本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全基礎
| |
| --- |
| 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua),以影響 AWS 安全參考架構 (AWS SRA) 的未來。 |
AWS SRA 符合三個 AWS 安全基礎: AWS 雲端採用架構 (AWS CAF)、 AWS Well-Architected 和 AWS 共同責任模型。
AWS Professional Services 建立了 [AWS CAF](https://aws.amazon.com/professional-services/CAF/),以協助公司設計和遵循加速路徑以成功採用雲端。架構提供的指引和最佳實務可協助您在整個企業和 IT 生命週期中建置雲端運算的全方位方法。 AWS CAF 會將指引整理成六個重點領域,稱為*觀點*。每個觀點都涵蓋了功能相關利益相關者所擁有或管理的不同責任。一般而言,業務、人員和控管觀點著重於業務功能;而平台、安全性和營運觀點則著重於技術功能。
[AWS CAF 的安全觀點](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)可協助您建構整個業務中控制項的選擇和實作。遵循安全支柱中的目前 AWS 建議,可協助您滿足業務和法規要求。
[AWS Well-Architected](https://aws.amazon.com/architecture/well-architected) 可協助雲端架構師為其應用程式和工作負載建置安全、高效能、彈性且高效率的基礎設施。此架構以六大支柱為基礎:卓越營運、安全性、可靠性、效能效率、成本最佳化和永續性,並為客戶提供 AWS 一致的方法來評估架構,並實作可隨時間擴展的設計。我們相信,擁有 Well-Architected 工作負載可大幅提高企業成功的可能性。
[Well-Architected Framework 安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)說明如何利用雲端技術來協助保護資料、系統和資產,以改善您的安全狀態。這將協助您遵循目前的 AWS 建議,滿足您的業務和法規要求。還有其他 Well-Architected Framework 重點領域,可為控管、無伺服器、AI/ML 和遊戲等特定領域提供更多內容。這些稱為 AWS Well-Architected 鏡頭。
安全與合規是 [AWS 和 客戶之間的共同責任](https://aws.amazon.com/compliance/shared-responsibility-model/)。此共用模型有助於減輕您的操作負擔,因為 會 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施實體安全性的元件。例如,您負責管理訪客作業系統 (包括更新和安全修補程式)、應用程式軟體、伺服器端資料加密、網路流量路由表,以及 AWS所提供安全群組防火牆的組態。對於 Amazon S3 和 Amazon DynamoDB 等抽象服務, 會 AWS 操作基礎設施層、作業系統和平台,而且您可以存取端點來存放和擷取資料。您負責管理資料 (包括加密選項)、分類資產,以及使用 IAM 工具來套用適當的許可。此共用模型通常描述為 AWS 負責**雲端的安全性 (也就是保護執行 中提供之所有服務的基礎設施 AWS 雲端),而您需負責**雲端的安全性 (取決於您選取的 AWS 雲端 服務)。
在這些基礎文件提供的指引中,兩組概念與 AWS SRA 的設計和理解特別相關:安全功能和安全設計原則。
## 安全功能
AWS CAF 的安全觀點概述了九種功能,可協助您實現資料和雲端工作負載的機密性、完整性和可用性。
+ *安全控管*,以在整個組織 AWS 環境中開發和傳達安全角色、責任、政策、程序和程序。
+ *安全保證*可監控、評估、管理和改善安全與隱私權計劃的有效性。
+ 用於大規模管理身分和許可的身分和*存取管理*。
+ 用於了解和識別潛在安全錯誤組態、威脅或非預期行為的威脅*偵測*。
+ *漏洞管理*,以持續識別、分類、修復和緩解安全漏洞。
+ *基礎設施保護*,以協助驗證工作負載中的系統和服務是否受到保護。
+ *資料保護*,以維護資料的可見性和控制,以及如何在您的組織中存取和使用資料。
+ *應用程式安全性*,以協助在軟體開發過程中偵測和解決安全漏洞。
+ *透過有效回應*安全事件來減少潛在傷害的事件回應。
## 安全設計原則
Well-Architected Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)會擷取一組七種設計原則,將特定安全區域轉換為可協助您強化工作負載安全性的實際指引。在安全功能架構整體安全策略的位置,這些 Well-Architected Framework 原則會說明您可以開始執行的操作。它們在此 AWS SRA 中被刻意反映,並包含下列項目:
+ *實作強大的身分基礎* ‒ 實作最低權限原則,並針對每次與 AWS 資源的互動,以適當的授權強制執行職責分離。集中進行身分管理,旨在消除對長期靜態憑證的倚賴。
+ *啟用可追蹤性* ‒ 即時監控、產生警示,以及稽核您環境的動作和變更。將日誌和指標收集與系統進行整合,以自動調查並採取動作。
+ *在所有層級套用安全性* ‒ 使用多個安全控制套用defense-in-depth方法。將多種類型的控制 (例如預防性和偵測性控制) 套用至所有層,包括網路邊緣、虛擬私有雲端 (VPC)、負載平衡、執行個體和運算服務、作業系統、應用程式組態和程式碼。
+ *自動化安全最佳實務* ‒ 自動化、以軟體為基礎的安全機制可改善您更快速且符合成本效益地安全地擴展的能力。建立安全架構,並實作在版本控制範本中定義為程式碼和管理的控制項。
+ *保護傳輸中和靜態資料* ‒ 將您的資料分類為敏感層級,並在適當時使用加密、字符化和存取控制等機制。
+ *讓人員遠離資料* – 使用機制和工具來減少或消除直接存取或手動處理資料的需求。在處理敏感資料時,這降低了處理不當或修改以及人為錯誤的風險。
+ *為安全事件做好準備 *‒ 透過制定符合您組織需求的事件管理和調查政策和流程,為事件做好準備。執行失敗回應模擬和使用工具與自動化,以提高偵測、調查和復原的速度。
## 如何搭配 AWS CAF 和 AWS Well-Architected Framework 使用 AWS SRA
AWS CAF、 AWS Well-Architected Framework 和 AWS SRA 是互補的架構,可共同支援雲端遷移和現代化工作。
+ [AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html) 利用 AWS 經驗和最佳實務,協助您將雲端採用的價值與所需的業務成果保持一致。使用 AWS CAF 來識別轉型機會並排定優先順序、評估和改善雲端準備度,以及反覆發展轉型藍圖。
+ [AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html) Framework 為符合業務成果的各種應用程式和工作負載提供建置安全、高效能、彈性和高效基礎設施 AWS 的建議。
+ AWS SRA 可協助您了解如何以符合 AWS CAF 和 AWS Well-Architected Framework 建議的方式部署和管理安全服務。
例如, AWS CAF 安全觀點建議您評估如何集中管理人力資源身分及其身分驗證 AWS。根據此資訊,您可以決定為此目的使用新的或現有的公司身分提供者 (IdP) 解決方案,例如 Okta、Active Directory 或 Ping Identity。您遵循 AWS Well-Architected Framework 中的指引,並決定將您的 IdP 與 整合 AWS IAM Identity Center ,為您的員工提供可同步其群組成員資格和許可的單一登入體驗。您可以檢閱 AWS SRA 建議,在 AWS 組織的管理帳戶中啟用 IAM Identity Center,並透過安全操作團隊使用的安全工具帳戶來管理它。此範例說明 AWS CAF 如何協助您對所需的安全狀態做出初始決策、 AWS Well-Architected Framework 提供如何評估可用於實現該目標 AWS 服務 的 的指引,以及 AWS SRA 接著提供有關如何部署和管理所選安全服務的建議。