前言
資安議題是近年來多數企業在數位轉型時面臨的其中一項巨大的挑戰,對企業來說,任何一個的資安漏洞都可能對企業營運帶來災難,隨著資安攻擊手法漸趨多元,企業遭受資安攻擊的事件層出不窮,根據外國機構 CyberEdge Group 統計報告,遭受資安攻擊的企業數量逐步在增長。
2021 年有高達 86.2% 的受訪組織受到資安攻擊 (圖片源自CyberEdge Group 2021 統計報告)。
此外,麥肯錫於 2022 年發布的資安趨勢報告指出,企業在資安面的資本支出也有逐年上升的趨勢,顯示對資安的重視程度越來越高,同時越來越多企業在數位轉型的過程選擇將服務放上雲端,並將內部資料往雲端遷移,除了能節省成本、提高業務彈性外,還能重新配置部署,故雲端上的資安也成為了企業重視的一環。
(圖片源自麥肯錫於 2022 資安趨勢報告)
雲端平台逐漸普及,將服務搬往雲端已成為科技發展趨勢,企業服務規模隨著時間演進逐漸變大,雲端架構也會變得更加複雜,複雜的部屬環境讓雲端資訊安全顯得更為重要,從網路、基礎建設到組織管理,需要層層把關才能有效降低遭受攻擊造成的影響。
作為公有雲市場上第一大市佔的亞馬遜雲端服務 – AWS,在資安方面除了極力維護其服務的基礎架構外,也考量到各地的法令規範,擬定出一套安全策略來滿足用戶需求。
AWS 資訊安全策略與資安合規
AWS 為強化雲端基礎建設與各項服務的安全性,設計之初便採取冗余(Redundancy)、高可用性(High Availability) 等方式來確保服務穩定性,同時對服務進行持續監控、日誌紀錄與異常檢測等,讓系統維持在高度安全的水平。
(圖片取自 AWS Summit 2021 簡報)
AWS 安全策略範圍涵蓋身份驗證、保護、異常監測、威脅修復及回應,同時整合資安工具,可自動執行安全任務,減少人為配置錯誤,達到全面性的安全服務。
隨著全球監管單位對資安合規要求日益複雜,為滿足幾乎全球所有監管單位的合規要求,AWS 與外部認證機構和獨立稽核員密切合作,提供客戶合規報告,並定期對全球數千個合規性要求進行第三方驗證。
您可以在 AWS Artifact 上隨需存取 AWS 合規報告,用於評估和驗證目前使用的 AWS 基礎建設和服務的安全性和合規性,如:AWS ISO 認證、支付卡產業 (PCI) 及系統與組織控制 (SOC) 報告,此外,合規報告也可供企業稽核,做為 AWS 安全控制的證明。
AWS 共同責任模型
用戶在使用 AWS 服務或將其 IT 基礎架構遷移至 AWS 時,用戶與 AWS 之間會建立一套 「共同責任模型」,而資安領域的雲端安全服務,即是以此模型為基礎所發展,故在使用 AWS 服務之前,須先了解什麼是 共同責任模型(Shared Responsibility Model)。
責任模型概念類似 「使用者與AWS共同合作」,一同打造安全的雲端應用程式環境,同時有助於釐清 AWS 與用戶之間的責任範圍,這也代表「服務供應商和用戶需要共同對雲端安全負責」,在此模型下,用戶能了解不同服務所需負擔的責任各有不同,可根據自身情況(如: 企業內控政策及當地法規)選擇合適的服務。
通常主要以**「雲端本體」及「雲端內部」**來區分 AWS 與用戶間的責任範圍,大致如下:
**「雲端本體」**安全性由 AWS 負責,如:
- 資料中心與其外圍網路的基礎架構
- 故障轉移,AWS 有多個可用區域(Availability Zones),若某個區域的服務壞了可轉移至其他區域
- 運算及儲存的基礎設施,如:虛擬主機、資料庫
**「雲端內部」**安全性由用戶負責,如:
- 存取權及身份控管: 透過 AWS IAM 這項服務來達成存取權控制以及授權使用者身份,如:某項服務只有被授權的使用者帳號才可使用,或是管理擁有服務存取權的金鑰。
- AWS 虛擬主機上的網路設定 防火牆是否有做規則限制而非直接全部對外公開
- 應用程式及作業系統: 是否有安裝修補程式並定期更新版本
- 資料儲存安全: 用戶存在雲服務裡的資料是否採用加密的選項
以上列舉了幾個責任模型常見的分類案例,其中有些類別會需要 AWS 與用戶共同控制,如:
- 組態管理: AWS 維護其基礎架構的組態設定,用戶則是負責自己的應用程式設定
- 程式修補:AWS 負責基礎架構的漏洞修補,用戶需負責雲端應用程式的修補
實際上,用戶的責任範圍仍因許多因素而異,其中包含選擇的 AWS 服務和區域,以及其組織適用的法規,而責任模型的核心概念,簡言之就是:
「AWS 負責維護雲端基礎架構,而用戶負責雲服務中所有內容的安全性。」
前面提到 AWS 擬定的資安策略,對責任模型也有初步概念後,接著帶您了解 AWS 推出「Trusted Advisors」 這項服務,提供 AWS 最佳實踐的指南,幫助用戶最佳化資源利用和安全性。
AWS Trusted Advisor
(圖片為 AWS Trusted Advisor 流程圖,取自 AWS 官網)
AWS Trusted Advisor 協助用戶檢查及分析帳戶中的資源使用狀態,並確認這些資源是否符合最佳實踐,近一步提供建議,涵蓋以下五種類別:
- 成本最佳化 (Cost Optimization): 分析資源用量、支出費用,如: 使用率低的 EC2 機器、閒置的負載平衡器、提供 RI & Saving Plan 等成本較低的合適方案。
- 效能 (Performance): 根據資源使用狀況進行分析,提供較佳的方案改善服務效能,如:CloudFront CDN 優化策略、EC2 與 EBS 吞吐量的優化。
- 安全性 (Security): 透過基本安全的最佳實踐,改善當前 AWS 環境的安全性,如:RDS 資料庫防火牆是否直接對外公開沒有設限制規則、S3 存取的資料是否外洩。
- 容錯能力 (Fault Tolerance): 透過自動擴展、運作狀態檢查、異地同步備份以及備份等方式,提高服務的可用性及備援性,如:檢查 EBS 磁碟是否有做快照 (Snapshot) 備份。
- 服務限制 (Service Limit): 建立資源數量上限,避免付出不必要的成本,如: 設定服務使用量超過 80%,Trusted Advisor 會通知並提供您刪除或增加資源的建議。
一般免費帳號屬於 Basic 的技術支援方案,僅提供六個核心項目的檢核,可於官方提供的文件查到,若要更完整的檢查功能需升級為商業 (Business) 或企業 (Enterprise) 級的技術支援方案。
只要進入 AWS 主控台搜尋 Trusted Advisor,就可以看到下圖的儀表板:
Trusted Advisor 於每個類別有對影響程度做分級,綠燈表一切正常,黃燈則是建議更改、紅燈為必須立即更改。 另外,Trusted Advisor 可與 CloudWatch Events 做整合,達到自動化的目的,在 EventBridge 設定規則,檢查 Trusted Advisor 狀態變更,根據狀態變更發送通知到團隊日常使用的通訊管道(e.g. Slack)。
透過 AWS Trusted Advisors 工具,能協助用戶快速地掌握資源運作的狀況,根據最佳實踐的指引,讓用戶在 AWS 上做資源最佳化,同時也能評估當前採用的方式是否達到有效的安全性。
AWS 常見的資安實踐案例
最後想分享一些在 AWS 上常見的共同責任模型套用在 AWS 服務的案例及資安實踐方式。
1. Elastic Compute Cloud (簡稱: EC2)
EC2 是 AWS 提供的資源運算服務,可讓您根據自身需求建立相應規格的虛擬機。
AWS 負責維護機器的基礎架構,如:
- 運算環境:可安裝所需的作業系統、應用程式等
- 機器硬碟: 儲存資料
- 網路:提供流量傳輸
用戶需負責機器內部資料及相關安全設定,如:
- 平台管理:管理應用程式的安全性,同時檢查應用程式是否有定期更新,修補安全漏洞
- 資料存放:用戶需採用加密的選項,對資料做加密
- 網路規則:設置防火牆規則限制,不任意讓外部存取
- 存取權限:透過 IAM 這項服務依用途限制帳號的存取權限
2. Simple Storage Service (簡稱: S3)
S3 是 AWS 提供的物件儲存服務,可用於保存靜態檔案(e.g. 圖片、文字檔等)。
AWS 負責:
- 確保 S3 上資料儲存服務穩定運作
- 確保 S3 上資料傳輸的穩定性
用戶負責:
- 管理存放於 S3 的資料,包含是否採用加密
- 設置 S3 資料的訪問權限
一般來說,用戶在使用 AWS 服務時,有幾個值得關注且容易被忽略的安全性問題:
- 遵循最小權限原則: 權限控管上建議建立的帳號只需執行其業務流程所需的最小權限即可,避免授予未使用的權限。
- 限制網路規則:重要的服務要避免直接對外公開,如:服務設定只允許組織內部的網路才能訪問。
- 資料加密:AWS 的資料儲存服務幾乎都有提供加密的選項,將重要資料進行加密。
總結
前面幾個小節談到資安是企業面臨數位轉型時必須面對的課題,而將服務上雲已經是現代趨勢,雲端安全顯得更為重要,AWS 不僅提供具公信力的合規驗證、訂定有效的安全策略,亦整合自動化工具來檢驗服務本身的安全性,建構多層次防護網,必能替用戶在雲端資安上嚴格把關,引入責任模型的概念,與用戶一同打造安全的雲端應用程式環境。
參考來源:
- AWS Shared Responsibility Model
- AWS Trusted Advisor
- AWS 資安白皮書
- Best Practices for Security, Identity, & Compliance
