近年來資安事件頻頻發生,根據 KPMG 去年所發表的2022年臺灣企業資安曝險大調查發現台灣60家指標性企業的平均曝險僅僅為 C 級,代表具備一般能力的駭客便能輕鬆入侵。許多企業也開始重視自身資訊環境安全,其中網路安全「零信任(Zero Trust Security)轉型」更成為資安防護的重要一環,全球政府以及企業組織都大力提倡,零信任成為勢在必行的資安事件解決方案。
零信任應用背景
傳統的防護著重在網路層面的防範,隨著科技的發展,如今許多企業漸漸將資源轉移到雲端上,而近年來因應全球新冠疫情導致遠端工作的用戶激增,遠端系統的存取人數逐漸增加,光靠網路層面的資安防護往往無法妥善保護到企業的數位資產,零信任架構也因此誕生。
零信任為資安防護的策略,其與傳統架構最大的差異為:不再只依靠網路層面來保護數位資產,零信任將其他資安防護的功能整合,並把存取控制權限進行更細緻的劃分。
零信任為資安防護的策略,其與傳統架構最大的差異為:不再只依靠網路層面來保護數位資產,零信任將其他資安防護的功能整合,並把存取控制權限進行更細緻的劃分。
零信任與 AWS
在 AWS(Amazon Web Services)上該如何進行零信任的架構?銓鍇國際架構師推薦可以整合「網路層面」與「身分驗證」兩項防護架構措施!
1. AWS 網路資安防護措施
首先從網路層面來說,AWS 安全群組(Security Groups)能夠有效的保護資源。當零信任原則套用到 AWS 安全群組時,便可以預設拒絕所有不在清單上的連線,有效保護企業資產。
2. AWS 身份驗證資安防護措施
然而光靠網路層面的防護是遠遠不夠的,因此可再加入 AWS 身分驗證,透過設定 IAM 使用者(IAM user)以及 IAM 角色(IAM role)管理各個使用者的權限,使用戶可在洽當的權限內順利執行任務,保護企業資源存取。
資安防護最簡單有效的第一步,就是將 AWS 內的多重驗證功能開啟,強迫 ROOT 與 IAM 帳號都須綁定 MFA 才能登入,光是簡單的一個步驟,便能為您的系統增加更多的安全性!
資安防護最簡單有效的第一步,就是將 AWS 內的多重驗證功能開啟,強迫 ROOT 與 IAM 帳號都須綁定 MFA 才能登入,光是簡單的一個步驟,便能為您的系統增加更多的安全性!
AWS 資安保護流程
拿經典的三層式架構來說,架構圖上外部唯一能存取 EC2 的方式只能透過 ELB,因此在設定 EC2 安全群組時,可以設定只允許來自 ELB 的連入(SG1);也能搭配 IAM 的角色將其權限進行更細緻的限縮,來規範此 EC2 所能使用的 AWS 服務有哪些。
最後端的資料庫同樣也可按照最小權限的邏輯,由於只有 EC2 需要存取此資料庫,因此可將資料庫的安全群組設定只允許來自 EC2 的連入(SG2)。如此便可以很清楚地將所有連線只限制在必要的資源上,當系統出現異常時,更能快速的鎖定問題來源,在最短的時間內將資料庫進行隔離或調整。
最後端的資料庫同樣也可按照最小權限的邏輯,由於只有 EC2 需要存取此資料庫,因此可將資料庫的安全群組設定只允許來自 EC2 的連入(SG2)。如此便可以很清楚地將所有連線只限制在必要的資源上,當系統出現異常時,更能快速的鎖定問題來源,在最短的時間內將資料庫進行隔離或調整。
銓鍇國際把關企業資安防護
銓鍇國際作為混合雲專家,具備多張 AWS Certified Security – Specialty 證照,將企業資安防護問題擺在首位,協助企業建立安全可靠的系統。銓鍇國際成功輔導多元產業解決自身系統上的資安風險問題,並提供雲端專業顧問服務,透過 AWS Well-Architecture 服務全面檢視企業所使用的 AWS 資源,以及一站式資安規劃,協助企業持續主動地 24 小時監控、自動化告警 NOC 團隊和客戶,助企業更全面地保護資訊環境,防止資安事件發生。