# 最佳實務
**Topics**
+ [安全性](sec-security.md)
+ [身分和存取管理](sec-iam.md)
+ [偵測](sec-detection.md)
+ [基礎設施保護](sec-infrastructure.md)
+ [資料保護](sec-dataprot.md)
+ [事故回應](sec-incresp.md)
# 安全性
若要安全地操作工作負載,您必須將總體最佳實務套用到每個安全領域。採用您在組織和工作負載層級所定義的卓越營運要求和程序,將這些要求和程序套用到所有領域。
透過 AWS 和產業建議與威脅情報持續取得最新資訊,可協助您發展威脅模型和控制目標。自動化安全程序、測試和驗證可讓您擴展安全操作。
下列問題著重於這些安全方面的考量。(如需安全問題和最佳實務的清單,請參閱 [附錄](a-security.md)。)
| SEC 1:如何安全地操作工作負載? |
| --- |
| 若要安全地操作工作負載,您必須將總體最佳實務套用到每個安全領域。採用您在組織和工作負載層級所定義的卓越營運要求和程序,將這些要求和程序套用到所有領域。透過 AWS 和產業建議與威脅情報持續取得最新資訊,可協助您發展威脅模型和控制目標。自動化安全程序、測試和驗證可讓您擴展安全操作。 |
在 AWS 中,建議根據不同的功能和合規或資料敏感性等要求,依帳戶分隔不同的工作負載。
# 身分和存取管理
Identity and Access Management 是資訊安全計畫的關鍵部分,可確保只有經過授權和身分驗證的使用者和元件,才能以您想要的方式存取您的資源。例如,您應定義主體 (即為可在您的帳戶內執行動作的帳戶、使用者、角色和服務),建立與這些主體一致的政策,並實作強勢憑證管理。這些權限管理元素構成身份驗證與授權的核心。
在 AWS 中,權限管理主要由 AWS Identity and Access Management (IAM) 服務支援,它讓您可以控制對 AWS 服務和資源的使用者和程式設計存取。您應該套用精細的政策,將權限分配給使用者、群組、角色或資源。您還可以要求使用強式密碼,例如要求複雜性等級、避免重複使用以及強制執行多重因素認證 (MFA)。您可以將聯合身份驗證與現有目錄服務一起使用。對於要求系統有權存取 AWS 的工作負載,IAM 可以透過角色、執行個體描述檔、聯合身份和臨時登入資料來實現安全存取。
下列問題著重於安全方面的這些考量。
| SEC 2:如何管理人員和機器的身分? |
| --- |
| 處理操作安全的 AWS 工作負載時,您需要管理兩種身分類型。了解您需要管理和授予存取權的身分類型,有助於確保正確的身分在適當的條件下存取正確的資源。 人員身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些人是組織的成員,或與您協作的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。 機器身分:您的服務應用程式、操作工具和工作負載需要身分,才能向 AWS 服務發出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部人員管理機器身分。此外,您可能也有在 AWS 外部,需要存取 AWS 環境的機器。 |
| SEC 3:如何管理人員和機器的許可? |
| --- |
| 管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。 |
登入資料不得在任何使用者或系統之間共用。應使用最低權限的方法以及最佳實務 (包括密碼要求和強制執行 MFA) 來授予使用者存取權限。包括對 AWS 服務的 API 呼叫在內的程式設計存取應使用臨時和有限權限的登入資料 (例如由 AWS Security Token Service 發出的登入資料) 執行。
AWS 提供了可以幫助您進行身份和存取管理的資源。為了幫助您學習最佳實務,請探索我們的實作實驗室, [了解管理登入資料和身份驗證](https://wellarchitectedlabs.com/Security/Quest_Managing_Credentials_and_Authentication/README.html?ref=wellarchitected-wp)、 [控制人為存取](https://wellarchitectedlabs.com/Security/Quest_Control_Human_Access/README.html?ref=wellarchitected-wp)和 [控制程式設計存取](https://wellarchitectedlabs.com/Security/Quest_Control_Programmatic_Access/README.html?ref=wellarchitected-wp)。
# 偵測
您可以使用偵測控制來識別潛在的安全威脅或事故。它們是管控框架的重要組成部分,可用於支援品質流程、法律或合規義務以及用於威脅識別和回應工作。偵測控制有不同的類型。例如,建立資產及其詳細屬性的詳細目錄可促進更有效的決策 (和生命週期控制),以幫助建立營運基準。您還可以使用內部稽核,即檢查與資訊系統相關的控制,以確保實務符合政策和要求,並確保已根據定義的條件設定正確的自動提醒通知。這些控制是重要的反應式因素,可以幫助您的組織識別和了解異常活動的範圍。
在 AWS 中,您可以透過處理日誌、事件和監控來實作偵測控制,以進行稽核、自動分析和警示。CloudTrail 日誌、AWS API 呼叫和 CloudWatch 監控指標並發出警示,AWS Config 提供組態歷程記錄。Amazon GuardDuty 是受管威脅偵測服務,可持續監控惡意或未經授權的行為,協助您保護 AWS 帳戶和工作負載。也提供服務層級日誌。例如,您可以使用 Amazon Simple Storage Service (Amazon S3) 記錄存取請求。
下列問題著重於這些安全方面的考量。
| SEC 4:您如何偵測和調查安全事件? |
| --- |
| 從日誌和指標中擷取並分析事件以掌握情況。針對安全事件和潛在威脅採取行動,有助於保護工作負載。 |
日誌管理對 Well-Architected 工作負載至關重要,原因包括安全/鑑識,以及法規或法律要求等。分析日誌並對其進行回應,以便可以識別潛在的安全事故,這一點至關重要。AWS 提供了讓您能夠定義資料保留生命週期或定義將在何處儲存、存檔或最終刪除資料的功能,從而使日誌管理更易於實作。這使得可預測和可靠的資料處理更加簡單,且更具成本效益。
# 基礎設施保護
基礎設施保護包括符合最佳實務和組織或監管義務所必需的控制方法,例如深度防禦。這些方法的使用對於雲端或內部部署成功持續營運至關重要。
在 AWS 中,您可以透過使用 AWS 原生技術或透過 AWS Marketplace 獲得的合作夥伴產品和服務,來實作有狀態和無狀態封包檢查。您應該使用 Amazon Virtual Private Cloud (Amazon VPC) 建立一個私有、安全且可擴展的環境,您可以在其中定義拓撲,包括閘道、路由表以及公有和私有子網路。
下列問題著重於安全方面的這些考量。
| SEC 5:如何保護您的網路資源? |
| --- |
| 任何具有某種網路連線能力的工作負載,無論是網際網路或私有網路,都需要多層防禦來協助保護其不受外部和內部網路威脅的影響。 |
| SEC 6:您如何保護運算資源? |
| --- |
| 工作負載中的運算資源需有多層防護,協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、AWS Lambda 函數、資料庫服務、IoT 裝置等。 |
不管是何種類型的環境,建議使用多層防禦。就基礎設施保護而言,許多概念和方法在雲端和內部部署均有效。加強邊界保護、監控入口和出口以及全面的記錄、監控和提醒,對於有效的資訊安全計劃均很重要。
AWS 客戶能夠量身訂製或強化 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Container Service (Amazon ECS) 容器或 AWS Elastic Beanstalk 執行個體的組態,並在一個不變的 Amazon Machine Image (AMI) 中持續地長期保留組態。然後,無論是由 Auto Scaling 觸發還是手動啟動,使用此 AMI 啟動的所有新虛擬伺服器 (執行個體) 都將獲得此強化組態。
# 資料保護
在設計任何系統之前,應建立影響安全性的基礎實務。例如,資料分類可基於敏感層級將組織的資料分類,加密則能對未經授權的存取將資料呈現為無法辨識,以保護資料。這些工具和技術之所以重要,因為能支援諸多目的,例如防止財務損失或遵循法規義務。
在 AWS 中,以下實務有助於保護資料:
+ 作為 AWS 客戶,您可完全控管資料。
+ AWS 讓您可以更輕鬆地加密資料和管理金鑰,包括常規的金鑰輪換。這些可以透過 AWS 輕鬆地自動化或由您手動維護。
+ 提供了包含重要內容 (例如檔案存取和變更) 的詳細記錄。
+ AWS 設計的儲存系統具有卓越彈性。例如,Amazon S3 Standard、S3 Standard-IA、S3 One Zone-IA 和 Amazon Glacier 都在給定年份內提供 99.999999999% 的物件耐用性。此耐用性等級相當於 0.000000001% 物件年平均預期損失率。
+ 版本控制可以作為更大的資料生命週期管理過程的一部分,可以防止意外的覆寫、刪除和類似損害。
+ AWS 永遠不會主動移動區域之間的資料。除非您明確啟用相關功能或利用提供相關功能的服務,否則放置在某個區域中的內容將保留在該區域中。
下列問題著重於安全方面的這些考量。
| SEC 7:您如何分類資料? |
| --- |
| 資料分類可讓您根據關鍵性和敏感度將資料分類,協助判定適當的保護和保留控制。 |
| SEC 8:您如何保護靜態資料? |
| --- |
| 實作多個控制來保護您的靜態資料,以降低未經授權的存取或不當處理的風險。 |
| SEC 9:您如何保護傳輸中資料? |
| --- |
| 實作多個控制以保護傳輸中的資料,減少未經授權的存取或遺失的風險。 |
AWS 提供多種加密靜態資料和傳輸中資料的方法。我們將功能內建到我們的服務中,讓您可以更輕鬆地加密資料。例如,我們為 Amazon S3 實作了伺服器端加密 (SSE),讓您可以更輕鬆地以加密形式儲存資料。您還可以安排由 Elastic Load Balancing (ELB) 處理整個 HTTPS 加密和解密過程 (通常稱為 SSL 終止)。
# 事故回應
即使採用了非常成熟的預防和偵測控制,您的組織仍應建立適當的流程,來回應和緩和安全事故的潛在影響。工作負載的架構嚴重影響團隊在事故期間有效執行、隔離或控制系統,以及將營運恢復到已知良好狀態的能力。在發生安全事故之前布置好工具和存取權限,然後在演練日期間例行練習事故回應,將幫助您確保架構可以適應即時調查和復原。
在 AWS 中,以下實務有助於有效地回應事故:
+ 提供了包含重要內容的詳細記錄,例如檔案存取和變更。
+ 可以自動處理事件並觸發工具,以透過使用 AWS API 來自動執行回應。
+ 您可以使用 AWS CloudFormation 預先佈建工具和「潔淨室」。這樣一來,您就可以在安全、隔離的環境中進行鑑識。
下列問題著重於這些安全方面的考量。
| SEC 10:您如何預估、回應事件以及從事件中復原? |
| --- |
| 準備對於及時且有效的調查、回應事件以及從事件中復原至關重要,有助於將對組織的干擾降到最低。 |
確保您有一種方法可以快速授予安全團隊存取權限,並自動隔離執行個體以及為鑑識收集資料和狀態。