V52 介紹了資安五大面向的 IAM 以及基礎設備保護,為了要進行更進階的資安防護,本篇將會探討偵測、資料保護、事件回應,以及次世代代管服務如何協助客戶達到資安及風險控管,讓您的雲端環境達到更安全的狀態。
1. 偵測(Detection)
偵測能夠讓您辨識出配置錯誤、未知威脅,以確保符合資安規定,偵測的機制是根據您所定義的條件進行調查,企業可根據此調查結果做進一步的防護及調整,AWS 中的偵測機制分為設定及調查:
設定
在設定雲端環境時,應該要建置一套偵測機制來記錄帳戶及服務的各種動作,您能透過以下服務進行:
AWS Cloud Trail:使您能夠記錄、持續監控和保留整個 AWS 基礎架構中的 API 調用相關的事件。
AWS Guard Duty:威脅檢測服務,可持續監視惡意或未經授權的行為以幫助您保護 AWS 帳戶和工作負載。 它可監視活動,例如異常的 API 調用或潛在的未經授權部署。
AWS Config:用於審核和評估 AWS 資源的配置。AWS Config 持續監控和記錄您的 AWS 資源配置,並允許您根據所需配置自動評估記錄。
AWS Security Hub:能夠彙整多種 AWS 服務,提供安全狀態及合規的全面檢視。
調查
平時就必須要擬定可採取的調查步驟,並製作成一套處理程序,甚至是設定自動化回應事件,透過 AWS Config 偵測組態變更並進一步了解事件,以強制回復正常狀態。
2. 資料保護(Data Protection)
在 AWS 中資料保護分為資料分類、靜態資料保護及傳輸中資料保護:
資料分類
企業應該要能辨識資料的類型、是否符合合規需求以及是否包含個人辨識資訊(PII),根據不同的敏感程度,企業應進行不同級別的保護以及設定不同的存取權限,若想自動化辨識是否包含客戶敏感資料,可透過 Amazon Macie 使用機器學習自動找出、分類及保護機密資料,進而減少人為錯誤。企業可根據 IAM Policy、組織 SCP、AWS KMS 和 AWS CloudHSM 將 AWS 帳戶做出分隔,並定義資料分類和加密保護的原則。
靜態資料保護
透過金鑰的儲存、定期輪換協助您將靜態資料加密,金鑰可儲存於 AWS KMS 或是硬體加密的 CloudHSM,讓使用者能輕鬆產生並使用加密金鑰。您也可以設定資料須強制靜態加密,例如:您可以在 S3 上面預設資料加密,或是設定為加密的資料不能上傳至 S3,以確保資料是處於安全的狀態。您更可以使用自動化工具持續強化資料保護,透過 Config 驗證 EBS 是否加密,或是透過 Security Hub 自動化檢驗多個資安來源是否符合安全標準。
傳輸資料保護
可透過 AWS Certificate Manager 去建立、管理公/私有連線 TLS 憑證,並與其他服務結合,如:ALB、CloudFront確保在連線傳輸時處於加密狀態。您還可以使用 VPC Flow Logs 搭配 EventBridge 一起使用去檢視以及偵測網路異常流量。
3. 事件回應 (Incident Response)
即使企業雲端架構已嚴格實踐前面四大面向,企業應訂定一套事件回應的機制防範未然。平時即須對相關人員進行教育訓練、執行定期資安演練,並在資安事件發生之前即備妥操作手冊、設定處理權限及解決工具,最小化復原至正常狀態的時間。完成以上準備後,下一步應設定服務的自動化告警及處理,以事件驅動回應,減少人為錯誤以及反應的時間,及時解決問題。
次世代雲端代管與資安風險控管
企業內每位成員應從建構雲端架構開始,就必須徹底實踐資安,唯有落實以上各五大面向才能具備完善且強大的安全防護,為企業控管風險成本。
博弘雲端 AWS MSP 次世代代管服務供應商提供可擴展雲端安全和身分界限的逐步程序,同時提供有助於符合多種合規計劃要求 (HIPAA、HITRUST、GDPR、SOC、NIST、ISO、PCI、FedRAMP) 的功能。此程序包含 Active Directory 整合、安全採用和客戶控制映像等關鍵任務。在博弘嚴密的代管服務監控下,可協助強制執行公司和安全基礎設施政策,同時讓您使用偏好的方法來開發解決方案和應用程式。
博弘雲端 Nextlink 快訊
- 好文分享:Vol.52|美國政府也愛用!資安五大面向,你做到了嗎?-基礎篇(閱讀更多)
- 好文分享:DDoS退散!掌握關鍵五大面向,助企業捍衛資安(閱讀更多)
- 架構師專欄:如何排除不小心停用了EC2實例執行中Windows的網卡問題?(閱讀更多)