ဇူလိုင်လ 19 ရက်၊ 2019 ခုနှစ်တွင် Capital One သည် ခေတ်မီကုမ္ပဏီတိုင်းကြောက်ရွံ့သော မက်ဆေ့ချ်ကို လက်ခံရရှိခဲ့သည်—ဒေတာပေါက်ကြားမှုတစ်ခု ဖြစ်ပွားခဲ့သည်။ လူပေါင်း 106 သန်းကျော် ထိခိုက်ခဲ့သည်။ အမေရိကန် လူမှုဖူလုံရေး နံပါတ် ၁၄၀,၀၀၀၊ ကနေဒါ လူမှုဖူလုံရေး နံပါတ် တစ်သန်း။ 140 ဘဏ်စာရင်း။ အဆင်မပြေဘူး၊ မင်းသဘောမတူဘူးလား။
ကံမကောင်းစွာဖြင့်၊ ဟက်ခ်သည် ဇူလိုင် ၁၉ ရက်တွင် ဖြစ်ပွားခဲ့ခြင်း မရှိပေ။ ထွက်လာသည့်အတိုင်း Paige Thompson, a.k.a. အမှားအယွင်း22 ခုနှစ် မတ်လ 23 ရက်နေ့မှ မတ်လ 2019 ရက်နေ့အတွင်း ပြုလုပ်ခဲ့ပါသည်။ အဲဒါပါပဲ။ လွန်ခဲ့တဲ့ လေးလလောက်ကပေါ့။. အမှန်မှာ၊ ပြင်ပအတိုင်ပင်ခံများ၏အကူအညီဖြင့်သာ Capital One သည် တစ်ခုခုဖြစ်ခဲ့သည်ကို ရှာဖွေတွေ့ရှိနိုင်ခဲ့သည်။
Amazon ဝန်ထမ်းဟောင်းတစ်ဦးကို ဖမ်းဆီးပြီး ဒဏ်ငွေ ဒေါ်လာ ၂၅၀,၀၀၀ နှင့် ထောင်ဒဏ် ၅ နှစ် ချမှတ်ခံရသည်... သို့သော် အဆိုးမြင်စိတ်များစွာ ကျန်ရှိနေဆဲဖြစ်သည်။ အဘယ်ကြောင့်? ဆိုက်ဘာရာဇ၀တ်မှု မြင့်တက်နေစဉ်အတွင်း ကုမ္ပဏီအများအပြားသည် ၎င်းတို့၏ အခြေခံအဆောက်အအုံနှင့် အပလီကေးရှင်းများကို အားကောင်းအောင် လုပ်ဆောင်ရန် ကြိုးပမ်းနေကြသောကြောင့် ဖြစ်သည်။
ဘာပဲဖြစ်ဖြစ်၊ ဒီဇာတ်လမ်းကို အလွယ်တကူ google လို့ရပါတယ်။ ငါတို့ ဒရာမာထဲမ၀င်ဘူး ၊ နည်းပညာပိုင်း ကိစ္စရပ်။
ပထမဆုံးအနေနဲ့ ဘာဖြစ်ခဲ့တာလဲ။
Capital One တွင် S700 ပုံး 3 ခန့် လည်ပတ်နေခဲ့ပြီး Paige Thompson က ကူးယူကာ သိမ်းသွားခဲ့သည်။
ဒုတိယအနေနဲ့၊ ဒါက S3 ပုံးပုံးပေါ်လစီကို မှားယွင်းသတ်မှတ်ထားတဲ့ နောက်ထပ်ကိစ္စတစ်ခုလား။
မဟုတ်ဘူး၊ ဒီတစ်ခါတော့ မဟုတ်ပါဘူး။ ဤတွင် သူမသည် မှားယွင်းစွာဖွဲ့စည်းထားသော firewall တစ်ခုပါသည့် ဆာဗာသို့ ဝင်ရောက်ခွင့်ရခဲ့ပြီး ထိုနေရာမှ လုပ်ဆောင်ချက်တစ်ခုလုံးကို လုပ်ဆောင်ခဲ့သည်။
စောင့်ပါ၊ ဘယ်လိုဖြစ်နိုင်မလဲ။
ကျွန်ုပ်တို့တွင် အသေးစိတ်အချက်များစွာမရှိသော်လည်း ဆာဗာသို့ ဝင်ရောက်ခြင်းဖြင့် စတင်ကြပါစို့။ "ဖွဲ့စည်းပုံမမှားသော firewall" မှတဆင့် ဖြစ်ပွားခဲ့ကြောင်း ကျွန်ုပ်တို့အား ပြောပြခဲ့ပါသည်။ ထို့ကြောင့်၊ မမှန်ကန်သော လုံခြုံရေးအဖွဲ့ဆက်တင်များ သို့မဟုတ် ဝဘ်အက်ပလီကေးရှင်းဖိုင်းဝေါလ် (Imperva) သို့မဟုတ် ကွန်ရက်ဖိုင်းဝေါလ် (iptables၊ ufw၊ shorewall စသည်ဖြင့်) ကဲ့သို့ရိုးရှင်းသော အရာတစ်ခု။ Capital One သည် ၎င်း၏ အပြစ်ကို ဝန်ခံပြီး အပေါက်ကို ပိတ်ခဲ့ကြောင်း ပြောကြားခဲ့သည်။
Stone က Capital One သည် firewall အားနည်းချက်ကို အစပိုင်းတွင် သတိမထားမိသော်လည်း ၎င်းကို သိရှိပြီးသည်နှင့် လျင်မြန်စွာ လုပ်ဆောင်ခဲ့သည်ဟု ဆိုသည်။ ဟက်ကာသည် အများသူငှာ ဒိုမိန်းတွင် အဓိက ခွဲခြားသတ်မှတ်သည့် အချက်အလက်များကို ချန်ထားခဲ့ခြင်းကြောင့် ၎င်းကို သေချာပေါက် ကူညီခဲ့သည်ဟု Stone က ပြောကြားခဲ့သည်။
ကျွန်ုပ်တို့သည် ဤအပိုင်းကို အဘယ်ကြောင့် ပိုမိုနက်ရှိုင်းစွာ မလုပ်ဆောင်သည်ကို သင်တွေးတောနေပါက၊ အကန့်အသတ်ရှိသော အချက်အလက်များကြောင့် ကျွန်ုပ်တို့သာ ခန့်မှန်းနိုင်သည်ကို နားလည်ပါ။ ဟက်ခ်သည် Capital One မှထားခဲ့သော အပေါက်တစ်ခုပေါ်တွင် မှီခိုနေသောကြောင့် အဓိပ္ပါယ်မရှိပေ။ ၎င်းတို့သည် ကျွန်ုပ်တို့အား ထပ်မံပြောပြခြင်းမရှိပါက၊ တစ်စုံတစ်ဦးသည် ဤကွဲပြားခြားနားသောရွေးချယ်စရာများထဲမှ တစ်ခုကို အသုံးပြုနိုင်သည့် ဖြစ်နိုင်သည့်နည်းလမ်းအားလုံးကို ပေါင်းစပ်ကာ Capital One မှ ၎င်းတို့၏ဆာဗာကိုဖွင့်ထားခဲ့သော ဖြစ်နိုင်သည့်နည်းလမ်းအားလုံးကို စာရင်းပြုစုလိုက်ပါမည်။ ဤချို့ယွင်းချက်များနှင့် နည်းပညာများသည် အလွန်မိုက်မဲသော ကြီးကြပ်မှုများမှ မယုံနိုင်လောက်အောင် ရှုပ်ထွေးသော ပုံစံများအထိ ရှိနိုင်ပါသည်။ ဖြစ်နိုင်ခြေအကွာအဝေးအရ၊ ၎င်းသည် စစ်မှန်သောနိဂုံးမချုပ်ဘဲ ရှည်လျားသော ဝတ္ထုဖြစ်လာလိမ့်မည်။ ထို့ကြောင့် ကျွန်ုပ်တို့တွင် အဖြစ်မှန်ရှိသည့် အပိုင်းကို ပိုင်းခြားသုံးသပ်ကြည့်ကြပါစို့။
ထို့ကြောင့် ပထမဦးစွာ ယူဆောင်သွားရမည့်အချက်မှာ- သင်၏ firewalls များခွင့်ပြုထားသည်ကို သိပါ။
ဖွင့်ရန် လိုအပ်သည်များကိုသာ ဖွင့်လှစ်ကြောင်း သေချာစေရန် မူဝါဒ သို့မဟုတ် သင့်လျော်သော လုပ်ငန်းစဉ်ကို ချမှတ်ပါ။ အကယ်၍ သင်သည် Security Groups သို့မဟုတ် Network ACLs ကဲ့သို့သော AWS အရင်းအမြစ်များကို အသုံးပြုနေပါက၊ စစ်ဆေးရန်စာရင်းသည် ရှည်လျားနိုင်သည်မှာ ထင်ရှားပါသည်... သို့သော် အရင်းအမြစ်များစွာကို အလိုအလျောက် ဖန်တီးထားသကဲ့သို့ (ဆိုလိုသည်မှာ CloudFormation) သည်လည်း ၎င်းတို့၏ စာရင်းစစ်ကို အလိုအလျောက်လုပ်ဆောင်ရန် ဖြစ်နိုင်သည်။ ချို့ယွင်းချက်များအတွက် အရာဝတ္တုအသစ်များကို စကင်န်ဖတ်သည့် အိမ်လုပ် script ပဲဖြစ်ဖြစ်၊ CI/CD လုပ်ငန်းစဉ်တွင် လုံခြုံရေးစာရင်းစစ်ကဲ့သို့ တစ်စုံတစ်ရာ... ဒါကိုရှောင်ရှားရန် လွယ်ကူသောရွေးချယ်စရာများစွာရှိပါသည်။
ဇာတ်လမ်းရဲ့ "ရယ်စရာ" အပိုင်းကတော့ Capital One က အပေါက်ကို ပထမနေရာမှာ ချိတ်ထားရင် ဘာမှဖြစ်လာမှာမဟုတ်ပါဘူး။ ဒါကြောင့် ပွင့်ပွင့်လင်းလင်းပြောရရင် တစ်ခုခု တကယ်ကို ဘယ်လိုဖြစ်တာလဲဆိုတာ အမြဲအံ့သြစရာပါပဲ။ တော်တော်ရိုးရှင်းပါတယ်။ ကုမ္ပဏီတစ်ခု ဟက်ကာခံရသည့် တစ်ခုတည်းသော အကြောင်းပြချက် ဖြစ်လာသည်။ အထူးသဖြင့် Capital One ကဲ့သို့ကြီးမားသည်။
ဒါဆို အထဲမှာ ဟက်ကာ - နောက်ဘာဖြစ်မလဲ။
ကောင်းပြီ၊ EC2 စံနမူနာကိုချိုးဖောက်ပြီးနောက် ... အများကြီးမှားသွားနိုင်သည်။ လူတစ်ယောက်ကို ဒီလောက်ဝေးဝေးကို လွှတ်ထားရင် မင်း ဓားအစွန်းမှာ လမ်းလျှောက်နေတာ။ ဒါပေမယ့် S3 ပုံးထဲကို ဘယ်လိုရောက်သွားတာလဲ။ ဒါကိုနားလည်ဖို့အတွက် IAM Roles အကြောင်း ဆွေးနွေးကြည့်ရအောင်။
ထို့ကြောင့် AWS ဝန်ဆောင်မှုများကို ဝင်ရောက်ရန် နည်းလမ်းတစ်ခုမှာ အသုံးပြုသူဖြစ်ရန်ဖြစ်သည်။ ကောင်းပြီ၊ ဒါက တော်တော်သိသာတယ်။ ဒါပေမယ့် မင်းရဲ့အပလီကေးရှင်းဆာဗာတွေလိုမျိုး တခြား AWS ဝန်ဆောင်မှုတွေကို မင်းရဲ့ S3 ပုံးတွေကို ဝင်ရောက်ခွင့်ပေးချင်တယ်ဆိုရင်ကော။ အဲဒါက IAM အခန်းကဏ္ဍတွေအတွက်ပါ။ ၎င်းတို့တွင် အစိတ်အပိုင်းနှစ်ခု ပါဝင်သည်-
- ယုံကြည်မှုမူဝါဒ - မည်သည့်ဝန်ဆောင်မှုများ သို့မဟုတ် လူများက ဤအခန်းကဏ္ဍကို သုံးနိုင်သနည်း။
- ခွင့်ပြုချက်မူဝါဒ - ဤအခန်းကဏ္ဍက အဘယ်အရာကို ခွင့်ပြုသနည်း။
ဥပမာအားဖြင့်၊ သင်သည် EC2 ဖြစ်ရပ်များကို S3 ပုံးတစ်ပုံးသို့ ဝင်ရောက်ခွင့်ပြုမည့် IAM အခန်းကဏ္ဍကို ဖန်တီးလိုသည်- ပထမ၊ အခန်းကဏ္ဍသည် EC2 (ဝန်ဆောင်မှုတစ်ခုလုံး) သို့မဟုတ် သီးခြားဖြစ်ရပ်များက အခန်းကဏ္ဍကို “လွှမ်းမိုးနိုင်သည်” ဟူသော ယုံကြည်မှုမူဝါဒတစ်ခုရှိရန် အခန်းကဏ္ဍကို သတ်မှတ်ထားပါသည်။ အခန်းကဏ္ဍတစ်ခုကို လက်ခံခြင်းဆိုသည်မှာ လုပ်ဆောင်ချက်များဆောင်ရွက်ရန် အခန်းကဏ္ဍ၏ခွင့်ပြုချက်များကို အသုံးပြုနိုင်သည်။ ဒုတိယအနေဖြင့်၊ ခွင့်ပြုချက်မူဝါဒသည် S3 တွင်မည်သည့်အရာမဆိုလုပ်ဆောင်ရန် "တာဝန်ယူထားသော" ဝန်ဆောင်မှု/လူ/ရင်းမြစ်အား သီးသန့်ပုံးတစ်ပုံးတစ်ပုံးသို့ဝင်ရောက်ခြင်းဖြစ်စေ... သို့မဟုတ် Capital One တွင် 700 ကျော်အထိခွင့်ပြုထားသည်။
သင်သည် IAM အခန်းကဏ္ဍဖြင့် EC2 စံနမူနာတွင် ရှိနေသည်နှင့်၊ သင်သည် နည်းလမ်းများစွာဖြင့် အထောက်အထားများကို ရယူနိုင်ပါသည်။
- သင်သည် instance မက်တာဒေတာကို တွင် တောင်းဆိုနိုင်သည်။
http://169.254.169.254/latest/meta-dataအခြားအရာများထဲမှ၊ သင်သည် ဤလိပ်စာတွင် ဝင်ရောက်ခွင့်သော့များနှင့်အတူ IAM အခန်းကဏ္ဍကို သင်တွေ့နိုင်သည်။ ဟုတ်ပါတယ်၊ သင်သာဥပမာတစ်ခုရှိလျှင်။
- AWS CLI ကိုသုံးပါ...
AWS CLI ကို ထည့်သွင်းထားပါက ၎င်းကို IAM အခန်းကဏ္ဍများမှ အထောက်အထားများဖြင့် တင်ဆောင်ထားသည်။ ကျန်တာအားလုံးက ဥပမာအားဖြင့် အလုပ်လုပ်ဖို့ပါပဲ။ ၎င်းတို့၏ယုံကြည်မှုမူဝါဒကို ဖွင့်ထားပါက Paige သည် အရာအားလုံးကို တိုက်ရိုက်လုပ်ဆောင်နိုင်သည်။
ထို့ကြောင့် IAM အခန်းကဏ္ဍများ၏ အနှစ်သာရမှာ ၎င်းတို့သည် အချို့သောအရင်းအမြစ်များကို အခြားအရင်းအမြစ်များပေါ်တွင် သင့်ကိုယ်စား လုပ်ဆောင်ရန် ခွင့်ပြုပေးခြင်းဖြစ်သည်။
ယခု သင် IAM ၏ အခန်းကဏ္ဍများကို နားလည်သဘောပေါက်ပြီး Paige Thompson ၏ လုပ်ဆောင်မှုအကြောင်း ဆွေးနွေးနိုင်သည်-
- သူမသည် firewall ရှိအပေါက်မှတဆင့်ဆာဗာ (EC2 instance) သို့ဝင်ရောက်ခွင့်ရရှိခဲ့သည်။
လုံခြုံရေးအဖွဲ့များ/ACL များ သို့မဟုတ် ၎င်းတို့၏ကိုယ်ပိုင်ဝဘ်အက်ပလီကေးရှင်းဖိုင်းဝေါလ်များဖြစ်စေ တရားဝင်မှတ်တမ်းများတွင်ဖော်ပြထားသည့်အတိုင်း အပေါက်သည် ပလပ်ရန်အတော်လေးလွယ်ကူနိုင်ဖွယ်ရှိသည်။
- ဆာဗာပေါ်ရောက်သည်နှင့် သူမသည် သူမကိုယ်တိုင် ဆာဗာဖြစ်နေသကဲ့သို့ ပြုမူနိုင်ခဲ့သည်။
- IAM ဆာဗာအခန်းကဏ္ဍမှ S3 ကို ဤပုံး 700+ သို့ ဝင်ရောက်ခွင့် ပြုထားသောကြောင့် ၎င်းတို့ကို ဝင်သုံးနိုင်သည်
ထိုအချိန်မှစ၍ သူမလုပ်ရမည့်အရာမှာ အမိန့်ပေးခြင်းဖြစ်သည်။ List Bucketsပြီးတော့ အမိန့်ပေးတယ်။ Sync AWS CLI မှ...
. ထိုသို့သော ပျက်စီးမှုကို ကာကွယ်ခြင်းသည် ကုမ္ပဏီများသည် cloud အခြေခံအဆောက်အအုံ ကာကွယ်ရေး၊ DevOps နှင့် လုံခြုံရေး ကျွမ်းကျင်သူများတွင် များစွာရင်းနှီးမြှုပ်နှံရခြင်း ဖြစ်သည်။ Cloud သို့ ရွေ့လျားခြင်းသည် မည်မျှတန်ဖိုးရှိပြီး ကုန်ကျစရိတ်သက်သာသနည်း။ ဆိုက်ဘာလုံခြုံရေး စိန်ခေါ်မှုတွေ ပိုများလာနေရင်တောင်မှ အများကြီးပဲ။ !
ဇာတ်လမ်း၏ကိုယ်ကျင့်တရား- သင်၏လုံခြုံရေးကိုစစ်ဆေးပါ။ ပုံမှန်စစ်ဆေးမှုများလုပ်ဆောင်ပါ။ လုံခြုံရေးမူဝါဒများအတွက် အခွင့်ထူးအနည်းဆုံးနိယာမကို လေးစားပါ။
( ဥပဒေရေးရာအစီရင်ခံစာ အပြည့်အစုံကို ကြည့်ရှုနိုင်ပါသည်။)
source: www.habr.com