本篇將介紹如何運用 AWS 服務,保障企業資訊安全,提升數位韌性、強化資安應變能力!
• 基礎設施安全
AWS 基礎架構根據安全最佳實務和標準來建置與管理,在共同安全責任模型之下運作,其中 AWS 負責基礎雲端架構的安全,使用者只需負責保護 在 AWS 中部署的工作負載,有效減輕管理的任務,並增加基礎設施的隱私和控制。o AWS Shield (Standard):所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費, AWS Shield 可保護您的網站或應用程式,免於常見且經常發生的網路與傳輸層(第 3, 4, 7 層) DDoS 攻擊。
o AWS WAF:Web 應用程序防火牆,可讓您保護 Web 應用程式和 API,將監控轉發到受保護 Web 應用程序資源的 HTTP(S) (第7 層)請求,阻擋常見 Web 入侵程式和機器人程式的侵擾。
o Application Load Balancer:Application Load Balancer(ALB)在 OSI 模型的第七層,是使用 WAF 時必需建置的服務。 Application Load Balancer 會監控已註冊目標的運作狀態,並將流量路由至運作狀態良好的目標。
• 身分與存取管理
近年來發生多起員工帳號遭駭客竊取,導致公司重要資料遭竊取,往往都是身份與權限管理設置疏失所造成的問題。AWS 擁有完善的 IAM 設計,並可與 AWS 上其他服務整合。o Identity and Access Management (IAM):在 AWS 中,權限管理主要由 AWS Identity and Access Management (IAM) 服務支援,可以幫助您進行身份和存取管理的資源。
當您使用AWS的服務以及人數越來越多時,落實 IAM user/role Policy 權限劃分考依照下面兩個觀點進行設計:
1. 採用多重的身份驗證方式。
2.在權限管理的原則中,皆應用最小權限的原則。
o IAM Access Analyzer :根據日誌中擷取的存取活動產生精簡政策,將整密檢測和評估 AWS IAM Policy 中存在的潛在安全風險和錯誤配置。
• 資料保護
可透過 AWS Key Management Service 以及 AWS Secrets Manager 進行加密服務,提供簡單而有效的方式管理和保護重要資料,加強保護雲端資料安全。o AWS Key Management Service (KMS): AWS KMS 是一項託管服務,可協助使用者來加密、解密所需保護的資料。 根據 FIPS 140-2 加密模組驗證計劃, AWS KMS 使用硬體安全模塊 (Hard Security Module, HSM) 來建立、保護和驗證您的 AWS KMS 密鑰。其主要特色功能為:
1.金鑰生成與管理: AWS KMS 可以幫助您生成、匯入、以及管理加密金鑰。
2.整合 AWS 服務:如 Amazon S3、Amazon EBS、Amazon Redshift 等,使您能夠輕鬆地加密管理您的應用程式或資料庫。
o AWS Secrets Manager: AWS Secrets Manager 是一種密碼管理服務,可協助您保護應用程式、服務和 IT 資源的存取。其主要特色功能為:
1.自動輪替密碼:定期自動輪換密碼,提高安全性,並減少手動管理的工作。
2.整合 AWS 服務:如 RDS、 API 金鑰等,可以在 AWS Secrets Manager 中檢索以上服務登入管理所需密碼。
• 偵測控制
Amazon CloudWatch、AWS CloudTrail 和 VPC Flow Logs 這 3 項 AWS 監控服務的巧妙整合,為企業提供了精確監控、即時反應的能力,使其能在潛在問題影響業務之前掌握並解決。o Amazon CloudWatch:監控 AWS 資源與應用程式,並提供實時監控以及告警功能,能夠收集和監控來自多個資源的數據,如EC2、RDS等。Amazon CloudWatch 的主要用途在於監控和警報, 適用於需要即時了解系統和應用程式狀態,並且提供了豐富的指標和警報功能,讓公司的IT人員能夠進行即時處理。
o AWS CloudTrail: AWS CloudTrail 用於記錄 AWS 資源的歷史活動,包括API呼叫、資源變更和使用者行為。Config 更適用於安全與合規性監控。 您可通過分析 Config 日誌,可以追蹤活動、資源異動和系統事件,有助於檢測潛在的安全風險,同時滿足合規性要求。
o VPC Flow Logs: 擷取您 VPC 中每個網路流量相關資訊,並以日誌形式紀錄,透過深入了解網路流量,您可即時檢測網路中的異常活動,包含潛在的入侵、惡意流量或未經授權的訪問,助您迅速定位問題,縮短故障排除時間。
• 意外回應
o AWS Backup:全受管服務,可對整個AWS服務之間的資料保護,助您簡化以及自動化資料備份與復原流程,其主要特色功能為:1.整合 AWS 服務:如 Amazon EBS 、Amazon RDS 、Amazon DynamoDB等。
2.自動備份:可手動設定備份原則,確保您資源定期自動化備份,並最小化對業務操作的影響。
3.集中管理:可於控制台中集中監控所有資料的備份活動,以利輕鬆查詢以及恢復備份資料。
o AWS Security Hub:針對 AWS 內部安全狀態以及安全標準與最佳實務合規性的全面檢視,用於檢測和優化 AWS 帳戶的安全性,其主要特色功能為:
1.全面安全性檢測服務:收集來自多種 AWS 和第三方合作夥伴的安全性問題,集中管理並提供全面的安全檢測和威脅情報。
2.自定義標準與自動化檢測:對 AWS 帳戶、服務和受支援的第三方合作夥伴的安全問題清單進行集中和優先排序,以協助分析安全趨勢並確定優先順序最高的安全問題。
o Amazon EventBridge: Amazon EventBridge 為資安事件通報必須服務。可偵測AWS資安服務狀態,其主要特色功能為:
1.事件整合:可輕鬆管理AWS 服務、自有應用程式和軟體即服務 (SaaS) 應用程式的資料變更。
2.事件路由與即時性:設定事件來源以及事件目標,Amazon EventBridge 會以近乎即時的速度自動傳送事件至不同目標,並將事件從一個環節傳遞到下一個,實現資料的有效管理和處理。
上面服務太複雜不知從何下手? AWS 資安成熟度模型開始是個好選擇!
AWS 針對資安服務對於落實在架構上的難易程度發展出資安成熟度模型,總共分為 4 個階段 Quick wins、Foundational、Efficient、Optimized,通常會希望架構都要完成至 Foundational,對於資安防護的等級會是比較高的。
在 Quick wins 階段很多項目執行跟建置是非常容易的,包含:
o 不用使用 root account,並加上MFA雙因子驗證
o S3 禁止公開存取
o 在 L7 應用層級加上 AWS WAF
o 透過 Security Group 限制存取來源 IP
o 啟用 CloudTrail 紀錄所以 API 調用
o 啟用 GuardDuty 執行入侵偵測
在 Foundational 階段是 Quick wins 的進階版本,包含:
o 啟用 Config 紀錄資源變化以及合規性紀錄
o 串接 AD 進行人員身分驗正
o 針對 GuardDuty 所找出的結果進行事件調查
o 定期執行掃弱點掃描、滲透測試
o 透過 KMS進 行靜態資料加密
o 將密碼存放在 Secrect Manager 進行定期輪換
o 設計 HA 架構
如果您已經執行以上的項目想要繼續朝下一階段 Efficient、Optimized 的進階資安邁進 CKmates 擁有逾 600 張 AWS 專業證照,致力於協助企業運用服務 AWS 服務維護資訊安全,同時我們也提供 7x24x365 小時的監控系統,全方位為客戶把關,確保系統資源安全、穩定運作。我們將運用 AWS 豐富多元功能,以最簡單、快速且可靠的方式,提供全方位的資安保護,欲了解更多資安解決方案,歡迎聯絡我們。
