本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 人臉活體的共同責任模型 安全與合規是 AWS 與身為客戶的您共同的責任。[在這裡](https://aws.amazon.com/compliance/shared-responsibility-model/)閱讀有關 AWS 共同責任模型的詳細資訊。 1. 對 AWS 服務的所有呼叫 (透過用戶端應用程式或客戶後端) 都會使用 Auth AWS (AWS Authentication) 進行身分驗證和授權。這是人臉活體服務所有者的責任,以確保這種情況發生。 1. 所有對用戶後端 (從用戶端應用程式) 的呼叫都透過客戶進行身分驗證和授權。由客戶承担该责任。客戶必須確保來自客戶端應用程式的呼叫經過身分驗證,並且沒有以任何方式操縱。 1. 客戶後端必須識別執行人臉活體挑戰的最終使用者。客戶有責任將最終使用者與人臉活體工作階段聯繫起來。人臉活體服務不會區分最終使用者。它只能識別呼叫 AWS 身分 (客戶處理的身分)。 1. AWS 建議客戶套用額外的驗證檢查,例如位置地理位置 (例如以 IP 為基礎)、一次性通行碼 (OTPs) 等,以及符合其使用案例要求和安全狀態的人臉活體。 'FaceMovementAndLightChallenge' 設定要求使用者將臉部朝螢幕移動,並為一系列閃爍燈光保持靜止,為 Rekognition 活體提供最高準確度。我們建議客戶使用此預設設定。或者,客戶可以啟用「FaceMovementChallenge」設定,透過消除閃爍的光線,將檢查時間縮短數秒。雖然「FaceMovementAndLightChallenge」仍是將準確性最大化的最佳設定,但「FaceMovementChallenge」可讓客戶排定更快速的活體檢查優先順序。選取這些設定時,客戶應考慮其使用案例需求,包括預期的攻擊類型、所需的 false 接受率和 false 拒絕率,以及實作額外的檢查,例如地理位置 (例如,根據 IP)、一次性傳遞代碼 OTPs) 等。客戶應根據其使用案例,使用各種可信度分數閾值測試活體效能後做出此決策。客戶負責實作控制,以保護從中傳送視訊的裝置 下列流程圖顯示 AWS 服務或客戶驗證哪些呼叫: ![\[活體偵測流程顯示用戶端應用程式、人臉活體偵測器元件、客戶的後端、Rekognition 服務和 Rekognition 串流服務之間的互動,以實現安全的人臉活體工作階段。\]](http://docs.aws.amazon.com/zh_tw/rekognition/latest/dg/images/SequenceDiagramLivenessFlow-v5.png) Amazon Rekognition 人臉活體服務的所有呼叫都受到 Auth AWS 保護 (使用 AWS 簽署機制)。這包含下列呼叫: + [3] [CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html) API 呼叫 (來自客戶的後端) + [7] [StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_rekognitionstreaming_StartFaceLivenessSession.html) API 呼叫 (來自客戶端的應用程式) + [11] [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html) API 呼叫 (來自客戶的後端) 所有對客戶後端的呼叫都需要具有身分驗證和授權機制。客戶需要確保使用的第三方程式碼/資料庫/等正在積極維護和開發。客戶還需要確保正確的最終使用者呼叫正確的人臉活體工作階段。客戶必須驗證並授權以下流程: + [2] 建立人臉活體工作階段 (來自客戶端的應用程式) + [10] 獲取人臉活體工作階段結果 (來自客戶端的應用程式) 客戶可以遵循 [STRIDE](https://owasp.org/www-community/Threat_Modeling_Process#stride-threat-list) 安全模型,以確保其 API 呼叫受到保護。 | | | Type | 描述 | 安全控制 | | --- |--- |--- | | Spoofing | Threat action aimed at accessing and use of another user’s credentials, such as username and password. | Authentication | | Tampering | Threat action intending to maliciously change or modify persistent data. Examples include records in a database, and the alteration of data in transit between two computers over an open network, such as the internet. | Integrity | | Repudiation | Threat action aimed at performing prohibited operations in a system that lacks the ability to trace the operations. | Non-Repudiation | | Information disclosure | Threat action intending to read a file that one was not granted access to, or to read data in transit. | Confidentiality | | Denial of service | Threat action attempting to deny access to valid users, such as by making a web server temporarily unavailable or unusable. | Availability | | Elevation of privilege | Threat action intending to gain privileged access to resources in order to gain unauthorized access to information or to compromise a system. | Authorization | AWS 會以下列方式保護其連線: 1. 計算請求簽名,然後在服務端驗證簽名。請求使用此簽名進行***身分驗證***。 1. AWS 客戶必須設定適當的 IAM 角色,以***授權***特定動作/操作。呼叫 AWS 服务時需要這些 IAM 角色。 1. 僅允許對 AWS 服務的 HTTPS 請求。請求在開放的網路中使用 TLS 進行加密。這樣可以保護請求的***機密性***並維持其***完整性***。 1. AWS 服務會記錄足夠的資料,以識別客戶進行的呼叫。這樣可以防止***否認***攻擊。 1. AWS 服務擁有足夠的***可用性** * 客戶有責任透過下列方式保護其服務和 API 呼叫: 1. 客戶必須確保他們遵循適當的驗證機制。有跡象表明,可用於驗證請求的各種身分驗證機制。客戶可以探索[基於身份驗證的摘要](https://en.wikipedia.org/wiki/Digest_access_authentication)、[OAuth](https://oauth.net/)、[OpenID 連接](https://openid.net/connect/)和其他機制。 1. 客戶必須確定其服務支援適當的加密通道 (例如 TLS/HTTPS),才能進行服務 API 呼叫。 1. 客戶必須確定其記錄了必要的資料,專門用於識別 API 呼叫和呼叫者。他們應該能夠使用定義的參數和調用時間來識別調用其 API 的客戶端。 1. 客戶必須確保其系統可用,能防禦 [DDoS 攻擊](https://en.wikipedia.org/wiki/Denial-of-service_attack)。以下是一些針對 DDoS 攻擊的[防禦技術](https://en.wikipedia.org/wiki/Denial-of-service_attack#Defense_techniques)範例。 客戶有責任將其應用程式保持在最新狀態。如需詳細資訊,請參閱[人臉活體更新指南](face-liveness-update-guidelines.md)。