一篇文章讓你了解AWS 安全基礎

2023.12.26

AWS安全基礎知識包括使用有案可查的計劃,為安全威脅做好準備和演練,保護基礎設施的所有層,使用身份系統並強制執行權限級別劃分、監控雲端環境、盡可能使用自動化工具以及保護靜態和傳輸中的資料。

使用AWS不意味著組織不負責保護整個雲端基礎設施,而是與AWS 分擔責任。

簡而言之,AWS 將其雲端基礎設施作為一個整體來保護,創建AWS 並為客戶提供AWS 雲端服務的硬體、軟體、網路和設施。客戶有責任保護他們在AWS 上創建的基礎設施:他們的資料、作業系統、網路、應用程式和其他資源。對於每個雲端供應商來說,這可能不一樣。

做好準備:針對安全威脅制定計畫和策略

在開始使用任何安全服務之前,組織必須制定如何處理安全威脅的計畫和策略。做好準備是最重要的AWS 安全基礎之一。AWS 建議組織制定一個根據其安全要求(如法規)進行事件管理的流程。

根據AWS 的說法,組織應運行事件演練,以確保團隊做好準備。演練還可以識別組織的弱點、偵測威脅的低效率、改善安全事件調查的方法以及如何從安全事件中復原。

保護所有基礎架構層

雲端基礎架構的所有層都需要受到保護。在責任共擔模型中,AWS 負責運作AWS 的基礎層,客戶負責他們在AWS 上運作的環境。對於組織來說,了解他們負責什麼以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有雲(VPC) 在AWS 中建立一個隔離的私有虛擬網路環境。此外,添加AWS WAF(Web 應用程式防火牆)等防火牆可以防止對關鍵應用程式和資料的未經授權的存取。

AWS WAF 是AWS 安全性的基礎,可保護Web 應用程式和API 免受典型Web 漏洞的攻擊。組織可以建立安全規則來阻止常見的攻擊流量模式,同時允許其他流量傳遞到應用程式。

AWS防火牆管理器可讓組織在其所有AWS 帳戶和應用程式中擁有一致的防火牆規則。使用AWS 防火牆管理器的組織可以從一個中心位置設定和管理所有防火牆規則和策略。透過這種方式,AWS 防火牆管理器能夠保護組織的整個雲端基礎架構。

做好準備:針對安全威脅制定計畫和策略

在開始使用任何安全服務之前,組織必須制定如何處理安全威脅的計畫和策略。做好準備是最重要的AWS 安全基礎之一。AWS 建議組織制定一個根據其安全要求(如法規)進行事件管理流程。

根據AWS 的說法,組織應執行事件模擬,以確保團隊做好準備。模擬還可以識別組織的弱點、檢測威脅的低效率、改進安全事件調查的方法以及如何從安全事件中恢復。

保護所有基礎架構層

雲端基礎架構的所有層都需要受到保護。在責任共擔模型中,AWS 負責運作AWS 的基礎層,客戶負責他們在AWS 上運作的環境。對於組織來說,了解他們負責什麼以及他們可以使用哪些安全工具是最佳做法。

AWS建議使用其虛擬私有雲(VPC) 在AWS 中建立一個隔離的私有虛擬網路環境。此外,添加AWS WAF(Web 應用程式防火牆)等防火牆可以防止對關鍵應用程式和資料的未經授權的存取。

AWS WAF 是AWS 安全性的基礎,可保護Web 應用程式和API 免受典型Web 漏洞的攻擊。組織可以建立安全規則來阻止常見的攻擊流量模式,同時允許其他流量傳遞到應用程式。

AWS防火牆管理器可讓組織在其所有AWS 帳戶和應用程式中擁有一致的防火牆規則。使用AWS 防火牆管理器的組織可以從一個中心位置設定和管理所有防火牆規則和策略。透過這種方式,AWS 防火牆管理器能夠保護組織的整個雲端基礎架構。

使用身分識別系統並強制實施權限層級劃分

身分存取管理(IAM) 等身分系統在保護雲端資源免於不當使用方面大有幫助。此類系統是AWS 安全性和整體安全性的基礎。IAM 使組織能夠遵循最小特權原則,即使用者僅被授予對其作業所需資料的存取權限。

借助AWS IAM,組織可以使用該服務作為授予不同層級存取權限的一種方式,並影響使用者對雲端資源的影響。帳戶管理員可以使用基於身分的策略向使用者授予權限。此策略對不同使用者和群組的影響不同。

標識可以綁定到一個使用者或一組使用者。此標識通知安全性原則是否允許使用者執行某些操作或存取某些資源。允許使用者執行哪些操作和資源的程度是已授予他們多少特權的標誌。

除AWS IAM 外,控制使用者存取的其他AWS 服務包括Amazon Cognito 和AWS Single Sign-On (SSO)。

Cognito授予授權使用者存取組織應用程式的權限。使用者可以是可以授權存取應用程式後端的員工,也可以是只需要存取前端的日常使用者。

AWS SSO 允許組織的員工使用一組憑證存取多個AWS 帳戶。應用程式、帳戶和關聯的權限都可以集中管理。

監控雲端環境

組織無法保護自己免受無法偵測到的威脅的侵害。這就是為什麼監控雲端環境對安全性至關重要的原因。透過充分的監視,當發生安全事件時,組織會快速收到警報。

在安全事件發生後,最好有日誌,提供導致安全事件所執行操作的歷史記錄以及由誰執行的操作。各種亞馬遜安全服務都具有這樣的監控和日誌記錄功能。

Amazon Detective 會自動收集組織所有雲端資源的日誌數據,並使用這些資訊來確定可能的安全問題的來源。

Amazon GuardDuty 也會持續監控雲端環境,並分析日誌資料中是否有威脅、異常活動和異常行為。

Amazon Macie 是一項基於機器學習的服務,可自動尋找、分類和保護敏感資料。例如,個人識別資訊(PII) 或智慧財產權可由Amazon Macie 找到並進行保護。

AWS安全中心是一個控制台,用於編譯來自各種AWS 安全服務的通知和警報。中心聚合、組織監視訊息,並為查看它的管理員設定其優先順序。

自動化安全功能

上一節提到的許多服務都是自動化工具。這對管理員來說很重要,因為它將許多單調且耗時的任務從他們的盤子中移除,並使不需要的任務成為各種服務的責任。

透過讓軟體接手資料分析或監視活動等任務,管理員有更多時間用於直接影響其組織業務需求的專案。此外,自動化策略部署和實施等流程使雲端實例能夠更輕鬆地快速擴展。

保護靜態和傳輸中的數據

另一個AWS 安全基礎是在資料未被存取或移動時保護數據,以及在整個組織網路中傳輸資料時保護資料。

靜態資料可以透過加密和使用如上所述的存取控制來保護。傳輸中的資料可以透過加密、安全性金鑰和憑證管理、安全性協定(如傳輸層安全性(TLS)、VPN 以及可以偵測將資料移出特定邊界的嘗試的工具進行保護。同樣,有幾種AWS 服務可以執行這些任務。

AWS有兩種安全服務可以提供加密:AWS CloudHSM 和AWS Key Management Service (KMS)。

AWS CloudHSM 是基於雲端的硬體安全模組(HSM) 服務,組織可以使用它在雲端中建立自己的加密金鑰。這些模組經過FIPS 140-2 3 級驗證,這意味著它們符合美國聯邦資訊處理法規。

AWS KMS 是建立和控制加密金鑰的託管方式。借助此服務,組織可以跨多個AWS 服務和在自己的應用程式中控制金鑰的使用。AWS KMS 也使用HSM。這兩者都提供了防止資料在靜態時被攻擊者存取所需的加密。

資料傳輸的安全協定是確保傳輸中資料安全的關鍵。安全通訊端層/傳輸層安全性(SSL/TLS) 憑證可透過AWS 憑證管理員進行預置、管理和部署。透過這些安全協議,資料在透過網路傳輸時會被加密。

AWS金鑰管理員可確保資料庫憑證或API 金鑰等機密的安全。儲存和控制機密是透過控制台、CLI 或API 集中完成的。使用此服務,機密不會硬編碼到應用程式中。相反,對AWS 密鑰管理器的API 呼叫會檢索密鑰。

這樣做意味著檢查應用程式程式碼的人找不到可以授予他們進一步存取權限的機密。這可以保護處於任何狀態的應用程式內的資料。

總結:AWS安全基礎知識關鍵要點:

1. 每個組織都應該制定如何保護其雲端環境並有效執行的計畫。

2. 防火牆是保護雲端基礎架構不同層的好方法。

3. 身分存取管理和最小特權原則是雲端安全的基本要素。

4. 透過監視和記錄雲端活動,可以更輕鬆地找出導致安全事件的人員或原因。

5. 自動化讓IT 管理員的生活更輕鬆,因為他們不再需要專注於單調和苛刻的任務。

6. 加密是保護靜態和傳輸中資料的常見且有效的方法