本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 安全性常見問答集 AMS 透過全球營運中心提供全年無休follow-the-sun支援。專用 AMS 操作工程師會主動監控儀表板和事件佇列。AMS 通常會透過自動化管理您的帳戶。在極少數需要特定故障診斷或部署專業知識的情況下,AMS 操作工程師可能會存取 AWS 您的帳戶。 以下是有關 AMS Accelerate 在 AMS 操作工程師或自動化存取您的帳戶時所使用的安全最佳實務、控制、存取模型和稽核機制的常見問題。 ## AMS 操作工程師何時存取我的環境? AMS 操作工程師無法持續存取您的帳戶或執行個體。只有在合理的商業使用案例中,例如提醒、事件、變更請求等,才能授予 AMS 營運商存取客戶帳戶的權限。存取會記錄在 AWS CloudTrail 日誌中。 如需存取理由、觸發和觸發啟動器的詳細資訊,請參閱 [AMS 客戶帳戶存取觸發條件](access-justification.md#access-mgmt-triggers)。 ## AMS 操作工程師在存取我的帳戶時擔任哪些角色? 在極少數情況下 (\~5%),在您的環境中需要人工介入的情況下,AMS 操作工程師會使用預設的唯讀存取角色登入您的帳戶。預設角色無法存取任何常存放在資料存放區的內容,例如 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache。 如需 AMS 操作工程師和系統在帳戶中提供服務所需的角色清單,請參閱 [AMS 客戶帳戶存取 IAM 角色](access-justification.md#access-mgmt-iam-roles)。 ## AMS 操作工程師如何存取我的帳戶? 若要存取客戶帳戶,AMS 操作工程師會使用 AWS 內部 AMS 存取服務。此內部服務只能透過安全的私有管道提供,以便安全地存取您的帳戶並進行稽核。 1. AMS 操作工程師使用內部 AMS 存取服務身分驗證與雙重驗證。此外,營運工程師必須提供業務理由 (事件票證或服務請求 ID),概述存取您 AWS 帳戶的需求。 1. 根據操作工程師的授權,AMS 存取服務為工程師提供適當的角色 (only/Operator/Admin) 和 AWS 主控台的登入 URL。存取您的帳戶是短期且有時間限制的。 1. 若要存取 Amazon EC2 執行個體,AMS 操作工程師會使用與代理程式相同的內部 AMS 存取服務。授予存取權後,AMS 操作工程師會使用 AWS Systems Manager Session Manager 來存取具有短期工作階段登入資料的執行個體。 為了提供 Windows 執行個體的 RDP 存取權,操作工程師會使用 Amazon EC2 Systems Manager 在執行個體上建立本機使用者,並建立連接埠轉送至執行個體。操作工程師會使用本機使用者登入資料來存取執行個體。本機使用者登入資料會在工作階段結束時移除。 下圖概述 AMS 操作工程師用來存取您 帳戶的程序: ![AMS Accelerate 主控台存取方法。](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png) ## 如何追蹤 AMS 在我的 AMS 受管 AWS 帳戶中所做的變更? **帳戶存取** 為了協助您追蹤自動化或 AMS Accelerate 操作團隊所做的變更,AMS 會在 Amazon Athena 主控台和 AMS Accelerate 日誌中提供**變更記錄** SQL 介面。這些資源提供下列資訊: + 誰存取您的帳戶。 + 存取帳戶的時間。 + 使用哪些權限來存取您的帳戶。 + AMS Accelerate 在您帳戶中所做的變更。 + 為什麼您的 帳戶中進行了變更。 **資源組態** 檢視 CloudTrail 日誌以追蹤過去 90 天內 AWS 資源中的組態。如果您的組態超過 90 天,請存取 Amazon S3 中的日誌。 **執行個體日誌** Amazon CloudWatch Agent 會收集作業系統日誌。檢視 CloudWatch 日誌,以查看作業系統支援的登入和其他動作日誌。 如需詳細資訊,請參閱[追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。 ## AMS 操作工程師存取我帳戶的程序控制為何? 在加入 AMS 之前,營運工程師會進行刑事背景檢查。由於 AMS 工程師管理客戶基礎設施,因此他們還必須進行年度背景檢查。如果工程師未通過背景檢查,則會撤銷存取權。 所有 AMS 操作工程師都必須完成強制性安全訓練,例如基礎設施安全性、資料安全性和事件回應,才能獲得資源的存取權。 ## 如何管理特殊權限存取? 使用者子集必須完成額外的訓練並維護特殊存取權限,以提高存取權。會檢查和稽核存取和用量。AMS 限制特殊情況或最低權限存取無法滿足您的請求時的特權存取。特殊權限存取也會有時間限制。 ## AMS 操作工程師是否使用 MFA? 是。所有使用者都必須使用 MFA 和存在證明來為您提供服務。 ## 當 AMS 員工離開組織或變更任務角色時,他們的存取權會發生什麼情況? 透過內部群組成員資格佈建客戶帳戶和資源的存取權。成員資格是以嚴格的條件為基礎,包括 AMS 中的特定任務角色、報告管理員和僱用狀態。如果操作工程師的工作系列變更或其使用者 ID 已停用,則會撤銷存取權。 ## 哪些存取控制會管理 AMS 操作工程師對我帳戶的存取? 有多層技術控制可強制執行「需要知道」和「最低權限」原則來存取您的環境。以下是存取控制的清單: + 所有操作工程師都必須是特定內部 AWS 群組的一部分,才能存取客戶帳戶和資源。群組成員資格嚴格基於需要知道的基礎,並使用預先定義的條件自動化。 + AMS 會實務「非持久性」存取您的環境。這表示透過 AMS 操作存取 AWS 您的帳戶是「just-in-time」,具有短期憑證。只有在提交並檢閱內部業務案例理由 (服務請求、事件、變更管理請求等) 之後,才會提供帳戶的存取權。 + AMS 遵循最低權限原則。因此,授權操作工程師預設會擔任唯讀存取。只有在因事件或變更請求而需要變更您的環境時,工程師才會使用寫入存取權。 + AMS 使用易於識別的標準角色,這些 AWS Identity and Access Management 角色使用「ams」字首來監控和管理您的帳戶。所有存取都會登入 AWS CloudTrail 供您稽核。 + AMS 使用自動化後端工具,在變更執行的客戶資訊驗證階段偵測您帳戶的未經授權變更。 ## AMS 如何監控根使用者存取? 根存取一律會觸發事件回應程序。AMS 使用 Amazon GuardDuty 偵測來監控根使用者活動。如果 GuardDuty 產生警示,則 AMS 會建立事件以進行進一步調查。如果偵測到非預期的根帳戶活動,AMS 會通知您,且 AMS 安全團隊會啟動調查。 ## AMS 如何回應安全事件? AMS 會調查從 Amazon GuardDuty、Amazon Macie 等偵測服務以及客戶回報的安全問題所產生的安全事件。AMS 與您的安全回應團隊合作,以執行安全事件回應 (SIR) 程序。AMS SIR 程序以 [NIST SP 800-61 修訂版 2,電腦安全事件處理指南](https://csrc.nist.gov/pubs/sp/800/61/r2/final)架構為基礎,並提供全年無休follow-the-sun回應。AMS 會與您合作,快速分析並包含安全事件。 ## AMS 遵循哪些產業標準認證和架構? 如同其他服務 AWS ,AWS Managed Services 已通過 OSPAR、HIPAA、HITRUST、GDPR、SOC\*、ISO\*、FedRAMP (中/高)、IRP 和 PCI 認證。如需 AWS 符合的客戶合規認證、法規和架構的詳細資訊,請參閱 [AWS 合規](https://aws.amazon.com/compliance/)。 **安全護欄** AWS Managed Services 使用多個控制項來保護您的資訊資產,並協助您保護 AWS 基礎設施的安全。AMS Accelerate 會維護 AWS Config 規則和修補動作的程式庫,以協助您確保帳戶符合安全與操作完整性的產業標準。 AWS Config 規則會持續追蹤所記錄資源的組態變更。如果變更違反規則的條件,則 AMS 會向您報告其問題清單。您可以根據違規的嚴重性,自動或根據請求修復違規。 AMS 使用 AWS Config 規則來協助滿足下列標準的要求: + 網際網路安全中心 (CIS) + 國家標準技術研究所 (NIST) 雲端安全架構 (CSF) + 美國健康保險流通與責任法案 (HIPAA) + 支付卡產業 (PCI) 資料安全標準 (DSS) 如需詳細資訊,請參閱[AMS Accelerate 中的安全管理](acc-sec.md) ## 如何存取有關安全認證、架構和合規的最新報告 AWS? 您可以使用下列方法找到 AWS 服務的目前安全與合規報告: + 您可以使用 [AWS Artifact](https://aws.amazon.com/artifact/) 下載 AWS 服務安全性、可用性和機密性的最新報告。 + 如需符合全球合規架構的大多數 AWS 服務清單,包括 AWS Managed Services,請參閱 [https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/)。例如,選取 **PCI** 並搜尋 **AWS Managed Services**。 您可以搜尋「AMS」,從 AMS 受管 AWS 帳戶尋找 AMS 特定的安全成品。AWS Managed Services 在 [SOC 3 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)的範圍內。 + AWS SOC 2 (系統和組織控制) 報告會發佈至 AWS Artifact 儲存庫。此報告會在美國註冊公眾會計協會 (AICPA) TSP 第 100 節信任服務標準中,評估符合安全性、可用性和機密性標準的 AWS 控制項。 ## AMS 是否會共用 AMS 功能不同層面的參考架構圖表? 若要檢視 AMS 參考架構,請下載 [AWS Managed Services for Proactive Monitoring PDF](samples/AWS-managed-services-for-operational-excellence-ra.zip)。 ## AMS 如何追蹤誰存取我的帳戶,以及存取所需的業務需求? 為了支援服務持續性和帳戶的安全性,AMS 只會為了回應主動運作狀態或維護、運作狀態或安全事件、計劃活動或客戶請求而存取您的帳戶或執行個體。您帳戶的存取是透過 AMS 程序授權,如 [AMS Accelerate 的存取模型](acc-access-operator.md)中所述。這些授權流程包含防護機制,以防止意外或不適當的存取。作為存取流程的一部分,AMS 為授權系統提供業務需求。此業務需求可能是與您的帳戶相關聯的工作項目,例如您使用 AMS 開啟的案例。或者,業務需求可能是授權的工作流程,例如修補解決方案。所有存取都需要由內部 AMS 系統根據業務規則即時驗證、驗證和授權的正當性,才能使存取請求符合業務需求。 如果沒有有效的業務需求,AMS 操作工程師就無法存取您的帳戶。所有帳戶存取和相關聯的業務需求都會傳送到您 AWS 帳戶內的 AWS CloudTrail 項目。這可讓您完全透明,並有機會執行自己的稽核和檢查。除了您的檢查之外,AMS 還具有自動檢查,並視需要執行存取請求的手動檢查,並對工具和人工存取執行稽核,以檢閱異常存取。 ## AMS 工程師是否可以存取存放在資料儲存服務中的 AWS 資料,例如 Amazon S3、Amazon RDS、DynamoDB 和 Amazon Redshift? AMS 工程師無法存取存放在常用於資料儲存 AWS 的服務中的客戶內容。用於讀取、寫入、修改或刪除這些服務中資料的 AWS APIs 存取,受限於與用於 AMS 工程師存取的 IAM 角色相關聯的明確 IAM 拒絕政策。此外,內部 AMS 護欄和自動化可防止 AMS 操作工程師移除或修改拒絕條件。 ## AMS 工程師是否可以存取存放在 Amazon EBS、Amazon EFS 和 Amazon FSx 中的客戶資料? AMS 工程師可以管理員身分登入 Amazon EC2 執行個體。在某些情況下,修復需要管理員存取權,包括但不限於作業系統 (OS) 問題和修補程式失敗。AMS 工程師通常會存取系統磁碟區來修復偵測到的問題。不過,AMS 工程師的存取權不會限制或受限於系統磁碟區。 ## 如何限制或控制對我的環境具有高權限的自動化角色的存取? 此`ams-access-admin`角色僅供 AMS 自動化使用。這些自動化會部署、管理和維護 AMS 用來部署到您的環境的必要資源,以用於遙測、運作狀態和安全資料收集,以執行操作功能。AMS 工程師無法擔任自動化角色,且受到內部系統中角色映射的限制。在執行時間,AMS 會動態將範圍縮小的最低權限工作階段政策套用至每個自動化。此工作階段政策會限制自動化的功能和許可。 ## AMS 如何實作 AWS Well-Architected Framework for Automation Role 中倡議的最低權限原則? 在執行時間,AMS 會將範圍縮小、最低權限工作階段政策套用至每個自動化。此範圍縮小的工作階段政策會限制自動化的功能和許可。具有建立 IAM 資源許可的工作階段政策也需要連接許可界限。此許可界限可降低權限提升風險。每個團隊都會加入僅供該團隊使用的工作階段政策。 ## 哪些記錄和監控系統用於偵測未經授權的存取嘗試或涉及自動化角色的可疑活動? AWS 會維護集中式儲存庫,提供核心日誌封存功能供 AWS 服務團隊內部使用。這些日誌存放在 Amazon S3 中,以實現高可擴展性、耐用性和可用性。 AWS 服務團隊接著可以在中央日誌服務中收集、封存和檢視服務日誌。 上的生產主機 AWS 使用主基準映像進行部署。基準映像配備一組標準組態和函數,包括基於安全目的的記錄和監控。 AWS 安全團隊會儲存和存取這些日誌,以便在發生可疑的安全事件時進行根本原因分析。 指定主機的日誌可供擁有該主機的團隊使用。團隊可以搜尋其日誌以進行操作和安全性分析。 ## 如何處理與自動化基礎設施相關的安全事件或違規,以及哪些通訊協定有助於快速回應和緩解? AWS 應變計畫和事件回應程序手冊已定義並測試偵測、緩解、調查和評估安全事件的工具和程序。這些計劃和手冊包含根據合約和法規要求回應潛在資料外洩的指導方針。 ## 是否定期在自動化基礎設施上執行安全評估、漏洞掃描和滲透測試? AWS 安全性會使用各種工具,在 AWS 環境中主機作業系統、Web 應用程式和資料庫上執行定期漏洞掃描。 AWS 安全團隊也會訂閱適用廠商瑕疵的新聞摘要,並主動監控廠商的網站和其他相關管道,以取得新的修補程式。 ## 如何限制只有授權人員才能存取自動化基礎設施? AWS 系統存取權是根據最低權限配置,並由獲授權的個人核准。職責和責任領域 (例如,存取請求和核准、變更管理請求和核准、變更開發、測試和部署等) 會隔離到不同的個人,以減少未經授權或無意修改或濫用 AWS 系統。系統界限內不允許群組或共用帳戶。 ## 實作哪些措施來維護安全標準,並防止自動化管道中的未經授權存取或資料外洩? 資源的存取,包括 服務、主機、網路裝置,以及 Windows 和 UNIX 群組,已由適當的擁有者或管理員在 AWS 專屬許可管理系統中核准。許可管理工具日誌會擷取存取變更的請求。任務函數變更會自動撤銷員工對 資源的存取權。必須請求並核准該員工的持續存取權。 AWS 需要透過核准的密碼編譯管道進行雙重驗證,才能從遠端位置對內部 AWS 網路進行身分驗證。防火牆裝置會限制對運算環境的存取、強制執行運算叢集的界限,以及限制對生產網路的存取。 實作程序是為了保護稽核資訊和稽核工具免於未經授權的存取、修改和刪除。稽核記錄包含一組資料元素,以支援必要的分析需求。此外,稽核記錄可供授權使用者隨需檢查或分析,以及回應安全相關或影響業務的事件。 AWS 系統 (例如網路、應用程式、工具等) 的使用者存取權會在終止或停用後 24 小時內撤銷。停用和/或移除非作用中使用者帳戶至少每 90 天一次。 ## 是否針對存取或稽核記錄開啟異常偵測或監控,以偵測權限提升或存取濫用,以主動提醒 AMS 團隊? 的生產主機 AWS 具有記錄功能,以維護安全。此服務會在主機上記錄人類動作,包括登入、失敗的登入嘗試和登出。 AWS 安全團隊會儲存和存取這些日誌,以便在發生可疑的安全事件時進行根本原因分析。擁有該主機的團隊也可以使用指定主機的日誌。前端日誌分析工具可供服務團隊搜尋其日誌以進行操作和安全性分析。實作程序有助於保護日誌和稽核工具免於未經授權的存取、修改和刪除。 AWS 安全團隊會執行日誌分析,根據定義的風險管理參數來識別事件。 ## 從 AMS 受管帳戶擷取哪些類型的客戶資料,以及如何使用和儲存這些資料? AMS 不會出於任何目的存取或使用內容。AMS 將客戶內容定義為軟體 (包括機器映像)、資料、文字、音訊、視訊或影像,客戶或任何最終使用者透過使用 而從前述衍生的任何運算結果,透過 AWS 服務 傳輸到 AWS 來處理、儲存或託管 AWS 服務。