本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 預防性控制
<a name="preventative-controls"></a>

*預防性控制*旨在防止事件發生的安全控制。這些防護機制是第一道防線，可協助防止對網路的未經授權存取或不必要變更。預防性控制的範例是具有唯讀存取權的 AWS Identity and Access Management (IAM) 角色，因為它有助於防止未經授權的使用者執行意外的寫入動作。

**Topics**
+ [目標](#preventative-objectives)
+ [流程](#preventative-process)
+ [使用案例](#preventative-use-cases)
+ [技術](#preventative-technology)
+ [業務成果](#preventative-business-outcomes)

## 目標
<a name="preventative-objectives"></a>

預防性控制的主要目的是最大限度地減少或避免威脅事件發生的可能性。此控制應有助於防止未經授權存取系統，並有助於防止意外的變更影響系統。以下是預防性控制的目標：
+ **職責分離** – 預防性控制可以建立限制權限的邏輯界限，允許許可僅在指定帳戶或環境中執行特定任務。範例包括：
  + 將工作負載分段至特定服務的不同帳戶
  + 分隔並考慮獨立的生產、開發和測試環境
  + 將存取權和責任委派給多個實體以執行特定功能，例如使用 IAM 角色或擔任的角色以僅允許特定的工作職能執行某些動作
+ **存取控制** – 預防性控制可以一致地授予或拒絕對環境中資源和資料的存取。範例包括：
  + 防止使用者超出預期許可，稱為*權限提升*
  + 僅限授權使用者和服務存取應用程式和資料
  + 保持管理員群組較小
  + 避免使用根使用者憑證
+ **強制執行** – 預防性控制可以協助您的公司遵守其政策、指引和標準。範例包括：
  + 作為最低安全基準的鎖定組態
  + 實作其他安全措施，例如多重要素驗證
  + 避免由未經核准的角色執行的非標準任務和動作

## 流程
<a name="preventative-process"></a>

*預防性控制映射*是將控制映射至需求並使用政策透過限制、停用或封鎖來實作這些控制的程序。在映射控制時，考慮控制對環境、資源和使用者的主動影響。以下是映射控制的最佳實務：
+ 禁止某項活動的嚴格控制應該映射至該動作需要審核、核准和變更程序的生產環境。
+ 開發或封閉環境可能需要較少的預防性控制才能提供建置和測試的敏捷性。
+ 資料的分類、資產的風險層級和風險管理政策決定了預防性控制。
+ 映射至現有架構作為遵守標準和法規的證據。
+ 依地理位置、環境、帳戶、網路、使用者、角色或資源實作預防性控制。

## 使用案例
<a name="preventative-use-cases"></a>

### 標籤處理
<a name="preventative-data-handling"></a>

建立可以存取帳戶中的所有資料的角色。如果存在敏感的加密資料，過度寬鬆的權限可能會帶來風險，這取決於可以擔任該角色的使用者或群組。透過在 AWS Key Management Service (AWS KMS) 中使用金鑰政策，您可以控制誰可以存取金鑰並解密資料。

### 權限提升
<a name="preventative-privilege-escalation"></a>

如果管理和寫入許可指派得太寬泛，則使用者可以規避其預期許可的限制並授予自己其他權限。建立和管理角色的使用者可以指派*許可界限*，該界限定義了角色允許的最大權限。

### 工作負載鎖定
<a name="preventative-workload-lockdown"></a>

如果您的企業沒有使用特定服務的可預見需求，請啟用*服務控制政策*，以限制哪些服務可以在組織的成員帳戶中操作，或根據 限制服務 AWS 區域。如果威脅行為者設法洩露和存取您組織中的帳戶，此預防性控制可以減少影響範圍。如需詳細資訊，請參閱本指南中的 [服務控制政策](#scps)。

### 對其他應用程式的影響
<a name="preventative-impact"></a>

預防性控制可以強制使用 IAM、加密和日誌記錄等服務和功能，以符合應用程式的安全要求。您也可以使用這些控制來限制威脅行為者因意外錯誤或組態錯誤而可能利用的操作，從而協助防範漏洞。

## 技術
<a name="preventative-technology"></a>

### 服務控制政策
<a name="scps"></a>

在 中 AWS Organizations，[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) SCPs) 會定義組織中成員帳戶的最大可用許可。這些政策可協助帳戶遵守組織的存取控制指導方針。為您的組織設計 SCP 時，請注意下列事項：
+ SCPs是預防性控制，因為它們定義和強制執行組織成員帳戶中 IAM 角色和使用者的允許許可上限。
+ SCPs 只會影響組織成員帳戶中的 IAM 角色和使用者。它不會影響組織管理帳戶中的使用者和角色。

您可以透過定義每個 AWS 區域的許可上限來使 SCP 更加精細。

### IAM 許可界限
<a name="preventative-technology2"></a>

在 AWS Identity and Access Management (IAM) 中，[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)用於設定身分型政策可授予 IAM 實體 （使用者或角色） 的最大許可。實體的許可界限可讓其僅執行由身分型政策和許可界限同時允許的動作。使用許可界限時，請注意下列事項：
+ 您可以使用 AWS 受管政策或客戶受管政策來設定 IAM 實體的界限。
+ 許可界限不會自行授予許可。許可界限政策會限制授予 IAM 實體的許可。

## 業務成果
<a name="preventative-business-outcomes"></a>

### 節省時間
<a name="preventative-business-outcome1"></a>
+ 透過在設定預防性控制後新增自動化，您可以減少手動介入需求並降低錯誤頻率。
+ 使用許可界限作為預防性控制有助於安全和 IAM 團隊專注於關鍵任務，例如控管和支援。

### 法規合規
<a name="preventative-business-outcome2"></a>
+ 公司可能需要遵守內部或產業法規。這些可以是區域限制、使用者和角色限制或服務限制。SCP 可以協助您保持合規並避免違規處罰。

### 降低風險
<a name="preventative-business-outcome3"></a>
+ 隨著成長，建立和管理新角色和政策的請求數量也會增加。了解為每個應用程式手動建立許可所需的內容變得更具挑戰性。建立預防性控制作為基準，有助於防止使用者執行意外動作，即使他們意外取得存取權亦如此。
+ 將預防性控制套用至存取政策提供了額外層來協助保護資料和資產。