# 安全基礎
<a name="a-sec-security"></a>

**Topics**
+ [SEC 1  如何安全地操作工作負載？](w2aac19b7b5b5.md)

# SEC 1  如何安全地操作工作負載？
<a name="w2aac19b7b5b5"></a>

 若要安全地操作工作負載，您必須將總體最佳實務套用到每個安全領域。採用您在組織和工作負載層級所定義的卓越營運要求和程序，將這些要求和程序套用到所有領域。透過 AWS 和產業建議與威脅情報持續取得最新資訊，可協助您發展威脅模型和控制目標。自動化安全程序、測試和驗證可讓您擴展安全操作。 

**Topics**
+ [SEC01-BP01 使用帳戶區隔工作負載](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 保護 AWS 帳戶](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 識別和驗證控制目標](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 掌握安全威脅的最新資訊](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 及時了解安全建議的最新資訊](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 將管道中安全控制的測試和驗證自動化](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 使用威脅模型定義風險並確定優先順序](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期評估和實作新的安全服務和功能](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 使用帳戶區隔工作負載
<a name="sec_securely_operate_multi_accounts"></a>

先從安全與基礎設施開始，讓您的組織隨著工作負載的成長設定常見的防護機制。該方法提供工作負載之間的邊界和控制。強烈建議進行帳戶層級的區隔，以便將生產工作負載與開發和測試工作負載隔離，或在依照外部合規要求 (例如 PCI-DSS 或 HIPAA) 所定義之不同敏感性等級處理資料的工作負載，與未如此做的工作負載之間提供強大的邏輯邊界。

 **若未建立此最佳實務，暴露的風險等級：** 高

## 實作指引
<a name="implementation-guidance"></a>
+  使用 AWS Organizations：使用 AWS Organizations 為多個 AWS 帳戶集中強制執行策略型管理。 
  + [AWS Organizations 入門 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  + [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 
+  考慮 AWS Control Tower：AWS Control Tower 提供一種便利方式，根據最佳實務設定和管控全新、安全的多帳戶 AWS 環境。
  +  [AWS Control Tower](https://aws.amazon.com/controltower/) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [IAM 最佳實務 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+  [安全公告](https://aws.amazon.com/security/security-bulletins)
+  [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)

 **相關影片：** 
+ [使用 AWS Organizations 管理多帳戶 AWS 環境 ](https://youtu.be/fxo67UeeN1A) 
+ [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM) 
+ [使用 AWS Control Tower 管控多帳戶 AWS 環境 ](https://youtu.be/2t-VkWt0rKk) 

# SEC01-BP02 保護 AWS 帳戶
<a name="sec_securely_operate_aws_account"></a>

在多個層面保護 AWS 帳戶，包括保護 (而非使用 [根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html))，以及使您的聯絡資訊保持在最新狀態。您可以使用 [AWS Organizations](https://aws.amazon.com/organizations/) ，在 AWS 中的工作負載增長和擴展時，集中管理和管控您的帳戶。AWS Organizations 可協助您跨帳戶管理帳戶、設定控制及設定服務。

 **若未建立此最佳實務，暴露的風險等級：** 高

## 實作指引
<a name="implementation-guidance"></a>
+  使用 AWS Organizations：使用 AWS Organizations 為多個 AWS 帳戶集中強制執行策略型管理。 
  +  [AWS Organizations 入門](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  限制 AWS 根使用者的使用：僅使用根使用者來執行特別需要的任務。
  + [ 需要 AWS 帳戶根使用者憑證的 AWS 任務 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  針對根使用者啟用多重因素認證 (MFA)：如果 AWS Organizations 未為您管理根使用者，請在 AWS 帳戶 根使用者上啟用 MFA。
  +  [根使用者 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  定期變更根使用者密碼：變更根使用者密碼可降低使用已儲存密碼的風險。如果您沒有使用 AWS Organizations，而且任何人都有實體存取權，則尤為重要。
  + [ 變更 AWS 帳戶根使用者密碼 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  使用 AWS 帳戶根使用者時發出通知：收到通知會自動降低風險。
  + [ 如何在使用 AWS 帳戶的根存取金鑰時接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  限制對新增區域的存取：對於新的 AWS 區域，IAM 資源 (例如使用者和角色) 只會傳播到您啟用的區域。
  + [ 設定權限以為即將推出的 AWS 區域啟用帳戶 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  考慮 AWS CloudFormation StackSets：CloudFormation StackSets 可用於將資源 (包括 IAM 政策、角色和群組) 從核可的範本部署到不同的 AWS 帳戶和區域中。
  + [ 使用 CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全稽核指導方針 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 最佳實務 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [安全公告 ](https://aws.amazon.com/security/security-bulletins/)

 **相關影片：** 
+ [ 透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [ 以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)

 **相關範例：** 
+ [ 實驗室：AWS 帳戶 和根使用者 ](https://youtu.be/u6BCVkXkPnM)

# SEC01-BP03 識別和驗證控制目標
<a name="sec_securely_operate_control_objectives"></a>

 根據合規需求以及從威脅模型識別的風險，衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證，可協助您測量風險降低的有效性。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  識別合規要求：發現您的工作負載務必遵守的組織、法律和合規要求。 
+  識別 AWS 合規資源：識別 AWS 可用於協助您達成合規的資源。 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/) 

 **相關影片：** 
+  [AWS Security Hub CSPM：管理安全提醒與使合規自動化](https://youtu.be/HsWtPG_rTak) 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 掌握安全威脅的最新資訊
<a name="sec_securely_operate_updated_threats"></a>

 透過隨時得知最新安全威脅來辨識攻擊向量，以協助您定義並實作適當的控制。取用 AWS Managed Services 可讓您更輕鬆地接收 AWS 帳戶中非預期或異常行為的通知。使用 AWS 合作夥伴工具或第三方威脅資訊摘要，做為安全資訊流程的一部分進行調查。AWS Well-Architected [通用漏洞披露 (CVE) 清單 ](https://cve.mitre.org/) 此清單包含公開揭露的網路安全漏洞，您可以使用這些漏洞來保持最新狀態。

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  訂閱威脅情報來源：定期從多個來源檢閱與工作負載中使用的技術相關的威脅情報。 
  +  [通用漏洞披露清單 ](https://cve.mitre.org/)
+  考慮 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 服務：如果您的工作負載可透過網際網路存取，它可提供近乎即時的情報來源可見性。

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/) 

 **相關影片：** 
+ [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 及時了解安全建議的最新資訊
<a name="sec_securely_operate_updated_recommendations"></a>

 隨時取得 AWS 和產業安全建議的最新資訊，以發展工作負載的安全狀態。[AWS 安全公告](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 包含有關安全和隱私權通知的重要資訊。

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  關注 AWS 更新：訂閱或定期查看新的建議、秘訣和技巧。 
  +  [AWS Well-Architected 實驗室](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [AWS 安全部落格](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [AWS 服務文件](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  訂閱產業新聞：定期在多個來源檢閱與工作負載中使用技術相關的新聞摘要。
  +  [範例：通用漏洞披露清單](https://cve.mitre.org/cve/?ref=wellarchitected) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [安全公告](https://aws.amazon.com/security/security-bulletins/) 

 **相關影片：** 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 將管道中安全控制的測試和驗證自動化
<a name="sec_securely_operate_test_validate_pipeline"></a>

 為安全機制建立安全基準和範本，在您的建置、管道和程序中接受測試和驗證。使用工具和自動化，持續測試和驗證所有安全控制。例如，掃描機器圖像和基礎設施即程式碼範本，檢查是否有安全漏洞、異常和偏離各階段既定基準。AWS CloudFormation Guard 可以協助您驗證 CloudFormation 範本是否安全、為您節省時間，以及減少組態錯誤的風險。 

減少引入生產環境中的錯誤安全組態的數量至關重要；因此，在建置過程中最好能夠執行更多品質控制，並儘可能減少缺陷。應設計持續整合和持續部署 (CI/CD) 管道，在可能的情況下檢測安全問題。CI/CD 管道提供為建置和交付之每個階段增強安全的機會。CI/CD 安全工具也必須持續更新，以緩解不斷演變的威脅。

追蹤對您工作負載組態的變更，以協助進行合規稽核、變更管理，以及可能適用於您的調查。您可以使用 AWS Config，來記錄並評估 AWS 和第三方資源。它可讓您使用規則和一致性套件持續稽核和評估整體合規，這些規則和一致性套件是具有修復動作的規則集合。

變更追蹤應該包括規劃的變更，這是組織變更控制程序的一部分 (有時稱為 MACD—移動、新增、變更、刪除)，也包括非規劃的變更，以及非預期的變更，例如事故。基礎設施上可能會發生變更，但它們也可能與其他類別相關，例如程式碼儲存庫中的變更、機器映像和應用程式庫存變更、程序和政策變更，或文件變更。

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  自動化組態管理：透過使用組態管理服務或工具，來自動執行和驗證安全組態。 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [在 AWS 上設定 CI/CD 管道 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **相關影片：** 
+  [使用 AWS Organizations 管理多帳戶 AWS 環境](https://youtu.be/fxo67UeeN1A) 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 使用威脅模型定義風險並確定優先順序
<a name="sec_securely_operate_threat_model"></a>

 使用威脅模型來識別和維護潛在威脅的最新登錄資料。排定威脅的優先順序並調整安全控制，以防止、偵測和回應威脅。在不斷演變的安全形勢下，重新審視和維護此事項。 

威脅建模提供了一種系統化的方法，以協助在設計過程中及早發現並解決安全問題。越早越好，因為與生命週期後期相比，緩解的成本更低。

威脅建模程序的典型核心步驟是：

1. 識別資產、執行者、進入點、元件、使用案例，以及信任等級，並將這些項目包含在設計圖中。

1. 識別威脅清單。

1. 對於每個威脅，識別緩解措施，其中可能包括安全控制實作。

1. 建立並審查風險矩陣以判斷威脅是否得到充分緩解。

威脅建模在工作負載 (或工作負載功能) 層級完成時最有效，可確保所有內容都可用於評估。隨著您的安全態勢演進，重新檢視並維護此矩陣。

 **若未建立此最佳實務，暴露的風險等級為：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  建立威脅模型：威脅模型可協助您識別和解決潛在的安全威脅。 
  +  [NIST：以資料為中心的系統威脅建模指南 ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 安全稽核指導方針 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [安全公告 ](https://aws.amazon.com/security/security-bulletins/)

 **相關影片：** 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP08 定期評估和實作新的安全服務和功能
<a name="sec_securely_operate_implement_services_features"></a>

 評估和實作 AWS 和 AWS 合作夥伴提供的安全服務和功能，讓您發展工作負載的安全狀態。AWS 安全部落格強調新的 AWS 服務和功能、實作指南和一般安全指引。[AWS 最新消息？](https://aws.amazon.com/new) 是及時了解所有新的 AWS 功能、服務和公告的最佳方式。

 **若未建立此最佳實務，暴露的風險等級：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  規劃定期審查：建立一個審查活動行事曆，其中包含合規要求、對新的 AWS 安全功能和服務的評估以及最新的產業新聞。 
+  探索 AWS 服務與功能：探索可用於您正在使用的服務的安全功能，並在新功能發佈時審查這些功能。 
  + [AWS 安全部落格](https://aws.amazon.com/blogs/security/) 
  + [AWS 安全公告 ](https://aws.amazon.com/security/security-bulletins/)
  +  [AWS 服務文件 ](https://aws.amazon.com/documentation/)
+  定義 AWS 服務的採用程序：定義採用新 AWS 服務的程序。包含您如何評估新 AWS 服務的功能，以及工作負載的合規要求。
+  測試新的服務和功能：在緊密複寫生產服務的非生產環境中發佈新服務和功能時，請對其進行測試。
+  實作其他防禦機制：實作自動化機制以保護您的工作負載，探索可用的選項。
  +  [依 AWS Config 規則 修補不合規的 AWS 資源 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## 資源
<a name="resources"></a>

 **相關影片：** 
+  [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)