安全基礎 - AWS 規範指引
安全功能安全設計原則如何將 AWS 與 AWS SRA CAF和 AWS Well-Architected Framework 搭配使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全基礎

進行簡短的調查,影響 AWS 安全參考架構 (AWS SRA) 的未來。

AWS 安全參考架構符合三個 AWS 安全基礎:AWS Cloud 採用架構 (AWS CAF)、AWS Well-Architected 架構和 AWS 共同責任模型。

AWS Professional Services 建立了 AWS CAF協助公司設計和遵循加速路徑,以成功採用雲端。架構提供的指引和最佳實務可協助您在整個企業和整個 IT 生命週期中,建立雲端運算的全方位方法。AWS CAF 將指引整理成六個重點領域,稱為觀點。每個觀點都涵蓋功能相關利益相關者所擁有或管理的不同責任。一般而言,業務、人員和治理觀點著重於業務功能;而平台、安全和營運觀點則著重於技術功能。

  • AWS CAF 的安全角度可協助您在整個業務中建構控制項的選擇和實作。遵循安全支柱中目前的 AWS 建議,可協助您滿足業務和法規要求。 

AWS Well-Architected Framework 可協助雲端架構師為其應用程式和工作負載建置安全、高效能、彈性且高效率的基礎設施。該架構以營運卓越性、安全性、可靠性、效能效率、成本最佳化和永續性六大支柱為基礎,為 AWS 客戶和合作夥伴提供一致的方法來評估架構並實作可隨時間擴展的設計。我們相信,擁有 Well-Architected 工作負載可大幅提高企業成功的可能性。

  • Well-Architected Framework 安全支柱說明如何利用雲端技術來協助保護資料、系統和資產,進而改善您的安全狀態。這將協助您遵循目前的 AWS 建議來滿足您的業務和法規要求。還有其他 Well-Architected Framework 重點領域,可為治理、無伺服器、AI/ML 和遊戲等特定領域提供更多內容。這些稱為 AWS Well-Architected 鏡頭。 

安全性和合規是 AWS 與客戶之間的共同責任。當 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務運作之設施實體安全的元件時,此共用模型有助於減輕您的操作負擔。例如,您負責和管理訪客作業系統 (包括更新和安全修補程式)、應用程式軟體、伺服器端資料加密、網路流量路由表,以及 AWS 提供的安全群組防火牆組態。對於 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB 等抽象服務,AWS 會操作基礎設施層、作業系統和平台,而且您可以存取端點來存放和擷取資料。您有責任管理資料 (包括加密選項)、分類資產,以及使用 AWS Identity and Access Management (IAM) 工具套用適當的許可。此共用模型通常描述為 AWS 負責雲端的安全性 (亦即保護執行 AWS Cloud 中提供之所有服務的基礎設施),而您要負責雲端的安全性 (由您選擇的 AWS Cloud 服務決定)。 

在這些基礎文件提供的指南中,兩組概念與 AWS 的設計和理解特別相關SRA:安全功能和安全設計原則。

安全功能

AWS CAF 的安全角度概述了九種功能,可協助您實現資料和雲端工作負載的機密性、完整性和可用性。

  • 安全治理,以在整個組織的 AWS 環境中開發和傳達安全角色、責任、政策、程序和程序。

  • 安全保證可監控、評估、管理和改善安全與隱私權計劃的有效性。

  • 用於大規模管理身分和許可的身分和存取管理

  • 用於了解和識別潛在安全錯誤組態、威脅或非預期行為的威脅偵測

  • 漏洞管理,以持續識別、分類、修復和緩解安全漏洞。

  • 基礎設施保護,以協助驗證工作負載中的系統和服務是否受到保護。

  • 資料保護,以維持對資料及其在組織中的存取和使用方式的可見性和控制。

  • 應用程式安全性,以協助在軟體開發過程中偵測和解決安全漏洞。

  • 事件回應,透過有效回應安全事件來減少潛在的傷害。

安全設計原則

Well-Architected Framework 的安全支柱會擷取一組七種設計原則,將特定安全區域轉換為實用指引,協助您強化工作負載安全。在安全功能架構整體安全策略的位置,這些 Well-Architected Framework 原則會描述您可以開始執行的動作。它們在此 AWS 中非常刻意地反映SRA,並包含以下內容:

  • 實作強大的身分基礎 – 實作最低權限原則,並針對與您的 AWS 資源的每次互動,強制執行職責分離。集中進行身分管理,旨在消除對長期靜態憑證的倚賴。

  • 啟用可追蹤性 – 即時監控、產生警示,以及稽核動作和環境變更。將日誌和指標收集與系統進行整合,以自動調查並採取動作。

  • 在所有層級套用安全性 – 使用多個安全性控制項套用 a defense-in-depth 方法。將多種類型的控制 (例如預防性和偵測性控制) 套用至所有層,包括網路邊緣、虛擬私有雲端 (VPC)、負載平衡、執行個體和運算服務、作業系統、應用程式組態和程式碼。

  • 自動化安全最佳實務 – 自動化、軟體型安全機制可改善您更快速且符合成本效益地安全地擴展的能力。建立安全架構,並實作在版本控制範本中定義為程式碼和管理的控制項。

  • 保護傳輸中和靜態資料 – 將資料分類為敏感層級,並在適當時使用加密、權杖化和存取控制等機制。

  • 讓人員遠離資料 – 使用機制和工具來減少或消除直接存取或手動處理資料的需求。在處理敏感資料時,這降低了處理不當或修改以及人為錯誤的風險。

  • 為安全事件做準備 – 透過制定符合組織需求的事件管理和調查政策和流程,為事件做準備。執行失敗回應模擬和使用工具與自動化,以提高偵測、調查和復原的速度。

如何將 AWS 與 AWS SRA CAF和 AWS Well-Architected Framework 搭配使用

AWS CAF、AWS Well-Architected 架構和 AWS SRA是互補架構,可共同支援您的雲端遷移和現代化工作。

  • AWS CAF 利用 AWS 體驗和最佳實務,協助您將雲端採用的值與所需的業務成果保持一致。使用 AWS CAF來識別轉型機會並排定優先順序、評估和改善雲端整備,以及反覆發展轉型藍圖。

  • AWS Well-Architected Framework 提供 AWS 建議,以針對符合業務成果的各種應用程式和工作負載,建置安全、高效能、彈性且高效率的基礎設施。

  • AWS SRA 可協助您了解如何以符合 CAF 和 AWS AWS Well-Architected Framework 建議的方式部署和管理安全服務。

例如,AWS CAF 安全角度建議您評估如何在 AWS 中集中管理人力資源身分及其身分驗證。根據此資訊,您可以決定為此目的使用新的或現有的企業身分提供者 (IdP) 解決方案,例如 Okta、Active Directory 或 Ping Identity。您遵循 AWS Well-Architected Framework 中的指引,並決定將您的 IdP 與 AWS IAM身分中心整合,為您的員工提供單一登入體驗,以同步其群組成員資格和許可。您可以檢閱 AWS SRA,在 IAM 組織的管理帳戶中啟用 AWS Identity Center,並透過安全操作團隊使用的安全工具帳戶來管理它。此範例說明 AWS 如何CAF協助您針對所需的安全狀態做出初步決策,AWS Well-Architected Framework 提供指引,說明如何評估可用於達成該目標的 AWS 服務,然後 AWS SRA會提供有關如何部署和管理所選安全服務的建議。