Lesson 3Audit

Auditing and Configuration

Monitoring บอกว่าระบบทำงานอย่างไร ส่วน Auditing บอกว่าใครทำอะไร เมื่อไร และ Configuration tracking บอกว่า resource เปลี่ยนจาก state เดิมอย่างไร

AWS CloudTrail

CloudTrail บันทึก actions ที่เกิดจาก user, role หรือ AWS service เป็น events ครอบคลุม Management Console, AWS CLI, SDK และ API Event history ดูย้อนหลัง 90 วันสำหรับ management events ใน Region ได้ แต่ production governance ควรใช้ trail ส่ง logs ไป S3

Multi-Region Trail และ S3 log archive

Multi-Region Trail ช่วยเก็บ management events จากหลาย Regions ไว้ที่เดียว ลด blind spot เมื่อมีคนสร้าง resource ใน Region ที่ไม่ได้ใช้งานปกติ S3 log archive bucket ควรเปิด encryption, versioning, lifecycle และจำกัด write/read permissions อย่างเข้มงวด

AWS Config

AWS Config บันทึก configuration changes ของ resources และประเมิน compliance ด้วย managed/custom rules ใช้ตอบคำถามเช่น “Security Group นี้เคยเปิด 0.0.0.0/0 เมื่อไร” หรือ “RDS instance ใดไม่เปิด encryption”

Trusted Advisor และ AWS Health Dashboard

Trusted Advisor: ให้คำแนะนำด้าน cost optimization, security, fault tolerance, performance และ service limits ตามระดับ support plan
AWS Health Dashboard: แสดงเหตุการณ์ที่กระทบ AWS services และ resource/account ของคุณ

Common mistakes

เปิด CloudTrail เฉพาะ Region เดียว ทั้งที่มีคนสร้าง resource ใน Region อื่นได้
เก็บ audit logs ใน bucket ที่ admin ทั่วไปลบหรือแก้ได้ง่าย
เปิด AWS Config แต่ไม่ตั้ง rule หรือไม่ review noncompliant resources
ไม่รวม CloudTrail/Config findings เข้ากับ incident workflow

Review questions

CloudTrail ตอบคำถาม operational/security แบบใด?
ทำไม audit log bucket ต้องจำกัด permission เป็นพิเศษ?
AWS Config ต่างจาก CloudTrail อย่างไร?

Sources: What is AWS CloudTrail?, What is AWS Config?