資安管理成為 IT 人員每天必面臨的課題
企業遭駭、勒索軟體綁架、應用服務漏洞,這些資安事件發生的頻率逐年增長,企業 IT 人員每天都必須謹慎監控自家 IT 環境是否已經成為攻擊的目標。
過去對資安防護的方法是找一間知名網路安全品牌,逐漸導入相關解決方案,但雲端資安思維採單一登入、身分驗證、權限控管與一致的管理政策,改變過去對於資安防護的模式,資安及合規受到相關國際大廠的認證,使客戶雲端環境降低遭受駭客和惡意程式攻擊的風險。本期我們將著墨於AWS資安防護如何為客戶進行全面性的把關。
1. IAM (Identity Access Management)
IAM 的設置是資安基本功,他不僅能做到人員權限管理,更可以控制服務之間的存取權限。IAM 的最佳實踐又分為身分管理及許可管理:
身份管理
身份管理又分為人員身份以及服務身份,人員身份指的是使用者必須先取得 AWS 服務使用的權限才能存取其雲端環境;服務身份指的是服務需取得權限才能向 AWS 發出請求才能讀取資料,這包含 AWS 的服務,例如 EC2 執行個體或 AWS Lambda。
在提供身分時,您可以使用 AWS SSO 與 Organization 整合或是結合 AD 目錄,透過中央身分供應商進行身分驗證。若您的行動應用程式有驗證身分的需求有可以使用 Cognito,進行驗證、授權及使用者管理,使用者可透過帳號及密碼登入,或透過第三方 (例如 Apple、Facebook 或 Google) 登入。
在設定帳號時應該強制設定密碼長度限制,並透過軟體或是硬體強制使用 MFA 以提供額外的驗證保護。在設定帳號時,應該需要求使用者定期輪換密碼及監控使用者 MFA 的設定。
許可管理
許可管理指的是在哪些條件下,哪些用戶或者 AWS 服務能夠存取哪些服務。您可以使用 Organization 替帳號進行分組,並進一步開啟 Service Control Policy 來限制帳號的存取權。
企業在發展新的應用服務前期,您可以設定大量的服務存取權限給您的團隊,不過,您應該要隨時評估,並減少到最小存取權。若想要定期驗證資源政策、公有及跨帳戶存取結果可透過 IAM Access Analyzer 透過邏輯推論來驗證及辨識帳戶外存取路徑。
2. 偵測 (Detection)
偵測能夠讓您辨識出配置錯誤、未知威脅,以確保符合資安規定,偵測的機制是根據您所定義的條件進行調查,企業可根據此調查結果做進一步的防護及調整,AWS 中的偵測機制分為設定及調查:
設定
在設定雲端環境時,您應該要建置一套偵測機制來記錄帳戶及服務的各種動作,您能透過以下服務進行:
- AWS Cloud Trail:使您能夠記錄、持續監控和保留整個 AWS 基礎架構中的 API 調用相關的事件。
- AWS Guard Duty:威脅檢測服務,可持續監視惡意或未經授權的行為以幫助您保護 AWS 帳戶和工作負載。 它可監視活動,例如異常的 API 調用或潛在地未經授權部署。
- AWS Config:用於審核和評估 AWS 資源的配置。AWS Config 持續監控和記錄您的 AWS 資源配置,並允許您根據所需配置自動評估記錄。
- AWS Security Hub:能夠彙整多種 AWS 服務,提供安全狀態及合規的全面檢視。
調查
在平時就必須要擬定可採取的調查步驟,並製作成一套處理程序,甚至是設定自動化回應事件,透過 AWS Config 偵測組態變更,並進一步了解事件,以強制回復正常狀態。
3. 基礎設備保護(Infra Protection)
基礎架構保護是整體 AWS 資安防護裡面最重要的一部分,它能保護運行在 AWS 上的應用程式服務能受到完善的保護,在基礎架構中又分為網路保戶及運算保護:
網路保護
架構師或企業 IT 人員在 AWS 執行基礎建設時,就應該將不需對外連網的服務,如 RDS 資料庫,建置於 Private subnet 裡面,避免連網之後資料外洩的疑慮。
您應該在 EC2、RDS 或是其他在 VPC 內啟用的服務建置時,就要設定 Security Group,它能幫助您控管流量傳入/傳出的規則,您也可以設定服務之間 Security Group 的關係,以限制服務之間的存取權限。子網路也可以連接 NACL(Network Access Control list)並設定允許流入及流出的規則。
在基礎架構的防護上,AWS 預設啟用 DDoS 防禦 AWS Shield 服務,可協助阻擋第三、四層攻擊,在服務前端加入 WAF 可幫助阻擋第七層的常見攻擊。
保護運算
您可以透過 Inspector 找出現在已知的漏洞,並通知 IT 人員以追蹤錯誤項目並進行修補。為了避免人為錯誤,您可以使用 System Manager 來管理 EC2 Instance 而不是直接存取,並自動化服務及佈署工作。
在建立雲端架構時,您可以考慮使用全代管、無伺服器的服務,以減少維護底層的麻煩,這也就代表 IT 人員有更多的心力在強化服務在資安層面的表現。
4. 資料保護(Data Protection)
在 AWS 中資料保護分為資料分類、靜態資料保護及傳輸中資料保護:
資料分類
企業應該要能辨識資料的類型、是否符合合規需求以及是否包含個人辨識資訊(PII),根據不同的敏感程度,企業應進行不同級別的保護,以及設定不同的存取權限,若想自動化辨識是否包含客戶敏感資料,可透過 Amazon Macie 使用機器學習自動找出、分類及保護機密資料,進而減少人為錯誤。企業可根據IAM Policy、組織 SCP、AWS KMS 和 AWS CloudHSM 將 AWS 帳戶做出分隔,並定義資料分類和加密保護的原則。
靜態資料保護
透過金鑰的儲存、定期輪換協助您將靜態資料加密,金鑰可儲存於 AWS KMS 或是硬體加密的 CloudHSM,讓使用者能輕鬆產生並使用加密金鑰。您也可以設定資料須強制靜態加密,例如:您可以在 S3 上面預設資料加密或是設定為加密的資料不能上傳至 S3 上以確保資料是處於安全的狀態。您更可以使用自動化工具持續強化資料保護,透過 Config 去驗證 EBS 是否加密或是透過 Security Hub 自動化檢驗多個資安來源是否符合安全標準。
傳輸資料保護
可透過 AWS Certificate Manager 去建立、管理公/私有連線 TLS 憑證,並與其他服務結合,如:ALB、CloudFront 確保在連線傳輸時處於加密狀態。您還可以使用 VPC Flow Logs 搭配 EventBridge 一起使用去檢視以及偵測網路異常流量。
5. 事件回應(Incident Response)
就算企業雲端架構已經嚴格實踐前面四大面向,企業還是應該要訂定一套事件回應的機制以防範未然。在平時就應該要對相關人員進行教育、執行定期資安演練,並在資安事件發生之前就準備好相關操作手冊、設定處理權限及解決工具,最小化復原至正常狀態的時間。完成以上準備後,下一步應設定服務的自動化告警及處理,以事件驅動回應,減少人為錯誤以及反應時間,及時解決問題。
次世代雲端代管與資安
資安應該是企業內部每個人從建構雲端架構開始就應徹底實踐的必要條件,唯有落實以上各個五大面向,才能完善資安防護。
資安防護 AWS MSP 次世代代管服務供應商提供可擴展雲端安全和身分界限的逐步程序,同時提供有助於符合多種合規計劃要求 (HIPAA、HITRUST、GDPR、SOC、NIST、ISO、PCI、FedRAMP) 的各項功能。此程序包含 Active Directory 整合、安全採用和客戶控制映像等關鍵任務。我們嚴密地控制可協助強制執行公司和安全基礎設施政策,同時讓您使用偏好的開發方法來開發解決方案和應用程式。
博弘雲端 Nextlink 快訊
- 活動快報:30 秒洞察數據趨勢 | AWS 助攻上億商機
- 好文分享:雲端資安面面觀 Part 1:AWS 如何提升資安防護(閱讀更多)
- 架構師專欄:如何使用 Lambda 來自動啟動或停止 EC2 實例(閱讀更多)
