Why Shared Responsibilities is important on Cloud?

ကျ တော် CompTIA CySA+ Course လေ့လာတုန်းက သင်တဲ့ ဆရာပြောတာလေးက On-Premise ထက်စာရင် Cloud Service Provider တွေရဲ့ Infra က ပို Secure ဖြစ်တယ်ဆိုတာပါပဲ။

တကယ်လဲမှန်ပါတယ်။

ဒါပေမယ့် Cloud Service ကိုသုံးပြီဆိုတာနဲ့ လိုက်နာရမယ့် Share Responsibilities ဆိုတာရှိပါတယ်။

အောက်ကပုံလေးကို ကြည့်လိုက်ရင် အကျဉ်းအားဖြင့် နားလည်ပါတယ်။



ပိုတိတိကျကျ သိချင်ရင် တော့ လိုက်နာရမယ့် Best Practice တွေကို အတိအကျလိုက်နာဖို့ လိုပါတယ်။

ကျ တော်တို့ Cloud ပေါ်တက်လာပြီး အလုပ် တွေ လုပ်ကြတဲ့ အခါ တော်တော်ကို ကြီးမားတဲ့ အမှားတွေ လုပ်ကြပါတယ်။

ဘာတွေလုပ်တာလဲ ဆိုရင် User Account တွေ ရဲ့ Role နဲ့ Policy ကို Identity Access Management မှာ သေချာ Control မလုပ်ကြပါဘူး။
Network Access Control List  မှာ ဘာလာလာ ပေးဝင်တဲ့ အလှူဒါန ရက် ရော ကြပါတယ်။
Security Group တွေ ကို လည်း Upstream , Downstream Security Group တွေနဲ့ Tag မလုပ်ကြပဲ NACL မှာ လို ဘာလာလာ ပေးဝင်တဲ့ အလှူမျိုး ထပ်လုပ်ကြပါတယ်။
ပိုဆိုးတာက တော့ Test EC2 Instance တွေကို Programmatic Access Key တွေ နဲ့ Public က နေ Access လှမ်းလုပ်လို့ရ အောင် လုပ်ထားတာမျိုးပါပဲ။
အလားတူ API Key, SSH Key စတာမျိုးတွေကို Limited Access လုပ်မထားတဲ့ Test EC2 Instance တွေမှာ သိမ်းထားတာပါပဲ။
S3 Bucket တွေကို အလှူပေးထားတာမျိုးတွေလည်း ပါသေးတာပေါ့။
ဒါတွေက လက် တွေ့မှာ အဖြစ်များ အ တွေ့များနေတဲ့ Human Error, Misconfiguration Error တွေပါပဲ။

ဒါမျိုးတွေက ကျ တော်တို့ချည်းပဲ ဖြစ် နေ လုပ် နေတာတော့ မဟုတ်ပြန်ဘူးဗျ။
ထင်သာမြင်သာတဲ့ ဖြစ်ရပ်တခုကို ဥပမာ အ နေနဲ့ ပြရမယ်ဆိုရင် လွန်ခဲ့ တဲ့ လပိုင်းလောက်က ဖြစ်သွားတဲ့ Imperva Security Breach ကိုပဲ အောက်က လင့်က နေ ဖတ်ကြည့်နိုင်ပါတယ်။

Imperva Data Breach Caused by Stolen AWS API Key

ဒီနေ့လို ခေတ်မှာ Scanning/Probing ဆိုတာ လူကိုယ်တိုင်က လုပ် နေစရာ မလိုတော့ပါဘူး။
ဒီတော့ ကိုယ့်က Test လုပ် နေတာပါဆိုပြီး ကိုယ့် Cloud Resource ကို လာသမျှ ပေးဝင်တဲ့ အလှူမျိုး လုပ်ထားလို့က တော့ လူတကာ ဝင် မွှေသွားတာ ခံရပြီး အခန့်မသင့်ရင် Priviliege Escalation, APT စတဲ့ အ မွှေစိန် တွေနဲ့ နဖူးတွေ့ ဒူးတွေ့ ရင်ဆိုင် ရမှာပါ။ ဒါတောင် ဒင်းတို့ ကိုယ့် Infra ထဲရှိနေတယ်ဆိုတာကို ၅ နှစ် လောက် နေမှ သိတာမျိုး ဖြစ်ချင်ဖြစ် နေမှာဗျ။

အ ပြောပဲ ရှိ တာ မဟုတ်ဘူးဗျာ။

မယုံရင် အောက်က လင့်တွေမှာ ကမ္ဘာတလွှားက Cyber Attack တွေရဲ့ Live ကို ကြည့်နိုင်ပါတယ်။ သက်ဆိုင်ရာ Vendor တွေရဲ့ Device Sensor တွေက ပို့ပေးတဲ့ အချက်အလက်ဆိုတော့ အတိအကျ တော့ မရနိုင်ဘူးပေါ့။

Live Cyber Threat Map by Checkpoint

Live Cyber Threat Map by Fortinet

FireEye Cyber Threat Map

Cyber Threat Live Map by Kaspersky

ဒါပါပဲ။

ကိုယ်တိုင်က AWS နဲ့ အဓိက လုပ်နေရလို့ AWS နဲ့ ယှဉ်ပြီး ပြောတာပါ။
ဒါတွေကို Cloud ပေါ်မှာ သတိထားသင့်ပါတယ်။

အ ပေါ်က အမှားမျိုးကို ခဏခဏ တွေ့ရသလို ကိုယ်တိုင်လဲ နဖူးတွေ့ ဒူးတွေ့ ကြုံဖူးတဲ့ အတွက် ကိုယ့်လို မဖြစ်ရ အောင် သတိထားနိုင်ကြ စေဖို့ ဒီစာရေးရင်း  ၂၀၁၉ ကို နှုတ်ဆက်လိုက်ပါပြီဗျာ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)