การใช้บริการคลาวด์สตอเรจนั้นนับเป็นความสะดวกอย่างมาก เพราะผู้ใช้สามารถใช้งานได้ทั้งสำหรับงานภายในที่ผู้เข้าถึงไฟล์ต้องมีสิทธิ์เฉพาะ หรือใช้เผยแพร่ไฟล์ต่อสาธารณะก็ทำได้ง่ายเพียงไม่กี่คำสั่ง แต่ความผิดพลาดเช่นนี้คงเกิดขึ้นเรื่อยๆ ทำให้ทาง AWS เผยแพร่บล็อกการมอนิเตอร์ S3 เพื่อมอนิเตอร์สถานะการตั้งค่าของ bucket ว่ามีการเปิดต่อสาธารณะหรือไม่
สถาปัตยกรรมที่ AWS เสนอ ใช้ฟีเจอร์ AWS Config Event ที่แจ้งเตือนเมื่อมีการคอนฟิกค่าใหม่ จากนั้นมอนิเตอร์ความเปลี่ยนแปลงด้วย CloudWatch และส่งค่าเข้าไปยัง Lambda เพื่อตั้งค่ากลับเป็น bucket ปิดโดยอัตโนมัติหากพบว่า bucket ที่เปิดขึ้นมาไม่ได้รับอนุญาต พร้อมกับแจ้งเตือนผู้ดูแลระบบผ่านบริการ SNS
บทความสอนในระดับจับมือทำ แสดงการคอนฟิกทีละระบบ และโค้ดสำหรับ AWS Lambda พร้อมกับเตือนให้ตรวจสอบว่าระบบทั้งหมดทำงานได้ถูกต้องดี
หากคอนฟิกยากเกินไป ติดต่อ AWS Partner น่าจะทำให้ได้กันแทบทุกราย
ที่มา - AWS Security Blog