安全性基礎 - AWS 規定指引
安全性功能安全性設計原則如何將 AWS SRA 與 AWS CAF 和 AWS Well-Architected Framework 搭配使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全性基礎

通過進行簡短的調查來影響 AWS 安全參考架構(AWS SRA)的 future。

AWS 安全參考架構與三個 AWS 安全基礎保持一致:AWS 雲端採用框架 (AWS CAF)、AWS Well-Architected Framework 和 AWS 共同的責任模型。

AWS Professional Services 建立了 AWS CAF,協助公司設計並遵循成功採用雲端的加速途徑。該架構提供的指導方針和最佳實務可協助您在整個企業和整個 IT 生命週期中建立全方位的雲端運算方法。AWS CAF 將指導組織成六個重點領域,稱為點。每個觀點涵蓋由功能相關利益相關者擁有或管理的不同責任。一般而言,業務、人員和治理觀點著重於業務能力;而平台、安全性和營運觀點則著重於技術能力。

  • AWS CAF 的安全觀點可協助您在整個企業中建立控制項的選擇和實作。遵循安全性支柱中目前的 AWS 建議,可協助您符合業務和法規要求。 

AWS Well-Architected Framework 可協助雲端架構師為其應用程式和工作負載建立安全、高效能、彈性和有效率的基礎設施。該架構以六個支柱為基礎,包括卓越營運、安全性、可靠性、效能效率、成本優化和永續性,並為 AWS 客戶和合作夥伴提供一致的方法,以評估架構並實作可隨時間擴展的設計。我們相信,擁有良好架構的工作負載可大幅增加企業成功的可能性。

  • W ell-Architected Framework 安全性支柱說明如何利用雲端技術來協助保護資料、系統和資產,以改善您的安全狀態。這可以遵循目前的 AWS 建議,協助您符合業務和法規要求。還有其他 Well-Architected 的架構重點領域,可為控管、無伺服器、AI/ML 和遊戲等特定領域提供更多背景資訊。這些被稱為 AWS Well-Architected 的鏡頭。 

安全和合規是 AWS 與客戶之間的共同責任。AWS 在操作、管理和控制元件時,從主機作業系統和虛擬化層到服務運作所在設施的實體安全性,這種共用模型有助於減輕您的操作負擔。例如,您負責管理客體作業系統 (包括更新和安全修補程式)、應用程式軟體、伺服器端資料加密、網路流量路由表,以及 AWS 提供的安全群組防火牆的組態。對於 Amazon 簡單儲存服務 (Amazon S3) 和 Amazon DynamoDB 等抽象服務,AWS 會操作基礎設施層、作業系統和平台,而且您可以存取端點來存放和擷取資料。您必須負責管理資料 (包括加密選項)、將資產分類,以及使用 AWS Identity and Access Management (IAM) 工具套用適當的許可。通常說明此共用模型的方式是 AWS 負責雲端安全性 (也就是保護執行 AWS 雲端提供之所有服務的基礎設施),而且您必須負責雲端的安全性 (由您選取的 AWS 雲端服務決定)。 

在這些基礎文件提供的指導中,兩組概念與 AWS SRA 的設計和理解特別相關:安全功能和安全設計原則。

安全性功能

AWS CAF 的安全觀點概述了九種功能,可協助您實現資料和雲端工作負載的機密性、完整性和可用性。

  • 安全控管可在組織的 AWS 環境中開發和溝通安全角色、責任、政策、程序和程序。

  • 安全保證可監控、評估、管理和改善您的安全性和隱私權計劃的有效性。

  • 身分識別與存取管理,大規模管理身分識別與權限。

  • 威脅偵測可瞭解並識別潛在的安全性錯誤設定、威脅或未預期的行為。

  • 弱點管理可持續識別、分類、修復和減輕安全性弱點。

  • 基礎架構保護可協助驗證工作負載中的系統和服務是否受到保護。

  • 資料保護功能可維持資料的可見性和控制權,以及資料在組織中的存取和使用方式。

  • 應用程式安全性可協助偵測並解決軟體開發過程中的安全性弱點。

  • 事件回應,有效回應安全性事件,以減少潛在危害。

安全性設計原則

Well-Architected Framework 的安全性支柱會擷取一組七項設計原則,將特定的安全性區域轉變為實用的指引,協助您強化工作負載安全性。在安全功能構成整體安全策略的地方,這些 Well-Architected 的架構原則描述了您可以開始執行的操作。它們在此 AWS SRA 中非常刻意地反映出來,並由以下內容組成:

  • 實作強大的身分基礎 — 實作最低權限原則,並針對與 AWS 資源的每次互動,使用適當的授權強制執行職責分離。集中化身分管理,旨在消除對長期靜態憑證的依賴。

  • 啟用可追蹤性 — 即時監控、產生警示,以及稽核環境的動作與變更。將日誌和指標收集與系統整合,以自動調查並採取行動。

  • 在所有層級套用安全性 — 套用具有多個安全控制的 defense-in-depth方法。將多種類型的控制項 (例如預防性和偵測控制) 套用至所有層級,包括網路邊緣、虛擬私有雲 (VPC)、負載平衡、執行個體和運算服務、作業系統、應用程式組態和程式碼。

  • 自動化安全最佳實務 — 以軟體為基礎的自動化安全機制可提升您更快速且符合成本效益的安全擴充能力。建立安全的架構,並在版本控制的範本中實作定義和管理為程式碼的控制項。

  • 保護傳輸中和靜態資料 — 將資料分類為敏感度等級,並在適當的情況下使用加密、標記化和存取控制等機制。

  • 讓人們遠離資料 — 使用機制和工具來減少或免除直接存取或手動處理資料的需求。這樣可以降低處理敏感資料時不當處理或修改的風險,以及人為錯誤的風險。

  • 為安全事件做好準備 — 為事件做好準備,讓事件管理和調查政策和程序符合您的組織需求。執行事件回應模擬,並使用具有自動化功能的工具,以提高偵測、調查和復原的速度。

如何將 AWS SRA 與 AWS CAF 和 AWS Well-Architected Framework 搭配使用

AWS CAF、AWS Well-Architected Framework 和 AWS SRA 都是互補的架構,可協同運作以支援您的雲端移轉和現代化工作。

  • AWS CAF 利用 AWS 經驗和最佳實務,協助您將雲端採用的價值與所需的業務成果保持一致。使用 AWS CAF 找出轉型機會並排定優先順序、評估和改善雲端準備程度,以及反覆發展您的轉型藍圖。

  • AWS Well-Architected Framework 提供 AWS 建議,協助您為各種符合業務成果的應用程式和工作負載建立安全、高效能、彈性和有效率的基礎設施。

  • AWS SRA 可協助您了解如何以符合 AWS CAF 和 AWS 架構良好的架構建議的方式來部署和管理安全服務。

例如,AWS CAF 安全觀點建議您評估如何在 AWS 中集中管理員工身分及其身份驗證。根據此資訊,您可能會決定為此目的使用新的或現有的公司身分識別提供者 (IdP) 解決方案,例如 Okta、Active Directory 或 Ping 身分識別。您可以遵循 AWS Well-Architected Framework 中的指導,並決定將 IdP 與 AWS IAM 身分中心整合,為您的員工提供可同步其群組成員資格和許可的單一登入體驗。您可以檢閱 AWS SRA 建議,在 AWS 組織的管理帳戶中啟用 IAM 身分中心,並透過安全操作團隊使用的安全工具帳戶進行管理。此範例說明 AWS CAF 如何協助您針對所需的安全狀態做出初始決策,AWS Well-Architected Framework 構提供如何評估可用於達成該目標的 AWS 服務的指導,而 AWS SRA 則會提供有關如何部署和管理您選取的安全服務的建議。