โดยการนำแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยบนคลาวด์มาใช้ Crawford Technologies ได้นำมาตรการรักษาความปลอดภัยที่เหมาะสมมาใช้โดยมอบแนวปฏิบัติด้านความปลอดภัยที่เป็น “ดีที่สุด” พร้อมด้วยบริการ “ระดับโลก” ที่ลูกค้าสามารถไว้วางใจได้
พื้นหลัง
Crawford Technologies, Inc (CrawfordTech) เป็นผู้จำหน่ายซอฟต์แวร์อิสระ (ISV) มากว่า 25 ปี นวัตกรรมใหม่ๆ อย่างต่อเนื่องทำให้ CrawfordTech เป็นผู้นำเทรนด์เทคโนโลยี ตั้งแต่เริ่มก่อตั้ง CrawfordTech ได้ดำเนินการพัฒนาซอฟต์แวร์และโซลูชันโดยคำนึงถึงหลักการ 5 ประการดังต่อไปนี้:
- ลดต้นทุนรวมของการเป็นเจ้าของ (TCO)
- จัดเตรียมเส้นทางการอัพเกรดที่ชัดเจน
- สร้างขึ้นบนจุดแข็งที่มีอยู่
- สร้างสมดุลระหว่างนวัตกรรมและความน่าเชื่อถือ
- มั่นใจได้ถึงความปลอดภัยของลูกค้า
ผู้นำในอุตสาหกรรม
ตั้งแต่ปี 2551 CrawfordTech ได้บริหารจัดการศูนย์บริการการเข้าถึงเอกสาร ซึ่งเป็นศูนย์ข้อมูล SOC2-HITRUST ที่มีคุณสมบัติครบถ้วนและได้รับการรับรองตามมาตรฐาน HIPAA, PCI-DSS, GLBA และข้อกำหนดการปฏิบัติตามอื่นๆ
ประสบการณ์และความเชี่ยวชาญที่ได้รับจากความพยายามนี้ทำให้ CrawfordTech สามารถสร้าง Virtual Private Cloud (VPC) ภายใน Amazon Web Services AWS ที่ปฏิบัติตามหลักการและแนวทาง SOC2-HITRUST อย่างสมบูรณ์ ข้อเสนอ SaaS จาก CrawfordTech ได้รับประโยชน์จากการรักษาความปลอดภัยโดยธรรมชาติที่ Amazon มอบให้ในศูนย์ข้อมูล AWS ทั้งหมด รวมถึงข้อกำหนดด้านความปลอดภัยที่ CrawfordTech จัดทำขึ้นโดยเฉพาะ
ความรับผิดชอบร่วมกันระหว่าง AWS และ CrawfordTech นี้ได้รับการกำหนดขึ้นตามกระบวนการและขั้นตอนที่กำหนดขึ้นเป็นแนวทางปฏิบัติที่ดีที่สุดโดย Amazon และมีคำอธิบายไว้ในหน้าถัดไป
ความปลอดภัย @ CrawfordTech
แปลงสร้างไฟล์ PDF เข้ารหัส
PRO Lockdown ให้การเข้ารหัสเอกสารระดับหน้าสำหรับการประมวลผลเวิร์กโฟลว์ที่ปลอดภัย
- อัลกอริทึมที่ปลอดภัย
- ไฟล์ทั้งหมดในครั้งเดียว
- แต่ละหน้า/เอกสารมีคีย์ที่แตกต่างกัน
- การจัดการคีย์
- Redaction Express ให้การสนับสนุนด้านการแก้ไขอย่างครอบคลุม
PDF ที่ลงนามจะสร้างไฟล์ PDF ที่ลงนามแบบดิจิทัล
ศูนย์การประมวลผลได้รับการรับรอง PCIDSS, HIPAA, SOC2/HITRUST
สถาปัตยกรรม
รูปแบบที่ใช้ร่วมกันนี้ช่วยแบ่งเบาภาระการดำเนินงานของ CrawfordTech และลูกค้า เนื่องจาก AWS ดำเนินการ จัดการ และควบคุมส่วนประกอบต่างๆ ตั้งแต่ระบบปฏิบัติการโฮสต์และเลเยอร์เสมือนจริงไปจนถึงความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่บริการทำงานอยู่ CrawfordTech รับผิดชอบและจัดการระบบปฏิบัติการของแขก (รวมถึงการอัปเดตและแพตช์ความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันที่เกี่ยวข้องอื่นๆ ตลอดจนการกำหนดค่าไฟร์วอลล์ของกลุ่มความปลอดภัยที่ AWS จัดเตรียมไว้ CrawfordTech เลือกที่จะรันฮาร์ดแวร์เสมือนจริง แอปพลิเคชัน และซอฟต์แวร์ระบบทั้งหมดใน Virtual Private Cloud (VPC) และได้พิจารณาอย่างรอบคอบถึงบริการที่เลือกเป็นความรับผิดชอบของตน บริการ AWS ที่ใช้ การผสานรวมบริการเหล่านั้นเข้ากับสภาพแวดล้อมการประมวลผล และกฎหมายและข้อบังคับที่เกี่ยวข้อง
ตามที่แสดงในแผนภูมิด้านล่าง ความแตกต่างของความรับผิดชอบนี้มักเรียกกันว่าการรักษาความปลอดภัย “ของ” คลาวด์ เทียบกับการรักษาความปลอดภัย “ใน” คลาวด์
ความรับผิดชอบของ AWS “ความปลอดภัยของระบบคลาวด์” – AWS มีหน้าที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่เรียกใช้บริการทั้งหมดที่มีให้ในระบบคลาวด์ AWS โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการระบบคลาวด์ AWS
ความรับผิดชอบของ CrawfordTech ในด้าน “ความปลอดภัยในระบบคลาวด์” – ความรับผิดชอบของ CrawfordTech ถูกกำหนดโดยบริการ AWS Cloud ที่เลือก ซึ่งจะกำหนดปริมาณงานการกำหนดค่าที่ CrawfordTech ต้องดำเนินการเป็นส่วนหนึ่งของความรับผิดชอบด้านความปลอดภัย ตัวอย่างเช่น บริการเช่น Amazon Elastic Compute Cloud (Amazon EC2) จัดอยู่ในประเภทโครงสร้างพื้นฐานเป็นบริการ (IaaS) และด้วยเหตุนี้ จึงจำเป็นต้องให้ CrawfordTech ดำเนินการกำหนดค่าและจัดการความปลอดภัยที่จำเป็นทั้งหมด
CrawfordTech มีหน้าที่รับผิดชอบในการจัดการระบบปฏิบัติการของแขก (รวมถึงการอัปเดตและแพตช์ความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตี้ใดๆ ที่ติดตั้งโดย CrawfordTech บนอินสแตนซ์ และการกำหนดค่าไฟร์วอลล์ที่ AWS จัดเตรียมให้ (เรียกว่ากลุ่มความปลอดภัย) บนอินสแตนซ์แต่ละอินสแตนซ์ สำหรับบริการแบบแยกส่วน เช่น Amazon S3 และ Amazon DynamoDB AWS จะควบคุมเลเยอร์โครงสร้างพื้นฐาน ระบบปฏิบัติการ และแพลตฟอร์ม และ CrawfordTech จะเข้าถึงจุดสิ้นสุดเพื่อจัดเก็บและเรียกค้นข้อมูล CrawfordTech มีหน้าที่รับผิดชอบในการจัดการข้อมูลของตน (รวมถึงตัวเลือกการเข้ารหัส) การจัดประเภทสินทรัพย์ และการใช้เครื่องมือ IAM เพื่อใช้สิทธิ์ที่เหมาะสม
“AWS ช่วยให้เราจัดเก็บข้อมูลได้อย่างคุ้มต้นทุนพร้อมทั้งแบ่งเบาภาระในการรองรับโครงสร้างพื้นฐานที่จำเป็น เนื่องจาก AWS จะดูแลเรื่องนั้นให้ ถือเป็นผลประโยชน์ร่วมกันสำหรับเราและลูกค้าของเรา”
เจฟฟ์ คิมซีย์ รองประธานฝ่ายบริหารผลิตภัณฑ์ NASDAQ
โมเดลที่ปลอดภัย
โมเดลความรับผิดชอบร่วมกันของ CrawfordTech/AWS นี้ยังขยายไปถึงการควบคุมไอทีด้วย ความรับผิดชอบในการดำเนินการสภาพแวดล้อมไอทีนั้นถูกแบ่งปันระหว่าง AWS และลูกค้าเช่นเดียวกัน การจัดการ การดำเนินการ และการตรวจสอบการควบคุมไอทีก็ถูกแบ่งปันเช่นกัน AWS ช่วยแบ่งเบาภาระในการดำเนินการควบคุมโดยการจัดการการควบคุมเหล่านั้นที่เกี่ยวข้องกับโครงสร้างพื้นฐานทางกายภาพที่ปรับใช้ในสภาพแวดล้อม AWS ซึ่งอาจได้รับการจัดการโดยองค์กรลูกค้าแต่ละรายก่อนหน้านี้ การย้ายการจัดการการควบคุมไอทีบางส่วนไปที่ AWS ส่งผลให้เกิดสภาพแวดล้อมการควบคุมแบบกระจาย (ใหม่) CrawfordTech ใช้เอกสารการควบคุมและการปฏิบัติตามข้อกำหนดของ AWS เพื่อดำเนินการประเมินการควบคุมและขั้นตอนการตรวจสอบตามความจำเป็น ด้านล่างนี้คือตัวอย่างการควบคุมที่จัดการโดย AWS, CrawfordTech และ/หรือทั้งสองบริษัท
การควบคุมที่สืบทอด – การควบคุมที่ CrawfordTech สืบทอดมาจาก AWS อย่างสมบูรณ์
- การควบคุมทางกายภาพและสิ่งแวดล้อม
การควบคุมแบบแชร์ – การควบคุมที่ใช้กับทั้งเลเยอร์โครงสร้างพื้นฐานและเลเยอร์ลูกค้า แต่ในบริบทหรือมุมมองที่แยกจากกันโดยสิ้นเชิง ในการควบคุมแบบแชร์ AWS จะจัดเตรียมข้อกำหนดสำหรับโครงสร้างพื้นฐาน และ CrawfordTech จะจัดเตรียมการใช้งานการควบคุมของตนเองภายในการใช้บริการ AWS ตัวอย่าง ได้แก่:
- การจัดการแพตช์ – AWS รับผิดชอบในการแก้ไขแพตช์และข้อบกพร่องภายในโครงสร้างพื้นฐาน แต่ CrawfordTech รับผิดชอบในการแก้ไขระบบปฏิบัติการและแอปพลิเคชันของแขก
- การจัดการการกำหนดค่า – AWS ดูแลรักษาการกำหนดค่าอุปกรณ์โครงสร้างพื้นฐาน แต่ CrawfordTech รับผิดชอบในการกำหนดค่าระบบปฏิบัติการแขก ฐานข้อมูล และแอปพลิเคชันของตนเอง
- การรับรู้และการฝึกอบรม – AWS ฝึกอบรมพนักงาน AWS และ CrawfordTech ฝึกอบรมพนักงานของตนเอง
การควบคุม เฉพาะของ CrawfordTech – การควบคุมที่ CrawfordTech รับผิดชอบแต่เพียงผู้เดียวโดยอิงตามแอปพลิเคชันที่ปรับใช้ภายในบริการ AWS ตัวอย่าง ได้แก่:
- การปกป้องบริการและการสื่อสารหรือการรักษาความปลอดภัยโซนซึ่งต้องมีการกำหนดเส้นทางหรือโซนข้อมูลภายในสภาพแวดล้อมความปลอดภัยที่เฉพาะเจาะจง
- การถ่ายโอนข้อมูลระหว่างและอย่างปลอดภัยและการเข้ารหัส
94%
ธุรกิจต่างๆ จำนวนมากเห็นการปรับปรุงความปลอดภัยออนไลน์อย่างมีนัยสำคัญหลังจากย้ายข้อมูลไปยังคลาวด์
เซลส์ฟอร์ซ
การปฏิบัติตาม
ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของ IAM
- ใช้ AWS Identity and Access Management Service ซึ่งช่วยให้ผู้ใช้สามารถจัดการการเข้าถึงบริการและทรัพยากร AWS ได้อย่างปลอดภัย
- ดูแลระบบ AWS โดยการสร้างกลุ่มและผู้ใช้ และใช้นโยบายการอนุญาตแบบละเอียดเพื่อให้สามารถเข้าถึง API และทรัพยากรได้แบบจำกัด
- ปฏิบัติตามแนวทาง “สิทธิ์น้อยที่สุด” สำหรับการรักษาความปลอดภัย
- หมุนเวียนรหัสการเข้าถึงและรหัสผ่าน
จัดการการเข้าถึงระดับระบบปฏิบัติการและรักษาความปลอดภัยของอินสแตนซ์ EC2
- เรียกใช้การประเมินผู้ตรวจสอบเป็นระยะเพื่อสร้างรายงานความเสี่ยงในระดับระบบปฏิบัติการ
- ใช้ System Patch Manager เพื่ออัปเดตแพ็กเกจ OS
- แพตช์อินสแตนซ์ EC2 เป็นระยะเพื่อปกป้องโครงสร้างพื้นฐานจากจุดบกพร่องและช่องโหว่ที่เพิ่งค้นพบ
- ปฏิบัติตามคำแนะนำด้านความปลอดภัยที่ให้ไว้โดยผู้จำหน่ายระบบปฏิบัติการ RedHat, Suse, Microsoft ฯลฯ
การเข้ารหัส
- เข้ารหัสข้อมูลทั้งหมดไม่ว่าจะในระหว่างการส่งหรือขณะหยุดนิ่ง
- ใช้ AWS KMS เพื่อจัดเก็บคีย์การเข้ารหัสที่ไม่ได้ใช้งานซึ่งสร้างขึ้นโดย AWS
- ใช้ Cloud HSM เพื่อจัดเตรียมอุปกรณ์ที่เข้ารหัสด้วยฮาร์ดแวร์สำหรับจัดเก็บคีย์
- ใช้บริการ AWS ที่ให้การเข้ารหัสระหว่างการขนส่งโดยจัดให้มีจุดสิ้นสุด https ที่ให้การเข้ารหัสแบบครบวงจร
- AWS Certificate Manager เพื่อสร้างใบรับรอง SSL สำหรับโดเมนสาธารณะ
ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับบริการฐานข้อมูลและการจัดเก็บข้อมูล AWS
- ที่เก็บข้อมูล RDS จะถูกเข้ารหัสเมื่อไม่ได้ใช้งาน
- จำกัดการเข้าถึงอินสแตนซ์ RDS เพื่อลดความเสี่ยงจากกิจกรรมที่เป็นอันตราย เช่น การโจมตีแบบบรูทฟอร์ซ การแทรก SQL หรือการโจมตี DoS
- ที่เก็บข้อมูล S3 จะถูกเข้ารหัสเมื่อไม่ได้ใช้งาน
- นโยบาย S3 จะถูกใช้เพื่อจำกัดการเข้าถึงเนื้อหา S3
- ใช้ AWS Macie เพื่อตรวจจับและรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อนภายใน AWS-S3
- ใช้ AWS Parameter Store เพื่อจัดเก็บข้อมูลประจำตัวและความลับเฉพาะสภาพแวดล้อม เพื่อให้บรรลุการใช้การจัดการความลับสำหรับแอปพลิเคชันเนทีฟคลาวด์ของคุณ
ความปลอดภัยเครือข่าย
- ใช้ระบบตรวจจับการบุกรุก (IDS) หรือระบบป้องกันการบุกรุก (IPS) เพื่อให้สามารถตรวจจับและป้องกันการโจมตีโครงสร้างพื้นฐานที่สำคัญ เช่น เกตเวย์การชำระเงิน
- ตรวจสอบให้แน่ใจว่าบันทึกการไหลของ VPC ได้รับการเปิดใช้งานเพื่อตรวจสอบปริมาณการใช้งานเครือข่าย
- จำกัดการเข้าถึงโดยกลุ่มความปลอดภัย (EC2, RDS, Elastic Cache ฯลฯ)
- ใช้ Guard Duty เพื่อตรวจสอบบัญชี AWS และโครงสร้างพื้นฐานอย่างต่อเนื่อง
ความปลอดภัยของแอปพลิเคชันเว็บ
- ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) เพื่อตรวจสอบแพ็กเก็ตข้อมูลการรับส่งข้อมูลบนเว็บอย่างเจาะลึก
- ใช้ Amazon Inspector ซึ่งเป็นบริการการประเมินความปลอดภัยอัตโนมัติที่ปรับปรุงความปลอดภัยและการปฏิบัติตามข้อกำหนดของแอปพลิเคชันที่ติดตั้งบน AWS
เปิดใช้งานการจัดการการกำหนดค่า
- ใช้ AWS Config เพื่อตรวจสอบ ประเมิน และประเมินผลการเปลี่ยนแปลงการกำหนดค่าภายใน AWS
การติดตามและแจ้งเตือน
- CloudTrail ช่วยให้สามารถตรวจสอบและติดตามกิจกรรมที่ได้รับอนุญาตและไม่ได้รับอนุญาตภายในบัญชี AWS ได้
- สามารถตั้งค่าการแจ้งเตือน CloudWatch สำหรับกิจกรรมที่เป็นอันตรายภายในบัญชี AWS และโครงสร้างพื้นฐานที่ติดตั้งภายใน AWS และบันทึกแอปพลิเคชัน
- ตั้งค่าการแจ้งเตือนการเรียกเก็บเงินเพื่อให้ทีมของคุณทราบถึงค่าใช้จ่ายการใช้บัญชีหรือโครงสร้างพื้นฐานเฉพาะต่างๆ
การปฏิบัติตาม การฝึกอบรม และการรับรอง
- ใช้ AWS Artifact เพื่อเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ตามความต้องการ
- ฝึกอบรมและให้ความรู้แก่ทีมงานที่ใช้แพลตฟอร์มคลาวด์ AWS เพื่อการปรับใช้หรือรับผิดชอบต่อโครงสร้างพื้นฐาน
การนำแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยบนคลาวด์เหล่านี้มาใช้ตามแนวทางที่ AWS จัดทำขึ้น ช่วยให้ CrawfordTech สามารถใช้มาตรการรักษาความปลอดภัยที่เหมาะสมได้โดยจัดให้มีแนวทางปฏิบัติด้านความปลอดภัยที่เป็น “ชั้นนำ” พร้อมด้วยบริการ “ระดับโลก” ที่ลูกค้าสามารถไว้วางใจได้
