รายงานสรุปผลการดำเนินการปรับตั้งค่าความปลอดภัย (OpenSCAP Hardening)
ตามนโยบายการรักษาความปลอดภัยขององค์กร ได้มีการประเมินและปรับตั้งค่าระบบปฏิบัติการ (OS Hardening) สำหรับเซิร์ฟเวอร์ที่ใช้งานบน AWS EC2 โดยใช้มาตรฐานการตรวจสอบ (Benchmark) ผ่าน OpenSCAP เพื่อลดความเสี่ยงจากช่องโหว่และเพิ่มความมั่นคงปลอดภัยเชิงระบบ
การดำเนินการครั้งนี้มีเป้าหมายเพื่อให้ OpenSCAP Evaluation Score ≥ 85/100 บนเครื่องเซิร์ฟเวอร์ทั้งหมดที่สามารถเข้าถึงได้
1️เกณฑ์การเลือก Profile
เพื่อให้เหมาะสมกับเวอร์ชันของระบบปฏิบัติการ ได้แบ่งการเลือกใช้ OpenSCAP Profile ออกเป็น 2 กลุ่มหลัก ดังนี้
1.1 EC2 Instances ที่ใช้ Ubuntu 24.04
Instance:
cloudtwo_appomax
Profile ที่ใช้:
CIS Ubuntu Linux 24.04 LTS Benchmark for Level 1 - Server
เหตุผล:
Profile ระดับ CIS Level 1 เป็นมาตรฐานสากลที่แนะนำสำหรับ Server Production
เหมาะสมสำหรับ Ubuntu 24.04 LTS ซึ่งเป็น OS เวอร์ชันล่าสุดที่รองรับการตั้งค่าความปลอดภัยอย่างเข้มงวด
ครอบคลุมการตั้งค่าด้านระบบ, การจัดการผู้ใช้, SSH, PAM, Log, Sysctl และ Kernel Hardening
1.2 EC2 Instances ที่ใช้ Ubuntu 16.04
Instances:
appomax WebRTC
appomax Control
appomax Web
appomax CM
appomax Media
appomax Host
Profile ที่ใช้:
Standard System Security Profile for Ubuntu 16.04
เหตุผล:
เป็น Profile มาตรฐานที่ออกแบบมาสำหรับ OS เวอร์ชัน Legacy เช่น Ubuntu 16.04 LTS
มีเป้าหมายเป็น Baseline Security เพื่อลดความเสี่ยงจากการโจมตีทั่วไปโดยไม่กระทบต่อ Compatibility ของแอปพลิเคชัน
เหมาะสมกับสภาพแวดล้อม Production ที่ยังต้องใช้ Ubuntu 16.04 ในปัจจุบัน
รายละเอียดของ Standard Profile:
ครอบคลุม Best Practices สำหรับการตั้งค่า Password Policy, User Account, Filesystem, Logging, Sysctl
ไม่เข้มงวดเท่า CIS Level 1 แต่เหมาะสมสำหรับ Server Production ที่ต้องการความปลอดภัยขั้นต่ำ
2️ EC2 Instances ที่ยังไม่สามารถเข้าถึงเพื่อดำเนินการได้
พบว่ามีเครื่อง EC2 จำนวน 3 เครื่องที่ไม่สามารถเชื่อมต่อ SSH ได้ในช่วงการดำเนินการครั้งนี้:
appomax-proxy-prod-ec2
appomax-vms-services VMS Services (จำนวน 2 Instances)