บริการ Secure Account: วิธีคืนค่า Environment เป็นค่าเริ่มต้น
สวัสดีครับ ผู้อ่านทุกท่าน ผมกาญจน์ครับ
ในบทความนี้เราจะพูดถึง Secure Account ที่เป็นบริการเฉพาะของ Classmethod ที่ช่วยให้การตั้งค่าความปลอดภัยของบัญชี AWS ของเรามีความสะดวกมากยิ่งขึ้น แต่ว่าในการเปิดปิดบริการแต่ละครั้งอาจมีรายละเอียด หรือข้อปลีกย่อยที่เราควรคำนึงถึง ซึ่งเราจะมาอธิบายกันในบทความนี้ครับ
บทความนี้ได้รับการแปลและเรียบเรียงจากบทความภาษาญี่ปุ่นชื่อ 【セキュアアカウントサービス】環境の切り戻しに関するご案内 โดยเจ้าของบทความนี้คือ คุณ คิมูระ ยูตะ โดยผู้อ่านที่สนใจสามารถกดเข้าไปอ่านเพิ่มเติมตามลิงค์ได้ครับ
บทความนี้จะแนะนำวิธีการคืนการตั้งค่าของ Secure Account Service ที่ทาง Classmethod Members ให้บริการครับ
ในการดำเนินการคืนการตั้งค่าของ Secure Account เราจำเป็นต้องทำทั้ง การปิดใช้งาน opt-in และ การปิดใช้งาน/หยุดการทำงานของ service ฝั่ง AWS ร่วมกัน หากดำเนินการเพียงอย่างใดอย่างหนึ่งเท่านั้น การคืนค่าจะไม่เสร็จสมบูรณ์ครับ
ก่อนที่ผมจะอธิบายวิธีการคืนค่าเป็นค่าเริ่มต้น ผมขอแนะนำเกี่ยวกับ Secure Account อย่างง่าย ๆ ก่อนครับ สำหรับผู้ที่ต้องการทราบขั้นตอนการโดยตรง สามารถดูได้จากที่นี่
Secure Account คืออะไร?
Secure Account เป็นบริการตั้งค่าความปลอดภัยที่ทางเราแนะนำเวลาใช้ AWS สำหรับลูกค้าผู้มีอุปการคุณทุกท่านที่สมัครใช้บริการเก็บเงินกับทาง ClassMethod ครับ
รูปภาพข้างต้นนี้อธิบายถึงการกำหนดค่าเริ่มต้นและการดูแลการตั้งค่าครับ
การกำหนดค่าเริ่มต้น (Initial Implementation) ของ Secure Account คืออะไร?
การกำหนดค่าเริ่มต้นของ Secure Account เป็นฟิเจอร์ที่ส่งมอบบัญชี AWS ที่ได้รับการปรับใช้ best practices ด้านความปลอดภัยอย่างครบถ้วนให้แก่ลูกค้าตอนที่ออกบัญชี
ลูกค้าทุกคนที่สมัครใช้บริการ AWS Billing Service สามารถใช้ฟิเจอร์นี้ได้ทันทีเมื่อออกบัญชี
เมื่อเริ่มใช้ฟังก์ชันกำหนดค่าเริ่มต้น บัญชีที่ออกให้จะมีการเปิดใช้งานฟังก์ชันการดูแลการตั้งค่าของทุกบริการโดยอัตโนมัติครับ
การดูแลการตั้งค่า (Maintenance) ของ Secure Account คืออะไร?
การดูแลการตั้งค่าของ Secure Account เป็นบริการที่ช่วยให้คุณสามารถสร้าง Environment ที่ปลอดภัยได้ด้วยการคลิกเพียงครั้งเดียว และสามารถดูแล Environment ให้ปลอดภัยอย่างต่อเนื่องพร้อมทั้งอัปเดตให้เป็นสถานะล่าสุดได้ครับ
เป็นฟังก์ชันที่ลูกค้าทุกรายที่สมัครใช้ บริการเรียกเก็บเงินแทนของ AWS สามารถใช้งานได้ และสามารถทำการตั้งค่าได้จาก Classmethod Members Portal ได้แม้หลังจากออก account ไปแล้ว
ลูกค้าสามารถทำการตั้งค่าแยกเป็นรายการได้ และเมื่อเปิดใช้งานการตั้งค่า เราจะสามารถกำหนดเนื้อหาของรายการต่อไปนี้ได้ครับ
| รายการ | คำอธิบาย |
|---|---|
| Password Policy | Password Policy ของบัญชีจะถูกตั้งค่าตาม policy นี้ หากต้องการใช้ policy ที่เข้มงวดกว่า เราต้องปิดการเลือกนี้และทำการตั้งค่าด้วยตนเองครับ |
| AWS IAM Access Analyzer | เปิดใช้งานเพื่อตรวจจับการตั้งค่าที่อนุญาตให้เข้าถึงจากทรัพยากรภายนอก เช่น IAM, S3, Lambda และจัดการสิทธิ์ที่ไม่จำเป็น สามารถตรวจสอบรายละเอียดการตั้งค่าที่นี่ นอกจากนี้ ยังไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับบริการนี้ด้วยครับ |
| AWS Compute Optimizer | ช่วยให้เราตรวจสอบว่า EC2, EBS, Lambda มีการใช้ทรัพยากรมากเกินไปหรือไม่ โดยสามารถตรวจสอบราคาได้ที่นี่ครับ |
| AWS CloudTrail (Basic Settings) | ในการตั้งค่า Basic จะสร้างและเปิดใช้งาน "A trail that applies to all regions" ภายใน Singapore Region และเข้ารหัส log file โดยใช้ SSE-S3 ไม่มีการบันทึก data event หากต้องการตั้งค่า CloudTrail อื่นนอกเหนือจากการตั้งค่า default ที่ทางบริษัทมีมาให้ ผู้อ่านต้องปิดตัวเลือกนี้ นอกจากนี้ audit trail ตัวแรกจะไม่มีค่าใช้จ่ายอีกด้วยครับ |
| AWS Config (Basic Settings) | ในการตั้งค่า Basic จะบันทึกการเปลี่ยนแปลง Resource สำหรับบางบริการ หากต้องการเพิ่ม/ลบบริการใดๆ ต้องกดเช็คออกเพื่อปิดการเลือก นอกจากนี้ยังสามารถตรวจสอบราคาได้ที่นี่ |
| AWS CloudTrail (Secure Settings) | เมื่อสมัครเป็นสมาชิก จะมีการสร้าง trail ชื่อ "Members" ในการตั้งค่าความปลอดภัย จะใช้ SSE-KMS เพื่อเข้ารหัส log file นอกจากนี้ S3 bucket สำหรับจัดเก็บบันทึกจะถูกตั้งค่าเป็น "cm-members-cloudtrail-xxxx" ถ้าผู้อ่านต้องการตั้งค่า CloudTrail อื่นนอกเหนือจากการตั้งค่าของบริษัท ต้องปิดการเลือกก่อนหน้าครับ นอกจากนี้ trail ตัวแรกจะไม่มีค่าใช้จ่าย ดังนั้นผู้อ่านสามารถสร้าง trail ของตัวเองและลบ members trail ได้โดยไม่มีปัญหาเช่นกันครับ |
| AWS Config (Secure Settings) | ในการตั้งค่า Secure จะบันทึกการเปลี่ยนแปลงทุกบริการ โปรดระวังค่าใช้จ่ายใน Environment ที่มีการเปลี่ยนแปลงทรัพยากรบ่อย bucket สำหรับจัดเก็บบันทึกจะถูกตั้งค่าเป็น "cm-members-config-xxxx" หากต้องการเพิ่ม/ลบบริการใดๆ หรือระบุ bucket ปลายทาง โปรดปิดการเลือก และสามารถตรวจสอบราคาได้ที่นี่ครับ |
| EBS Default Encryption | เข้ารหัส Amazon EBS โดยค่าเริ่มต้น ตรวจสอบรายละเอียดการตั้งค่าได้ที่นี่ และตรวจสอบราคาได้ที่นี่ |
| การตั้งค่าการแจ้งเตือน Amazon EventBridge | เปิดใช้งาน Amazon EventBridge สำหรับการแจ้งเตือนความปลอดภัยของ Amazon GuardDuty และ AWS Security Hub นอกจากนี้ยังตรวจสอบรายละเอียดการตั้งค่าได้ที่นี่ และต้องมีการตั้งค่าโดยลูกค้าเพื่อรับการแจ้งเตือน โปรดตรวจสอบคู่มือผู้ใช้ นอกจากนี้ยังมีค่าใช้จ่าย SNS และ Step Functions สำหรับแต่ละการแจ้งเตือน |
| Amazon GuardDuty | เปิดใช้งาน Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามบน AWS ตรวจจับการเข้าสู่ระบบ AWS ที่ไม่ได้รับอนุญาต การขุดเหรียญ และการรั่วไหลของข้อมูล S3 สามารถตรวจสอบรายละเอียดการตั้งค่าได้ที่นี่ และตรวจสอบค่าใช้จ่ายได้ที่นี่ |
| AWS Security Hub | ตั้งค่ามาตรฐานโดย AWS Security Hub เพื่อตรวจจับการตั้งค่าที่เป็นอันตรายบน AWS และตรวจจับการตั้งค่าผิดพลาด เช่น การเปิดพอร์ต SSH ของ Security Group เป็น 0.0.0.0/0 หรือการเปิดเผย S3 bucket โดยไม่ตั้งใจ สามารถตรวจสอบรายละเอียดการตั้งค่าได้ที่นี่ และตรวจสอบค่าใช้จ่ายได้ที่นี่ |
| Amazon Detective | เปิดใช้งานเพื่อแสดงภัยคุกคามในกรณีที่เกิดเหตุการณ์ ช่วยให้สามารถตรวจสอบและแสดง log โดยละเอียดได้อย่างง่ายดาย สามารถตรวจสอบรายละเอียดการตั้งค่าได้ที่นี่ และตรวจสอบค่าใช้จ่ายได้ที่นี่ |
ฟังก์ชันการดูแลการตั้งค่าจะทำการตรวจสอบ Environment เป็น รายสัปดาห์ โดยจะดำเนินการตั้งแต่ตอนเที่ยงคืน (00.00 น.) เวลาไทย ของวันเสาร์และต่อเนื่องไปตลอดสุดสัปดาห์ แต่ข้อควรระวังคือ การดำเนินการไม่ได้เกิดขึ้นทันที ดังนั้นเราควรตรวจสอบว่าการตั้งค่าได้ ถูกนำไปใช้หรือไม่ในวันจันทร์ ครับ
เพราะการปิด Opt-in การตั้งค่าใน Secure Account เป็นแค่การปิด "การดูแลการตั้งค่ารายสัปดาห์" เท่านั้น
ดังนั้น ถ้าอยากปิดการใช้งานบริการจริงๆ เราต้องไปปิดการตั้งค่าใน AWS ด้วยครับ (นอกเหนือจากปิด Opt-in ใน Secure Account)
Opt-in คืออะไร?
Opt-in คือการเปิดใช้งานรายการของฟังก์ชันการดูแลการตั้งค่าครับ
การ Opt-in จะช่วยให้คุณสามารถเปิดใช้งานบริการ AWS ต่างๆ ตามการตั้งค่าที่ Classmethod Members แนะนำ และช่วยรักษาการตั้งค่าให้เป็นปัจจุบันโดยอัตโนมัติอย่างต่อเนื่องอีกด้วยครับ
ข้อควรระวังเมื่อทำการปิดการตั้งค่า Environment
มีข้อควรระวังเมื่อจำเป็นต้องทำการปิดการตั้งค่า Environment เนื่องจากเหตุผลด้านต้นทุนหรือกฎระเบียบภายในองค์กร
ขอย้ำอีกครั้งว่า การหยุดหรือปิดการใช้งานบริการที่เปิดใช้งานผ่าน Opt-in จำเป็นต้องทำทั้งการ ปิดการใช้งาน Opt-in และการ ปิดการใช้งานหรือหยุดบริการทางฝั่ง AWS ควบคู่กัน
เงื่อนไขของการเปิดปิดจะเป็นไปตามตารางข้างล่างนี้ครับ
| ไม่ได้เปลี่ยนแปลง AWS Service | สั่งหยุด การใช้งาน AWS Service | |
|---|---|---|
| เปิด การใช้งาน Opt-in | ① AWS Service เปิดใช้งาน และมีการ ดูแลการตั้งค่า ทุกสัปดาห์ตามปกติ | ② AWS Service ถูกปิดการใช้งาน จนถึงสุดสัปดาห์ ในการ ดูแลการตั้งค่า สัปดาห์ถัดไปจะถูกเปิดใช้งาน |
| ปิด การใช้งาน Opt-in | ③ AWS Service เปิดใช้งาน และไม่มีการ ดูแลการตั้งค่า สัปดาห์ถัดไป | ④ AWS Service ปิดการใช้งาน และไม่มีการ ดูแลการตั้งค่า สัปดาห์ถัดไป |
ถ้าเราอยากย้อน AWS Environment เราทำแบบในข้อที่ ④ ครับ
รายละเอียดของเงื่อนไขแต่ละส่วนจะอธิบายข้างล่างครับ แต่ขออธิบายคร่าวๆก่อนว่า
- Opt-in: เป็นฟังก์ชันในการ Maintenance การทำงานของ service ของ AWS ซึ่งจะดำเนินการทุกวันเสาร์ (ในกรณี AWS Service ดังกล่าวปิดอยู่ มันจะไปสั่งให้เปิดใหม่วันเสาร์)
- สั่งเปิด/ปิด AWS Service: เป็นการสั่งให้ service ตัวนั้นปิดหรือเปิดโดยตรง
① กรณี "เปิดใช้งาน Opt-in" และ "ไม่ได้เปลี่ยนแปลง AWS Service"
การเปิดใช้งานการตั้งค่าความปลอดภัยรวมถึงการดูแลการตั้งค่าจะดำเนินการทุกสัปดาห์ เพื่อดูแล Environment ที่ปลอดภัย
ถ้าต้องการหยุด/ปิดการใช้งานให้สมบูรณ์ เราจำเป็นต้องปิด Opt-in (เพื่อหยุด การดูแลการตั้งค่า) และปิด AWS Service ด้วย โดยสามารถไปดูที่หัวข้อข้างล่างได้ครับ
② กรณี "เปิดใช้งาน Opt-in" และ "สั่งหยุดการใช้งาน AWS Service"
ถ้าเราสั่งหยุดหรือปิดการใช้งานบริการทางฝั่ง AWS บริการจะหยุดหรือถูก ปิดการใช้งานทันที และการเรียกเก็บเงินจะ ถูกระงับชั่วคราว
แต่เพราะ Opt-in ยังเปิดอยู่ มันจึงไปสั่งดำเนินการ Maintenance ทุกวันเสาร์ให้เปิด AWS Service ให้กลับมาใช้งานใหม่อีกครั้ง (และเริ่มต้นเก็บเงินค่าบริการ Service ดังกล่าวใหม่)
ถ้าต้องการหยุด/ปิดการใช้งานให้สมบูรณ์ เราจำเป็นต้องปิด Opt-in (เพื่อหยุดการดูแลการตั้งค่า) ด้วยครับ
③ กรณี "ปิดการใช้งาน Opt-in" และ "ไม่ได้เปลี่ยนแปลง AWS Service"
ถ้าเราปิด Opt-in เฉพาะการตั้งค่าความปลอดภัยและการดูแลการตั้งค่าทุกสัปดาห์เท่านั้นที่หยุด แต่ AWS Service ที่เปิดอยู่จะไม่ได้ปิดไปด้วย (และยังเก็บเงินค่าบริการต่อไป)
ดังนั้น ถ้าเราอยากเลิกใช้ AWS Service ตัวไหน เราต้องไปสั่งหยุด AWS Service เหล่านั้นใน AWS Console เองด้วยครับ
ถ้าต้องการหยุด/ปิดการใช้งานให้สมบูรณ์ เราจำเป็นต้องปิด AWS Service ที่ฝั่ง AWS Console เพื่อหยุดการทำงานด้วยครับ
④ กรณี "ปิดการใช้งาน Opt-in" และ "สั่งหยุดการใช้งาน AWS Service"
เป็นเงื่อนไขเดียวที่ AWS Service จะถูกปิดอย่างสมบูรณ์ครับ
Service ทางฝั่ง AWS ถูกปิด และเนื่องจาก Opt-in ถูกปิด การดูแลการตั้งค่าทุกสัปดาห์จะไม่ไปสั่งเปิด AWS Service อีกครับ
รายละเอียดเกี่ยวกับการคืนค่า Environment เป็นค่าเริ่มต้น
จะเห็นได้ว่าการคืนค่า Environment ให้เป็นค่าเริ่มต้น เราจำเป็นต้องทำสองขั้นตอนครับ คือ
ซึ่งรายละเอียดแต่ละส่วนจะอยู่ข้างล่างนี้ครับ
1. ขั้นตอนการหยุดและปิดการใช้งานบริการต่างๆ ของ AWS
ผู้อ่านสามารถอ้างอิงวิธีตามบทความข้างล่าง เพื่อสั่งหยุด/ปิดบริการใน AWS ได้เลยครับ
Amazon GuardDuty
AWS Security Hub
Amazon Detective
AWS CloudTrail
Amazon EventBridge
2. ขั้นตอนการปิดการใช้งาน Opt-in ใน Classmethod Members Portal (CMS)
- ในส่วนนี้ผมจะอธิบายวิธีการใช้งาน Opt-in ในเว็บไซต์ Classmethod Members Portal ของระบบ Secure Account ซึ่งเป็นขั้นตอนสำคัญก่อนที่จะคืนค่าหรือปิดการใช้งานบริการเกี่ยวกับความปลอดภัยใน AWS เพราะหากเราไม่ปิด Opt-in ทุกวันเสาร์เวลาเที่ยงคืนของไทย ระบบก็จะทำการเปิดบริการที่เราได้ปิดไปนั่นเองครับ
- ตัวอย่างในรูปจะเป็นตัวอย่างการปิด Opt-in ของ Security Hub ครับ แต่ขั้นตอนการปิด Opt-in ของตัวอื่นก็ไม่ได้แตกต่างกันมาก ผู้อ่านสามารถนำไปประยุกต์ใช้ได้ หรือคลิกเข้าไปในลิงค์บทความวิธีการปิด/คืนค่า Secure Account ข้างบนได้เลยครับ
- อันดับแรก ให้มาที่เว็บไซต์ Classmethod Members Portal จากหัวข้อ "AWS Account" แล้วเลือก Account ID ที่เราต้องการครับ
-
จากนั้นเลื่อนลงมาที่หัวข้อ "Security Settings" แล้วคลิกที่ Edit
-
เลื่อนลงมาที่หัวข้อ "Secure Settings" ให้ติ๊ก "AWS Security Hub" ออก เพื่อปิดการใช้งาน
4. จากนั้นเลื่อนลงมาข้างล่างสุดแล้วกด "Save" เพื่อบันทึกการเปลี่ยนแปลงครับ
5. เท่านี้การปิด Opt-in ก็เสร็จเรียบร้อยแล้วครับ ผู้อ่านสามารถไปคืนค่า/ปิดการใช้งานบริการ AWS ดังกล่าวต่อได้เลยครับ
ทิ้งท้าย
การตั้งค่า Secure Account อาจจะมีความซับซ้อนอยู่บ้าง แต่ผมหวังว่าบทความนี้จะช่วยให้ความกระจ่างกับผู้อ่านทุกท่านเกี่ยวกับการตั้งค่านะครับ ขอบคุณที่ติดตามอ่านมาจนถึงตอนนี้ครับ แล้วเจอกันใหม่ในบทความหน้า สวัสดีครับ
บทความต้นฉบับ
【セキュアアカウントサービス】環境の切り戻しに関するご案内 (บทความภาษาญี่ปุ่น)
