Data Security on Public Cloud

Cloud ပေါ်က သင့် Data လုံခြုံရေးကစိတ်ချရပါသလား။ စိတ်ချ ရတယ်လို့ သင်ယူဆရင် တော့ ဒီဆောင်းပါးလေး ကို အဆုံးထိ ဖတ်ကြည့်စေချင်ပါတယ်။ သာမာန် Organization တွေ ကိုခဏဖယ်ထားပြီး Database Security Solution မှာ နာမည်ကြီးတဲ့ Imperva ကို အရင်လေ့လာကြည့်ပါမယ်။ Imperva ဟာ သူရဲ့ Database ကို အကာအကွယ်မရှိဘဲ AWS Cloud ပေါ်မှာထားမိတဲ့အတွက် Data တစ်ချို့ ပေါက်ကြားသွားရာကအစ Imperva ရဲ့ CEO ကိုယ်တိုင် ရာထူးကနေ နှုတ်ထွက်ပေးလိုက်ရတဲ့ အနေအထားအထိ ရောက်ရှိသွားခဲ့ပါတယ်။ ဒါကြောင့် Cloud ပေါ်မှာ Server တွေ Dataတွေ တင်တော့မယ်ဆိုရင် Security Architecture ကို ဂရုစိုက်ပြီး ကြိုတင်ပြင်ဆင်စရာ တွေ ရှိပါတယ်။ Cloud Provider တွေ ကိုယ်တိုင်ကလည်း သူတို့ Cloud ပေါ်မှာ Run နေတဲ့ Data , Server တွေ ရဲ့လုံ ခြုံရေးဟာ Cloud သုံးစွဲသူမှာသာ တာဝန်ရှိတယ်လို့ အတိအလင်း ဖော်ပြထားပါတယ်။ ဒီ Link မှာ လေ့လာနိုင်ပါတယ် >>> https://aws.amazon.com/complia…/shared-responsibility-model/
‍‍‍‍‍‍
အခုလက်ရှိဖြစ်သွားတာကတော့ Imperva ရဲ့ Cloud based Web Application Firewall ဖြစ်တဲ့ Incapsula ရဲ့ Database Snapshot တွေ ပေါက်ကြားသွားတာဖြစ်ပြီး Customers ပေါင်း 13,000 ကျော်ရဲ့ Email Address, Hashed & Salted Passwords, API Keys တွေနဲ့ TLS Keys တွေပါသွားတာပါ။
‍‍‍‍‍‍
ဘယ်လိုဖြစ်သွားတာလဲ ?
Imperva ရဲ့ တရားဝင်ဖြေရှင်းတဲ့ Post အရ…
‍‍‍‍‍‍
(၁) AWS ပေါ်မှာ RDS Snapshot တွေကို Testing လုပ်ဖို့ ဖန်တီးခဲ့တယ်။
‍‍‍‍‍‍
(၂) Cloud ပေါ်က သူတို့ Server က Access ကို ထိန်းချုပ်မထားတဲ့အတွက် လူတိုင်း တွေ့နိုင်တဲ့ Public ဖြစ်ပြီး အဲဒီ Server ထဲမှာ AWS API Keys တွေရှိနေတယ်။
‍‍‍‍‍‍
(၃) Server ကို Hacker ဝင်လို့ ရသွားတော့ API Keys တွေပါရသွားတယ်။
‍‍‍‍‍‍
(၄) အဲဒီ API Keys တွေကိုသုံးပြီး Database Snapshot ကို ဖတ်ယူနိုင်ခဲ့ပါတယ်။
‍‍‍‍‍‍
(၅) ဒီ Incident ကနေပီးတော့ Incapsula သုံးနေတဲ့ Customers တွေစုစုပေါင်း 13,000 ကျော်ရဲ့ Data တွေ (Email, Hased Password, API Keys) ပေါက်ကြားသွားပါတယ်။ အခြား Product သုံးသူတွေတော့ မပါဘူးလို့ Imperva က October 20, 2019 မှာ ထုတ်ပြန်တဲ့ သတင်းအရ သိရပါတယ်။
‍‍‍‍‍‍
ဒီနေရာမှာ တချက်ရှင်းပြချင်တာက API Keys ဆိုတာက AWS ကနေ Username/Password နဲ့ Login ဝင်ရမဲ့အစား User တ‌‌ယောက်ချင်းစီရဲ့ Permission အတိုင်းရတဲ့ Alphanumeric String Value တွေပဲ ဖြစ်ပါတယ်။ ပုံမှန် Web/App Developer တွေအသုံးများကြ ပြီးတော့ ဒီ Keys တွေကို Application Code/ Command Line တွေမှာ အသုံးပြုပီး AWS Services တွေကို လှမ်း Access လုပ်လို့ရပါတယ်။ AWS ရဲ့ Best Practice တွေအနေနဲ့ကတော့ ဒီ API Keys တွေ အသုံးပြုမှုကို တတ်နိုင်သလောက်မလုပ်ဘဲ AWS Identity Access Management Service ကိုအသုံးပြုပီး Roles/Policies တွေကို အသုံးပြုဖို့ တိုက်တွန်းထားပါတယ်။
‍‍‍‍‍‍
ဒီ Security Breach ဖြစ်ပြီးချိန်မှာ Imperva ကနေ ချက်ချင်း Security Control တွေအနေနဲ့ ခြောက်ချက်ကို လုပ်ခဲ့တယ်လို့သိရပါတယ်။ ဒါတွေကတော့…
‍‍‍‍‍‍
(1) applying tighter security access controls
‍‍‍‍‍‍
(2) increasing audit of snapshot access
‍‍‍‍‍‍
(3) decommissioning inactive compute instances
‍‍‍‍‍‍
(4) rotating credentials and strengthening credential management processes
‍‍‍‍‍‍
(5) putting all internal compute instances behind VPN by default
‍‍‍‍‍‍
(6) increasing the frequency of infrastructure scanning
‍‍‍‍‍‍
ဒီဖြစ်ရပ်ဖြစ်ပီး နှစ်လအကြာ 21st October 2019 မှာ Imperva ရဲ့ CEO ဖြစ်သူ Chris Hylen ဟာ လက်ရှိမှာ အလုပ်ထွက်သွားပီး သူ့နေရာမှာတော့ Imperva Chairman Charles Goodman က ခဏတာ CEO တာဝန်ယူထားပေးမှာ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
🔵 Public Cloud ပေါ်မှ Data Security
Customer တွေအနေနဲ့ Cloud ပေါ်မှာ Application တွေ ထားလာတဲ့အခါမှာ Data Security ပိုင်းနဲ့ ပတ်သက်လို့ ဘယ်သူဆီမှာ တာဝန်ရှိသလဲလို ဆိုရာမှာ အငြင်းပွားဖွယ်ရာဖြစ်လာပါတယ်။ အမှန်တော့ Cloud Provider တွေအနေနဲ့ Basic Infrastructure တွေကို ပေးထားပေးမယ့် ကိုယ်တင်တဲ့ Data၊ Application နဲ့ Operating System ကစလို့ အရာရာတိုင်းဟာ အသုံးပြုသူ Customer ရဲ့ တာဝန်ပါ။ အောက်ပါ ပုံကတော့ Microsoft ရဲ့ Shared Responsibility Model ပါ။ အခြား Public Cloud တွေရဲ့ Data Security နဲ့လည်း ဆင်တူပါတယ်။ ပုံအရ လေ့လာကြည့်မယ်ဆိုရင် Customers တွေအနေနဲ့ ကိုယ်အသုံးပြုနေတဲ့ Application Servers/Data တွေသာမက Data Traffic သွားရင်တောင်မှ Security ကိုစဉ်းစားဖို့ လိုအပ်ပါတယ်။ ဒါ‌ကြောင့် System တခုကို စပြီး Develop လုပ်တော့မယ်ဆိုတာနဲ့ လိုအပ်သော Design Architecture က ဂရုစိုြက်ပီး ကြိုတင်ပြင်ဆင်ရမှာပါ။
‍‍‍‍‍‍
ဒါကြောင့် Customer တွေအနေနဲ့ Cloud ပေါ်မှာ ကိုယ့်ရဲ့Application တွေ Data တွေထားကြမယ်ဆိုရင် အရင်ဆုံး Data Security ပိုင်းကိုစိတ်ပူလာကြတော့ Customer Responsibility တွေဖြစ်တဲ့…
‍‍‍‍‍‍
✦ Customer Data
✦ Application
✦ Platform
✦ Operating system
✦ Network and firewall
‍‍‍‍‍‍
… အစရှိတာတွေကို best practice အနေနဲ့ ဘယ်လို configure လုပ်သင့်လဲဆိုတာမျိုးတွေကို NEX4 ICT solutions မှာ အချိန်မရွေး ဆက်သွယ်စုံစမ်းမေးမြန်းနိုင်ပါတယ် ~~~

Don’t forget to share this post!