博弘雲端在9/15舉行「資安高峰會 – 上雲時代企業必修課」,攜手AWS與Intel專業的講師,帶給觀眾在雲端應用普及的時代,該如何強化雲端帳戶安全的策略。從AWS資安服務全攻略,到架構師教學帳戶安全設定,以及Intel新世代產品能如何實現企業資安防護,透過今天的精彩回顧文,帶您深入了解在上雲時代的企業資安必修課!
AWS雲端資安基礎 共同責任的實踐
資安高峰會的第一場議程,由AWS資深合作夥伴解決方案架構師張瑞德開場。張瑞德提到「雲端安全是AWS的首要工作」。過往將資料部署在地端,作業系統、應用程式、軟體、甚至到客戶資料安全管理全部都需要自行處理,然而若一有疏失,可能會讓資料暴露在危險的環境;採用雲端的話,AWS有共同責任模型(Shared Responsibility Model)來強化企業在雲端使用的安全與合規性。根據不同的服務,AWS與企業客戶所承擔的雲端資安責任也略有不同。從基礎設施服務 (如: Amazon EC2),到全受管服務 (如: Amazon RDS),再到抽象服務 (如: AWS S3),隨著雲端資源客製化部署的程度越低,客戶就承擔更少的安全責任,並享有更多AWS內建的安全最佳實踐。
除了共同責任安全模型外,張瑞德也分享AWS六大安全、身份與合規的解決方案。透過這些雲端安全資源,協助企業檢視雲端帳戶,確保所有環境部署都能符合安全規範,強化資料安全的落實。
- 雲端用戶管理: 藉由AWS IAM 或是 AWS IAM Identify Center (AWS Single Sign On後繼者) 設定不同層級雲端用戶身份及對AWS服務的存取權,並統一管理多個AWS帳戶,以確保符合「最少化使用者權限」的概念。
- 安全稽核: AWS提供多項安全警示整合服務,包括AWS Security Hub,Amazon GuardDuty,及Amazon CloudWatch等,讓雲端用戶能透過這些資安服務提早發現雲端環境中的問題與弱點,降低資安遭洩的可能。
- 基礎設施保護: 利用AWS WAF與Firewall Manager等,提高整體雲端的隱私性與控制權,保障雲端基礎設施內應用程式的安全性。
- 數據資料保護: 隨著越來越多資料儲存在雲端,AWS也提供金鑰管理、儲存與認證管理的服務,簡化與自動化資料保護與安全性的工作。
- 安全事件回應: 當資安問題產生時,藉由Amazon Eventbridge與AWS Elastic Disaster Recovery 將安全事件回應自動化,並提供快速的災難復原方案。
- 合規標準: 在使用AWS雲端前,可以參考 AWS Artifact確保雲端服務滿足地區性監管機構的合規要求。
企業也可參考AWS Well-Architected架構中的安全性支柱 (Security Pillar),逐一檢視所有雲端資源的部署是否符合AWS良好架構的規則 (延伸閱讀: 良好架構從何做起? 博弘雲端助您強化雲端架構安全!)
Intel新世代產品 落實企業的資安防護
接著Intel®的技術專案經理簡志仁針對Intel新一代的產品說明,如何協助企業保護資料安全。過往企業習慣將應用程式的工作負載放置在地端,然而雲端時代的來臨,許多企業開始將資料搬遷上雲,再加上大數據應用的普及,企業需要更多軟硬體做雲端運算與處理。也因為這波浪潮,企業紛紛開始意識到資安防護的重要性與客戶資料的機密性。簡志仁在議程中分享企業如何透過4項資安的趨勢實現資安防護:
- 加密所有資料:無論是企業自身內部的資料抑或是外部的客戶資料,所有的資料都應該被加密。
- 工作負載和資料分開儲存:兩者內容需分開儲存與分別加密。
- 對整個資料流進行加密:企業在進行加密過程時,必須思考到整個資料流、資料鏈的關係。這一連串的流程都必須進行加密的保護,才能夠確實並妥善的保護資料。
- 遵守法規:完整的資安規範讓企業檢視內部所執行的工作負載是否有符合法規,維持雲端系統的安全。
除了4項資安趨勢外,簡志仁從Intel的角度分享在資料儲存、傳送、使用的三個階段,檢視伺服器或資料加密的程度。而這幾個階段的加密技術,都能夠透過Intel® SGX (Intel® Software Guard Extensions)幫助企業提升資料安全與隱私性,讓企業在公有雲或私有雲上能夠安全地運用資料進行相關業務。舉例來說,過往大型綜合醫院若想要整合各分部的病歷資料進行機器學習與人工智慧,是有難度的;再加上病歷資料整合需要高度安全防護,以避免病患隱私遭外洩。因此簡志仁提到,Intel® SGX可以讓資料依然維持在不同的醫院裡,並透過聯盟式的機器學習,讓資料進行集合、集中去做人工智慧訓練,如此一來,不僅可維持數據與知識的產權,更可以避免中毒與盜取之攻擊。
WAF日誌分析架構與帳號資安設定
企業在使用雲端時,最關心的莫過於如何強化AWS帳戶裡頭的資安設定。博弘雲端的技術專案副理黃鈺軒則分享各項資安設定的策略,一步步帶企業檢核雲端帳戶裡頭的資安設定是否都到位。黃鈺軒首先提到常見的防火牆日誌分析(AWS WAF Log),使用者會遇到以下的挑戰,像是在日誌的介面中無法針對各類型的日誌進行細部統計,且資料保留時間僅有三個小時,無法讓雲端用戶回溯前面的資料。因此,從WAF的架構上就必須調整,將防火牆的日誌集中到Amazon S3 物件式儲存空間,並且利用AWS Glue無伺服器整合服務,將儲存的資料送到Amazon Athena進行日誌的查詢,最後再藉由Amazon QuickSight做資料視覺化的呈現。
除了WAF日誌的分析,協助企業了解應用程式防火牆的情形,針對AWS帳號遭盜取事件頻傳,黃鈺軒特別提出了3大建議,協助企業在資安設定上有更多的防護。
- Root帳號啟用MFA:在AWS Management Console設定多重要素驗證(MFA)以保護AWS的帳號,為登入流程增加一層保護。使用者在存取帳戶或應用程式時,需要額外提供身分識別驗證,像是掃描指紋或是輸入透過手機接收的代碼,提高帳號安全性。
- 刪除Root帳號金鑰:如需使用AWS資源或AWS API,必須利用金鑰以「指令」或是「程式」方式進行。建議不要設定與Root 帳號相關聯的金鑰,因為Root 帳號的金鑰為最高權限,無法進行任何調整。使用者可以創建一個IAM User並授予該用戶最小權限,進而利用該IAM User來訪問金鑰。
- IAM設定保護:在建立IAM政策時,使用者要遵循「授予最低權限的安全建議」,或者只授予執行任務所需的許可,並以最小的許可開始,依照需求擴增授予額外的許可。如此一來,就能確保帳戶不會因授予過多權限而導致雲端資源遭濫用。
透過這篇精彩的議程回顧文章,讓企業了解雲端帳戶的安全,除了靠雲端服務供應商對資料安全與隱私權的保護,以及基礎設施高規格的維護之外,企業在雲端帳戶的使用也必須同步檢視資安設定,才能達到最佳防護效果。博弘雲端擁有專業的團隊提供架構健檢與資安強化的服務,替您檢視雲端架構的安全性和合規性,確保企業能安全無虞的使用雲端!
