AWS Cloud ไดโดยไมตองสรางบญชหรอเขาสระบบ อยางไรกตาม หากพวกเขาเลอกทจะสรางบญชหรอเขาสระบบในภายหลง Cognito จะผสานขอมลและขอมลการระบตวตนเขาดวยกน

เพราะ Amazon Cognito จดเกบขอมลทงภายในเครองและบรการ ผใชจงสามารถท างานกบขอมลไดแมเมอออฟไลน แมวาขอมลออฟไลนอาจจะเกา แตเมอใสไวในชดขอมลแลว พวกเขาสามารถดงขอมลมาใชไดทนทไมวาจะออนไลนหรอไมกตาม SDK ไคลเอนตจะจดการทเกบ SQLite เฉพาะท เพอใหแอปพลเคชนสามารถท างานไดแมไมมการเชอมตอ ฟงกชนทจดเกบ SQLite เปนแคชและเปนเปาหมายของการท างานการอานและการเขยนทงหมด เครองมออ านวยความสะดวกในการซงคของ Cognito จะเปรยบเทยบขอมลเวอรชนเฉพาะทกบเวอรชนในระบบคลาวด และจะอปโหลดหรอดาวนโหลดขอมล ตามความจ าเปน แตในการซงคขอมลบนอปกรณ พลขอมลประจ าตวกจะตองสนบสนนขอมลประจ าตวทไดรบการรบรองดวย ขอมลประจ าตวทไมไดรบการรบรองความถกตองถกผกอยกบอปกรณ ดงนนจงไมมขอมลทสามารถซงคบนหลายอปกรณได เวนแตผใชจะรบรองความถกตอง

Cognito ท าใหแอปพลเคชนสอสารกบผใหบรการขอมลประจ าตวสาธารณะ (Amazon, Facebook หรอ Google) เพอรบรองความถกตองของ ผใชไดโดยตรง Amazon Cognito ไมรบหรอเกบขอมลประจ าตวของผใช มเฉพาะโทเคน OAuth หรอ OpenID Connect ทไดรบจากผใหบรการขอมลประจ าตวเทานน เมอ Cognito ไดรบโทเคน จะมการสงคน Cognito ID ใหมของผใชและชดของขอมลประจ าตว AWS ทมสทธการใชงาน แบบจ ากดชวคราว

ขอมลประจ าตว Cognito ของผใชแตละคนมสทธเขาถงขอมลในการจดเกบทมการซงคของตนเทานน และขอมลนจะถกเขารหสเมอมการจดเกบ นอกจากน ขอมลประจ าตวทงหมดจะถกสงผาน HTTPS ตวระบเฉพาะของ Amazon Cognito บนอปกรณจะมการจดเกบอยในต าแหนงทปลอดภย ทเหมาะสมเชน บน iOS ตวระบ Cognito มการจดเกบไวในคยเชน iOS ขอมลผใชถกแคชไวในฐานขอมล SQLite เฉพาะทภายใน Sandbox ของ แอปพลเคชน หากคณตองการใหมความปลอดภยเพมเตม คณสามารถเขารหสขอมลประจ าตวนในแคชเฉพาะทไดโดยใชการเขารหสในแอปพลเคชน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 62 จาก 75

Amazon Mobile Analytics

Amazon Mobile Analytics เปนบรการส าหรบการเกบรวบรวม การแสดงขอมล และการท าความเขาใจขอมลการใชงานแอปพลเคชนบนมอถอ ซงใหคณสามารถตดตามพฤตกรรมของผใช รวบรวมตววดผล และระบรปแบบทเปนประโยชนในแอปพลเคชนบนมอถอ Amazon Mobile Analytics

จะค านวณและอปเดตตววดผลการใชงานโดยอตโนมตเมอไดรบขอมลจากอปกรณไคลเอนตทเรยกใชแอปและแสดงขอมลในคอนโซล

คณสามารถรวม Amazon Mobile Analytics เขากบแอปพลเคชนไดโดยไมตองมการรบรองผใชแอปกบผใหบรการขอมลประจ าตว (อยาง Google,

Facebook หรอ Amazon) ส าหรบผใชทไมไดผานการรบรองเหลาน Mobile Analytics จะท างานรวมกบ Amazon Cognito เพอใหขอมลประจ าตวมสทธการใชงานแบบจ ากดชวคราว คณตองสรางพลขอมลประจ าตวใน Cognito กอนจงจะท าได พลขอมลประจ าตวจะใชบทบาท IAM ซงเปนชดสทธไมผกอยกบผใชหรอกลมเฉพาะของ IAM แตจะอนญาตใหเอนทตสามารถเขาถงทรพยากรเฉพาะของ AWS ได เอนทตจะก าหนดบทบาทและรบขอมลประจ าตวการรกษาความปลอดภยชวคราวส าหรบการรบรองความถกตองในการใชทรพยากรของ AWS ทก าหนดไวในบทบาท ตามคาเรมตน Amazon Cognito จะสรางบทบาทใหมทมสทธแบบจ ากดกลาวคอ ผใชมสทธเขาถงบรการ Cognito Sync และ Amazon Mobile

Analytics ไดเทานน หากแอปพลเคชนจ าเปนตองเขาถงทรพยากร AWS อน เชน Amazon S3 หรอ DynamoDB คณสามารถแกไขบทบาทไดโดยตรงจากคอนโซลการจดการ IAM

คณสามารถผนวกรวม AWS Mobile SDK ส าหรบ Android หรอ iOS เขากบแอปพลเคชนหรอใช Amazon Mobile Analytics REST API

เพอสงเหตการณจากอปกรณหรอบรการทเชอมตอและแสดงขอมลในรายงาน Amazon Mobile Analytics API สามารถเขาถงไดผานต าแหนงขอมลทเขารหสดวย SSL เทานน (https://mobileanalytics.us-east-1.amazonaws.com)

แอปพลเคชนตางๆ

แอปพลเคชนของ AWS เปนบรการทมการจดการ ซงใหคณมทจดเกบสวนกลางทมความปลอดภยและพนทท างานในระบบคลาวดใหกบผใช

Amazon WorkSpaces

Amazon WorkSpaces เปนบรการเดสกทอปทมการจดการ ซงใหคณสามารถจดหาเดสกทอปบนระบบคลาวดใหกบผใชไดอยางรวดเรว เพยงแคเลอกชดโปรแกรม Windows 7 ทสอดคลองทสดกบความตองการของผใชและจ านวนของ WorkSpaces ทคณตองการเปดใชงาน เมอ WorkSpaces

พรอม ผใชจะไดรบอเมลทแจงวาพวกเขาสามารถดาวนโหลดไคลเอนตทเกยวของและลงชอเขาใช WorkSpace ไดทไหน จากนน พวกเขาสามารถเขาถงเดสกทอปบนระบบคลาวดจากอปกรณทมต าแหนงขอมลตางๆ รวมถงพซ แลปทอป และอปกรณมอถอ อยางไรกตาม ขอมลขององคกรจะไมมการสงหรอจดเกบบนอปกรณของผใชเนองจาก Amazon WorkSpaces ใช PC-over-IP (PCoIP) ซงสามารถสตรมวดโอแบบอนเทอรแอคทฟไดโดยไมมการสงขอมลจรง โปรโตคอล PCoIP จะบบอด เขารหสลบ และเขารหสการประมวลผลบนเดสกทอปของผใช และสง ‘เฉพาะพกเซล’ บนเครอขาย IP

มาตรฐานไปยงอปกรณของผใช

ในการเขาถง WorkSpace ของตน ผใชตองลงชอเขาใชดวยชดขอมลประจ าตวเฉพาะหรอขอมลประจ าตวทวไปของ Active Directory เมอคณผนวกรวม Amazon WorkSpaces เขากบ Active Directory ขององคกร แตละ WorkSpace จะเขารวมกบโดเมน Active Directory และสามารถจดการไดเชนเดยวกบเดสกทอปอนๆ ในองคกร ซงหมายความวาคณสามารถใชนโยบายกลม Active Directory เพอจดการ WorkSpaces ของผใชในการระบตวเลอกการก าหนดคาทควบคมเดสกทอป หากคณเลอกทจะไมใช Active Directory หรอไดเรกทอรภายในองคกรชนดอนเพอจดการ WorkSpaces ของผใช คณสามารถสรางไดเรกทอรในระบบคลาวดแบบสวนตวภายใน Amazon WorkSpaces ซงคณสามารถใชในการดแลระบบได

เพอใหมชนความปลอดภยเพมเตม คณยงสามารถก าหนดการใชการรบรองความถกตองโดยใชหลายปจจยเมอลงชอเขาใชในรปแบบโทเคนของฮารดแวรหรอซอฟตแวร Amazon WorkSpaces สนบสนน MFA ทใชเซรฟเวอร Remote Authentication Dial In User Service (RADIUS)

ภายในองคกรหรอผใหบรการรกษาความปลอดภยทรองรบการรบรองความถกตอง RADIUS โดยในตอนน สามารถรองรบโปรโตคอล PAP, CHAP,

MS-CHAP1 และ MS-CHAP2 พรอมกบพรอกซ RADIUS

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 63 จาก 75

แตละ Workspace จะตงอยใน EC2 Instance ของตนเองภายใน VPC คณสามารถสราง WorkSpaces ใน VPC ทคณเปนเจาของหรอก าหนดใหบรการ WorkSpaces สรางใหคณโดยอตโนมตโดยใชตวเลอก WorkSpaces Quick Start เมอคณใชตวเลอก Quick Start, WorkSpaces

ไมเพยงสราง VPC แตยงมการเตรยมใชงานอนๆ หลายอยางและงานการก าหนดคาใหกบคณดวย เชน การสรางอนเทอรเนตเกตเวยส าหรบ VPC การตงคาไดเรกทอรภายใน VPC ทใชจดเกบขอมลผใชและ WorkSpace การสรางบญชผดแลระบบไดเรกทอร การสรางบญชผใชทระบ และการเพมไปยงไดเรกทอร และการสรางอนสแตนซ WorkSpace หรอไม VPC กสามารถเชอมตอไปยงเครอขายภายในองคกรโดยใชการเชอมตอ VPN ทปลอดภยเพอใหสามารถเขาถง Active Directory ภายในองคกรมอยและแหลงขอมลอนทราเนตอนๆ คณสามารถเพมกลมการรกษาความปลอดภยทคณสรางใน Amazon VPC ไปยง WorkSpaces ทงหมดทอยในไดเรกทอร ซงใหคณสามารถควบคมการเขาถงเครอขายจาก Amazon WorkSpaces ใน VPC

ไปยงทรพยากรอนๆ ใน Amazon VPC และเครอขายภายในองคกร

ทเกบขอมลแบบถาวรส าหรบ WorkSpaces มการจดหาโดย Amazon EBS และไดรบการส ารองขอมลโดยอตโนมตไปยง Amazon S3 วนละ สองครง หาก WorkSpaces Sync ถกเปดใชงานบน WorkSpace โฟลเดอรทผใชเลอกทจะซงคจะมการส ารองขอมลและจดเกบไวใน Amazon S3

อยางตอเนอง นอกจากน คณยงสามารถใช WorkSpaces Sync บน Mac หรอพซเพอซงคเอกสารไปยงหรอจาก WorkSpace เพอใหคณสามารถเขาถงขอมลไดเสมอ ไมวาจะใชคอมพวเตอรเดสกทอปเครองใดกตาม

เนองจากเปนบรการทมการจดการ AWS จงจดการงานการรกษาความปลอดภยและการบ ารงรกษาไดหลายอยาง เชน การส ารองขอมลและการแกไขประจ าวน การอปเดตไดรบการจดสงโดยอตโนมตไปยง WorkSpaces ระหวางเวลาการบ ารงรกษารายสปดาห คณสามารถควบคมวธการแกไขความบกพรองทก าหนดคาส าหรบ WorkSpace ของผใช ตามคาเรมตน Windows Update จะถกเปด แตคณสามารถก าหนดการตงคาเหลานได หรอใชวธการแกไขความบกพรองอนได หากตองการ ส าหรบระบบปฏบตการพนฐาน Windows Update ถกเปดใชงานโดยคาเรมตนบน WorkSpaces และก าหนดคาใหตดตงอปเดตในแบบรายสปดาห คณสามารถใชวธการแกไขความบกพรองแบบอนหรอก าหนดคา Windows Update ใหด าเนนการอปเดตในเวลาทคณเลอก

คณสามารถใช IAM เพอควบคมวาบคคลใดในทมทสามารถใชฟงกชนการดแลระบบ เชน การสรางหรอการลบ WorkSpaces หรอการตงคาไดเรกทอรผใช คณยงสามารถตงคา WorkSpace ส าหรบการจดการไดเรกทอร ตดตงเครองมอการจดการ Active Directory ทชนชอบ และสรางหนวยองคกรและนโยบายกลมเพอใหใชการเปลยนแปลง Active Directory ส าหรบผใช WorkSpaces ทงหมดไดงายขน

Amazon WorkDocs

Amazon WorkDocs เปนทเกบขอมลขององคกรทมการจดการและบรการแชรทมความสามารถในการแสดงความคดเหนส าหรบการท างานรวมกนของผใช ผใชสามารถจดเกบไฟลชนดตางๆ ในโฟลเดอร WorkDocs และอนญาตใหคนอนสามารถดและดาวนโหลดได ความสามารถในการแสดงขอคดเหนและค าอธบายประกอบใชไดกบไฟลบางชนด เชน MS Word และไมตองการแอปพลเคชนเดมทใชในการสรางไฟล WorkDocs แจงผมสวนรวมเกยวกบกจกรรมการทบทวนและวนครบก าหนดผานทางอเมล และท าการก าหนดเวอรชนของไฟลทคณซงคโดยใชแอปพลเคชน WorkDocs Sync

ขอมลผใชถกจดเกบไวในไดเรกทอรเครอขายทสามารถใชงานรวมกบ Active Directory คณสามารถสรางไดเรกทอรใหมในระบบคลาวดหรอเชอมตอ Amazon WorkDocs ไปยงไดเรกทอรภายในองคกร เมอคณสรางไดเรกทอรในระบบคลาวดโดยใชโปรแกรมตดตง WorkDocs Quick Start จะมการสรางบญชผดแลระบบไดเรกทอรทมอเมลผดแลระบบเปนชอผใชดวย อเมลจะถกสงไปยงผดแลระบบพรอมกบค าแนะน าในการลงทะเบยนใหสมบรณ จากนน ผดแลระบบสามารถใชบญชนเพอจดการกบไดเรกทอร

เมอคณสรางไดเรกทอรระบบคลาวดโดยใชโปรแกรมตดตง WorkDocs Quick Start จะมการสรางและก าหนดคา VPC ส าหรบใชกบไดเรกทอรดวย หากคณตองการใหมการควบคมการก าหนดคาไดเรกทอรเพมเตม คณสามารถเลอกโปรแกรมตดตงมาตรฐานซงใหคณสามารถระบโดเมนเนมไดเรกทอรของคณเอง และหนงใน VPC ทมอยเพอใชกบไดเรกทอรได หากคณตองการใชหนงใน VPC ทมอย VPC นนตองมอนเทอรเนตเกตเวยและซบเนตอยางนอยสองเครอขาย แตละซบเนตตองอยใน Availability Zone ทตางกน

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 64 จาก 75

เมอใช Amazon WorkDocs Management Console ผดแลระบบสามารถดไฟลบนทกการตรวจสอบเพอตดตามไฟลและกจกรรมของผใชตามเวลา ทอย IP และอปกรณ และเลอกไดวาจะใหผใชสามารถแชรไฟลกบบคคลอนทอยภายนอกองคกรของพวกเขาไดหรอไม

ผใชสามารถควบคมผทสามารถเขาถงไฟลเฉพาะและปดใชงานการดาวนโหลดไฟลทพวกเขาแชร

ขอมลทงหมดทอยระหวางการสงจะถกเขารหสโดยใช SSL มาตรฐานอตสาหกรรม แอปพลเคชนบนเวบและมอถอของ WorkDocs และไคลเอนตการซงคเดสกทอปจะสงไฟลไปยง Amazon WorkDocs โดยตรงโดยใช SSL ผใช WorkDocs ยงสามารถใชการรบรองความถกตองโดยใชหลายปจจยหรอ MFA ได หากองคกรของพวกเขาใชเซรฟเวอร Radius MFA ใชปจจยตอไปน: ชอผใช รหสผาน และวธการทสนบสนนโดยเซรฟเวอร Radius

โปรโตคอลทสนบสนน คอ PAP, CHAP, MS-CHAPv1 และ MS- CHAPv2

คณตองเลอกภมภาคของ AWS ส าหรบการจดเกบไฟลของไซต WorkDocs ตอนน Amazon WorkDocs สามารถใชงานไดในภมภาคของ AWS ทอยในภาคตะวนออกของสหรฐอเมรกา (เวอรจเนย) ภาคตะวนตกของสหรฐอเมรกา (โอเรกอน) และสหภาพยโรป (ไอรแลนด) ไฟล ขอคดเหน และค าอธบายประกอบทงหมดทเกบอยใน WorkDocs จะมการเขารหสโดยอตโนมตดวยการเขารหส AES-256

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 65 จาก 75

ภาคผนวก – อภธานศพทเ ID คยเการเขาถง: สตรงท AWS กระจายเพอระบผใชของ AWS แตละราย โทเคนตวอกษรและตวเลขทเชอมโยงกบคยการเขาถงลบ

รายการควบคมการเขาถง (ACL): รายการของสทธหรอกฎส าหรบการเขาถงออบเจกตหรอทรพยากรบนเครอขาย ใน Amazon EC2 กลมการรกษาความปลอดภยท าหนาทเปน ACL ทระดบอนสแตนซ ซงจะควบคมวาผใชใดบางมสทธเขาถงอนสแตนซเฉพาะ ใน Amazon S3 คณสามารถใช ACL

เพอใหสทธการอานหรอเขยนในบคเกตหรอออบเจกตไปยงกลมของผใช ใน Amazon VPC, ACL จะท าหนาทเหมอนกบไฟรวอลลเครอขายและควบคมการเขาถงทระดบซบเนต

AMI: Amazon Machine Image (AMI) เปนอมเมจของเครองทเขารหสซงเกบอยใน Amazon S3 โดยจะมขอมลทงหมดทจ าเปนในการ บตอนสแตนซของซอฟตแวรของลกคา

API: Application Programming Interface (API) เปนอนเทอรเฟซในสาขาวทยาการคอมพวเตอร ทก าหนดวธการทโปรแกรมแอปพลเคชน อาจรองขอบรการจากไลบรารและ/หรอระบบปฏบตการ

ไฟลเเกบบถาวร: ไฟลเกบถาวรใน Amazon Glacier เปนไฟลทคณตองการจดเกบและเปนหนวยฐานของทเกบขอมลใน Amazon Glacier สามารถเปนขอมลทกแบบ เชน รปถาย วดโอ หรอเอกสาร ไฟลเกบถาวรแตละรายการม ID เฉพาะและค าอธบายทเปนตวเลอก

การรบรองความถกตอง: การรบรองความถกตองเปนกระบวนการทจะก าหนดวาบางคนหรอบางสงเปนไปตามลกษณะทมการแจงไวหรอไม ไมเฉพาะผใชเทานนทตองมการรบรองความถกตอง แตทกโปรแกรมทตองการเรยกใชฟงกชนทน าเสนอโดย AWS API ตองไดรบการรบรองความถกตองดวย AWS

ก าหนดใหคณรบรองความถกตองทกค าขอโดยการรบรองทางดจทลดวยฟงกชนแฮชการเขารหส

Auto Scaling: บรการของ AWS ทอนญาตใหลกคาปรบขยายความจของ Amazon EC2 อตโนมตตามเงอนไขทพวกเขาก าหนด

Availability Zone: สถานทตงของ Amazon EC2 ทประกอบดวยภมภาคและ Availability Zone Availability Zone เปนต าแหนงเฉพาะทสรางไวเพอปองกนความลมเหลวใน Availability Zone อนๆ และใหการเชอมตอเครอขายทมเวลาแฝงต าในราคาไมแพงไปยง Availability Zone

อนๆ ในภมภาคเดยวกน

โฮสตเ Bastion: คอมพวเตอรทก าหนดคาเปนพเศษในการตอตานการโจมต มกจะอยในดานสาธารณะ/ภายนอกของ Demilitarized Zone (DMZ)

หรอภายนอกไฟรวอลล คณสามารถตงคา Amazon EC2 Instance เปน SSH Bastion ดวยการตงคาซบเนตสาธารณะเปนสวนหนงของ Amazon

VPC

บคเกบต: คอนเทนเนอรของออบเจกตทเกบอยใน Amazon S3 ทกๆ ออบเจกตถกเกบรกษาอยในบคเกต ตวอยางเชน หากออบเจกตชอ photos/puppy.jpg เกบอยในบคเกต johnsmith คณสามารถก าหนดใหบคเกตนนเปนทอยไดโดยใช URL

http://johnsmith.s3.amazonaws.com/photos/puppy.jpg

ใบรบรอง: ขอมลประจ าตวทผลตภณฑบางอยางของ AWS ใชรบรองความถกตองของบญชและผใช AWS หรอทเรยกวา ใบรบรอง X.509 ใบรบรองมการจบคกบคยสวนตว

บลบอก CIDR: บลอก Classless Inter-Domain Routing ของทอย IP

การเขารหสฝงไคลเอบนตเ: การเขารหสขอมลในฝงไคลเอนตกอนทจะอปโหลดไปยง Amazon S3

CloudFormation: เครองมอการเตรยมใชงาน AWS ทใหลกคาบนทกการก าหนดคาพนฐานส าหรบทรพยากรของ AWS ทตองใชในการเรยกใชแอปพลเคชน เพอใหสามารถเตรยมการใชงานและอปเดตตามล าดบและสามารถคาดการณได

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 66 จาก 75

Cognito: บรการของ AWS ทชวยลดความซบซอนของงานการรบรองความถกตองผใช รวมถงการจดเกบ การจดการ และการซงคขอมลบนอปกรณ แพลตฟอรม และแอปพลเคชนตางๆ ซงจะท างานกบผใหบรการขอมลประจ าตวหลายรายทมอยและยงสนบสนนผใชแบบผเยยมชมทไมมการรบรอง ความถกตอง

ขอมลประจ าตว: รายการทผใชหรอกระบวนการตองมเพอยนยนกบบรการของ AWS ระหวางกระบวนการรบรองความถกตองเพอใหพวกเขาสามารถเขาถงบรการได ขอมลประจ าตว AWS ประกอบดวยรหสผาน และคยการเขาถงลบ ใบรบรอง X.509 และโทเคนแบบหลายปจจย

อนสแตนซเเฉพาะ: Amazon EC2 Instance ทมการแยกทางกายภาพในระดบฮารดแวร (กลาวคอ จะท างานบนฮารดแวรทมผเชารายเดยว)

ลายเซบนดจทล: ลายเซนดจทลเปนวธการเขารหสส าหรบการแสดงความถกตองของขอความหรอเอกสารดจทล ลายเซนดจทลทถกตองเปนเหตผลใหผรบเชอวาขอความสรางโดยผสงทไดรบอนญาตและไมมการเปลยนแปลงระหวางการสง ลกคาใชลายเซนดจทลส าหรบการรบรองค าขอกบ AWS API ซงเปนสวนหนงของกระบวนการรบรองความถกตอง

Direct Connect Service: บรการของ Amazon ทใหคณสามารถเตรยมการใชงานการเชอมโยงโดยตรงระหวางเครอขายภายในกบภมภาคของ AWS โดยใชการเชอมตอเฉพาะทสามารถรองรบปรมาณงานสง การเชอมตอเฉพาะทมอยนใหคณสามารถสรางการเชอมตอแบบลอจคลโดยตรงกบ AWS Cloud (เชน ไปยง Amazon EC2 และ Amazon S3) และ Amazon VPC โดยการบายพาสผใหบรการอนเทอรเนตในพาธเครอขาย

DynamoDB Service: บรการฐานขอมล NoSQL ทมการจดการจาก AWS ทมประสทธภาพในการท างานทรวดเรวและสามารถคาดการณได และสามารถรองรบการขยายระบบในอนาคตไดอยางไรปญหา

EBS: Amazon Elastic Block Store (EBS) เปนไดรฟทเกบขอมลระดบบลอกส าหรบใชกบ Amazon EC2 Instance ไดรฟ Amazon EBS

เปนทเกบขอมลนอกอนสแตนซทไมขนอยกบอายการใชงานของอนสแตนซ

ElastiCache: เวบเซอรวสของ AWS ทใหคณสามารถตงคา จดการ และปรบขนาดสภาพแวดลอมการแคชในหนวยความจ าแบบกระจายในระบบคลาวดไดงายๆ บรการดงกลาวจะปรบปรงประสทธภาพการท างานของเวบแอปพลเคชนโดยใหคณสามารถเรยกดขอมลจากระบบการแคชในหนวยความจ าทมการจดการและรวดเรว แทนการเรยกดขอมลทงหมดจากฐานขอมลบนดสกทชากวา

Elastic Beanstalk: เครองมอการปรบใชและการจดการของ AWS ทก าหนดใหการท างานของฟงกชนการเตรยมใชงานความจ การปรบสมดลการโหลด และ Auto Scaling ส าหรบแอปพลเคชนของลกคาเปนแบบอตโนมต

ทอย IP แบบยดหยน: ทอย IP สาธารณะแบบสแตตก ทคณสามารถก าหนดไปยงอนสแตนซใน Amazon VPC เพอท าใหอนสแตนซเปนแบบสาธารณะ ทอย IP แบบ Elastic ยงใหคณสามารถมาสกความลมเหลวของอนสแตนซโดยการแมปทอย IP สาธารณะใหมกบอนสแตนซใน VPC ไดอยางรวดเรว

Elastic Load Balancing: บรการของ AWS ทใชจดการการรบสงขอมลในกลมของ Amazon EC2 Instance ซงมการกระจายการรบสงขอมลไปยงอนสแตนซใน Availability Zone ทงหมดภายในภมภาค Elastic Load Balancing มขอดทงหมดของโหลดบาลานเซอรภายในองคกร พรอมกบมประโยชนดานการรกษาความปลอดภยหลายอยาง เชน การเขาควบคมงานการเขารหส/การถอดรหสจาก EC2 Instance และการจดการในแบบรวมศนยในโหลดบาลานเซอร

บรการ Elastic MapReduce (EMR): บรการของ AWS ทใชเฟรมเวรก Hadoop ทมการโฮสต ซงท างานอยบนโครสรางพนฐานระดบเวบของ Amazon EC2 และ Amazon S3 Elastic MapReduce ใหลกคาสามารถจดการกบขอมลจ านวนมาก (“ขอมลจ านวนมาก”) ไดงายและคมคา

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 67 จาก 75

Elastic Network Interface: ภายใน Amazon VPC, Elastic Network Interface เปนอนเทอรเฟซเครอขายรองทเปนตวเลอกซงคณสามารถเชอมตอกบ EC2 Instance Elastic Network Interface สามารถใชในการสรางเครอขายการจดการหรอการใชอปกรณเครอขายหรอการรกษาความปลอดภยใน Amazon VPC โดยสามารถถอดออกจากอนสแตนซหนงและตอเขากบอนสแตนซอนไดงาย

ต าแหนงขอมล: URL ทเปนจดเขาใชงานส าหรบบรการของ AWS บรการของ AWS สวนใหญใหคณสามารถเลอกต าแหนงขอมลในภมภาคเพอสรางค าขอ เพอชวยลดเวลาแฝงของขอมลในแอปพลเคชน เวบเซอรวสบางสวนใหคณสามารถใชต าแหนงขอมลทวไปทไมไดระบภมภาคได ต าแหนงขอมลทวไปเหลานจะแกไขเปนต าแหนงขอมล us-east-1 ของบรการ คณสามารถเชอมตอกบต าแหนงขอมลของ AWS ผาน HTTP หรอ HTTP ทปลอดภย (HTTPS) โดยใช SSL

ผใชภายนอก: ผใช ระบบ หรอแอปพลเคชนทไมไดรบอนญาตใหเขาถงบรการของ AWS แตคณตองการใหสทธการเขาถงชวคราว การเขาถงนสามารถด าเนนการโดยใช AWS Security Token Service (STS) API

ไฟรเวอลลเ: คอมโพเนนตทเปนฮารดแวรหรอซอฟตแวรเพอควบคมปรมาณการใชเครอขายขาเขาและ/หรอขาออกตามชดกฎเฉพาะ เมอใชกฎไฟรวอลลใน Amazon EC2 คณระบโปรโตคอล พอรต และชวงทอย IP ตนทางทมการอนญาตใหเขาถงอนสแตนซ กฎเหลานจะระบปรมาณการใชเครอขายขาเขาทควรจดสงไปยงอนสแตนซ (เชน การยอมรบการเขาใชเวบบนพอรต 80) Amazon VPC รองรบโซลชนไฟรวอลลทงหมดทสามารถกรองการใชงานขาเขาและขาออกจากอนสแตนซ กลมคาเรมตนท าใหการสอสารขาเขาจากสมาชกคนอนในกลมเดยวกนและการสอสารขาออกไปยงจดหมายปลายทางใดๆ ปรมาณการใชงานสามารถจ ากดดวยโปรโตคอล IP ตามพอรตบรการ และทอย IP ตนทางและปลายทาง (IP เฉพาะหรอบลอก Classless Inter-

Domain Routing (CIDR))

ระบบปฏบตการเยอน: ในสภาพแวดลอมของเครองเสมอน สามารถเรยกใชหลายระบบปฏบตการบนฮารดแวรเดยวกนได แตละอนสแตนซเหลานถอเปนผเยยมชมบนฮารดแวรทเปนโฮสตและใชระบบปฏบตการของตนเอง

แฮช: ฟงกชนแฮชการเขารหสใชในการค านวณลายเซนดจทลส าหรบการรบรองค าขอกบ AWS API แฮชการเขารหสเปนฟงกชนแบบทางเดยวทสงคนคาแฮชเฉพาะตามขอมลทปอน ขอมลทปอนไปยงฟงกชนแฮชจะมขอความค าขอและคยการเขาถงลบ ฟงกชนแฮชจะสงคนคาแฮชทคณรวมไวในค าขอเปนลายเซนของคณ

HMAC-SHA1/HMAC-SHA256: ในการเขารหส keyed-Hash Message Authentication Code (HMAC หรอ KHMAC) เปนรหสการรบรองความถกตองขอความ (MAC) รปแบบหนงทค านวณโดยใชอลกอรธมเฉพาะทเกยวของกบฟงกชนแฮชทมการเขารหสรวมกบคยลบ โดยอาจมการใชตรวจสอบความถกตองของขอมลและการพสจนความถกตองของขอความพรอมกนได เชนเดยวกบ MAC ฟงกชนแฮชการเขารหสทท าซ า เชน SHA-1 หรอ SHA-256 อาจใชในการค านวณ HMAC อลกอรธม MAC ทเปนผลลพธเรยกวา HMAC-SHA1 หรอ HMAC-SHA256

ตามล าดบ จดเดนของการเขารหสของ HMAC จะขนอยกบระดบความปลอดภยของการเขารหสของฟงกชนแฮชทเปนพนฐาน ขนาดและคณภาพของคยและขนาดของความยาวเอาตพตของแฮชในแบบบต

อปกรณเรกษาความปลอดภยฮารเดแวรเ (HSM): HSM เปนอปกรณทชวยรกษาความปลอดภยของทเกบขอมลคยการเขารหสและการท างานภายในอปกรณฮารดแวรทปองกนการดดแปลง HSM ออกแบบมาเพอจดเกบเนอหาคยการเขารหสใหปลอดภยและใชเนอหาคยโดยไมตองเปดเผยออกไปภายนอกขอบเขตการเขารหสของอปกรณ บรการ AWS CloudHSM ใหลกคาสามารถเขาถงอปกรณ HSM แบบผเชารายเดยวเฉพาะ

ไฮเปอรเไวเซอรเ: ไฮเปอรไวเซอร หรอทเรยกวา Virtual Machine Monitor (VMM) เปนซอฟตแวรระบบเสมอนส าหรบแพลตฟอรมซอฟตแวร/ฮารดแวรของคอมพวเตอรทใหสามารถเรยกใชระบบปฏบตการหลายระบบบนคอมพวเตอรโฮสตเครองเดยวพรอมกนได

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 68 จาก 75

Identity and Access Management (IAM): AWS IAM ใหคณสามารถสรางผใชหลายรายและจดการสทธของผใชแตละรายเหลานภายในบญช AWS

พลขอมลประจ าตว: การจดเกบขอมลประจ าตวของผใชใน Amazon Cognito ทก าหนดเฉพาะเจาะจงส าหรบบญช AWS พลขอมลประจ าตวใชบทบาท IAM ซงเปนสทธทไมไดผกอยกบผใชหรอกลมเฉพาะของ IAM และใชขอมลประจ าตวการรกษาความปลอดภยชวคราวส าหรบการรบรองความถกตองกบทรพยากรของ AWS ทก าหนดไวในบทบาท

ผใหบรการขอมลประจ าตว: บรการออนไลนทรบผดชอบการออกขอมลการระบตวตนส าหรบผใชทตองการตดตอกบบรการหรอกบบรการทมการท างานรวมกนอนๆ ตวอยางของผใหบรการขอมลประจ าตว ไดแก Facebook, Google และ Amazon

Import/Export Service: บรการของ AWS ส าหรบถายโอนขอมลจ านวนมากไปยงทเกบขอมล Amazon S3 หรอ EBS โดยการจดสงอปกรณจดเกบขอมลแบบพกพาไปยงสถานทตงของ AWS ทปลอดภย

อนสแตนซเ: อนสแตนซเปนเซรฟเวอรแบบเสมอน หรอทเรยกวา เครองเสมอน (VM) ทเปนเจาของทรพยากรฮารดแวรและระบบปฏบตการเยอน ใน EC2

อนสแตนซหมายถง เครองทก าลงเรยกใชส าเนาของ Amazon Machine Image (AMI)

ทอย IP: ทอย Internet Protocol (IP) เปนปายก ากบตวเลขทก าหนดใหกบอปกรณทเขารวมในเครอขายคอมพวเตอรทใชอนเทอรเนตโปรโตคอลส าหรบการสอสารระหวางโหนด

การปลอมแปลง IP: การสรางแพคเกต IP ทมทอย IP ตนทางหลอกลวง เรยกวา การปลอมแปลงโดยมวตถประสงคในการปกปดขอมลประจ าตวของผสงหรอการเลยนแบบระบบคอมพวเตอรอน

คยเ: ในการเขารหส คยเปนพารามเตอรทก าหนดเอาตพตของอลกอรธมการเขารหส (เรยกวา อลกอรธมการแฮช) คคยเปนชดขอมลประจ าตวการรกษาความปลอดภยทคณใชเพอยนยนขอมลประจ าตวทางอเลกทรอนกส และประกอบดวยคยสาธารณะและคยสวนตว

การหมนเวยนคยเ: กระบวนการส าหรบการเปลยนคยการเขารหสทใชในการเขารหสขอมลหรอค าขอทมลายเซนดจทลเปนระยะ การหมนเวยนคยจะลดความเสยงของการเขาถงโดยไมไดรบอนญาต หากผโจมตไดรบคยหรอก าหนดคาของคยโดยใชวธการใดๆ กตาม เชนเดยวกบการเปลยนรหสผาน AWS

รองรบคยและใบรบรองการเขาถงพรอมกนหลายรายการ ซงท าใหลกคาสามารถหมนเวยนคยและใบรบรองเขาและออกส าหรบการท างานไดเปนประจ า โดยการท างานของแอปพลเคชนไมตองหยดชะงก

Mobile Analytics: บรการของ AWS ส าหรบการเกบรวบรวม การแสดงขอมล และการท าความเขาใจขอมลการใชงานแอปพลเคชนบนมอถอ ซงใหคณสามารถตดตามพฤตกรรมของผใช รวบรวมตววดผล และระบรปแบบทเปนประโยชนในแอปพลเคชนบนมอถอ

Multi-Factor Authentication (MFA): การใชปจจยการรบรองความถกตองอยางนอยสองปจจย ปจจยรบรองความถกตอง จะหมายถงบางสงทคณรจก (เชน รหสผาน) หรอบางสงทคณม (เชน โทเคนทสรางตวเลขแบบสม) AWS IAM อนญาตใหใชรหส 6 หลกส าหรบใชครงเดยวนอกเหนอจากชอผใชและรหสผาน ลกคาไดรบรหสทใชครงเดยวจากอปกรณการรบรองความถกตองทมอยในครอบครอง (อปกรณโทเคนทางกายภาพหรอโทเคนเสมอนจากสมารทโฟน)

ACL เครอขาย: ตวกรองปรมาณการใชงานแบบไมเกบสถานะทใชกบปรมาณการใชงานขาเขาหรอขาออกทงหมดจากซบเนตภายใน Amazon VPC

ACL เครอขายสามารถประกอบดวยกฎทมล าดบในการอนญาตหรอปฏเสธปรมาณการใชงานตามโปรโตคอล IP, ตามพอรตบรการ และทอย IP ตนทาง/ปลายทาง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 69 จาก 75

ออบเจบกตเ: เอนทตพนฐานทเกบไวใน Amazon S3 ออบเจกตประกอบดวยขอมลออบเจกตและขอมลเมตา สวนของขอมลทจะไมแสดงตอ Amazon

S3 ขอมลเมตาเปนชดของคชอ-คาทอธบายเกยวกบออบเจกต รวมถงขอมลเมตาคาเรมตนบางอยาง เชน วนทมการแกไขครงลาสดและขอมลเมตา HTTP

มาตรฐาน เชน Content-Type นกพฒนายงสามารถระบขอมลเมตาแบบก าหนดเองในตอนทจดเกบออบเจกตไดดวย

Paravirtualization: ในทางคอมพวเตอร Paravirtualization เปนเทคนคการจ าลองเสมอนทแสดงอนเทอรเฟซซอฟตแวรกบเครองเสมอนทคลายกนแตจะไมเหมอนกนอนเทอรเฟซซอฟตแวรของฮารดแวรพนฐาน

Peering: การเชอมตอ VPC แบบเพยรเปนการเชอมตอเครอขายระหวางสอง VPC ทใหคณสามารถก าหนดเสนทางปรมาณการใชงานระหวางเครอขายโดยใชทอย IP สวนตว อนสแตนซใน VPC สามารถสอสารกนเหมอนกบวาอยภายในเครอขายเดยวกน

การสแกนพอรเต: สแกนพอรตเปนชดขอความทสงโดยผทพยายามเขาสคอมพวเตอรเพอเรยนรวาบรการเครอขายคอมพวเตอรใดทเชอมโยงกบหมายเลขพอรต “ทรจกด” ทคอมพวเตอรจดหา

ภมภาค: ชดทรพยากรของ AWS ทมการตงชอในพนททางภมศาสตรเดยวกน แตละภมภาคจะม Availability Zone อยางนอยสองโซน

การจ าลองแบบ: การคดลอกขอมลอยางตอเนองจากฐานขอมลเพอรกษาเวอรชนทสองของฐานขอมล ซงมกใชในกรณการกคนจากความเสยหายรนแรง ลกคาสามารถใชงานแบบหลาย AZ ส าหรบความตองการในการจ าลองแบบฐานขอมล Amazon RDS หรอใช Read Replicas หากมการใช MySQL

Relational Database Service (RDS): บรการของ AWS ทใหคณสามารถสรางอนสแตนซฐานขอมลเชงสมพนธ (DB) และปรบขนาดทรพยากรคอมพวเตอรทสมพนธกนและความจของทเกบขอมลใหตรงตามความตองการของแอปพลเคชนไดอยางยดหยน Amazon RDS สามารถใชไดส าหรบโปรแกรมฐานขอมล MySQL, Oracle หรอ Microsoft SQL Server

บทบาท: เอนทตใน AWS IAM ทมชดสทธทสามารถก าหนดโดยเอนทตอน ใชบทบาทเพอใหแอปพลเคชนทท างานบน Amazon EC2 Instance

สามารถเขาถงทรพยากรของ AWS ไดอยางปลอดภย คณใหชดสทธเฉพาะกบบทบาท ใชบทบาทเพอเปดใชงาน Amazon EC2 Instance และให EC2 จดการกบการจดการขอมลประจ าตว AWS โดยอตโนมตส าหรบแอปพลเคชนทท างานบน Amazon EC2

Route 53: ระบบ DNS ทมกลไกการอปเดตทนกพฒนาสามารถใชจดการชอ DNS สาธารณะของตน การตอบรบการสบคน DNS และการแปลโดเมนเนมเปนทอย IP เพอใหคอมพวเตอรสามารถสอสารกนได

คยเการเขาถงลบ: คยท AWS ก าหนดใหกบคณเมอคณลงทะเบยนรบบญช AWS ในการเรยก API หรอท างานกบอนเทอรเฟซบรรทดค าสง ผใช AWS

แตละรายตองมคยการเขาถงลบและ ID คยการเขาถง ผใชรบรองแตละค าขอดวยคยการเขาถงลบและม ID คยการเขาถงอยในค าขอดวย เพอชวยใหแนใจถงความปลอดภยของบญช AWS คยการเขาถงลบสามารถเขาถงไดระหวางการสรางคยและผใชเทานน คณตองบนทกคย (เชน ในไฟลขอความทคณเกบไวอยางปลอดภย) หากคณตองการใหสามารถเขาถงไดอกครง

กลมการรกษาความปลอดภย: กลมการรกษาความปลอดภยใหคณสามารถควบคมโปรโตคอล พอรต และชวงทอย IP ตนทางทใหสามารถเขาถง Amazon EC2 Instance หรอพดอกอยางคอ มการก าหนดกฎไฟรวอลลส าหรบอนสแตนซ กฎเหลานจะระบปรมาณการใชเครอขายขาเขาทควรจดสงไปยงอนสแตนซ (เชน การยอมรบการเขาใชเวบบนพอรต 80)

Security Token Service (STS): AWS STS API สงคนขอมลประจ าตวการรกษาความปลอดภยชวคราวทประกอบดวยโทเคนการรกษา ความปลอดภย, ID คยการเขาถงและคยการเขาถงลบ คณสามารถใช STS เพออกขอมลประจ าตวการรกษาความปลอดภยใหกบผใชทจ าเปนตอง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 70 จาก 75

เขาถงทรพยากรแบบชวคราว ผใชเหลานสามารถเปนผใช IAM ทมอย ผทไมใชผใช AWS (ขอมลประจ าตวภายนอก) ระบบหรอแอปพลเคชนทจ าเปนตองเขาถงทรพยากรของ AWS

Server-side encryption (SSE): ตวเลอกส าหรบทเกบขอมลของ Amazon S3 ส าหรบการเขารหสขอมลโดยอตโนมตขณะจดเกบ Amazon

S3 SSE ชวยใหลกคาสามารถเขารหสขอมลเมออปโหลดโดยเพมสวนหวของค าขอเพมเตมเมอเขยนออบเจกต การถอดรหสจะเกดขนโดยอตโนมตเมอมการเรยกขอมล

บรการ: ซอฟตแวรหรอความสามารถทางคอมพวเตอรทมใหบนเครอขาย (เชน Amazon EC2, Amazon S3)

Shard: ใน Amazon Kinesis, Shard เปนกลมเฉพาะของเรกคอรดขอมลในสตรม Amazon Kinesis สตรม Kinesis ประกอบดวยหลาย Shard ซงแตละรายการมหนวยความจแบบสแตตก

ลายเซบน: หมายถง ลายเซนดจทลซงเปนวธการทางคณตศาสตรทใชในการยนยนความถกตองของขอความดจทล AWS ใชลายเซนทค านวณดวยอลกอรธมการเขารหสและคยสวนตวเพอรบรองความถกตองของค าขอทคณสงไปยงเวบเซอรวสของเรา

Simple Data Base (Simple DB): การจดเกบขอมลทไมมความสมพนธทใหลกคา AWS สามารถจดเกบและสบคนรายการขอมลผานทางค าขอเวบเซอรวส Amazon SimpleDB สรางและจดการกบการจ าลองแบบทกระจายในสถานทตงทางภมศาสตรหลายแหงของขอมลลกคาโดยอตโนมตเพอใหมความพรอมใชงานสงและความคงทนของขอมล

Simple Email Service (SES): บรการของ AWS ทเปนบรการสงอเมลจ านวนมากและเปนรายการทปรบขยายไดส าหรบธรกจและนกพฒนา เพอเพมความสามารถในการจดสงและความนาเชอถอส าหรบผสง Amazon SES ใชขนตอนเชงรกเพอปองกนการสงเนอหาทนาสงสย เพอ ISP สามารถมองวาบรการนเปนตนทางอเมลทไวใจได

Simple Mail Transfer Protocol (SMTP): มาตรฐานอนเทอรเนตส าหรบการสงอเมลไปยงเครอขาย IP, SMTP ใชโดย Amazon Simple

Email Service ลกคาทใช Amazon SES สามารถใชอนเทอรเฟซ SMTP เพอสงอเมลได แตตองเชอมตอกบต าแหนงขอมล SMTP ผานทาง TLS

Simple Notification Service (SNS): บรการของ AWS ทท าใหตงคา ท างาน และสงการแจงขอมลจากระบบคลาวดไดงาย Amazon SNS ใหนกพฒนาสามารถเผยแพรขอความจากแอปพลเคชนและจดสงไปยงสมาชกหรอแอปพลเคชนอนๆ ไดทนท

Simple Queue Service (SQS): บรการก าหนดควขอความทสามารถปรบขยายไดจาก AWS ซงท าใหมการสอสารผานขอความแบบอะซงโครนสระหวางคอมโพเนนตแบบกระจายของแอปพลเคชน คอมโพเนนตดงกลาวสามารถเปนคอมพวเตอรหรอ Amazon EC2 Instance หรอทงสองอยางรวมกน

Simple Storage Service (Amazon S3): บรการของ AWS ทมทเกบขอมลทปลอดภยส าหรบไฟลออบเจกต การเขาถงออบเจกตสามารถควบคมทระดบไฟลหรอบคเกตและสามารถจ ากดเพมเตมตามเงอนไขอน เชน ตนทาง IP ค าขอ เวลาของค าขอ ฯลฯ ไฟลยงสามารถเขารหสโดยอตโนมตโดยใชการเขารหส AES-256

Simple Workflow Service (SWF): บรการของ AWS ทใหลกคาสามารถสรางแอปพลเคชนทชวยประสานงานบนคอมโพเนนตแบบกระจาย เมอใช Amazon SWF นกพฒนาสามารถสรางขนตอนการประมวลผลตางๆ ในแอปพลเคชนเปน “งาน” ทขบเคลอนการท างานในแอปพลเคชนแบบกระจาย Amazon SWF ประสานงานเหลานเขาดวยกน เพอจดการกบการขนตอกนของการท างานการจดก าหนดเวลา และการท างานพรอมกนตามลอจกแอปพลเคชนของนกพฒนา

ลงชอเขาใชครงเดยว: ความสามารถในการลงชอเขาใชครงเดยวแตเขาถงแอปพลเคชนและระบบไดหลายรายการ ความสามารถในการลงชอเขาใชครงเดยวทปลอดภยสามารถจดหาใหกบผใชภายนอก (ผใช AWS และผทไมใชผใช AWS) โดยการสราง URL ทสงขอมลประจ าตวการรกษาความปลอดภยชวคราวไปยง AWS Management Console

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 71 จาก 75

สแนปชบอต: การส ารองขอมลทลกคาเรมตนของไดรฟ EBS ทจดเกบไวใน Amazon S3 หรอการส ารองขอมลทลกคาเรมตนของฐานขอมล RDS ทจดเกบไวใน Amazon RDS สแนปชอตสามารถใชเปนจดเรมตนส าหรบไดรฟ EBS หรอฐานขอมล Amazon RDS ใหม หรอเพอปองกนขอมลทตองมการเกบรกษาและใชเพอการกคนในระยะยาว

Secure Sockets Layer (SSL): โปรโตคอลการเขารหสทใหการรกษาความปลอดภยผานอนเทอรเนตทชนของแอปพลเคชน ขอก าหนดเฉพาะ

ของโปรโตคอล TLS 1.0 และ SSL 3.0 ใชกลไกการเขารหสเพอใชบรการรกษาความปลอดภยทสรางและรกษาการเชอมตอ TCP/IP ทปลอดภย การเชอมตอทปลอดภยจะปองกนการดกขอมล การดดแปลง หรอการปลอมแปลงขอความ คณสามารถเชอมตอกบต าแหนงขอมลของ AWS ผาน HTTP

หรอ HTTP ทปลอดภย (HTTPS) โดยใช SSL

ไฟรเวอลลเแบบเกบบสถานะ: ในทางคอมพวเตอร ไฟรวอลลแบบเกบสถานะ (ไฟลวอลลทมการตรวจสอบแพคเกตแบบสถานะ (SPI) หรอการตรวจสอบแบบเกบสถานะ) เปนไฟรวอลลทตดตามสถานะการเชอมตอเครอขาย (เชน สตรม TCP, การสอสาร UDP) ทมการรบสง

Storage Gateway: บรการของ AWS ทเชอมตออปกรณภายในองคกรของลกคากบทเกบขอมลของ Amazon S3 อยางปลอดภยโดยใช VM ทลกคาใชบนโฮสตในศนยขอมลทเรยกใช VMware ESXi Hypervisor ขอมลไดรบการถายโอนแบบอะซงโครนสจากฮารดแวรทเกบขอมลภายในองคกรของลกคาไปยง AWS ผาน SSL และจดเกบขอมลทมการเขารหสใน Amazon S3 โดยใช AES-256

ขอมลประจ าตวการรกษาความปลอดภยชวคราว: ขอมลประจ าตว AWS ทใหการเขาถงบรการของ AWS แบบชวคราว ขอมลประจ าตวการรกษา ความปลอดภยชวคราวสามารถใชเพอสรางการเชอมโยงขอมลประจ าตวระหวางบรการของ AWS กบผทไมใชผใช AWS ในระบบขอมลประจ าตวและการอนญาต ขอมลประจ าตวการรกษาความปลอดภยชวคราวประกอบดวยโทเคนการรกษาความปลอดภย, ID คยการเขาถงลบและคยการเขาถงลบ

ตวแปลงรหส: ระบบทแปลงรหส (แปลง) ไฟลสอ (เสยงหรอภาพ) จากรปแบบ ขนาด หรอคณภาพแบบหนงไปเปนอกแบบหนง Amazon Elastic

Transcoder ท าใหลกคาสามารถแปลงรหสไฟลวดโอเปนแบบทปรบขยายไดและคมคาไดงายๆ

Transport Layer Security (TLS): โปรโตคอลการเขารหสทใหการรกษาความปลอดภยผานอนเทอรเนตทชนของแอปพลเคชน ลกคาทใช Simple Email Service ของ Amazon ตองเชอมตอกบต าแหนงขอมล SMTP ผานทาง TLS

แฮชแบบทร: แฮชแบบทรสรางโดยการค านวณแฮชส าหรบแตละสวนของขอมลทมขนาดเปนเมกะไบต และรวมแฮชเขากบทรเพอแสดงสวนทตดตอกนของขอมล Glacier จะตรวจสอบแฮชกบขอมลเพอชวยใหแนใจวาไมมการเปลยนแปลงระหวางการสง

ระบบเกบบขอมลถาวร: ใน Amazon Glacier ระบบเกบขอมลถาวร เปนคอนเทนเนอรส าหรบการจดเกบไฟลเกบถาวร เมอคณสรางระบบเกบขอมลถาวร คณระบชอและเลอกภมภาคของ AWS ทคณตองการสรางระบบเกบขอมลถาวร แตละทรพยากรของระบบเกบขอมลถาวรจะมทอยเฉพาะ

การก าหนดเวอรเชน: ทกออบเจกตใน Amazon S3 มคยและ ID เวอรชน ออบเจกตทมคยเดยวกน แต ID เวอรชนตางกนสามารถจดเกบในบคเกตเดยวกนได การก าหนดเวอรชนจะเปดใชงานทระดบบคเกตโดยใชการก าหนดเวอรชนของบคเกต PUT

อนสแตนซเเสมอน: เมอเปดใชงาน AMI ระบบทมการท างานทเปนผลลพธจะถกอางถงเปนอนสแตนซ อนสแตนซทงหมดใน AMI เดยวกนจะเรมตนเหมอนกนและขอมลใดๆ ทอยภายในนนจะหายไปเมออนสแตนซสนสดหรอลมเหลว

MFA เสมอน: ความสามารถส าหรบผใชในการรบรหส MFA แบบใชครงเดยวทเปนตวเลขหกหลกจากสมารทโฟนแทนทจะมาจากโทเคน/กญแจนรภย MFA เปนการใชปจจยเพมเตม (รหสทใชครงเดยว) รวมกบชอผใชและรหสผานเพอการรบรองความถกตอง

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 72 จาก 75

Virtual Private Cloud (VPC): บรการของ AWS ทใหลกคาสามารถเตรยมการใชงานสวนทแยกตางหากของ AWS Cloud รวมถงการเลอกชวงทอย IP ของตนเอง การก าหนดซบเนต และการก าหนดคาตารางการก าหนดเสนทางและเกตเวยเครอขาย

Virtual Private Network (VPN): ความสามารถในการสรางเครอขายสวนตวทปลอดภยระหวางสองต าแหนงบนเครอขายสาธารณะ เชน อนเทอรเนต ลกคา AWS สามารถเพมการเชอมตอ IPsec VPN ระหวาง Amazon VPC กบศนยขอมล เพอใหสามารถขยายศนยขอมลไปยงระบบคลาวดไดอยางมประสทธภาพ ขณะทมการใหการเขาถงโดยตรงผานอนเทอรเนตส าหรบอนสแตนซซบเนตสาธารณะใน Amazon VPC ในการก าหนดคาน ลกคาสามารถเพมอปกรณ VPN ทฝงศนยขอมลขององคกรได

WorkSpaces: บรการเดสกทอปทมการจดการของ AWS ทใหคณสามารถเตรยมการใชงานเดสกทอปบนระบบคลาวดส าหรบผใช และอนญาตใหผใชลงชอเขาใชดวยชดขอมลประจ าตวเฉพาะหรอขอมลประจ าตวทวไปของ Active Directory

X. 9: ในการเขารหส X.509 เปนมาตรฐานส าหรบโครงสรางพนฐานกญแจสาธารณะ (PKI) ในการลงชอเขาใชครงเดยวและ Privilege

Management Infrastructure (PMI) X.509 ระบรปแบบมาตรฐานของใบรบรองคยสาธารณะ รายการเพกถอนใบรบรอง ใบรบรองแอตทรบวต และอลกอรธมการตรวจสอบความถกตองของพาธการรบรอง ผลตภณฑ AWS บางอยางจะใชใบรบรอง X.509 แทนคยการเขาถงลบส าหรบการเขาถงไปยงบางอนเทอรเฟซ ตวอยางเชน Amazon EC2 ใชคยการเขาถงลบเพอเขาถงอนเทอรเฟซ Query แตใชการรบรองใบรบรองเพอเขาถงอนเทอรเฟซ SOAP และอนเทอรเฟซบรรทดค าสง

WorkDocs: ทเกบขอมลระดบองคกรและบรการแชรทมการจดการของ AWS และมความสามารถในการแสดงความคดเหนส าหรบการท างานรวมกน

ของผใช

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 73 จาก 75

การเปลยนแปลงจากเวอรเชนลาสด (พ.ย. 2014):

ปรบปรงขอมลโปรแกรมการปฏบตตามขอก าหนด

ปรบปรงขอมลโมเดลความรบผดชอบในการรกษาความปลอดภยรวมกน

ปรบปรงขอมลคณสมบตการรกษาความปลอดภยของบญช AWS

จดระบบบรการในประเภทตางๆ ใหม

ปรบปรงขอมลของหลายบรการทมคณสมบตใหมๆ: CloudWatch, CloudTrail, CloudFront, EBS, ElastiCache, Redshift,

Route 53, S3, Trusted Advisor และ WorkSpaces

เพมขอมลการรกษาความปลอดภยของ Cognito

เพมขอมลการรกษาความปลอดภยของ Mobile Analytics

เพมขอมลการรกษาความปลอดภยของ WorkDocs

การเปลยนแปลงจากเวอรเชนลาสด (พ.ย. 2013):

ปรบปรงขอมลภมภาค

ปรบปรงขอมลของหลายบรการทมคณสมบตใหมๆ: CloudFront, DirectConnect, DynamoDB, EBS, ELB, EMR, Glacier,

IAM, OpsWorks, RDS, Redshift, Route 53, Storage Gateway และ VPC

เพมขอมลการรกษาความปลอดภยของ AppStream

เพมขอมลการรกษาความปลอดภยของ CloudTrail

เพมขอมลการรกษาความปลอดภยของ Kinesis

เพมขอมลการรกษาความปลอดภยของ WorkSpaces

การเปลยนแปลงจากเวอรเชนลาสด (พฤษภาคม/มถนายน 2013):

ปรบปรงขอมล IAM เพอรวมบทบาทและการเขาถง API

ปรบปรงขอมล MFA ของการเขาถง API ส าหรบการด าเนนการตามสทธการใชงานทลกคาระบ ปรบปรงขอมล RDS เพอเพมการแจงขอมลเหตการณ, Multi-AZ และ SSL ไปยง SQL Server 2012

ปรบปรงขอมล VPC เพอเพมหลายทอย IP, การก าหนดเสนทาง VPN แบบสแตตก และ VPC By Default

ปรบปรงขอมลของบรการอนๆ หลายบรการทมคณสมบตใหมๆ: CloudFront, CloudWatch, EBS,

ElastiCache, Elastic Beanstalk, Route 53, S3, Storage Gateway

เพมขอมลการรกษาความปลอดภยของ Glacier

เพมขอมลการรกษาความปลอดภยของ Redshift

เพมขอมลการรกษาความปลอดภยของ Data Pipeline

เพมขอมลการรกษาความปลอดภยของ Transcoder

เพมขอมลการรกษาความปลอดภยของ Trusted Advisor

เพมขอมลการรกษาความปลอดภยของ OpsWorks

เพมขอมลการรกษาความปลอดภยของ CloudHSM

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 74 จาก 75

การเปลยนแปลงจากเวอรเชนลาสด (พฤษภาคม 2011):

การจดระบบใหมเพอใหระบโครงสรางพนฐานเทยบกบการรกษาความปลอดภยเฉพาะของบรการไดดยงขน

เปลยนหวขอสรปขอมลสภาพแวดลอมการควบคมเปนโปรแกรมการปฏบตตามขอก าหนดของ AWS

เปลยนหวขอขอมลและการสอสารเปนการจดการและการสอสาร เปลยนหวขอวงจรการท างานของพนกงานเปนการเขาถงแบบลอจคล

เปลยนหวขอการจดการการก าหนดคาเปนการจดการการเปลยนแปลง รวมสวนการปองกนสภาพแวดลอมเขากบสวนการรกษาความปลอดภยทางกายภาพ

รวมขอมลในสวนการส ารองขอมลเขากบสวน S3, SimpleDB และ EBS

ปรบปรงขอมลเกยวกบการรบรองเพอแสดงการเปลยนชอ SAS70 เปน SSAE 16 และมการเพม FedRAMP

ปรบปรงขอมลของสวนการรกษาความปลอดภยเครอขายเพอเพมสถาปตยกรรมเครอขายทปลอดภยและการตดตามตรวจสอบและการปองกนเครอขาย

ปรบปรงขอมล IAM เพอรวมการเตรยมใชงานบทบาท/คย, MFA เสมอน ขอมลประจ าตวการรกษาความปลอดภยชวคราว และการลงชอเขาใชครงเดยว

ปรบปรงขอมลภมภาคเพอระบภมภาคใหมๆ และค าอธบายเกยวกบ GovCloud

ปรบปรงขอมล EBS, S3, SimpleDB, RDS และ EMR เพออธบายรายละเอยดของบรการและการรกษาความปลอดภย ปรบปรงขอมล VPC เพอเพมตวเลอกการก าหนดคา, VPN และ Elastic Network Interfaces

การเพมสวนการรกษาความปลอดภยของ Amazon Direct Connect

การเพมขอมลการรกษาความปลอดภยของ Amazon Elastic Load Balancing

การเพมขอมลการรกษาความปลอดภยของ AWS Storage Gateway

การเพมขอมลการรกษาความปลอดภยของ AWS Import/Export

การเพมขอมลการรกษาความปลอดภยของ Auto Scaling

การเพมขอมลการรกษาความปลอดภยของ Amazon DynamoDB

การเพมขอมลการรกษาความปลอดภยของ Amazon ElastiCache

การเพมขอมลการรกษาความปลอดภยของ Amazon Simple Workflow Service (Amazon SWS)

การเพมขอมลการรกษาความปลอดภยของ Amazon Simple Email Service (Amazon SES)

การเพมขอมลการรกษาความปลอดภยของ Amazon Route 53

การเพมขอมลการรกษาความปลอดภยของ Amazon CloudSearch

การเพมขอมลการรกษาความปลอดภยของ AWS Elastic Beanstalk

การเพมขอมลการรกษาความปลอดภยของ AWS CloudFormation

ปรบปรงขอมลค าศพท

การเปลยนแปลงจากเวอรเชนลาสด (ส.ค. 2010):

การเพมขอมลของ AWS Identity and Access Management (AWS IAM)

การเพมขอมลการรกษาความปลอดภยของ Amazon Simple Notification Service (SNS)

การเพมขอมลการรกษาความปลอดภยของ Amazon CloudWatch

การเพมขอมลการรกษาความปลอดภยของ Auto Scaling

ปรบปรงขอมล Amazon Virtual Private Cloud (Amazon VPC)

ปรบปรงขอมลสภาพแวดลอมการควบคม

การเอาการจดการความเสยงออกเนองจากมการยกไปอธบายไวในเอกสารทางเทคนคทแยกตางหาก

Amazon Web Services – ภาพรวมของกระบวนการรกษาความปลอดภย สงหาคม 2015

หนา 75 จาก 75

การเปลยนแปลงจากเวอรเชนลาสด (พ.ย. 2009):

การปรบปรงแกไขส าคญ

การเปลยนแปลงจากเวอรเชนลาสด (มถนายน 2009):

การเปลยนแปลงขอมลในสวนการรบรองและการรบรองเพอแสดง SAS70

การเพมขอมล Amazon Virtual Private Cloud (Amazon VPC)

การเพมขอมลของสวนขอมลประจ าตวการรกษาความปลอดภยเพอเนนถง AWS Multi-Factor Authentication และการหมนเวยนคย การเพมขอมลการรกษาความปลอดภยของ Amazon Relational Database Service (Amazon RDS)

การเปลยนแปลงจากเวอรเชนลาสด (ก.ย. 2008):

การเพมขอมลหลกการออกแบบการรกษาความปลอดภย ปรบปรงขอมลการรกษาความปลอดภยทางกายภาพและการรวมการตรวจสอบแบบเบองหลง ปรบปรงขอมลในสวนการส ารองขอมลเพออธบายเพมเกยวกบ Amazon EBS

ปรบปรงขอมลในสวนการรกษาความปลอดภยของ Amazon EC2 เพอเพม:

SSHv2 ตามใบรบรอง รายละเอยดและไดอะแกรมของกลมการรกษาความปลอดภยแบบมลตเทยร ค าอธบายเกยวกบไฮเปอรไวเซอรและไดอะแกรมการแยกอนสแตนซ การแบงแยกขอผดพลาด

การเพมขอมลการจดการการก าหนดคา ปรบปรงขอมลในสวน S3 เพอใหรายละเอยดและอธบายเพมเตม

การเพมขอมลการปลดการท างานของอปกรณจดเกบขอมล

การเพมขอมลการรกษาความปลอดภยของ Amazon SQS

การเพมขอมลการรกษาความปลอดภยของ Amazon CloudFront

การเพมขอมลการรกษาความปลอดภยของ Amazon Elastic MapReduce

ประกาศ

© 2010-2015 Amazon.com, Inc. หรอบรษทในเครอ เอกสารฉบบนใหไวเพอเปนขอมลเทานน เนอหาของเอกสารน าเสนอขอมลผลตภณฑและบรการปจจบนของ AWS

ณ วนทมการออกเอกสารฉบบน และสามารถเปลยนแปลงไดโดยไมตองแจงใหทราบ ลกคามหนาทรบผดชอบตอการประเมนขอมลในเอกสารฉบบนและการใชผลตภณฑหรอ บรการใดๆ ของ AWS ดวยตนเองไดอยางอสระ ทงนขอมลเกยวกบผลตภณฑและบรการแตละอยางจดหาให “ตามทเปน” โดยไมมการรบประกนใดๆ ไมวาโดยนยหรอโดยชดแจง เอกสาร ฉบบนไมมการรบประกน การรบรอง การผกพนตามสญญา เงอนไขหรอการประกนใดๆ จาก AWS บรษทในเครอ ผจดหา หรอผใหสทธการใชงาน หนาท และ ความรบผดของ AWS ทมตอลกคาอยภายใตการควบคมโดยขอตกลงของ AWS และเอกสารฉบบนไมถอเปนสวนหนงของขอตกลง และไมท าใหเกดการเปลยนแปลงในขอตกลงระหวาง AWS กบลกคา