# 安全性
**Topics**
+ [安全基礎](a-sec-security.md)
+ [身分和存取管理](a-identity-and-access-management.md)
+ [偵測](a-detective-controls.md)
+ [基礎設施保護](a-infrastructure-protection.md)
+ [資料保護](a-data-protection.md)
+ [事故回應](a-incident-response.md)
# 安全基礎
**Topics**
+ [SEC 1 如何安全地操作工作負載?](w2aac19b7b5b5.md)
# SEC 1 如何安全地操作工作負載?
若要安全地操作工作負載,您必須將總體最佳實務套用到每個安全領域。採用您在組織和工作負載層級所定義的卓越營運要求和程序,將這些要求和程序套用到所有領域。透過 AWS 和產業建議與威脅情報持續取得最新資訊,可協助您發展威脅模型和控制目標。自動化安全程序、測試和驗證可讓您擴展安全操作。
**Topics**
+ [SEC01-BP01 使用帳戶區隔工作負載](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 保護 AWS 帳戶](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 識別和驗證控制目標](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 掌握安全威脅的最新資訊](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 及時了解安全建議的最新資訊](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 將管道中安全控制的測試和驗證自動化](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 使用威脅模型定義風險並確定優先順序](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期評估和實作新的安全服務和功能](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 使用帳戶區隔工作負載
先從安全與基礎設施開始,讓您的組織隨著工作負載的成長設定常見的防護機制。該方法提供工作負載之間的邊界和控制。強烈建議進行帳戶層級的區隔,以便將生產工作負載與開發和測試工作負載隔離,或在依照外部合規要求 (例如 PCI-DSS 或 HIPAA) 所定義之不同敏感性等級處理資料的工作負載,與未如此做的工作負載之間提供強大的邏輯邊界。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 使用 AWS Organizations:使用 AWS Organizations 為多個 AWS 帳戶集中強制執行策略型管理。
+ [AWS Organizations 入門 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ 考慮 AWS Control Tower:AWS Control Tower 提供一種便利方式,根據最佳實務設定和管控全新、安全的多帳戶 AWS 環境。
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## 資源
**相關文件:**
+ [IAM 最佳實務 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [安全公告](https://aws.amazon.com/security/security-bulletins)
+ [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**相關影片:**
+ [使用 AWS Organizations 管理多帳戶 AWS 環境 ](https://youtu.be/fxo67UeeN1A)
+ [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)
+ [使用 AWS Control Tower 管控多帳戶 AWS 環境 ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 保護 AWS 帳戶
在多個層面保護 AWS 帳戶,包括保護 (而非使用 [根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)),以及使您的聯絡資訊保持在最新狀態。您可以使用 [AWS Organizations](https://aws.amazon.com/organizations/) ,在 AWS 中的工作負載增長和擴展時,集中管理和管控您的帳戶。AWS Organizations 可協助您跨帳戶管理帳戶、設定控制及設定服務。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 使用 AWS Organizations:使用 AWS Organizations 為多個 AWS 帳戶集中強制執行策略型管理。
+ [AWS Organizations 入門](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ 限制 AWS 根使用者的使用:僅使用根使用者來執行特別需要的任務。
+ [ 需要 AWS 帳戶根使用者憑證的 AWS 任務 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ 針對根使用者啟用多重因素認證 (MFA):如果 AWS Organizations 未為您管理根使用者,請在 AWS 帳戶 根使用者上啟用 MFA。
+ [根使用者 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ 定期變更根使用者密碼:變更根使用者密碼可降低使用已儲存密碼的風險。如果您沒有使用 AWS Organizations,而且任何人都有實體存取權,則尤為重要。
+ [ 變更 AWS 帳戶根使用者密碼 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ 使用 AWS 帳戶根使用者時發出通知:收到通知會自動降低風險。
+ [ 如何在使用 AWS 帳戶的根存取金鑰時接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ 限制對新增區域的存取:對於新的 AWS 區域,IAM 資源 (例如使用者和角色) 只會傳播到您啟用的區域。
+ [ 設定權限以為即將推出的 AWS 區域啟用帳戶 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ 考慮 AWS CloudFormation StackSets:CloudFormation StackSets 可用於將資源 (包括 IAM 政策、角色和群組) 從核可的範本部署到不同的 AWS 帳戶和區域中。
+ [ 使用 CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## 資源
**相關文件:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全稽核指導方針 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 最佳實務 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全公告 ](https://aws.amazon.com/security/security-bulletins/)
**相關影片:**
+ [ 透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [ 以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)
**相關範例:**
+ [ 實驗室:AWS 帳戶 和根使用者 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 識別和驗證控制目標
根據合規需求以及從威脅模型識別的風險,衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證,可協助您測量風險降低的有效性。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 識別合規要求:發現您的工作負載務必遵守的組織、法律和合規要求。
+ 識別 AWS 合規資源:識別 AWS 可用於協助您達成合規的資源。
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## 資源
**相關文件:**
+ [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相關影片:**
+ [AWS Security Hub CSPM:管理安全提醒與使合規自動化](https://youtu.be/HsWtPG_rTak)
+ [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 掌握安全威脅的最新資訊
透過隨時得知最新安全威脅來辨識攻擊向量,以協助您定義並實作適當的控制。取用 AWS Managed Services 可讓您更輕鬆地接收 AWS 帳戶中非預期或異常行為的通知。使用 AWS 合作夥伴工具或第三方威脅資訊摘要,做為安全資訊流程的一部分進行調查。AWS Well-Architected [通用漏洞披露 (CVE) 清單 ](https://cve.mitre.org/) 此清單包含公開揭露的網路安全漏洞,您可以使用這些漏洞來保持最新狀態。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 訂閱威脅情報來源:定期從多個來源檢閱與工作負載中使用的技術相關的威脅情報。
+ [通用漏洞披露清單 ](https://cve.mitre.org/)
+ 考慮 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 服務:如果您的工作負載可透過網際網路存取,它可提供近乎即時的情報來源可見性。
## 資源
**相關文件:**
+ [AWS 安全稽核指導方針](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相關影片:**
+ [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 及時了解安全建議的最新資訊
隨時取得 AWS 和產業安全建議的最新資訊,以發展工作負載的安全狀態。[AWS 安全公告](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 包含有關安全和隱私權通知的重要資訊。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 關注 AWS 更新:訂閱或定期查看新的建議、秘訣和技巧。
+ [AWS Well-Architected 實驗室](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [AWS 安全部落格](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [AWS 服務文件](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ 訂閱產業新聞:定期在多個來源檢閱與工作負載中使用技術相關的新聞摘要。
+ [範例:通用漏洞披露清單](https://cve.mitre.org/cve/?ref=wellarchitected)
## 資源
**相關文件:**
+ [安全公告](https://aws.amazon.com/security/security-bulletins/)
**相關影片:**
+ [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 將管道中安全控制的測試和驗證自動化
為安全機制建立安全基準和範本,在您的建置、管道和程序中接受測試和驗證。使用工具和自動化,持續測試和驗證所有安全控制。例如,掃描機器圖像和基礎設施即程式碼範本,檢查是否有安全漏洞、異常和偏離各階段既定基準。AWS CloudFormation Guard 可以協助您驗證 CloudFormation 範本是否安全、為您節省時間,以及減少組態錯誤的風險。
減少引入生產環境中的錯誤安全組態的數量至關重要;因此,在建置過程中最好能夠執行更多品質控制,並儘可能減少缺陷。應設計持續整合和持續部署 (CI/CD) 管道,在可能的情況下檢測安全問題。CI/CD 管道提供為建置和交付之每個階段增強安全的機會。CI/CD 安全工具也必須持續更新,以緩解不斷演變的威脅。
追蹤對您工作負載組態的變更,以協助進行合規稽核、變更管理,以及可能適用於您的調查。您可以使用 AWS Config,來記錄並評估 AWS 和第三方資源。它可讓您使用規則和一致性套件持續稽核和評估整體合規,這些規則和一致性套件是具有修復動作的規則集合。
變更追蹤應該包括規劃的變更,這是組織變更控制程序的一部分 (有時稱為 MACD—移動、新增、變更、刪除),也包括非規劃的變更,以及非預期的變更,例如事故。基礎設施上可能會發生變更,但它們也可能與其他類別相關,例如程式碼儲存庫中的變更、機器映像和應用程式庫存變更、程序和政策變更,或文件變更。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 自動化組態管理:透過使用組態管理服務或工具,來自動執行和驗證安全組態。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [在 AWS 上設定 CI/CD 管道 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## 資源
**相關文件:**
+ [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**相關影片:**
+ [使用 AWS Organizations 管理多帳戶 AWS 環境](https://youtu.be/fxo67UeeN1A)
+ [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 使用威脅模型定義風險並確定優先順序
使用威脅模型來識別和維護潛在威脅的最新登錄資料。排定威脅的優先順序並調整安全控制,以防止、偵測和回應威脅。在不斷演變的安全形勢下,重新審視和維護此事項。
威脅建模提供了一種系統化的方法,以協助在設計過程中及早發現並解決安全問題。越早越好,因為與生命週期後期相比,緩解的成本更低。
威脅建模程序的典型核心步驟是:
1. 識別資產、執行者、進入點、元件、使用案例,以及信任等級,並將這些項目包含在設計圖中。
1. 識別威脅清單。
1. 對於每個威脅,識別緩解措施,其中可能包括安全控制實作。
1. 建立並審查風險矩陣以判斷威脅是否得到充分緩解。
威脅建模在工作負載 (或工作負載功能) 層級完成時最有效,可確保所有內容都可用於評估。隨著您的安全態勢演進,重新檢視並維護此矩陣。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 建立威脅模型:威脅模型可協助您識別和解決潛在的安全威脅。
+ [NIST:以資料為中心的系統威脅建模指南 ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## 資源
**相關文件:**
+ [AWS 安全稽核指導方針 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [安全公告 ](https://aws.amazon.com/security/security-bulletins/)
**相關影片:**
+ [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 定期評估和實作新的安全服務和功能
評估和實作 AWS 和 AWS 合作夥伴提供的安全服務和功能,讓您發展工作負載的安全狀態。AWS 安全部落格強調新的 AWS 服務和功能、實作指南和一般安全指引。[AWS 最新消息?](https://aws.amazon.com/new) 是及時了解所有新的 AWS 功能、服務和公告的最佳方式。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 規劃定期審查:建立一個審查活動行事曆,其中包含合規要求、對新的 AWS 安全功能和服務的評估以及最新的產業新聞。
+ 探索 AWS 服務與功能:探索可用於您正在使用的服務的安全功能,並在新功能發佈時審查這些功能。
+ [AWS 安全部落格](https://aws.amazon.com/blogs/security/)
+ [AWS 安全公告 ](https://aws.amazon.com/security/security-bulletins/)
+ [AWS 服務文件 ](https://aws.amazon.com/documentation/)
+ 定義 AWS 服務的採用程序:定義採用新 AWS 服務的程序。包含您如何評估新 AWS 服務的功能,以及工作負載的合規要求。
+ 測試新的服務和功能:在緊密複寫生產服務的非生產環境中發佈新服務和功能時,請對其進行測試。
+ 實作其他防禦機制:實作自動化機制以保護您的工作負載,探索可用的選項。
+ [依 AWS Config 規則 修補不合規的 AWS 資源 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## 資源
**相關影片:**
+ [以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)
# 身分和存取管理
**Topics**
+ [SEC 2 如何管理人員和機器的身份驗證?](w2aac19b7b7b5.md)
+ [SEC 3 如何管理人員和機器的許可?](w2aac19b7b7b7.md)
# SEC 2 如何管理人員和機器的身份驗證?
處理操作安全的 AWS 工作負載時,您需要管理兩種身分類型。了解您需要管理和授予存取權的身分類型,有助於確保正確的身分在適當的條件下存取正確的資源。
人員身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些人是組織的成員,或與您協作的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。
機器身分:您的服務應用程式、操作工具和工作負載需要身分,才能向 AWS 服務發出請求,例如讀取資料。這些身份包括在 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部人員管理機器身分。此外,您可能也有在 AWS 外部,需要存取 AWS 環境的機器。
**Topics**
+ [SEC02-BP01 使用強式登入機制](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 使用臨時登入資料](sec_identities_unique.md)
+ [SEC02-BP03 安全地存放和使用機密](sec_identities_secrets.md)
+ [SEC02-BP04 倚賴集中化的身分提供者](sec_identities_identity_provider.md)
+ [SEC02-BP05 定期稽核和輪換登入資料](sec_identities_audit.md)
+ [SEC02-BP06 利用使用者群組和屬性](sec_identities_groups_attributes.md)
# SEC02-BP01 使用強式登入機制
強制執行密碼長度下限,並教育使用者避免使用常見密碼或重複使用密碼。透過軟體或硬體機制強制使用 Multi-Factor Authentication (MFA),以提供額外的驗證保護層。例如,使用 IAM Identity Center 作為身份來源時,請進行 MFA 的「內容感知」或「永遠啟用」設定,並允許使用者註冊自己的 MFA 裝置以加速採用。使用外部身份提供者 (IdP) 時,設定您的 MFA 的 IdP。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 建立 Identify and Access Management (IAM) 政策來強制執行 MFA 登入:建立一個客戶管理的 IAM 政策,禁止所有 IAM 動作,除了允許使用者在下列頁面上假設角色、變更自己的登入資料,以及管理 MFA 裝置: [My Security Credentials (我的安全登入資料)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1)。
+ 在您的身分供應商中啟用 MFA:在您使用的身分供應商或單一登入服務中啟用 [MFA](https:/aws.amazon.com/iam/details/mfa) ,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。
+ 設定強式密碼政策:將強式 [密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) 設定於 IAM 和聯合身分系統中,以協助防範暴力密碼破解攻擊。
+ [定期輪換登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials):確保工作負載的管理員會定期變更其密碼和存取金鑰 (若使用)。
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 使用臨時登入資料
需要身份才能動態取得 [臨時登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)。若是人力身份,請使用 AWS IAM Identity Center 或與 AWS Identity and Access Management (IAM) 角色聯合來存取 AWS 帳戶。若是機器身份,例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 AWS Lambda 函數,需要使用 IAM 角色,而不是具有長期存取金鑰的 IAM 使用者。
若是使用 AWS 管理主控台的人類身份,需要使用者取得臨時登入資料並聯合至 AWS。您可以使用 AWS IAM Identity Center 使用者入口網站來執行此動作。針對需要 CLI 存取權的使用者,請確定他們使用 [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/),其支援與 IAM Identity Center 的直接整合。使用者可以建立連結至 IAM Identity Center 帳戶和角色的 CLI 設定檔。CLI 會自動從 IAM Identity Center 擷取 AWS 登入資料,並代您重新整理。這樣就無需從 IAM Identity Center 主控台複製並貼上臨時 AWS 登入資料。針對 SDK,使用者應倚賴 AWS Security Token Service (AWS STS) 來擔任角色,以接收臨時登入資料。在某些情況下,臨時登入資料可能並不實用。您應注意存放存取金鑰的風險,經常輪換這些金鑰,並盡可能要求多重要素驗證 (MFA) 作為條件。使用上次存取的資訊來決定何時輪換或移除存取金鑰。
若您需要授予取用者存取 AWS 資源,請使用 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) 身份集區,並為其指派一組臨時、有限權限的登入資料來存取您的 AWS 資源。每個使用者的許可都是透過您建立的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 來控制。您可以定義規則,根據使用者 ID 字符中的宣告,為每個使用者選擇角色。您可以對已驗證使用者定義預設角色。您還可以對未驗證訪客使用者定義具有限制許可的 IAM 角色。
若是機器身份,您應倚賴 IAM 角色來授予 AWS 存取權。若是 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,您可以使用 [Amazon EC2 的角色。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。您可以將 IAM 角色連接至 Amazon EC2 執行個體,讓在 Amazon EC2 上執行的應用程式能夠使用 AWS 透過執行個體中繼資料服務 (IMDS) 自動建立、分發和輪換的臨時安全登入資料。AWS Well-Architected [最新版本](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) 的 IMDS 可協助防範暴露臨時登入資訊的漏洞,並應實作。若要使用金鑰或密碼存取 Amazon EC2 執行個體,[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 是一種更安全的方式,可使用預先安裝的代理程式存取和管理執行個體,而無須使用存放的密碼。此外,AWS Lambda 等其他 AWS 服務可讓您設定 IAM 服務角色,授予使用臨時登入資料執行 AWS 動作的服務許可。在您無法使用臨時登入資料的情況下,請使用程式設計工具,例如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/),來自動輸換和管理登入資料。
**定期稽核和輪換登入資料: **定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份,您應要求使用者定期變更密碼,並使用臨時登入資料淘汰存取金鑰。當您從 IAM 使用者移至集中式身份時,可以 [產生登入資料報告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 來監控這些設定。若是機器身份,您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下,需要頻繁稽核和輪換存取金鑰。
**安全地存放和使用機密:** 針對與 IAM 無關且無法利用臨時登入資料的登入資料,例如資料庫登入,請使用專為處理機密管理而設計的服務,例如 [Secrets Manager](https://aws.amazon.com/secrets-manager/)。Secrets Manager 讓您能夠使用 [支援的服務](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)。為了稽核目的,存取機密的叫用會記錄在 AWS CloudTrail 中,而 IAM 許可能夠授予對這些機密的最低存取權。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 實作最低權限政策:將具有最低權限的存取政策指派給 IAM 群組和角色,以反映您已定義的使用者角色或職能。
+ [授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ 移除不需要的權限:透過移除不必要的許可來實作最低權限。
+ [透過查看使用者活動來縮小政策範圍](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [檢視角色存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ 考慮使用許可界限:許可界限是使用受管政策的進階功能,可設定以身分為基礎的政策可授與 IAM 實體的最大許可。實體的許可界限只允許執行其以身分為基礎的政策和許可界限同時允許的動作。
+ [實驗室:IAM 許可邊界委派角色建立](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ 考慮使用資源標籤的許可:您可以使用標籤來控制對支援標記之 AWS 資源的存取。您也可以標記 IAM 使用者和角色,以控制他們可以存取的內容。
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 安全地存放和使用機密
對於需要第三方應用程式密碼等機密的人力和機器身分,請在專業服務中使用最新的產業標準,以自動輪換的方式存放機密,例如對於與 IAM 無關且無法利用臨時登入資料的登入資料,例如資料庫登入,請使用專為處理機密管理而設計的服務,例如 AWS Secrets Manager。Secrets Manager 讓您能夠使用支援的服務輕鬆管理、輪換和安全地存放加密機密。為了稽核目的,存取機密的叫用會記錄在 AWS CloudTrail 中,而 IAM 許可能夠授予對這些機密的最低存取權。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 使用 AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 是一項 AWS 服務,可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門 ](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 倚賴集中化的身分提供者
若是人力身份,請倚賴可讓您在集中位置管理身份的身份供應商。因為您從單一位置建立、管理和撤銷存取權,因此這可讓您更輕鬆地管理多個應用程式和服務之間的存取。例如,若有人離開您的組織,您可從一個位置撤銷所有應用程式和服務 (包括 AWS) 的存取權。這可減少多個登入資料的需求,並提供與現有人力資源 (HR) 程序整合的機會。
針對與個別 AWS 帳戶的聯合,您可以透過 SAML 2.0 供應商使用 AWS 的集中化身份,並搭配 AWS Identity and Access Management。您可以使用與下列通訊協定相容的任何供應商,無論是由您在 AWS 中、AWS 外部託管,還是由 AWS Partner 提供: [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 通訊協定。您可以使用 AWS 帳戶與所選供應商之間的聯合,透過使用 SAML 聲明取得臨時安全登入資料,授予使用者或應用程式叫用 AWS API 操作的存取權。此外還支援 Web 型單一登入,讓使用者能夠從您的登入網站登入 AWS 管理主控台。
針對與 AWS Organizations 中多個帳戶的聯合,您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中設定您的身份來源,並指定使用者和群組的存放位置。設定好之後,您的身份供應商即真實來源,而資訊可以使用跨網域身份管理系統 (SCIM) v2.0 通訊協定來 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 。然後,您可以查詢使用者或群組,並授予他們對 AWS 帳戶、雲端應用程式或兩者的IAM Identity Center存取權。
IAM Identity Center 與 AWS Organizations 整合,讓您只需設定身份供應商一次,然後即可將 [存取權授予組織中管理的現有及新帳戶](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 為您提供預設存放區,這可用於管理使用者和群組。若您選擇使用 IAM Identity Center 存放區,則建立使用者和群組,並將其存取層級指派給您的 AWS 帳戶和應用程式,並記住最低權限的最佳實務。或者,您可以選擇使用 SAML 2.0 [連線至您的外部身份供應商 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html), [或使用](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) AWS Directory Service 連線至您的 Microsoft AD 目錄。設定好之後,您可以透過中央身分提供者進行身分驗證,登入 AWS 管理主控台 或 AWS 行動應用程式。
若要管理工作負載的最終使用者或取用者,例如行動應用程式,您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它可為您的 Web 和行動應用程式提供身份驗證、授權和使用者管理。您的使用者可以憑使用者名稱和密碼直接登入,或透過第三方 (例如 Amazon、Apple、Facebook 或 Google) 登入。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 集中管理存取:建立 Identity and Access Management (IAM) 身分提供者實體,以在您的 AWS 帳戶 與您的身分提供者 (IdP) 之間建立信任的關係。IAM 支援與 OpenID Connect (OIDC) 或 SAML 2.0 (安全聲明標記語言 2.0) 相容的 IdP。
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 集中應用程式存取:考慮使用 Amazon Cognito 集中存取應用程式。它可讓您快速輕鬆地將使用者註冊、登入和存取控制新增到 Web 和行動應用程式。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可擴展到數百萬使用者,並支援透過 SAML 2.0 使用社交身分提供者 (例如 Facebook、Google 和 Amazon) 以及企業身分提供者進行登入。
+ 移除舊的 IAM 使用者與群組:在您開始使用身分提供者 (IdP) 後,請移除不再需要的 IAM 使用者與群組。
+ [尋找未使用的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [刪除 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 資源
**相關文件:**
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 定期稽核和輪換登入資料
當您無法倚賴臨時登入資料且需要長期登入資料時,請稽核登入資料以確保定義的控制 (例如 多重要素驗證 (MFA)) 會定期強制執行、輪換,且具有適當的存取層級。定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份,您應要求使用者定期變更密碼,並使用臨時登入資料淘汰存取金鑰。當您從 AWS Identity and Access Management (IAM) 使用者移至集中式身份時,可以 [產生登入資料報告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 來監控這些設定。若是機器身份,您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下,需要頻繁稽核和輪換存取金鑰。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 定期稽核登入資料:使用登入資料報告和 Identify and Access Management (IAM) Access Analyzer,來稽核 IAM 登入資料和許可。
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [獲取登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [實驗室:自動化 IAM 使用者清除](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ 使用存取層級來檢閱 IAM 許可:為了改善 AWS 帳戶的安全性,請定期檢閱和監控每個 IAM 政策。請確定您的政策授予僅執行必要動作所需的最低權限。
+ [使用存取層級來檢閱 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ 考慮自動化 IAM 資源建立和更新:AWS CloudFormation 可以用來自動化 IAM 資源 (包括角色和政策) 的部署,以減少人為錯誤,因為範本可以進行驗證和進行版本控制。
+ [實驗室:IAM 群組和角色的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 利用使用者群組和屬性
隨著您管理的使用者人數增加,您需要確定整理使用者的方式,以便大規模管理使用者。將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取權。這可讓您透過 [許可集合](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。您可以使用 AWS IAM Identity Center (IAM Identity Center) 來管理使用者群組和屬性。IAM Identity Center 支援最常用的屬性,無論是在使用者建立期間手動輸入,還是使用同步引擎自動佈建,例如 System for Cross-Domain Identity Management (SCIM) 規格中所定義。
將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取情形。這可讓您透過一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 如果您是使用 AWS IAM Identity Center (IAM Identity Center),請設定群組:IAM Identity Center 可讓您設定使用者群組,並將所需的許可層級指派給群組。
+ [AWS 單一登入 - 管理身分](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 了解屬性型存取控制 (ABAC):ABAC 是一種授權策略,可根據屬性定義許可。
+ [什麼是 ABAC for AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相關範例:**
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 如何管理人員和機器的許可?
管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。
**Topics**
+ [SEC03-BP01 定義存取需求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低權限存取權](sec_permissions_least_privileges.md)
+ [SEC03-BP03 建立緊急存取程序](sec_permissions_emergency_process.md)
+ [SEC03-BP04 持續減少許可](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 為您的組織定義許可防護機制](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 根據生命週期管理存取](sec_permissions_lifecycle.md)
+ [SEC03-BP07 分析公有和跨帳戶存取權](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 安全地共用資源](sec_permissions_share_securely.md)
# SEC03-BP01 定義存取需求
工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分,然後選擇適當的身分類型與身分驗證和授權方法。
**常見的反模式:**
+ 將機密硬式編碼或存放在應用程式中。
+ 為每名使用者授予自訂許可。
+ 使用長期憑證。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分,然後選擇適當的身分類型與身分驗證和授權方法。
應提供組織中對 AWS 帳戶 的定期存取 (使用 [聯合存取](https://aws.amazon.com/identity/federation/) 或集中式的身分提供者)。 您應集中進行身分管理,並確保有既定的實務,可將 AWS 存取整合至員工的存取生命週期。例如,當員工改為擔任具有不同存取層級的任務角色時,其群組成員資格也應變更,以反映新的存取需求。
為非人類身分定義存取需求時,請判斷哪些應用程式和組成部分需要存取權,以及如何授予許可。使用透過最低權限存取模型建置的 IAM 角色是建議的方法。[AWS 受管政策](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 提供預先定義的 IAM 政策,其中涵蓋最常見的使用案例。
AWS 服務,例如 [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 和 [AWS Systems Manager 參數存放區](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html),可以協助在無法使用 IAM 角色的情況下,將機密從應用程式或工作負載中安全地分離。在 Secrets Manager 中,您可以為憑證建立自動輪換。您可以使用 Systems Manager 來參考指令碼、命令、SSM 文件、組態和自動化工作流程中的參數,方法是使用您在建立參數時指定的唯一名稱。
您可以使用 AWS Identity and Access Management Roles Anywhere 來取得 [IAM 中的臨時安全憑證,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 該憑證適用於在 AWS 以外執行的工作負載。您的工作負載可以使用相同的 [IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 和 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ,您可以將這些政策和角色與 AWS 應用程式搭配使用,來存取 AWS 資源。
可能的話,請選擇短期暫時憑證,而不是長期靜態憑證。對於您希望 IAM 使用者具備程式設計存取權和長期憑證的情況,請使用 [存取金鑰前次使用的資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 來輪換和移除存取金鑰。
## 資源
**相關文件:**
+ [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [IAM Identity Center 的 AWS 受管政策](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWSIAM 政策條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM 使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [移除不需要的憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [制定政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [如何根據 AWS 帳戶、OU 或組織控制對 AWS 資源的存取權](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [使用 AWS Secrets Manager 中增強的搜尋功能來輕鬆識別、安排和管理機密](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**相關影片:**
+ [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU)
+ [責任區隔、最低權限、委派和 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [簡化身分和存取管理,以促進創新](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 授予最低權限存取權
透過允許在特定情況下對特定 AWS 資源執行特定動作,僅授予身分所需的存取權。倚賴群組和身分屬性,大規模動態設定許可,而不是定義個別使用者的許可。例如,您可以允許一組開發人員的存取權,以只管理其專案的資源。如此一來,將開發人員從群組中移除時,在使用該群組來進行存取控制的任何地方都會撤銷該開發人員的存取權,完全不需要變更存取政策。
**常見的反模式:**
+ 預設授予使用者管理員許可。
+ 使用根帳戶來處理每日活動。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
建立 [最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 原則可確保在平衡可用性和效率的同時,僅允許身份執行完成特定任務所需的最少量功能。依此原則操作會限制非預期存取,並協助確保您可以稽核誰有權存取哪些資源。在 AWS 中,除了根使用者以外,身分依預設沒有任何許可。根使用者的憑證應受到嚴格的控制,使用範圍僅限於幾個 [特定任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。
您可以使用政策明確授予與 IAM 或資源實體連接的許可,例如聯合身分或機器或資源 (例如 S3 儲存貯體) 使用的 IAM 角色。建立和連接政策時,您可以指定必須為 true 的服務動作、資源和條件,以便 AWS 允許存取權。AWS 支援各種條件,以協助您縮減存取權範圍。例如,使用 `PrincipalOrgID` [條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html),AWS Organizations 的識別符經過驗證,以便在 AWS 組織內授予存取權。
此外,您還可以控制 AWS 服務代您發出的請求,例如 AWS CloudFormation 使用 `CalledVia` 條件金鑰建立 AWS Lambda 函數。您應將不同政策類型分層,以便有效地將整體許可限制在某個帳戶中。例如,您可以允許應用程式團隊建立其專屬的 IAM 政策,但使用 [許可界限](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 來限制他們可以授予的許可上限。
有幾個 AWS 功能,可協助您擴展許可管理並遵循最低權限原則。[屬性型存取控制](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 可讓您根據資源的 *[標籤](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* 來限制許可,以便根據套用至資源和呼叫 IAM 主體的標籤來做出授權決定。此可讓您結合標記和許可政策,以達成更精細的資源存取,而不需自訂許多政策。
另一個加快最低權限政策建立的方式,是在活動執行後,將 CloudTrail 許可作為政策基礎。[IAM Access Analyzer 可根據活動自動產生 IAM 政策](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)。您可以在組織或個別帳戶層級中使用 IAM Access Advisor, [來追蹤特定政策的最新存取資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
建立審查這些詳細資料和移除不需要許可的規律。您應在 AWS 組織中建立許可防護機制,來控制任何成員帳戶中的許可上限。例如 [AWS Control Tower 之類的服務有規範性的受管預防性控制項](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 並可讓您定義自己的控制項。
## 資源
**相關文件:**
+ [IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [寫入最低權限 IAM 政策的技巧](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer 透過根據存取活動產生 IAM 政策,來輕鬆實作最低權限許可](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [使用上次存取的資訊以精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM 政策類型以及何時使用這些政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [AWS Control Tower 中的防護機制](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [零信任架構:AWS 觀點](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [如何使用 CloudFormation StackSets 實作最低權限原則](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**相關影片:**
+ [下一代許可管理](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [零信任:AWS 觀點](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [我如何使用許可界限,來限制 IAM 使用者和角色避免權限升級?](https://www.youtube.com/watch?v=omwq3r7poek)
**相關範例:**
+ [實驗室:IAM 許可界限委派角色建立](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 建立緊急存取程序
在極少數的狀況下,自動化程序或管道發生問題時,允許緊急存取工作負載的程序。這可協助您倚賴最低權限的存取權,但確保使用者可在需要時取得適當的存取層級。例如,建立一個程序,讓管理員驗證和核准使用者的請求,例如,用於存取的緊急 AWS 跨帳戶角色,或管理員需遵循以驗證和核准緊急請求的特定程序。
**常見的反模式:**
+ 未有可用的緊急程序,而無法從您現有身分組態的中斷中復原。
+ 授予長期提升的許可,以供疑難排解或復原之用。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
緊急存取的建立可能有數種形式,您應做好相關的準備。第一個就是主要身分提供者的失敗。在此情況下,您應倚賴具有必要復原許可的第二種存取方法。此方法可能是備份身分提供者或 IAM 使用者。此第二個方法應 [受到嚴格的控制、監控,並在](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 使用時發出通知。緊急存取身分應來自專門用於此用途的帳戶,並僅具備相關許可,以擔任專為復原而設計的角色。
您也應為需要臨時提升管理存取權的緊急存取情況做好準備。常見的情境是將突變的許可限制在用於部署變更的自動化程序中。在此程序發生問題時,使用者可能需要請求提升許可來還原功能。在此情況下,建立以下流程,即使用者可以請求提升存取權,而管理員可以進行驗證和核准。我們會在以下位置提供實作計劃,此計劃詳細說明預先佈建存取權和為*緊急情況、*角色做準備的最佳實務指引 [SEC10-BP05 預先佈建存取權](sec_incident_response_pre_provision_access.md)。
## 資源
**相關文件:**
+ [在 AWS 上監控和通知](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [管理臨時提升的存取權](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**相關影片:**
+ [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 持續減少許可
當團隊和工作負載決定他們需要的存取時,請移除他們不再使用的許可,並建立檢閱程序以達到最低權限的許可。持續監控和減少未使用的身分和許可。
有時,當團隊和專案剛開始時,您可以選擇授予廣泛存取權 (在開發或測試環境中) 來激發創新和靈活性。我們建議您持續評估存取權,而且尤其在生產環境中,將存取權限制為僅必要許可及達到最低權限。AWS 提供存取權分析功能,以協助您識別未使用的存取權。為了協助您識別未使用的使用者、角色和登入資料,AWS 會分析存取活動,並提供存取金鑰和角色上次使用的資訊。您可以使用 [上次存取的時間戳記](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 來 [識別未使用的使用者和角色](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/),並將其移除。此外,您可以檢閱服務和動作上次存取的資訊,以識別和 [加強特定使用者和角色的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。例如,您可以使用上次存取的資訊來識別您的應用程式角色所需的特定 Amazon Simple Storage Service (Amazon S3) 動作,並限制只能存取這些動作。這些功能可在AWS 管理主控台中透過程式設計方式提供,讓您能夠將這些功能併入基礎設施工作流程和自動化工具中。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 設定 AWS Identify and Access Management (IAM) Access Analyzer:AWS IAM Access Analyzer 可協助您識別組織和帳戶中與外部實體共用的資源,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 IAM 角色。
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## 資源
**相關文件:**
+ [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [移除不需要的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [制定原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**相關影片:**
+ [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU)
+ [責任區隔、最低權限、委派和 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 為您的組織定義許可防護機制
建立通用控制項,限制對組織中所有身分的存取權。比方說,您可以限制對特定 AWS 區域 的存取權,或防止操作人員刪除常見資源,例如用於中央安全團隊的 IAM 角色。
**常見的反模式:**
+ 在組織管理員帳戶中執行工作負載。
+ 在相同帳戶中執行生產和非生產工作負載。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
隨著工作負載在 AWS 中成長而需要加以管理,應該使用帳戶區隔這些工作負載,並使用 AWS Organizations 管理那些帳戶。我們建議您建立常見的許可防護機制,限制對組織中所有身分的存取權。比方說,您可以限制對特定 AWS 區域 的存取權,或防止團隊刪除常見資源,例如中央安全團隊使用的 IAM 角色。
您可以透過實作範例服務控制政策來開始使用,例如防止使用者停用重要服務。SCP 使用 IAM 政策語言,並讓您能夠建立所有 IAM 主體 (使用者和角色) 都遵循的控制項。您可以根據特定條件限制對特定服務動作、資源的存取,以滿足您組織的存取控制需求。如有必要,您可以為防護機制定義例外狀況。例如,您可以限制帳戶中所有 IAM 實體的服務動作,但特定管理員角色除外。
我們建議您在管理帳戶中避免執行工作負載。應使用管理帳戶來管控和部署會對成員帳戶造成影響的安全防護機制。某些 AWS 服務支援使用委派的管理員帳戶。當委派的帳戶可用時,您應使用該帳戶,而不是管理帳戶。您應嚴格限制組織管理員帳戶的存取權。
使用多帳戶策略,可讓您在將防護機制套用到工作負載時享有更大的彈性。AWS 安全性參考架構提供規範性指引,其中說明如何設計帳戶結構。AWS Control Tower 之類的 AWS 服務提供的功能,可同時集中管理組織中的預防性和偵測性控制項。清楚定義每個帳戶或組織中 OU 的用途,並根據該用途限制控制項。
## 資源
**相關文件:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [在多帳戶環境中充分利用服務控制政策](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS 安全性參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**相關影片:**
+ [使用服務控制政策來強制執行預防性防護機制](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [使用 AWS Control Tower 大規模建立管控](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [深入探討 AWS 身分和存取管理](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 根據生命週期管理存取
將存取控制與操作員和應用程式之生命週期以及集中化的聯合身分供應商相整合。例如,在使用者離職或變動職務時移除其存取權。
當您使用個別帳戶管理工作負載時,有時您需要在這些帳戶之間共用資源。建議您使用 [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/)。此服務可讓您輕鬆、安全地在 AWS Organizations和組織單位內共用 AWS 資源。使用 AWS RAM,當帳戶移入和移出共用它們的組織或組織單位時,會自動授予或撤銷共用資源的存取權。這可協助您確保資源只與您的預期帳戶共用。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
使用者存取生命週期:為加入的新使用者、工作職能變更和離開的使用者,實作使用者存取生命週期的政策,以便只有目前的使用者擁有存取權。
## 資源
**相關文件:**
+ [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [移除不需要的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [制定原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**相關影片:**
+ [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU)
+ [責任區隔、最低權限、委派和 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 分析公有和跨帳戶存取權
持續監控強調公有和跨帳戶存取權的問題清單。減少僅對需要此類存取之資源的公有存取權和跨帳戶存取權。
**常見的反模式:**
+ 未遵循程序來管控跨帳戶的存取權以及資源的公有存取權。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
在 AWS 中,您可以授予另一個帳戶中資源的存取權。您授予直接跨帳戶存取權,方法是使用附加至資源的政策 (例如,[Amazon Simple Storage Service (Amazon S3) 儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) 或透過允許某個身分在另一個帳戶中擔任 IAM 角色。使用資源政策時,確認將存取權授予貴組織中的身分,且您預計公開資源。定義程序,來核准所有需要公開提供的資源。
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) 使用 [可證明的安全](https://aws.amazon.com/security/provable-security/) ,來找出從其帳戶外部存取資源的所有路徑。其會持續審查資源政策,並報告公有和跨帳戶存取權的問題清單,讓您輕鬆分析可能的各種存取。考量使用 AWS Organizations 設定 IAM Access Analyzer,來確認您對所有帳戶的能見度。IAM Access Analyzer 也讓您能夠 [預覽 Access Analyzer 問題清單](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html),然後再部署資源許可。這可讓您驗證政策變更是否僅授予對您資源的預期公有和跨帳戶存取權。預計授予多帳戶存取權時,您可以使用 [信任政策來控制在什麼情況下可以擔任角色](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)。例如,您可以將角色擔任限制在特定來源 IP 範圍。
您也可以使用 [AWS Config,透過](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) AWS Config 政策檢查,報告和修復資源的任何意外公有存取組態。諸如 [AWS Control Tower](https://aws.amazon.com/controltower) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) 之類的服務可簡化 AWS Organizations 之間的部署檢查和防護機制,來找出和修復公開暴露的資源。例如,AWS Control Tower 具備受管的防護機制,可偵測是否 [所有 AWS 帳戶都可復原所有 Amazon EBS 快照](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)。
## 資源
**相關文件:**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [AWS Control Tower 中的防護機制](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 基礎安全最佳實務標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config 受管規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor 檢查參考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**相關影片:**
+ [保護多帳戶環境的最佳實務](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [深入了解 IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 安全地共用資源
管控跨帳戶或 AWS Organizations 內共用資源的使用量。監控共用資源並審查共用資源的存取。
**常見的反模式:**
+ 在授予第三方跨帳戶存取權時使用預設 IAM 信任政策。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
在使用多個 AWS 帳戶管理工作負載時,您可能需要在帳戶之間共用資源。這可能通常會是 AWS Organizations 中的跨帳戶共用。數種 AWS 服務,例如 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html)、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)和 [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) 都有與 Organizations 整合的跨帳戶功能。您可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) 來共用其他常見的資源,例如 [VPC 子網路或傳輸閘道連接](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc),[AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall),或 [Amazon SageMaker Runtime 管道](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker)。如果您想要確保帳戶的資源共用範圍僅限於 Organizations,我們建議使用 [服務控制政策 (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) 來避免對外部主體的存取。
共用資源時,您應採取措施來防止意外的存取。我們建議結合以身分為基礎的控制項和網路控制項, [來為貴組織建立資料周邊](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)。這些控制項應嚴格限制可以共用哪些資源,並防止共用或公開遭禁止的資源。例如,在資料周邊中,您可以使用 VPC 端點政策和 `aws:PrincipalOrgId` 條件,來確保 Amazon S3 儲存貯體的存取身分是貴組織的一員。
在某些案例中,您可能想要允許共用 Organizations 外部的資源或授予第三方存取帳戶。例如,合作夥伴可能會提供監控解決方案,該解決方案需要存取您帳戶中的資源。在那些案例中,您應僅使用第三方需要的權限,來建立 IAM 跨帳戶角色。您也應使用外部 ID 條件 [來建立信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。使用外部 ID 時,您應為每個第三方產生唯一的 ID。唯一 ID 的提供者或控制者不得是第三方。如果第三方不再需要存取您的環境,您應將角色移除。在所有案例中,您也應避免為第三方提供長期的 IAM 憑證。掌握對其他原生支援共用的 AWS 服務的狀態。例如,AWS Well-Architected Tool 允許 [在其他 AWS 帳戶中](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) 共用工作負載。
使用 Amazon S3 之類的服務時,建議您 [停用 Amazon S3 儲存貯體的 ACL,](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) 並使用 IAM 政策來定義存取控制。[如需限制](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) 從 [Amazon CloudFront](https://aws.amazon.com/cloudfront/)對 Amazon S3 原點的存取,請從原始存取身分 (OAI) 遷移至原始存取控制 (OAC),後者支援額外的功能,包含使用下列項目的伺服器端加密功能: [AWS KMS](https://aws.amazon.com/kms/)。
## 資源
**相關文件:**
+ [儲存貯體擁有者將跨帳戶許可授予非其擁有的物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [如何使用信任政策搭配 IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [在 AWS 上建置資料周邊](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [向第三方授予對 AWS 資源的存取權限時如何使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**相關影片:**
+ [使用 AWS Resource Access Manager 進行精密的存取](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [使用 VPC 端點確保資料周邊的安全](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ 在 AWS 上建立資料周邊 ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# 偵測
**Topics**
+ [SEC 4 您如何偵測和調查安全事件?](w2aac19b7b9b5.md)
# SEC 4 您如何偵測和調查安全事件?
從日誌和指標中擷取並分析事件以掌握情況。針對安全事件和潛在威脅採取行動,有助於保護工作負載。
**Topics**
+ [SEC04-BP01 設定服務和應用程式記錄](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 集中分析日誌、問題清單和指標](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 自動回應事件](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 實作可採取行動的安全事件](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 設定服務和應用程式記錄
設定整個工作負載中的記錄,包括應用程式日誌、資源日誌和 AWS 服務日誌。例如:確定組織內的所有帳戶已啟用 AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty 和 AWS Security Hub CSPM。
基本實務是在帳戶層級建立一套偵測機制。這組基本機制旨在記錄和偵測對您帳戶中所有資源的各種動作。可讓您建立完整的偵測功能,其中包含自動修復的選項,以及新增功能的合作夥伴整合。
在 AWS 中,此基本套組中的服務包括:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) 提供 AWS 帳戶活動的事件歷史記錄,包括透過 AWS 管理主控台、AWS 開發套件、命令列工具及其他 AWS 服務所採取的動作。
+ [AWS Config](http://aws.amazon.com/config) 可監控和記錄 AWS 資源組態,並讓您根據所需的組態自動評估和修復。
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) 是威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護 AWS 帳戶和工作負載。
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) 提供以單一位置從多個 AWS 服務和選用的第三方產品將安全提醒或發現結果加以彙總、組織和排列優先順序,為您提供安全提醒和合規狀態的全面檢視。
建立在帳戶層級的基礎上,許多核心 AWS 服務 (例如 [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc)提供服務層級的記錄功能。[Amazon VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 可讓您擷在網路介面取傳入和傳出之 IP 流量的相關資訊,可提供關於連線歷史記錄的寶貴洞見,並能根據異常行為觸發自動動作。
對於不是源自 AWS 服務的Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和應用程式日誌記錄,可以使用 [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch)存放和分析日誌。代理 [程式](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) 會從作業系統和執行中的應用程式收集日誌,並且自動存放。日誌在 CloudWatch Logs 中可用之後,您可以 [即時處理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html),或使用 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)深入分析。
對於收集和彙總日誌而言,同等重要的是從複雜架構產生的大量日誌和事件資料中,提取有意義見解的能力。如需更多詳細資訊,請參閱可靠性支柱白皮書的 *監控* 經濟實惠的 [可靠性支柱白皮書](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) 。日誌本身可能包含視為敏感的資料,無論是當應用程式資料錯誤地進入 CloudWatch Logs 代理程式擷取的日誌檔時,或是為了日誌彙總設定跨區域記錄時,而且在於跨邊界運送特定類型的資訊有法令方面的考量。
其中一種方法是使用 AWS Lambda 函數 (在交付日誌時應事件而觸發),在轉送到集中記錄位置 (例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體) 之前篩選和修訂日誌資料。未修訂的日誌可以保留在本機儲存貯體中,直到合理時間 (由法規和法律團隊決定) 過去,屆時 Amazon S3 生命週期規則即能自動刪除。使用 [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)可進一步保護 Amazon S3 中的日誌,您可以使用單寫多讀 (WORM) 模型存放物件。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 啟用 AWS 服務的記錄:啟用 AWS 服務的記錄以符合您的需求。記錄功能如下:Amazon VPC 流程日誌、Elastic Load Balancing (ELB) 日誌、Amazon S3 儲存貯體日誌、CloudFront 存取日誌、Amazon Route 53 查詢日誌和 Amazon Relational Database Service (Amazon RDS) 日誌。
+ [AWS Answers:原生 AWS 安全記錄功能 ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ 評估並啟用作業系統和應用程式專屬的記錄,以偵測可疑行為。
+ [ CloudWatch Logs 入門 ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ 開發人員工具和日誌分析 ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ 將適當控制套用至日誌:日誌可能包含敏感資訊,因此只有授權使用者可以存取。考慮限制對 Amazon S3 儲存貯體和 CloudWatch Logs 日誌群組的許可。
+ [ Amazon CloudWatch 的身分驗證與存取控制 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Amazon S3 中的身分和存取管理 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ 設定 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html):GuardDuty 是威脅偵測服務,可持續尋找惡意活動和未經授權的行為,以保護 AWS 帳戶和工作負載。使用實驗室啟用 GuardDuty 並設定電子郵件的自動提醒。
+ [在 CloudTrail 中設定自訂追蹤](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html):設定軌跡可讓您儲存日誌的時間長於預設時間,以便之後分析這些日誌。
+ 啟用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html):AWS Config 提供了您的 AWS 帳戶中 AWS 資源組態的詳細檢視。檢視內容包括資源之間的關係,以及它們過去的組態,以便您了解組態和關係如何隨時間變更。
+ 啟用 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):Security Hub CSPM 提供 AWS 安全狀態的全面檢視,並協助您檢查是否符合安全產業標準和最佳實務。Security Hub CSPM 會收集 AWS 帳戶、服務和支援的第三方合作夥伴產品的安全資料,協助您分析安全趨勢並找出優先順序最高的安全問題。
## 資源
**相關文件:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 入門:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作夥伴解決方案:記錄與監控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相關影片:**
+ [ 集中監控資源組態與合規 ](https://youtu.be/kErRv4YB_T4)
+ [修補 Amazon GuardDuty 和 AWS Security Hub CSPM 發現結果 ](https://youtu.be/nyh4imv8zuk)
+ [ 雲端中的威脅管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相關範例:**
+ [ 實驗室︰偵測控制的自動部署 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 集中分析日誌、問題清單和指標
安全營運團隊倚賴日誌的收集和使用搜尋工具來探索感興趣的潛在事件,這類事件可能是未經授權的活動或無意間的變更。但是,僅分析收集的資料並手動處理資訊,不足以應付繁複架構之中流通的資訊量。單靠分析和報告並不能幫助分配合適的資源,以及時處理事件。
建立成熟的安全營運團隊的最佳實務是,將安全事件和結果流深入整合到通知和工作流程系統中,例如票證系統、錯誤或問題系統或其他安全資訊和事件管理 (SIEM) 系統。如此能使工作流程擺脫電子郵件和靜態報告,讓您能夠路由、向上呈報和管理事件或結果。許多組織也正在將安全提醒整合到其聊天或協作和開發人員生產力平台中。對於開始自動化的組織,以 API 驅動的低延遲票證系統在規劃要先自動化什麼時能夠提供相當大的彈性。
此最佳實務不僅適用於從描述使用者活動或網路事件的日誌訊息所產生的安全事件,也適用於從基礎設施本身偵測到的變更所產生的安全事件。能夠偵測變更、判斷變更是否適當,然後將該資訊路由到正確的修復工作流程,這對於維護和驗證安全架構至關重要;在變更的環境中,其不甚理想的性質足夠細微,以致目前無法透過 AWS Identity and Access Management (IAM) 和 AWS Organizations 組態的組合來阻止執行。
Amazon GuardDuty 和 AWS Security Hub CSPM 針對也會透過其他 AWS 服務提供給您的日誌記錄提供彙總、重複資料刪除和分析機制。GuardDuty 會從 AWS CloudTrail 管理和資料事件、VPC DNS 日誌和 VPC 流程日誌等來源擷取、彙總和分析資訊。Security Hub CSPM 可從 GuardDuty、AWS Config、Amazon Inspector、Amazon Macie、AWS Firewall Manager,以及可在 AWS Marketplace 取得的眾多第三方安全產品擷取、彙總和分析輸出,而且如果照著建置,也會從您自己的程式碼這樣做。GuardDuty 和 Security Hub CSPM 都有管理員-成員模型,可跨多個帳戶彙總發現結果和洞見,其中使用 Security Hub CSPM 的客戶通常以內部部署的 SIEM 做為 AWS 端日誌,並有提醒預處理器和彙總器,藉以經由 AWS Lambda 處理器和轉寄站導入 Amazon EventBridge。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 評估日誌處理能力:評估可用於處理日誌的選項。
+ [使用 Amazon OpenSearch Service 記錄和監控 (幾乎) 一切 ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [尋找一個專門從事記錄和監控解決方案的合作夥伴 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ 若要開始分析 CloudTrail 日誌,請測試 Amazon Athena。
+ [ 設定 Athena 來分析 CloudTrail 日誌 ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ 在 AWS 中實作集中記錄:請參閱下列 AWS 範例解決方案,來集中多個來源記錄。
+ [將記錄解決方案集中化 ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ 透過合作夥伴實作集中記錄:APN 合作夥伴提供的解決方案可協助您集中分析日誌。
+ [ 記錄和監控 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## 資源
**相關文件:**
+ [AWS Answers:集中式記錄 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 入門:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作夥伴解決方案:記錄與監控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相關影片:**
+ [ 集中監控資源組態與合規 ](https://youtu.be/kErRv4YB_T4)
+ [修補 Amazon GuardDuty 和 AWS Security Hub CSPM 發現結果 ](https://youtu.be/nyh4imv8zuk)
+ [ 雲端中的威脅管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 自動回應事件
使用自動化來調查和修復事件可減少人工作業和人為錯誤,還可讓您擴展調查功能。定期檢閱將協助您調整自動化工具並持續反覆運算。
在 AWS 中,您可以使用 Amazon EventBridge 來調查感興趣的事件,以及自動化工作流程中潛在意外變更的相關資訊。該服務能提供可擴展的規則引擎,旨在代理原生 AWS 事件格式 (例如 AWS CloudTrail 事件) 以及您可從應用程式產生的自訂事件。Amazon GuardDuty 也可讓您將事件路由到建立事件回應系統的工作流程系統 (AWS Step Functions),或路由到中央安全帳戶,或路由到儲存貯體供進一步分析。
也可以偵測變更,並將此資訊路由到正確的工作流程,方法為使用 AWS Config 規則 和 [合規套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)。AWS Config 偵測範圍內服務的變更 (但延遲比 EventBridge 高),並產生可使用 AWS Config 規則 剖析的事件,用於還原、執行合規政策以及將資訊轉發到系統 (例如變更管理平台和營運票證系統)。除了編寫自己的 Lambda 函數來回應 AWS Config 事件,您還可以利用 [AWS Config 規則 開發套件](https://github.com/awslabs/aws-config-rdk)和 [開放原始碼庫](https://github.com/awslabs/aws-config-rules) AWS Config 規則。合規套件是 AWS Config 規則 和修補動作的集合,其會部署為以 YAML 範本撰寫的單一實體。路由層 [範例合規套件範本](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) 適用於 Well-Architected 安全支柱。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 使用 GuardDuty 實作自動提醒:GuardDuty 是一種威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護 AWS 帳戶和工作負載。啟用 GuardDuty 並設定自動提醒。
+ 自動化調查程序:開發可調查事件並向管理員報告相關資訊的自動化程序,以節省時間。
+ [ 實驗室:Amazon GuardDuty 實作 ](https://hands-on-guardduty.awssecworkshops.com/)
## 資源
**相關文件:**
+ [AWS Answers:集中式記錄 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 入門:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作夥伴解決方案:記錄與監控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ 設定 Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**相關影片:**
+ [ 集中監控資源組態與合規 ](https://youtu.be/kErRv4YB_T4)
+ [修補 Amazon GuardDuty 和 AWS Security Hub CSPM 發現結果 ](https://youtu.be/nyh4imv8zuk)
+ [ 雲端中的威脅管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相關範例:**
+ [實驗室︰偵測控制的自動部署 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 實作可採取行動的安全事件
建立傳送給團隊並能讓團隊據此採取行動的提醒。確保提醒包含讓團隊採取動作的相關資訊。對於您擁有的每個偵測機制,您也應該設置一套程序 (採取 [執行手冊](https://wa.aws.amazon.com/wat.concept.runbook.en.html) 或 [程序手冊](https://wa.aws.amazon.com/wat.concept.playbook.en.html)的形式) 以進行調查。例如,當您啟用 [Amazon GuardDuty](http://aws.amazon.com/guardduty)時,就會產生不同的 [發現結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html)。每種發現結果類型都應該在 Runbook 有一個輸入項目,例如,如果發現 [木馬程式](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) ,您的執行手冊會有簡單的指示,指示某人進行調查和修復。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 探索 AWS 服務可用的指標:針對您所使用的服務,探索透過 Amazon CloudWatch 提供的指標。
+ [AWS 服務文件](https://aws.amazon.com/documentation/)
+ [使用 Amazon CloudWatch 指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ 設定 Amazon CloudWatch 警示。
+ [使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 資源
**相關文件:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [安全合作夥伴解決方案:記錄與監控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相關影片:**
+ [ 集中監控資源組態與合規 ](https://youtu.be/kErRv4YB_T4)
+ [修補 Amazon GuardDuty 和 AWS Security Hub CSPM 發現結果 ](https://youtu.be/nyh4imv8zuk)
+ [ 雲端中的威脅管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# 基礎設施保護
**Topics**
+ [SEC 5 如何保護您的網路資源?](w2aac19b7c11b5.md)
+ [SEC 6 您如何保護運算資源?](w2aac19b7c11b7.md)
# SEC 5 如何保護您的網路資源?
任何具有某種網路連線能力的工作負載,無論是網際網路或私有網路,都需要多層防禦來協助保護其不受外部和內部網路威脅的影響。
**Topics**
+ [SEC05-BP01 建立網路層](sec_network_protection_create_layers.md)
+ [SEC05-BP02 控制所有層級的流量](sec_network_protection_layered.md)
+ [SEC05-BP03 自動化網路保護](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 實作檢查和保護](sec_network_protection_inspection.md)
# SEC05-BP01 建立網路層
將共用連線能力需求的元件分組成許多層。例如:不需存取網際網路的虛擬私有雲端 (VPC) 中的資料庫叢集,應放置在沒有往返網際網路路由的子網路中。在沒有 VPC 的情況下操作的無伺服器工作負載中,與微型服務類似的分層和區隔可以達到相同的目標。
Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Relational Database Service (Amazon RDS) 資料庫叢集等元件,以及共用連線能力要求的 AWS Lambda 函數可分成子網路所組成的層級。例如:不需存取網際網路的 VPC 中的 Amazon RDS 資料庫叢集,應放置在沒有往返網際網路路由的子網路中。此控制項的分層方法可減輕單一層組態錯誤所造成的影響,這可能會允許意外存取。對於 Lambda,您可以在 VPC 中執行函數,以利用 VPC 型控制。
對於可以包含數千個 VPC、AWS 帳戶和內部部署網路的網路連線,您應該使用 [AWS Transit Gateway](http://aws.amazon.com/transit-gateway)。它可作為中樞,控制流量在所有連線網路之間路由的方式,其作用就像輪輻。Amazon Virtual Private Cloud 和 AWS Transit Gateway 之間的流量仍保存在 AWS 私有網路,可減少外部威脅向量,例如分散式拒絕服務 (DDoS) 攻擊和常見入侵程式,例如 SQL 插入、跨網站指令碼、跨網站偽造請求或濫用不完整的身份驗證碼。AWS Transit Gateway 區域間對等也可為區域間的流量加密,不會有單點故障或頻寬瓶頸。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 在 VPC 中建立子網路:為每一層中建立子網路 (在包含多個可用區域的群組中),並建立路由表的關聯以控制路由。
+ [VPC 和子網路 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [路由表 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## 資源
**相關文件:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 入門](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相關影片:**
+ [適用於許多 VPC 的 AWS Transit Gateway 參考架構 ](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 的應用程式加速和保護](https://youtu.be/0xlwLEccRe0)
**相關範例:**
+ [實驗室︰VPC 的自動部署](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 控制所有層級的流量
建構網路拓撲時,您應該檢查每個元件的連線需求。例如,如果元件需要網際網路可存取性 (傳入和傳出)、連線至 VPC、邊緣服務和外部資料中心。
VPC 可讓您定義橫跨 AWS 區域的網路拓撲,使用您所設定的私有 IPv4 位址範圍,或 AWS 選取的 IPv6 位址範圍。您應該對傳入和傳出流量採用深度防禦方法的多個控制,包括使用安全群組 (狀態檢測防火牆)、網路 ACL、子網路和路由表。在 VPC 內,您可以在可用區域中建立子網路。每個子網都有一個關聯的路由表,定義路由規則,以管理子網路內流量所經過的路徑。您可以透過讓路由前往連接到 VPC 的網際網路或 NAT 閘道,或透過另一個 VPC 來定義網際網路可路由子網路。
當執行個體、Amazon Relational Database Service (Amazon RDS) 資料庫或其他服務在 VPC 內啟動時,每個網路介面都有自己的安全群組。此防火牆位於作業系統層之外,可用來定義允許傳入和傳出流量的規則。您還可以定義安全群組之間的關係。例如,資料庫層安全群組內的執行個體,藉由參照套用至所涉及執行個體的安全群組,僅接受來自應用程式層內執行個體的流量。除非您使用非 TCP 通訊協定,否則應該不需要從網際網路直接存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 (即使連接埠受安全群組限制),無須使用負載平衡器或 [CloudFront](https://aws.amazon.com/cloudfront)。這有助於防止透過作業系統或應用程式問題意外受到存取。子網路也可以連接著網路 ACL,做為無狀態的防火牆。您應該設定網路 ACL 以縮小層級之間允許的流量範圍,並請注意,需要同時定義傳入和傳出規則。
有些 AWS 服務會要求元件存取網際網路以進行 API 呼叫,其中 [AWS API 端點](https://docs.aws.amazon.com/general/latest/gr/rande.html) 所在位置。其他 AWS 服務會使用 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) (在您的 Amazon VPC 內)。許多 AWS 服務 (包括 Amazon S3 和 Amazon DynamoDB) 都支援 VPC 端點,而這項技術已廣泛應用於 [AWS PrivateLink](https://aws.amazon.com/privatelink/)。我們建議您使用此方法安全地存取 AWS 服務、第三方服務,以及您在其他 VPC 中託管的專屬服務。AWS PrivateLink 上的所有網路流量都停留在全球 AWS 骨幹網路上,而且永遠不會周遊網際網路。連線只能由服務的消費者啟動,而不能由服務的供應商啟動。使用 AWS PrivateLink 進行外部服務存取可讓您建立沒有網際網路存取的氣隙 VPC,並協助保護您的 VPC 免於外部威脅向量的攻擊。第三方服務可以使用 AWS PrivateLink,允許其客戶透過私有 IP 地址從其 VPC 連線到服務。對於需要對網際網路進行對外連線的 VPC 資產,這些資產可以透過 AWS 受管 NAT 閘道、僅對外網際網路閘道或您建立和管理的 Web 代理進行僅對外 (單向)。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 控制 VPC 中的網路流量:實作 VPC 最佳實務來控制流量。
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Amazon VPC 安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ 控制邊緣的流量:實作 Amazon CloudFront 等邊緣服務,以提供多一層的保護和其他功能。
+ [Amazon CloudFront 使用案例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web 應用程式防火牆 (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC 輸入路由](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ 控制私有網路流量:實作可保護工作負載私有流量的服務。
+ [Amazon VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC 端點服務 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS 站點對站點 VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 存取點](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## 資源
**相關文件:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [AWS WAF 入門](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相關影片:**
+ [適用於許多 VPC 的 AWS Transit Gateway 參考架構](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 的應用程式加速和保護 ](https://youtu.be/0xlwLEccRe0)
**相關範例:**
+ [實驗室︰VPC 的自動部署](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 自動化網路保護
自動化保護機制,以借助威脅情報和異常偵測提供自衛網路。例如,可以適應目前威脅並降低其影響的入侵偵測和預防工具。Web 應用程式防火牆即為可將網路保護自動化的範例;例如,使用 AWS WAF Security Automations 解決方案 ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) 以自動封鎖來自已知威脅者相關 IP 位址的請求。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 針對以網頁為基礎的流量進行自動保護:AWS 提供的解決方案使用 AWS CloudFormation 自動部署一組 AWS WAF 規則,專門用於篩選常見網頁式攻擊。使用者可從預先設定的保護功能中進行選擇,以定義 AWS WAF Web 存取控制清單 (web ACL) 中包含的規則。
+ [AWS WAF 安全自動化](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ 考慮 AWS Partner 解決方案:AWS 合作夥伴提供數百種領先業界的產品,這些產品與您內部部署環境中的現有控制項相當、相同或互相整合。這些產品可補充現有的 AWS 服務,讓您能夠在雲端和內部部署環境中部署全方位的安全架構,以及擁有更流暢的體驗。
+ [基礎設施安全](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 資源
**相關文件:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 入門](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相關影片:**
+ [適用於許多 VPC 的 AWS Transit Gateway 參考架構](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 的應用程式加速和保護 ](https://youtu.be/0xlwLEccRe0)
**相關範例:**
+ [實驗室︰VPC 的自動部署](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 實作檢查和保護
檢查和篩選每個層級的流量。為了檢查您的 VPC 組態並找出潛在的意外存取,您可以使用 [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)。您可以指定您的網路存取要求,並識別未符合它們的潛在網路路徑。對於透過 HTTP 通訊協定進行交易的元件,Web 應用程式防火牆可協助防止常見的攻擊。 [AWS WAF](https://aws.amazon.com/waf) 是一種 Web 應用程式防火牆,可讓您監控和封鎖符合可設定規則的 HTTP 請求;這些請求會轉送到 Amazon API Gateway API、Amazon CloudFront 或 Application Load Balancer。若要開始使用 AWS WAF,您可以將 [AWS 受管規則](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) 結合自己的規則,或使用現有的 [合作夥伴整合](https://aws.amazon.com/waf/partners/)。
若要跨 AWS Organizations 管理 AWS WAF、AWS Shield Advanced 保護和 Amazon VPC 安全群組,您可以使用 AWS Firewall Manager。它可讓您集中設定和管理所有帳戶和應用程式的防火牆規則,使得共同規則的擴展強制執行更為輕鬆。它也可讓您使用 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)或可自動封鎖對 Web 應用程式不必要請求的 [解決方案](https://aws.amazon.com/solutions/aws-waf-security-automations/) ,快速地回應攻擊。Firewall Manager 也會使用 [AWS Network Firewall](https://aws.amazon.com/network-firewall/)。AWS Network Firewall 是一種託管服務,其會使用規則引擎,讓您精細控制有狀態和無狀態網路流量。它支援 [Suricata 相容的](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) 開放原始碼入侵防禦系統 (IPS) 規格,供規則用來協助保護您的工作負載。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 設定 Amazon GuardDuty:GuardDuty 是威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護 AWS 帳戶和工作負載。啟用 GuardDuty 並設定自動提醒。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [實驗室︰偵測控制的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ 設定虛擬私有雲端 (VPC) 流程日誌:VPC 流程日誌讓您可以擷取有關往返 VPC 網路界面 IP 流量的資訊。流程日誌資料可以發佈至 Amazon CloudWatch Logs 和 Amazon Simple Storage Service (Amazon S3)。建立流程日誌後,您可以在選定的目標位置擷取和檢視其資料。
+ 考慮 VPC 流量鏡像化:流量鏡像化是一項 Amazon VPC 功能,可用來從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的彈性網路界面複製網路流量,然後將流量傳送到頻外安全與監控設備,以進行內容檢查、威脅監控和故障排除。
+ [VPC 流量鏡像化](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## 資源
**相關文件:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 入門](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相關影片:**
+ [適用於許多 VPC 的 AWS Transit Gateway 參考架構](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 的應用程式加速和保護](https://youtu.be/0xlwLEccRe0)
**相關範例:**
+ [實驗室︰VPC 的自動部署](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 您如何保護運算資源?
工作負載中的運算資源需有多層防護,協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、AWS Lambda 函數、資料庫服務、IoT 裝置等。
**Topics**
+ [SEC06-BP01 執行漏洞管理](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 減少受攻擊面](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 實作受管服務](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 自動化運算保護](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 讓人員能夠遠距離執行動作](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 驗證軟體完整性](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 執行漏洞管理
經常掃描和修補程式碼、相依性和基礎設施中的漏洞,以協助防禦新的威脅。
從設定運算基礎設施開始,您可以使用 AWS CloudFormation,將建立和更新資源自動化。CloudFormation 可讓您使用 AWS 範例或撰寫自己的範例,建立以 YAML 或 JSON 撰寫的範本。這可讓您建立預設安全的基礎設施範本,而您可以使用 [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)驗證這些範本,以節省時間並減少組態錯誤的風險。例如,您可以建置基礎設施並部署應用程式,方法為使用持續交付搭配 [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html),以將建置、測試和發行自動化。
您負責對您的 AWS 資源進行修補程式管理,包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Machine Image (AMI) 和許多其他運算資源。對於 Amazon EC2 執行個體,AWS Systems Manager 修補程式管理員可將管理執行個體在安全相關與其他類型方面的更新修補過程自動化。您可以使用修補程式管理員為作業系統和應用程式套用修補程式。(在 Windows Server 上,應用程式支援僅限於 Microsoft 應用程式的更新。) 您可以使用修補程式管理員,在 Windows 執行個體上安裝 Service Pack,並在 Linux 執行個體上執行次要版本升級。您可以按作業系統類型修補 Amazon EC2 執行個體機群或內部部署伺服器和虛擬機器 (VM)。這包括支援的 Windows Server、Amazon Linux、Amazon Linux 2、CentOS、Debian Server、Oracle Linux、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise Server (SLES) 和 Ubuntu Server 版本。您可以掃描執行個體以僅查看修補程式缺失報告,也可以掃描並自動安裝所有缺失的修補程式。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 設定 Amazon Inspector:Amazon Inspector 會測試 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的網路存取性,以及在這些執行個體上執行之應用程式的安全狀態。Amazon Inspector 會評估應用程式的暴露情況、漏洞和偏離最佳實務的程度。
+ [什麼是 Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ 掃描原始程式碼:掃描程式庫和相依性中的漏洞。
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP:原始程式碼分析工具](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## 資源
**相關文件:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [將堡壘主機取代為 Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 的安全概觀](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相關影片:**
+ [在 Amazon EKS 上執行高安全的工作負載](https://youtu.be/OWRWDXszR-4)
+ [保護無伺服器和容器服務的安全](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)
**相關範例:**
+ [實驗室︰Web 應用程式防火牆的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 減少受攻擊面
透過強化作業系統以及盡量減少使用中的元件、程式庫和外部消耗性服務,來減少意外存取。首先減少未使用的元件,無論它們是作業系統套件或應用程式 (適用於 Amazon Elastic Compute Cloud (Amazon EC2) 型工作負載) 或程式碼中的外部軟體模組 (適用於所有工作負載)。對於常見的作業系統和伺服器軟體,您可以找到許多強化和安全組態指南。例如,您可以從 [Center for Internet Security](https://www.cisecurity.org/) 開始並反覆。
在 Amazon EC2 中,您可以建立自己的 Amazon Machine Image (AMI),並已對其進行修補和強化,以協助您符合組織的特定安全要求。您在 AMI 上套用的修補程式和其他安全控制,在建立它們的時間點有效—它們不是動態的,除非您在啟動後進行修改,例如,使用 AWS Systems Manager 進行此修改。
您可以使用 EC2 Image Builder 簡化建置安全 AMI 的程序。EC2 Image Builder 會大幅地減少建立和維護黃金映像所需的工作量,而不會編寫和維護自動化。當軟體更新可用時,Image Builder 會自動產生新映像,而無需用戶手動啟動映像構置。EC2 Image Builder 可讓您在生產環境中使用您的映像,搭配 AWS 提供的測試和您自己的測試之前,輕鬆地驗證這些映像的功能和安全性。您也可以套用 AWS 提供的安全設定,以進一步保護您的映像,來符合內部安全準則。例,您可以使用 AWS 提供的範本,產生符合安全技術實作指南 (STIG) 標準的映像。
使用第三方靜態程式碼分析工具,您可以識別常見的安全問題,例如未檢查的函數輸入界限,以及適用的常見漏洞和披露 (CVE)。您可以使用 [Amazon CodeGuru](https://aws.amazon.com/codeguru/) 取得支援的語言。相依性檢查工具也可以用來判斷您的程式碼連結的程式庫是否為最新版本、本身是否不使用 CVE,以及是否具有符合您軟體政策要求的授權條件。
使用 Amazon Inspector,您可以對已知 CVE 的執行個體執行組態評定、根據安全基準進行評估,和將缺陷通知自動化。Amazon Inspector 在生產執行個體上或建置管道中執行,並在結果出現時通知開發人員和工程師。您可以透過程式設計方式存取結果,並將您的團隊引導至待辦項目和錯誤追蹤系統。 [EC2 Image Builder](https://aws.amazon.com/image-builder/) 可透過自動修補、AWS 提供的安全政策強制執行以及其他自訂項目來維護伺服器映像 (AMI)。使用容器時,會在您的建置管道中定期對照映像儲存庫執行 [ECR 影像掃描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) ,以在容器中尋找 CVE。
雖然 Amazon Inspector 和其他工具可以有效地識別現有的組態和任何 CVE,但還需要其他方法來測試應用程式層級的工作負載。 [Fuzzing](https://owasp.org/www-community/Fuzzing) 是一種利用自動化尋找錯誤的知名方法,能將格式不正確的資料注入輸入欄位和應用程式的其他區域。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 強化作業系統:設定作業系統以符合最佳實務。
+ [保護 Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [保護 Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ 強化容器化資源:設定容器化資源以符合安全最佳實務。
+ 實作 AWS Lambda 最佳實務。
+ [AWS Lambda 最佳實務](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## 資源
**相關文件:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [將堡壘主機取代為 Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 的安全概觀](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相關影片:**
+ [在 Amazon EKS 上執行高安全的工作負載](https://youtu.be/OWRWDXszR-4)
+ [保護無伺服器和容器服務的安全](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)
**相關範例:**
+ [實驗室︰Web 應用程式防火牆的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 實作受管服務
實作管理資源的服務 (例如 Amazon Relational Database Service (Amazon RDS)、AWS Lambda 和 Amazon Elastic Container Service (Amazon ECS)),能為您減少共同責任模式中的安全維護任務。例如,Amazon RDS 可協助您設定、操作和擴展關聯式資料庫,並使諸如硬體佈建、資料庫設定、修補和備份等管理任務自動化。這表示您有更多空閒時間可以專心用 AWS Well-Architected Framework 中所述的其他方式來保護應用程式。Lambda 可讓您執行程式碼時無須佈建或管理伺服器,您可專注在程式碼層級的連線、叫用和安全等事項,無須擔心基礎設施或作業系統。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 探索可用的服務:探索、測試和實作可管理資源的服務,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
## 資源
**相關文件:**
+ [AWS 網站 ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [將堡壘主機取代為 Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 的安全概觀](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相關影片:**
+ [在 Amazon EKS 上執行高安全的工作負載](https://youtu.be/OWRWDXszR-4)
+ [保護無伺服器和容器服務的安全](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)
**相關範例:**
+ [實驗室:AWS Certificate Manager 請求公有憑證 ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 自動化運算保護
將保護性運算機制自動化,包括漏洞管理、減少攻擊面和資源管理。自動化可協助您將時間花在保護工作負載的其他層面,並降低人為錯誤的風險。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 自動化組態管理:透過使用組態管理服務或工具,來自動執行和驗證安全組態。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [實驗室︰VPC 的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [實驗室︰EC2 Web 應用程式的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ 自動修補 Amazon Elastic Compute Cloud (Amazon EC2):AWS Systems Manager 修補程式管理員可將管理執行個體在安全相關與其他類型方面的更新修補過程自動化。您可以使用修補程式管理員為作業系統和應用程式套用修補程式。
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager 自動化進行集中式多帳戶和多區域修補](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ 實作入侵偵測和預防:實作入侵偵測和預防工具,以監控和阻止執行個體上的惡意活動。
+ 考慮 AWS Partner 解決方案:AWS 合作夥伴提供數百種領先業界的產品,這些產品與您內部部署環境中的現有控制項相當、相同或互相整合。這些產品可補充現有的 AWS 服務,讓您能夠在雲端和內部部署環境中部署全方位的安全架構,以及擁有更流暢的體驗。
+ [基礎設施安全](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 資源
**相關文件:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager 自動化進行集中式多帳戶和多區域修補](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [基礎設施安全](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [將堡壘主機取代為 Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 的安全概觀](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相關影片:**
+ [在 Amazon EKS 上執行高安全的工作負載](https://youtu.be/OWRWDXszR-4)
+ [保護無伺服器和容器服務的安全](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)
**相關範例:**
+ [實驗室︰Web 應用程式防火牆的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [實驗室︰EC2 Web 應用程式的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 讓人員能夠遠距離執行動作
移除互動式存取功能可降低人為錯誤的風險,並降低手動設定或管理的可能性。例如,使用變更管理工作流程,以利用基礎設施即程式碼來部署 Amazon Elastic Compute Cloud (Amazon EC2),然後 AWS Systems Manager 這類工具來管理 Amazon EC2 執行個體,而不允許直接存取或透過堡壘主機存取。AWS Systems Manager 可以使用 [自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [工作流程](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html),[文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (程序手冊) 和 [執行命令](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)等功能,自動化各種維護和部署任務。AWS CloudFormation 堆疊會從管道建立,而且可為您將基礎設施的部署和管理任務自動化,無須直接使用 AWS 管理主控台或 API。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 取代主控台存取:以 AWS Systems Manager Run Command 取代執行個體的主控台存取 (SSH 或 RDP),以自動化管理任務。
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## 資源
**相關文件:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [將堡壘主機取代為 Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 的安全概觀](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相關影片:**
+ [在 Amazon EKS 上執行高安全的工作負載](https://youtu.be/OWRWDXszR-4)
+ [保護無伺服器和容器服務的安全](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)
**相關範例:**
+ [實驗室︰Web 應用程式防火牆的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 驗證軟體完整性
實作機制 (例如程式碼簽署) 以驗證工作負載中使用的軟體、程式碼和程式庫,確保它們來自信任的來源且未遭到篡改。例如,您應該驗證二進位程式碼和指令碼的程式碼簽署憑證,以確認作者,並確保自作者建立後並未遭到篡改。[AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 可以集中管理程式碼簽署生命週期 (包括簽署認證和公有和私有金鑰) 來協助確保程式碼的信任和完整性。您可以了解如何使用進階模式和最佳實務,搭配下列項目進行程式碼簽署: [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/)。此外,相較於供應商的檢查總和,您所下載軟體的檢查總和有助於確保該軟體並未遭到竄改。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 調查機制:程式碼簽署是用來驗證軟體完整性的一種機制。
+ [NIST:程式碼簽署的安全考量](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## 資源
**相關文件:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [新增功能 – 程式碼簽署,AWS Lambda 的信任和完整性控制](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# 資料保護
**Topics**
+ [SEC 7 您如何分類資料?](w2aac19b7c13b5.md)
+ [SEC 8 您如何保護靜態資料?](w2aac19b7c13b7.md)
+ [SEC 9 您如何保護傳輸中資料?](w2aac19b7c13b9.md)
# SEC 7 您如何分類資料?
資料分類可讓您根據關鍵性和敏感度將資料分類,協助判定適當的保護和保留控制。
**Topics**
+ [SEC07-BP01 識別工作負載內的資料](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定義資料保護控制](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自動識別和分類](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定義資料生命週期管理](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 識別工作負載內的資料
您需要了解工作負載所處理的資料類型和類別、相關的商業程序、資料擁有者、適用的法律和合規要求、存放的位置,以及因而需要強制執行的控制項。這可能包括分類以指出資料是否打算供公開取得;資料是否僅供內部使用,例如客戶的個人識別資訊 (PII);資料是否用於更受限制的存取,例如智慧財產、依法特權或標示為敏感資料等等。透過仔細管理適當的資料分類系統,並搭配每個工作負載的保護等級要求,您可以規劃適合資料的控制項和存取或保護等級。例如,公開的內容可供任何人存取,然而重要內容則以受保護的方式進行加密和儲存,需要授權取得金鑰才能將內容解密。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 考慮使用 Amazon Macie 探索資料:Macie 可辨識個人識別資訊 (PII) 或智慧財產等敏感資料。
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 資源
**相關文件:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 定義資料保護控制
根據資料的分類層級保護資料。例如:使用相關建議來保護歸類為公有的資料,同時實作額外的控制以保護敏感資料。
使用資源標籤、根據敏感度 (也可能適用於警告、群體或關注的社群)、IAM 政策、AWS Organizations SCP、AWS Key Management Service (AWS KMS) 和 AWS CloudHSM 將 AWS 帳戶做出區隔,您可以定義和實作資料分類和加密保護的政策。例如,假設您有一個專案用到存放高度關鍵資料的 S3 儲存貯體,或處理機密資料的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,則可以使用 `Project=ABC` 標籤進行標記。只有您的直屬團隊知道專案代號的意義,同時也可作為使用屬性型存取控制的方式。您可以透過金鑰政策和授權,定義對 AWS KMS 加密金鑰的存取等級,以確保僅限相應的服務能透過安全機制存取敏感內容。如果要根據標籤做出授權決策,您應該確保在 AWS Organizations 中使用標籤政策,正確地定義標籤上的許可。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 定義您的資料識別和分類結構描述:對資料進行識別和分類,評估您儲存的資料的潛在影響和類型,以及誰可以存取它。
+ [AWS 文件](https://docs.aws.amazon.com/)
+ 探索可用的 AWS 控制:針對您目前正在使用或計劃使用的 AWS 服務探索安全控制。許多服務在其文件中皆有安全性區段。
+ [AWS 文件](https://docs.aws.amazon.com/)
+ 識別 AWS 合規資源:識別 AWS 可用於協助的資源。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 資源
**相關文件:**
+ [AWS 文件](https://docs.aws.amazon.com/)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [缺少文字](https://aws.amazon.com/compliance/)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 自動識別和分類
將資料的識別和分類自動化,可協助您實作正確的控制方法。針對此目的使用自動化而非由人員直接存取,可降低人為錯誤和外洩的風險。您應該使用 [Amazon Macie](https://aws.amazon.com/macie/)這類工具進行評估,該工具會使用機器學習自動探索、分類和保護 AWS 中的敏感資料。Amazon Macie 可辨識個人識別資訊 (PII) 或智慧財產權等敏感資料,並提供儀表板和提醒,讓您深入了解資料的存取或移動方式。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 使用 Amazon Simple Storage Service (Amazon S3) 庫存:Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 考慮 Amazon Macie:Amazon Macie 使用機器學習來自動發現和分類存放在 Amazon S3 中的資料。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 資源
**相關文件:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 定義資料生命週期管理
您已定義的生命週期策略應以敏感性等級以及法律和組織的要求作為依據。您應考慮保留資料的期間、資料銷毀程序、資料存取管理、資料轉換和資料共享等方面。在選擇資料分類方法時,應在使用性與存取之間取得平衡。也應採納存取權的多個等級,並且耐心依照各等級分別實作安全又兼顧使用方便的方法。一律使用深度防禦方法,並減少為了轉換、刪除或複製資料,對資料與機制的手動存取。例如,要求使用者對應用程式進行強式驗證,並給予應用程式 (而非使用者) 必要的存取許可,以執行遠距離動作。此外,確保使用者來自受信任的網路路徑,並要求存取解密金鑰。應使用儀表板或自動報告之類的工具為使用者提供來自資料的資訊,而不是讓使用者直接存取資料。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 識別資料類型:識別您在工作負載中存放或處理的資料類型。該資料可以是文字、影像、二進位資料庫等。
## 資源
**相關文件:**
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 您如何保護靜態資料?
實作多個控制來保護您的靜態資料,以降低未經授權的存取或不當處理的風險。
**Topics**
+ [SEC08-BP01 實作安全金鑰管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 強制靜態加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 將靜態資料保護自動化](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 強制執行存取控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用限制人員存取資料的機制](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 實作安全金鑰管理
透過定義加密方法 (包含金鑰的儲存、輪換和存取控制),可以協助保護您的內容,免於未經授權的使用者和不必要的向授權使用者透露。AWS Key Management Service (AWS KMS) 可協助您管理加密金鑰, [並與許多 AWS 服務整合](https://aws.amazon.com/kms/details/#integration)。此服務為您的 AWS KMS 金鑰提供耐用、安全和冗餘的儲存。您可以定義金鑰別名以及金鑰層級的政策。這些政策可幫助您定義金鑰管理員和金鑰使用者。此外,AWS CloudHSM 是雲端硬體安全模組 (HSM),讓您能夠在 AWS 雲端上輕鬆產生和使用自己的加密金鑰。透過使用 FIPS 140-2 3 級驗證的 HSM,它可以幫助您滿足公司、合同和法規對資料安全的合規要求。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 實作 AWS KMS:AWS KMS 可讓您輕鬆建立和管理金鑰,並控制多種 AWS 服務和應用程式中的加密使用。AWS KMS 是一種安全且具彈性的服務,使用經過 FIPS 140-2 驗證的硬體安全模組來保護您的金鑰。
+ [入門:AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考慮 AWS 加密開發套件:當您的應用程式需要在用戶端對資料進行加密時,可使用整合 AWS KMS 的 AWS 加密開發套件。
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 資源
**相關文件:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服務和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [入門:AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [使用加密保護 Amazon S3 資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 強制靜態加密
您應該確保存放資料的唯一方法是使用加密。AWS Key Management Service (AWS KMS) 與許多 AWS 服務無縫整合,讓您更輕鬆地為所有靜態資料加密。例如,在 Amazon Simple Storage Service (Amazon S3) 中,您可以在儲存貯體上設定 [預設加密,](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 以便將所有新物件自動加密。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 透過設定預設加密來支援強制加密。您可以使用 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) ,自動檢查您是否正在將加密用於,例如, [Amazon Elastic Block Store (Amazon EBS) 磁碟區](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS) 執行個體](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 強制對 Amazon Simple Storage Service (Amazon S3) 執行靜態加密:實作 Amazon S3 儲存貯體預設加密。
+ [如何針對 S3 儲存貯體啟用預設加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一項 AWS 服務,可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 設定新 EBS 磁碟區的預設加密:使用 AWS 提供的預設金鑰或您自行建立的金鑰,指定您希望以加密形式建立所有新的 EBS 磁碟區。
+ [EBS 磁碟區的預設加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 設定加密的 Amazon Machine Images (AMI):複製已啟用加密的現有 AMI 會自動加密根磁碟區和快照。
+ [帶有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 設定 Amazon Relational Database Service (Amazon RDS):透過啟用加密選項,為您的 Amazon RDS 資料庫叢集和靜態快照設定啟用加密。
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服務中設定加密:對於您使用的 AWS 服務,請決定加密功能。
+ [AWS 文件](https://docs.aws.amazon.com/)
## 資源
**相關文件:**
+ [帶有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文件](https://docs.aws.amazon.com/)
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服務和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 磁碟區的預設加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何針對 S3 儲存貯體啟用預設加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [使用加密保護 Amazon S3 資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 將靜態資料保護自動化
使用自動化工具以持續驗證並強制執行靜態資料控制,例如,驗證以確認只有加密的儲存資源。您 [可以](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)資料目錄中。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 也可以透過符合安全標準的自動化檢查來驗證數種不同的控制。此外,您的 AWS Config 規則 可以自動 [修復不合規的資源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
*靜態資料* 代表您在工作負載中的任何期間,保留在非揮發性儲存體中的任何資料。其中包括:長期存放資料的區塊儲存體、物件儲存體、資料庫、封存、IoT 裝置和任何其他儲存媒介。實作加密和適當的存取控制,保護靜態資料能將未經授權存取的風險降低。
強制靜態加密:您應該確保存放資料的唯一方法是使用加密。AWS KMS 與許多 AWS 服務無縫整合,讓您更輕鬆地為所有靜態資料加密。例如,在 Amazon Simple Storage Service (Amazon S3) 中,您可以在儲存貯體上設定 [預設加密,](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 以便將所有新物件自動加密。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 透過設定預設加密來支援強制加密。您可以使用 [AWS 受管 Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) ,自動檢查您是否正在將加密用於,例如, [EBS 磁碟區](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html),[Amazon Relational Database Service (Amazon RDS) 執行個體](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 資源
**相關文件:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 強制執行存取控制
強制執行最低權限存取控制和機制 (包括備份、隔離和版本控制),以保護靜態資料。防止操作員授予您資料的公有存取權。
不同的控制包括存取 (使用最低權限)、備份 (請參閱 [可靠性白皮書](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、隔離,以及和版本控制,全都有助於保護您的靜態資料。對資料的存取應使用本白皮書稍早涵蓋的偵測機制進行稽核,包括 CloudTrail 和服務層級日誌 (例如 Amazon Simple Storage Service (Amazon S3) 存取日誌)。您應該清查哪些資料可公開存取,並規劃如何隨著時間減少可用的資料量。Amazon Glacier 文件庫鎖定和 Amazon S3 物件鎖定提供強制存取控制的功能,一旦文件庫政策被合規選項鎖定,在鎖定過期之前,就連根使用者也無法變更。此機制符合 SEC、CFTC 和 FINRA 的書籍和記錄管理要求。如需詳細資訊,請參閱 [此白皮書](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 強制執行存取控制:強制執行最低權限存取控制,包括對加密金鑰的存取。
+ [管理對 Amazon S3 資源的存取許可的簡介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 根據不同的分類層級分離資料:針對由 AWS Organizations 管理的資料分類層級,使用不同的 AWS 帳戶。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ 審查 AWS KMS 政策:審查 AWS KMS 政策中授予的存取層級。
+ [管理對您的 AWS KMS 資源的存取概觀](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ 審查 Amazon S3 儲存貯體和物件權限:定期審查 Amazon S3 儲存貯體政策中授予的存取層級。最佳實務是不要設定公開可讀取或可寫入的儲存貯體。考慮使用 AWS Config 偵測公開可用的儲存貯體,以及使用 Amazon CloudFront 從 Amazon S3 提供內容。
+ [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:雲端中進行的比對](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ 啟用 Amazon S3 版本控制和物件鎖定。
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 物件鎖定來鎖定物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ 使用 Amazon S3 庫存:Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 審查 Amazon EBS 和 AMI 共用許可:共用許可可以允許將映像和磁碟區分享到工作負載外部的 AWS 帳戶。
+ [共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [分享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 資源
**相關文件:**
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相關影片:**
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用限制人員存取資料的機制
在正常運作情況下,讓所有使用者遠離直接存取敏感資料和系統的權限。例如,使用變更管理工作流程來使用工具管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,而不允許直接存取或堡壘主機存取。這可使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)來達成,其使用 [自動化文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) ,內有您用來執行任務的步驟。這些文件可以存放在原始檔控制中、在執行前接受對等審查,並經過徹底測試,以盡量降低與 shell 存取相比的風險。商業使用者可以擁有儀表板,而不是直接存取資料存放區來執行查詢。未使用 CI/CD 管道時,請判斷需要哪些控制和程序,才能充分提供一般停用時的緊急存取機制。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 實作限制人員存取資料的機制:這些機制包括使用 Quick 等儀表板向使用者顯示資料,而不是直接查詢。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自動化組態管理:透過使用組態管理服務或工具,在遠距離執行動作,並自動執行和驗證安全組態。避免使用堡壘主機或直接存取 EC2 執行個體。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上 AWS CloudFormation 範本的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 資源
**相關文件:**
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 您如何保護傳輸中資料?
實作多個控制以保護傳輸中的資料,減少未經授權的存取或遺失的風險。
**Topics**
+ [SEC09-BP01 實作安全金鑰和憑證管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 強制執行傳輸中加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自動偵測意外的資料存取](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 驗證網路通訊](sec_protect_data_transit_authentication.md)
# SEC09-BP01 實作安全金鑰和憑證管理
安全地存放加密金鑰和憑證,並依適當的時間間隔,以嚴格的存取控制進行輪換。達成此目標的最佳方式是使用受管服務,例如 [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager)。它可讓您輕鬆佈建、管理和部署可與 AWS 服務和您的內部連線資源搭配使用的公有和私有 Transport Layer Security (TLS) 憑證。TLS 憑證可用來保護網路通訊,和建立網際網路中的網站和私有網路中資源的身份。ACM 與 AWS 資源整合,例如 Elastic Load Balancer (ELB)、AWS 分發以及 API Gateway 上的 API,也會處理自動憑證更新。如果您使用 ACM 部署私有根 CA,則它可以提供憑證和私有金鑰兩者,用於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器內等。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 實作安全金鑰和憑證管理:實作您定義的安全金鑰和憑證管理解決方案。
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ 如何在 AWS 中託管和管理整個私有憑證基礎架構 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 實作安全協定:使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請查看 AWS 文件,了解與您使用的服務相關的協定和安全性。
## 資源
**相關文件:**
+ [AWS 文件 ](https://docs.aws.amazon.com/)
# SEC09-BP02 強制執行傳輸中加密
根據適當的標準和建議強制執行已定義的加密要求,協助您符合組織、法律和合規上的要求。AWS 服務提供使用 TLS 進行通訊的 HTTPS 端點,從而在與 API 通訊時提供傳輸中加密。不安全的通訊協定 (例如 HTTP) 可以在 VPC 中透過使用安全群組加以稽核和封鎖。HTTP 請求也可以 [自動重新導向至 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 在 Amazon CloudFront 或 [Application Load Balancer 中](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions)。您可以完全控制您的運算資源,以在各個服務中實作傳輸中加密。此外,還可以從外部網路使用 VPN 連線功能進入 VPC,實現流量加密。如果您有特殊需求,AWS Marketplace 備有第三方解決方案。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 強制執行傳輸中加密:您定義的加密要求應符合最新標準和最佳實務,並僅允許採用安全協定。例如,將安全群組設定為僅允許 HTTPS 協定到 Application Load Balancer 或 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
+ 在邊緣服務中設定安全協定:使用 Amazon CloudFront 和必要的加密法設定 HTTPS。
+ [ 搭配 CloudFront 使用 HTTPS ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 使用 VPN 進行外部連線:考慮使用 IPsec VPN 虛擬私有網路 (VPN),保護點對點或網路對網路連線,以提供資料隱私和完整性。
+ [ VPN 連線 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 在負載平衡器中設定安全協定:啟用 HTTPS 接聽程式以保護與負載平衡器的連線。
+ [ Application Load Balancer 的 HTTPS 接聽程式 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 為執行個體設定安全協定:考慮在執行個體上設定 HTTPS 加密。
+ [ 教學:在 Amazon Linux 2 上設定 Apache Web 伺服器以使用 SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ 在 Amazon Relational Database Service (Amazon RDS) 中設定安全協定:使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 來加密與資料庫執行個體的連線。
+ [ 使用 SSL 加密與資料庫執行個體的連線 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ 在 Amazon Redshift 中設定安全協定:將您的叢集設定為要求 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。
+ [ 設定連線的安全性選項 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 在其他 AWS 服務中設定安全協定:對於您使用的 AWS 服務,請決定傳輸中加密功能。
## 資源
**相關文件:**
+ [AWS 文件 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 自動偵測意外的資料存取
使用 Amazon GuardDuty 這類工具,自動偵測可疑活動或將資料移到所定義邊界之外的嘗試。例如,GuardDuty 可以偵測異常的 Amazon Simple Storage Service (Amazon S3) 讀取活動,發現結果為 [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty,[擷取網路流量資訊的 Amazon VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)還可與 Amazon EventBridge 搭配使用,以觸發異常連線偵測,其中成功和拒絕兩者皆包含在內。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可協助評估您的 Amazon S3 儲存貯體中誰可以存取哪些資料。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 自動偵測意外的資料存取:使用工具或偵測機制自動偵測將資料移出定義邊界的嘗試;例如,偵測將資料複製到無法識別之主機的資料庫系統。
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ 考慮 Amazon Macie:Amazon Macie 是一項全受管的資料安全和資料隱私服務,它使用機器學習和模式比對來探索和保護 AWS 中的敏感資料。
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 資源
**相關文件:**
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 驗證網路通訊
使用支援身份驗證的通訊協定 (Transport Layer Security (TLS) 或 IPsec) 來驗證通訊的身分。
使用支援身份驗證的網路通訊協定,可讓雙方之間建立信任。此法可增加通訊協定中使用的加密,降低通訊遭到更改或攔截的風險。實作身份驗證的常見通訊協定包括許多 AWS 服務中使用的 Transport Layer Security (TLS),以及在 [AWS Virtual Private Network (Site-to-Site VPN) 中使用的 IPsec](http://aws.amazon.com/vpn)。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 實作安全協定:使用提供身份驗證和機密性的安全協定 (例如 T TLS 或 IPsec) 來減少資料竄改或遺失的風險。請參閱 [AWS 文件](https://docs.aws.amazon.com/) ,了解與您使用的服務相關的協定和安全性。
## 資源
**相關文件:**
+ [AWS 文件](https://docs.aws.amazon.com/)
# 事故回應
**Topics**
+ [SEC 10 您如何預估、回應事件以及從事件中復原?](w2aac19b7c15b5.md)
# SEC 10 您如何預估、回應事件以及從事件中復原?
準備對於及時且有效的調查、回應事件以及從事件中復原至關重要,有助於將對組織的干擾降到最低。
**Topics**
+ [SEC10-BP01 確定關鍵人員和外部資源](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 制定事件管理計劃](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 準備鑑識功能](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 自動化遏制能力](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 預先佈建存取權](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 預先部署工具](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 執行演練日](sec_incident_response_run_game_days.md)
# SEC10-BP01 確定關鍵人員和外部資源
確定可以幫助您的組織回應事件的內部和外部人員、資源及法律義務。
當您在雲端定義回應事件的方法時,與其他團隊 (例如您的法律顧問、領導階層、業務利害關係人、AWS Support Services 等等) 共同合作時,您必須識別關鍵人員、利害關係人和相關聯絡人。為了減少相依性並縮短回應時間,請確保您的團隊、專業安全團隊和回應人員受過您所使用服務的教育訓練,並有機會實際操作。
我們鼓勵您找出可提供外部專業知識和不同觀點,為您增強回應能力的外部 AWS 安全合作夥伴。您信任的安全合作夥伴可協助您識別您可能不熟悉的潛在風險或威脅。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 識別組織中的關鍵人員:維護人員聯絡清單,將組織中參與事故回應和復原的人員納入其中。
+ 識別外部模式:如有必要,可雇用外部合作夥伴,以幫助您應對事件並從中復原。
## 資源
**相關文件:**
+ [AWS 事故回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相關影片:**
+ [準備和回應 AWS 環境中的安全事故 ](https://youtu.be/8uiO0Z5meCs)
**相關範例:**
# SEC10-BP02 制定事件管理計劃
建立計劃以協助您回應、在事件期間進行溝通,以及從事件中復原。例如您可以從工作負載和組織最可能發生的情境,開始建立事件回應計畫。包括您在內部和外部進行溝通和向上呈報的流程。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
事件管理計劃對於回應、減輕安全事件所造成潛在影響並從中復原而言至關重要。事件管理計劃是結構清晰的程序,可及時找出、修復和回應安全事件。
雲端有許多在內部部署環境中所見的相同營運角色和需求。建立事件管理計劃時,您必須將與業務成果和合規需求最相符的應變及復原策略納入考量。例如,如果您在 AWS 中運作的工作負載符合美國的 FedRAMP,那麼遵循 [NIST SP 800-61 電腦安全處理指南便很有用](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)。同樣地,當運行帶有歐洲 PII (個人身分識別資訊) 資料的工作負載時,請考量以下情境,例如如何保護和回應與 [歐盟一般資料保護規範 (GDPR) 中所要求之資料落地的相關問題](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en)。
為在 AWS 中運行的工作負載建立事件管理計劃時,請從 [AWS 共同的責任模型開始,](https://aws.amazon.com/compliance/shared-responsibility-model/)以便建立事件應變的深度防禦方法。在此模型中,AWS 會管理雲端的安全,但維護雲端的安全是您的責任。此表示您保有控制權,並對您選擇實作的安全控制項負責。AWS [AWS 安全事件應變指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 詳細說明在建立以雲端為中心的事件管理計劃時的重要概念和基礎指引。
有效的事件管理計劃必須經過持續的反覆測試,以與您的雲端營運目標保持同步。在您建立和制定事件管理計劃時,請考慮使用以下詳述的實作計劃。
+ **針對事件應變提供指導和訓練:** 當發生偏差,偏離您定義的基準時 (例如,錯誤的部署或錯誤的設定),您可能需要回應和調查。為了順利回應和調查,您必須了解在 AWS 環境中可以使用哪些控制項和功能,來回應安全事件,以及需要考量哪些程序,以便為參與事件應變的雲端團隊提供指導和訓練,並確保他們做好準備。
+ [程序手冊](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) 和 [執行手冊](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) 都是有效的機制,可讓您以一致的方式,來訓練事件的回應方式。從建立初步清單開始,此清單會列出在事件應變期間頻繁執行的程序,並隨著您學習或使用新的程序持續反覆測試。
+ 透過排定的演練日傳播 [程序手冊和執行手冊](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)。在演練日期間,在受控的環境中模擬事件應變,讓團隊可以回想如何回應,並確認事件應變的參與團隊是否都熟知工作流程。審查模擬事件的成果,來找出待改善的地方,並判斷是否需要進一步的培訓或額外的工具。
+ 應將安全性視為每個人的職責。透過將平常運行工作負載的所有人員都納入,來建立對事件管理程序的集體知識。這包括您業務的各個方面;營運、測試、開發、安全性、業務營運和業務領導者。
+ **記錄事件管理計劃:** 記錄要記錄、據以採取行動和溝通進度的工具及程序,並提供與作用中事件有關的通知。事件管理計劃的目標是確認平常的營運都能盡快恢復,將對業務造成的影響降到最低,以及所有相關的人員都能了解情形。事件的例子包含 (但不限於) 網路連線的遺失或效能降低、無回應的程序或 API、未執行的排定任務 (例如,修補失敗)、應用程式資料或服務不可用、因為安全性事件而造成的意外服務中斷、憑證洩漏或設定錯誤。
+ 找出負責解決事件的主要擁有者,例如工作負載的擁有者。清楚地指導誰將執行事件以及如何處理溝通。當事件解決程序中參與的當事人不只一位時,例如外部廠商,請考慮建立 *責任 (RACI) 矩陣*,此矩陣會詳述事件解決所需的各種團隊或人員的角色和責任。
RACI 矩陣詳述以下內容:
+ **R:** *負責任的* 當事人會負責完成任務。
+ **A:** *專責的* 當事人或利害關係人有最終的權力,可決定特定任務是否成功完成。
+ **C:** *徵求意見的* 被諮詢當事人,其身分通常是各領域的專家。
+ **I:** *收到進度通知的* 當事人,通常只在任務完成或交付成果時才會接獲通知。
+ **將事件分類:** 根據嚴重性和影響分數定義及分類事件,可為分類和解決事件提供有條理的方法。下列建議描述的是 *對解決方案造成影響的緊急矩陣,* 可將事件造成的影響量化。例如,影響輕微、較不緊急的事件會被視為低嚴重性事件。
+ **高 (H):** 您的業務受到嚴重的影響。與 AWS 資源相關的應用程式重要功能無法使用。為對生產系統造成影響的最關鍵事件而保留。事件帶來的影響會隨著修復措施的時效性而快速提高。
+ **中 (M):** 與 AWS 資源相關的業務服務或應用程式受到中度的影響並在降級的狀態下運作。有助於服務水準目標 (SLO) 的應用程式在服務水準協議 (SLA) 限制中受到影響。系統可以在能力下降的情況下執行,而不會產生太大的財務或聲譽影響。
+ **低 (L):** 與 AWS 資源相關的業務服務或應用程式的非關鍵功能受到影響。系統可以在能力下降的情況下執行,並產生最輕微的財務或聲譽影響。
+ **將安全控制項標準化:** 將安全控制項標準化的目標是為了實現營運成果的一致性、可追蹤性和可重複性。推動對事件應變至關重要之活動的標準化,例如:
+ **身分和存取管理:** 建立機制,來控制資料的存取和同時管理人類與機器身分的權限。將您專屬的身分和存取管理擴展至雲端,使用聯合身分安全搭配單一登入和以角色為基礎的權限,來優化存取管理作業。如需將存取管理作業標準化的最佳實務建議和改善計劃,請參閱 [安全支柱白皮書](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) 的身分和存取管理一節。
+ **漏洞管理:** 建立機制,來找出在 AWS 環境中很可能遭攻擊者用來入侵和濫用系統的漏洞。實作預防性和偵測性控制作為安全機制,以回應並減輕安全事件的潛在影響。在基礎設施建立和應用程式交付生命週期中,將威脅建模等程序標準化。
+ **組態管理:** 定義標準組態和自動化程序,以便在 AWS 雲端 中部署資源。同時將基礎設施和資源佈建標準化,有助於減輕因錯誤部署所造成的錯誤設定或意外人為設定錯誤的風險。請參閱 [卓越營運支柱白皮書](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) 設計原則一節,來了解實作此控制項的指引和改善計劃。
+ **稽核控制項的記錄和監控:** 實作機制,來監控資源的故障、效能降低和安全性問題。將這些控制項標準化也能提供系統中所發生之活動的稽核軌跡,進而協助及時分類和修復問題。SEC04 下的最佳實務 [(「您如何偵測和調查安全事件?」)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 提供實作此控制項的指引。
+ **使用自動化:** 自動化可讓您大規模及時解決事件。AWS 提供數種服務來在事件應變策略的情境中進行自動化。專注於在自動化和人工介入之間尋找適當的平衡。當您在程序手冊和執行手冊中建立事件應變時,請將可重複的步驟自動化。使用 AWS Systems Manager Incident Manager 之類的 AWS 服務來 [快速解決 IT 事件](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/)。使用 [開發人員工具](https://aws.amazon.com/devops/) 來提供版本控制和自動化 [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) 與基礎設施即程式碼 (IaC) 部署,而不需人工介入。在適用的情況下,使用 Amazon GuardDuty、Amazon Inspector、AWS Security Hub CSPM、AWS Config 和 Amazon Macie 之類的受管服務,將偵測和合規評估自動化。使用 Amazon DevOps Guru 之類的機器學習優化偵測功能,在異常營運模式問題發生前加以偵測。
+ **執行根本原因分析以及汲取經驗教訓:** 實作機制以便於事件後應變審查中汲取經驗教訓。當事件的根本原因揭露更大的缺陷、設計缺點、設定錯誤或再發的可能性時,就會將該事件分類為問題。在這類案例中,分析和解決問題來將對正常營運的中斷降到最低。
## 資源
**相關文件:**
+ [AWS 安全事件應變指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST:電腦安全事件處理指南 ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**相關影片:**
+ [將 AWS 中的事件應變和鑑識自動化 ](https://youtu.be/f_EcwmmXkXk)
+ [ 執行手冊、事件報告和事件應變的 DIY 指南 ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ 準備和回應 AWS 環境中的安全事件 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**相關範例:**
+ [實驗室︰使用 Jupyter 的事件應變程序手冊 - AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ 實驗室︰使用 AWS 主控台和 CLI 來應變事件 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 準備鑑識功能
了解鑑識調查何時以及如何適合您的回應計劃,對於您的事故回應者而言很重要。您的組織應定義收集的證據以及過程中使用的工具。識別和準備適合的鑑識調查功能,包括外部專家、工具和自動化。您應該預先做出的關鍵決定是您是否將從即時系統中收集資料。如果系統關閉電源或重新啟動,某些資料 (例如易消逝性記憶體的內容或作用中的網路連線) 將會遺失。
您的回應團隊可以結合 AWS Systems Manager Amazon EventBridge 和 AWS Lambda 等工具,在作業系統和 VPC 流量鏡像內自動運行鑑識工具,以取得網路封包擷取,來收集非持久性證據。使用自訂的鑑識工作站和可供回應者存取的工具,在專用安全帳戶中進行其他活動,例如日誌分析或分析磁碟映像。
定期將相關日誌傳送到提供高耐久性和完整性的資料存放區。回應者應該可以存取這些日誌。AWS 會提供數種工具,讓日誌調查更容昣進行,例如 Amazon Athena、Amazon OpenSearch Service (OpenSearch Service) 和 Amazon CloudWatch Logs Insights。此外,還會使用 Amazon Simple Storage Service (Amazon S3) 物件鎖定,安全地保留證據。此服務遵循 WORM (一次寫入-多次讀取) 模型,並防止物件在定義的期間遭到刪除或覆寫。由於鑑識調查技術需要專業培訓,您可能需要聘請外部專家。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 識別鑑識能力:研究組織的鑑識調查能力、可用的工具以及外部專家。
+ [自動化事故回應和鑑識 ](https://youtu.be/f_EcwmmXkXk)
## 資源
**相關文件:**
+ [如何在 AWS 中將鑑識磁碟收集自動化](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 自動化遏制能力
將事件範圍侷限與復原自動化,以縮短回應時間與對組織的影響。
一旦您依照程序手冊建立和操演程序和工具,就可以將邏輯解構成為以程式碼為基礎的解決方案,許多回應人員可將其做為工具使用,以做到自動回應,並免除回應人員面對的變通或猜測。如此可以加速回應的生命週期。下一個目標是透過提醒或事件本身 (而不是由回應人員) 叫用,讓此程式碼能夠完全自動化,以建立事件驅動的回應。這些程序也應該自動將相關資料新增到您的安全系統。例如,涉及來自不需要 IP 地址的流量的事故可以自動填入 AWS WAF 封鎖清單或網路防火牆規則群組,以防止進一步的活動。
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*圖 3:自動封鎖已知惡意 IP 地址的 AWS WAF。*
使用事件驅動的回應系統,偵測機制會觸發回應機制,以自動修復事件。您可以使用事件驅動的回應功能,減少偵測機制與回應機制之間體現價值的時間。若要建立此事件驅動架構,您可以使用 AWS Lambda;這是一種無伺服器運算服務,可執行程式碼以回應事件,並自動為您管理基礎運算資源。例如,假設您有一個已啟用 AWS CloudTrail 服務的 AWS 帳戶。如果 AWS CloudTrail 發生停用 (透過 `cloudtrail:StopLogging` API 呼叫),您可以使用 Amazon EventBridge 監控特定的 `cloudtrail:StopLogging` 事件,並叫用 AWS Lambda 函數以呼叫 `cloudtrail:StartLogging` 以重新啟動記錄。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
自動化遏制能力。
## 資源
**相關文件:**
+ [AWS 事故回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相關影片:**
+ [準備和回應 AWS 環境中的安全事故](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 預先佈建存取權
確認事件回應者具有在 AWS 中預先佈建的正確存取權限,以縮短調查直至復原所需的時間。
**常見的反模式:**
+ 使用事件應變的根帳戶。
+ 更改現有的使用者帳戶。
+ 當提供即時權限提升時直接操控 IAM 許可。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
AWS 建議盡可能降低或避免對長期憑證的依賴,而是採用臨時憑證和 *即時* 權限提升機制。長期憑證容易發生安全性風險並會增加營運負擔。對於大多數管理任務,以及事件應變任務,我們建議您實作 [聯合身分](https://docs.aws.amazon.com/identity/federation/) 以及 [適用於管理存取權的臨時權限提升](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)。在此模型中,使用者會請求提升至較高層級的權限 (例如事件應變角色);如果使用者符合提升的資格,則會將請求傳送至核准者。如果請求獲得核准,使用者就會收到一組臨時 [AWS 憑證](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) ,使用者可使用此憑證來完成其任務。在這些憑證過期後,使用者就必須提交新的提升權限請求。
我們建議在大多數事件應變情境中,使用臨時權限提升。正確的做法是使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 和 [工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) 來界定存取權的範圍。
當發生聯合身分不可用的情況,例如
+ 與遭盜用身分提供者 (IdP) 相關的中斷。
+ 設定錯誤或人為錯誤會導致聯合存取管理系統遭到破壞。
+ 分散式阻斷服務 (DDoS) 事件或使系統無法使用之類的惡意活動。
在前述的案例中,應會有已設定的 *緊急* 存取權,可協助調查和及時修復事件。我們建議您使用 [具有適當許可的 IAM 使用者,](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) 來執行任務和存取 AWS 資源。僅將根憑證用於 [需要根使用者存取權的任務](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。若要確認事件回應者是否具有 AWS 和其他相關系統的正確存取權,我們建議預先佈建專屬的使用者帳戶。該類使用者帳戶需要提升的存取權,且必須受到嚴格的控制和監控。必須以執行必要任務所需的最低權限來建置這些帳戶,而存取權層級應以事件管理計劃中建立的程序手冊為基礎。
使用專用和專屬的使用者及角色作為最佳實務。透過新增 IAM 政策而臨時提升權限的使用者和角色存取權,會同時使得使用者在事件發生期間的存取權不明確,又有無法將提升的權限撤銷的風險。
您必須盡可能移除相依性,來確認可在各種可能的失敗情境下獲得存取權。為了做到這一點,建立程序手冊來確認事件應變使用者的建立身分是專屬安全性帳戶中的 AWS Identity and Access Management 使用者,且不會透過任何現有的聯合或單一登入 (SSO) 解決方案來管理事件應變使用者。每個個別回應者必須具備其專屬的指定帳戶。帳戶組態必須強制執行 [強式密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 和多重要素驗證 (MFA)。如果事件應變程序手冊僅需要 AWS 管理主控台 的存取權,使用者就不應設定存取金鑰,且應明確禁止使用者建立存取金鑰。您可以使用 IAM 政策或服務控制政策 (SCP) 進行設定,如同 AWS Organizations SCP 的 AWS 安全性 [最佳實務中所述](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。除了在其他帳戶中擔任事件應變角色的能力外,使用者不應具備任何權限。
在事件期間,必須將存取權授予其他內部或外部人員,來協助調查、修復和復原活動。在此案例中,使用先前提到的程序手冊機制,而且必須制定程序,以確認在事件完成後,立即將任何其他存取權撤回。
若要確認事件應變角色的使用是否受到適當的監控和稽核,則必須確保未在人員之間共用為此目的建立的 IAM 使用者帳戶,且除非特定任務所需,否則不得使用 AWS 帳戶 [根使用者](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。如果需要根使用者 (例如,特定帳戶的 IAM 存取權不可用時),請使用獨立的程序,其中有可用的程序手冊,來確認根使用者密碼和 MFA 權杖是否可用。
若要為事件應變角色設定 IAM 政策,請考慮使用 [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 來根據 AWS CloudTrail 日誌產生政策。若要這麼做,請向管理員授予在非生產帳戶上事件應變角色的存取權,並透過程序手冊加以執行。完成後,您就可以建立政策來僅允許所採取的動作。接著就可以將此政策套用至所有帳戶中的所有事件應變角色。您可能希望為每個程序手冊建立個別 IAM 政策,來讓管理和稽核作業更輕鬆。範例程序手冊可能包含勒索軟體、資料洩漏、生產存取權遺失和其他情境的應變計劃。
使用事件應變使用者帳戶來擔任 [在其他 AWS 帳戶 中專屬事件應變 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。必須將這些角色設定為僅供安全性帳戶中的使用者擔任,而信任關係必須要求呼叫主體使用 MFA 進行驗證。這些角色必須使用嚴格控制範圍的 IAM 政策來控制存取權。確保所有對這些角色的 `AssumeRole` 請求都記錄在 CloudTrail 中並據以發出警示,而使用這些角色採取的任何動作都會記錄下來。
強烈建議必須清楚地命名 IAM 使用者帳戶和 IAM 角色,因此您可以輕鬆地在 CloudTrail 日誌中找到這些帳戶和角色。這類範例便是將 IAM 帳戶命名為 `-BREAK-GLASS` 以及將 IAM 角色命名為 `BREAK-GLASS-ROLE`。
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 會用來在 AWS 帳戶中記錄 API 活動,且應用來 [設定對事件應變角色使用情形的警示](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)。請參閱部落格貼文,其中會說明使用根金鑰如何設定警示。您可以修改說明,以便針對以下事件設定 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指標篩選條件至篩選條件: `AssumeRole` 事件,該事件與事件應變 IAM 角色相關:
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
由於事件應變角色可能具備很高的存取權限,因此必須將這些警示傳送給多個群組,並據此快速採取行動。
在事件期間,回應者可能需要存取未受 IAM 直接保護的系統。其中可能包含 Amazon Elastic Compute Cloud 執行個體、Amazon Relational Database Service 資料庫或軟體即服務 (SaaS) 平台。強烈建議使用此方法,而不是使用 SSH 或 RDP 等原生通訊協定,[AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 會用於對 Amazon EC2 執行個體的所有管理存取權。您可以使用安全且受稽核的 IAM 來控制此存取權。 您也可以使用 AWS Systems Manager Run Command 文件 [來自動化部分程序手冊,](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)如此可減少使用者錯誤並縮短復原時間。如需資料庫和第三方工具的存取權,我們建議將存取憑證存放在 AWS Secrets Manager 中,並將存取權授予事件回應者角色。
最後,應將事件應變 IAM 使用者帳戶的管理作業新增至 [加入者、異動者和離職者程序中,](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) 並定期審查和測試此管理作業,以確認僅允許預期的存取。
## 資源
**相關文件:**
+ [管理對 AWS 環境的臨時提升存取權](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS 安全事件應變指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [在 AWS 中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ 使用 MFA 設定跨帳戶存取權 ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ 使用 IAM Access Analyzer 來產生 IAM 政策 ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ 在多帳戶環境中 AWS Organizations 服務控制政策的最佳實務 ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ 如何在使用 AWS 帳戶的根存取金鑰時接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ 使用 IAM 受管政策來建立精細的工作階段許可 ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**相關影片:**
+ [ 將 AWS 中的事件應變和鑑識自動化 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [執行手冊、事件報告和事件應變的 DIY 指南](https://youtu.be/E1NaYN_fJUo)
+ [ 準備和回應 AWS 環境中的安全事件 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**相關範例:**
+ [ 實驗室:AWS 帳戶設定和根使用者 ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ 實驗室︰使用 AWS 主控台和 CLI 來應變事件 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 預先部署工具
確保安全人員具有預先部署到 AWS 中的適當工具,以縮短調查直至復原的時間。
若要將安全工程和操作功能自動化,您可以使用 AWS 提供的完整 API 和工具集。您可以將身份管理、網路安全、資料保護和監控功能完全自動化,並使用現有的熱門軟體開發方法遞送這些功能。建置安全自動化時,您的系統可以監控、檢閱和啟動回應,而不是讓人員監控您的安全地位並手動回應事件。自動跨 AWS 服務將可搜尋和相關日誌資料提供給事故回應者的有效方法,就是啟用 [Amazon Detective](https://aws.amazon.com/detective/)。
若您的事件回應團隊持續以相同方式回應警示,可能會形成警示疲勞的風險。隨著時間的推移,團隊可能會變得對收到提醒不敏感,而且在處理一般情況時可能會犯錯,或是錯過不尋常的警示。自動化使用能夠處理重複和一般提醒的功能,讓人員處理敏感和獨特的事件,有助於避免發生提醒疲倦的情形。整合異常偵測系統 (例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch 異常檢測) 可以減輕常見閾值型提醒的負擔。
您可以透過程式設計方式將程序中的步驟自動化,以改善手動程序。定義事件的補救模式之後,您可以將該模式分解為可行的邏輯,並撰寫程式碼來執行該邏輯。回應人員接著可以執行該程式碼來修正問題。隨著時間的推移,您可以將越來越多的步驟自動化,最終自動處理整個類別的常見事件。
對於在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的作業系統內執行的工具,您應該使用 AWS Systems Manager Run Command 進行評估,這可讓您使用在 Amazon EC2 執行個體作業系統上安裝的代理程式,從遠端安全地管理執行個體。這需要 Systems Manager Agent ( SSM 代理程式),此代理程式預設安裝在許多 Amazon Machine Image (AMI) 上。不過請注意,執行個體一旦遭侵害,對於在其上執行的工具或代理程式發出的回應都不應視為可信任。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 預先部署工具:確保安全人員具有預先部署到 AWS 中的適當工具,以便可以對事件做出適當的回應。
+ [實驗室︰使用 AWS 管理主控台和 CLI 處理事故回應 ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ 使用 Jupyter 的事故回應手冊 - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [AWS 安全自動化 ](https://github.com/awslabs/aws-security-automation)
+ 實作資源標記:使用資訊標記資源 (例如調查中資源的程式碼),以便您可以在事件期間識別資源。
+ [AWS 標記策略 ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## 資源
**相關文件:**
+ [AWS 事故回應指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相關影片:**
+ [ 執行手冊、事件報告和事件回應的 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 執行演練日
演練日也稱為模擬或練習,是內部舉辦的活動,提供有條理的機會,供您在寫實情境下演練事件管理計劃和程序。這些事件應該使用在真實世界情境中使用的相同工具和技術來鍛煉回應者 - 甚至模仿真實世界環境。演練日基本上就是用來準備和反覆改善您的回應能力。對於進行演練日的活動,您可能會發現有價值的原因包括:
+ 驗證整備
+ 培養信心 – 從模擬和培訓員工得到學習
+ 遵守合規或合約義務
+ 產生用於認證的成品
+ 靈活 – 增量改進
+ 加速並改善工具
+ 精簡溝通和上報
+ 培養安然面對罕見和意外情形的能力
基於上述原因,參與模擬活動所衍生的價值,會在壓力事件期間提高組織發揮的效用。開發既實際又有益的模擬活動可能是艱鉅的作業。雖然測試處理熟知事件的程序或自動化具有某些優勢,但參與創造性的 [安全事故回應模擬 (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) 活動,以考驗自己面對意外和持續改善的能力,同樣也有價值。
建立針對您的環境、團隊和工具量身打造的自訂模擬。找出問題並根據它設計您的模擬。這可能是洩露的憑證、與不需要的系統通訊的伺服器,或導致未經授權暴露的錯誤組態等項目。識別熟悉貴組織的工程師來建立情境,以及另一個要參與的群組。情境應該是真實的,且具有足夠的挑戰性來彰現價值。它應該包括實作記錄、通知、呈報和執行執行手冊或自動化的機會。在模擬期間,您的回應者應該鍛煉其技術和組織技能,而且領導者應該參與以建立其事故管理技能。模擬結束時,讚揚團隊的努力,並尋找反覆、重複和擴充到進一步模擬的方法。
[AWS 已建立事故回應執行手冊範本](https://github.com/aws-samples/aws-incident-response-playbooks) ,您可以不僅將其用來準備您的回應工作,還可以將其做為模擬的基礎。規劃時,模擬可以分成五個階段。
**收集證據: **在這個階段,團隊將透過各種方式獲得提醒,例如內部票證系統、來自監控工具的提醒、匿名提示,甚至是公共新聞。然後,團隊開始審查基礎設施和應用程式日誌,以判定入侵的來源。此步驟還應涉及內部呈報和事故領導地位。一旦識別,團隊就會繼續遏制事故
**遏制事故: **團隊將判定發生了事故並確定入侵的來源。團隊現在應該採取行動來遏制它,例如,停用遭入侵的憑證、隔離運算資源或撤銷角色的許可。
**杜絕事故: **既然他們已遏制事故,團隊就會努力緩解應用程式或基礎設施組態中易受入侵的任何漏洞。這可能包括輪換用於工作負載的所有憑證、修改存取控制清單 (ACL) 或變更網路組態。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 執行 [在生產環境中](https://wa.aws.amazon.com/wat.concept.gameday.en.html):針對涉及關鍵人員和管理層的各種威脅執行模擬的 [事故](https://wa.aws.amazon.com/wat.concept.incident.en.html) 回應 [活動 (演練日)](https://wa.aws.amazon.com/wat.concept.event.en.html) 。
+ 汲取經驗教訓:從 [在生產環境中](https://wa.aws.amazon.com/wat.concept.gameday.en.html) 中獲得的經驗教訓應該成為改善程序的回饋意見的一部分。
## 資源
**相關文件:**
+ [AWS 事故回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS 彈性災難復原](https://aws.amazon.com/cloudendure-disaster-recovery/)
**相關影片:**
+ [ 執行手冊、事件報告和事件回應的 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)