安全面向:合規與保證 - AWS 雲端採用架構概觀

安全面向:合規與保證

安全面向可幫助您實現資料和雲端工作負載的機密性、完整性和可用性。此面向包含下圖所示的九項能力。共同利害關係人包括資訊安全長、法遵長、內部稽核主管及安全架構師和工程師。

AWS CAF 安全面向能力說明圖。

AWS CAF 安全面向功能

  • 安全治理 – 開發、維護並有效溝通安全角色、應負的責任、完成工作的責任、政策、流程和程序。確保明確的問責制對安全計劃的有效性至關重要。了解適用於您所在行業及/或組織的資產、安全風險和合規要求,將有助於您安排安全工作的優先順序。提供持續的指導和建議將有助於加快團隊的轉型速度。

    了解您對雲端安全應負的責任。對相關利害關係人、資產和資訊交流進行清點、分類和排列優先順序。找出適用於您所在行業及/或組織的法律、法規、條例和標準/框架。執行組織的年度風險評估。風險評估可協助判斷會影響組織之已知風險及/或漏洞的可能性和影響。為已確定的安全角色和職責配置足夠的資源。依您的合規性要求和組織風險承受能力,制定安全政策、流程、程序和控制措施,並根據不斷變化的風險和要求不斷更新。

  • 安全保障 – 持續監控、評估、管理及提高安全和隱私計劃的有效性。您的組織和您服務的客戶都需要信賴您實作的控制措施,相信其可讓您滿足法規要求,並根據您的業務目標和風險承受能力高效地管理安全和隱私風險。

    將控制措施記錄在全面的控制架構中,並建立可證明的安全和隱私控制,以滿足這些目標。檢查雲端供應商曾取得的稽核報告合規認證或證明,有助您了解其實施措施的控制、這些控制措施的驗證方式,以及這些控制措施能否在您擴展的 IT 環境中有效運作。

    持續監控與評估您的環境,以驗證這些控制措施運作的有效性,並證明符合法規和業界標準。查看安全政策、流程、程序、控制和記錄,並視需要與關鍵人員進行面談。

  • 身分和權限管理 – 大規模管理身分和權限。您可以使用 AWS 建立身分或連線到您的身分來源,然後授予使用者必要的權限,以便其登入、存取、佈建或協調 AWS 資源和整合的應用程式。有效的身分和存取管理有助於驗證在正確的條件下,正確的人員和機器可以存取正確的資源。

    AWS 設定良好的架構描述了管理身分的相關概念、設計原則和架構最佳實務。其中包括:依賴集中式的身分供應商;利用使用者群組和屬性取得大規模的精細定義存取權和臨時登入資料;以及使用強式登入機制,例如多重要素驗證 (MFA)。若要按 AWS 的人類和機器身分及您的工作負載控制存取,請在特定條件下針對特定資源的特定服務動作設定權限;使用最低權限原則,設定權限邊界,並使用服務控制政策,以便正確的實體可以隨著環境和使用者基數的增長存取正確的資源;以屬性型存取控制 (ABAC) 為基礎,以便政策擴展;以及持續驗證政策是否提供了您所需要的保護。

  • 威脅偵測 – 了解並識別可能的安全錯誤組態、威脅或意外行為。更清楚認識安全威脅將能使您優先考慮保護性控制措施。有效的威脅偵測可讓您更快回應威脅並獲得安全事件處理經驗。商定戰術、營運和戰略情報目標和總體方法。挖掘相關資料來源,處理及分析資料,然後傳播並應用見解。

    在環境中普遍部署監控以收集基本資訊,並在非例行位置部署監控以追蹤特定類型的交易。為來自多個事件來源的監控資料建立相互關聯,包括網路流量、作業系統、應用程式、資料庫和端點裝置,以提供穩健的安全狀態並增強可見性。考慮利用欺敵技術 (例如蜜罐),以了解未經授權的使用者行為模式。

  • 漏洞管理 – 持續識別、分類、修復及緩解安全漏洞。改變現有系統或增加新系統也可能會引入漏洞。定期掃描漏洞,有助於抵禦新威脅。使用漏洞掃描程式和端點代理程式建立系統與已知漏洞的關聯。根據漏洞風險排定修補動作的優先順序。應用補救措施並向相關利害關係人報告。利用紅隊演練和滲透測試找出系統架構中的漏洞,視需要向雲端供應商尋求事先授權。

  • 保護基礎設施 – 驗證工作負載內的系統和服務皆受到保護,避免意外和未經授權的存取以及可能的漏洞。保護基礎設施遠離意外和未經授權的存取以及可能的漏洞,有助於提升雲端的安全狀態。利用深度防禦將一系列旨在保護資料和系統的防禦機制分層。

    建立網路層,並將不需要存取網際網路的工作負載放在私有子網路中。使用安全群組網路存取控制清單網路防火牆來控制流量。根據系統和資料的價值套用零信任。利用 virtual private cloud (VPC) 端點建立雲端資源的私有連線。透過 Web 應用程式防火牆及/或網路防火牆等檢查及篩選每個層的流量。使用強化的作業系統映像,並以物理方式保護內部部署和邊緣的任何混合式雲端基礎設施。

  • 保護資料 – 保持對資料的查看和控制能力,並掌握組織存取和使用資料的方式。保護資料免於意外和未經授權的存取以及出現可能的漏洞,是安全計劃的主要目標之一。為幫助您確定適當的保護和保留控制措施,請根據重要性和敏感度分類資料 (例如個人身分識別資訊)。定義資料保護控制措施和生命週期管理政策。加密所有靜態和傳輸中的資料,並將敏感資料儲存在單獨的帳戶中。利用機器學習自動探索、分類和保護敏感資料。

  • 應用程式安全 – 在軟體開發過程中偵測並解決安全漏洞。當您在應用程式編碼階段發現並修復安全缺陷後,就可以省下時間、精力和成本,從啟動到生產都無須憂慮安全狀態。掃描及修補程式碼和相依性中的漏洞,有助於抵禦新威脅。將開發和營運的流程及工具中與安全相關的工作自動化,可將對人工干預的需求降至最低。使用靜態程式碼分析工具找出常見的安全問題。

  • 事件回應 – 有效回應安全事件以減少可能的危害。對安全事件快速、有效且一致的回應,將有助於減少可能的危害。讓您的安全作業和事件回應團隊接受有關雲端技術的教育訓練,並說明您的組織將如何使用這些技術。開發 Runbook 並建立事件回應機制庫。邀集主要利害關係人,以更加了解您的選擇對組織其他部分造成的影響。

    模擬安全事件,透過桌上練習和演習訓練事件回應。反覆查看模擬結果,以改善回應態勢的規模、縮短創造價值的時間,並進一步降低風險。利用標準化機制識別及解決根本原因,執行事件後分析,獲得安全事件處理經驗。