跳至主要內容

什麼是雲端基礎結構安全?

建立 AWS 帳戶

頁面主題

什麼是雲端基礎結構安全?

雲端基礎結構安全是指旨在增強底層雲端基礎結構安全狀況的技術、控制措施與政策。憑藉強大的雲端基礎結構安全服務,能夠抵禦 DDoS 攻擊、資料遺失,以及設定錯誤等威脅,這些威脅可能會造成非預期安全事件。雲端基礎結構安全是雲端安全的核心元件。

共同責任模型與雲端基礎結構安全有何關聯?

共同責任模型是一個系統,確定雲端服務提供者與使用者之間誰來負責具體的網路安全措施。責任可能由使用者、雲端服務提供者,或雙方共同承擔。

下面列出了共同責任模型中各方的主要責任。

雲端服務提供者的責任

雲端服務提供者負責保護執行其雲端服務的實體基礎結構。硬體、軟體、聯網,以及與服務連接的任何設施皆為雲端服務提供者的責任。

使用者的責任

在共同責任模型中,使用者的責任取決於所選雲端服務。各項因素加在一起,決定了使用者做為安全職責組成部分必須執行的設定工作量。使用者負責管理其資料 (包括加密選項)、對其資產分類,以及使用 Identity and Access Management (IAM) 工具來運用適當許可等任務。

共同責任

同時適用於服務提供者的基礎結構層和客戶層,但內容或觀點不同的某些控制措施。若採用共同責任模型,雲端服務提供者負責滿足基礎結構要求,客戶則負責在其使用雲端服務的過程中實作控制措施。控制項範例包括組態管理、意識提升與培訓。

確保雲端基礎結構安全有哪些優勢?

雲端基礎結構為所有雲端服務構建了基礎,因此其安全性對雲端所有工作負載都不可或缺。

下面列出了雲端基礎結構安全性對企業至關重要的多種原因。

有助於阻止雲端環境中未經授權的存取

威脅執行者將目標鎖定在雲端環境,因為雲端環境包含大量資料。雲端基礎結構中的設定錯誤、控制薄弱或潛在漏洞,可能會為未經授權的第三方團體提供進入點。雲端基礎結構安全措施應能確認及控制這些進入點,從而助力確保公司資料的安全,以及促進資料保密性。

減少對業務持續性的干擾

分散式阻斷服務 (DDoS) 事件等特定的網路威脅企圖降低組織按預期運作的能力。藉助網路區隔等雲端基礎結構安全措施,可協助主動抵禦內外部威脅,並且有助於確保業務營運保持較高的運行時間。

確保信任

組織捲入網路安全事件時,特別是與存放於雲端的客戶資料相關,可能會導致聲譽受損。確保雲端基礎結構安全,能夠更好地保護在雲端執行的虛擬化服務,從而有助於確保敏感的公司資料保持私密。

雲端基礎結構安全有哪些主要元件?

通常情況下,雲端基礎結構安全解決方案本身亦是雲端原生解決方案。

下面列出了雲端基礎結構安全的主要元件。

身分與存取管理

組織在雲端託管敏感資料與資訊,以及協助確保授權使用者能夠存取這些雲端資源。Identity and Access Management (IAM) 定義了哪些使用者角色可與資料互動或查找資料。除了許可系統,IAM 還可藉助多重要素驗證來驗證雲端帳戶的擁有權,從而協助阻止未經授權的使用者。

日誌記錄與遙測

日誌記錄與遙測服務旨在對雲端系統中的特定操作與事件進行文件記錄。藉由對存取事件、資訊流動,以及網路安全操作進行細緻的日誌記錄,組織可進一步對其雲端基礎結構進行深入解析。關鍵系統發出的運作遙測資料可形成資訊軌跡,在稽核時通常會用到。

分析

分析解決方案可利用運作遙測資料,以及現有的日誌資料,來確定需要進一步調查的不一致情況、異常狀況或非預期事件。安全資訊與事件管理 (SIEM) 等分析系統則可彙整資料點,以便發出可能的安全事件提醒,以及追蹤這些安全事件,並協助確保雲端基礎結構安全監控系統按預期運作。

網路與裝置安全

員工可透過各種不同的位置與裝置,來存取雲端環境及其中存放的雲端資源。為了加強此廣大區域免遭潛在威脅影響,您可部署一系列解決方案。這些解決方案包括網路與裝置安全服務,用於控制入站與出站流量,篩選惡意流量,以及進行工作負載隔離,以便協助確保對網路進行分隔。

資料加密

資料安全是指保障所有資料 (傳輸中資料和靜態資料) 免遭未經授權存取的整體程序。雲端基礎結構安全服務可利用資料分類政策,依據其敏感度進行標記,以及運用各種安全實務來為資料提供安全保障。您可同時對靜態資料與傳輸中資料進行加密,以協助確保僅授權方才能存取敏感資料。此外,資料安全還包括制定及實作資料遺失預防策略,以便增強資訊安全性。

針對雲端基礎結構可實施哪些安全最佳實務?

下面列出了一些增強雲端安全策略,以及助力保障底層雲端運算基礎結構的最佳實務。

建立網路層

建立網路層包括依據其工作負載元件的功能及敏感度,將其整理為邏輯群組,例如,面向網際網路的 Web 伺服器或後端資料庫。藉由將這些元件置於單獨的子網路,有助於建立清晰的界限,以及創造機會來協助控制其間的流量。

這種分層方法可支援縱深防禦策略,其中每一層皆為安全檢查點。舉例來說,僅最外層資源才應暴露在網際網路上,而資料庫等更敏感的系統會保持隔離,僅可透過內部網路存取。

藉助虛擬私有雲與私有雲端基礎結構,可在雲端建立邏輯隔離的網路與基礎結構。制定可定義雲端網路與使用情況的持續一致、安全的策略,可協助建立一個安全的雲端環境。

控制流量

控制流量可能涉及將您的環境進行分段,以便只允許工作負載、使用者與外部系統間進行必要的通訊。這種流量控制包括管理您的網路與網路間的流量 (南北向流量),以及您的網路與網際網路間的流量 (東西向流量)。

常見的錯誤包括僅依賴於周界防禦,或者假設網路層內部信任。而最佳實務是強調最低權限方法,即使用者與雲端資產 (包括雲端伺服器) 間以點對點的方式授予存取權。透過這種方式來控制入站與出站流量,可協助控制未經授權存取的影響,以及提高安全事件的偵測與回應速度。

實作基於檢查的防護措施

實作基於檢查的防護措施是指在網路層之間,以精細層級檢查流量。舉例來說,分析傳輸中的資料的實際內容、中繼資料,以及行為。藉助基於檢查的防護措施,您可疑依據即時威脅智慧,來偵測異常狀況或可能出現的未經授權存取。您能夠依據應用程式內容、使用者身分,或是已知威脅來建立規則,以及對敏感工作負載採取更嚴格的措施。

自動執行網路防護措施

憑藉基礎結構即程式碼 (IaC) 與 CI/CD 管道等 DevOps 實務,可自動執行網路防護錯誤,有助於組織部署更安全、持續一致,以及可重複的網路組態。發生變更時,自動化管道可啟動測試與部署工作流程。首先將變更部署到測試環境進行驗證,以便在正式​​上線前測試是否如預期運作。

AWS Well-Architected Framework

AWS Well-Architected Framework 提供了全套最佳實務與雲端安全設計實務,有助於為 AWS 工作負載提供保護。該架構的安全支柱提供了規範性指引,說明了如何藉助強大、分層的雲端安全與主動保障措施,更好地為您的系統、資料與資訊提供保護。

藉由定期審查 Well-Architected 指南,組織可改善其雲端安全狀況,從而有助於確保高效地實施雲端基礎結構安全策略。

AWS 如何協助滿足您的雲端基礎結構安全要求?

雲端安全是 AWS 的首要考量,並且我們的全球基礎結構設計支援持續營運。我們藉由提供必要的工具與服務,助力大規模地保護應用程式、資料和工作負載,來維護與客戶及合作夥伴間的信任。AWS 基礎結構跨越多個地理區域與可用區域,皆採用多層實體與邏輯控制進行設計。這些安全措施依據其整個生命週期內的持續性威脅建模與嚴格的測試制定。

AWS 提供各種雲端基礎結構安全服務,有助於保障您在 AWS 上的組織基礎結構安全。

  • Amazon GuardDuty 藉助智慧威脅偵測,有助於為您的 AWS 使用者帳戶、工作負載與資料提供保護。
  • AWS Identity and Access Management (IAM) 安全地管理和擴展工作負載和人力存取,進而支援您在 AWS 中的敏捷性和創新。
  • Amazon Inspector 能自動發現 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器映像及 AWS Lambda 函式、以及程式碼儲存庫等工作負載,並且加以掃描以得知軟體弱點及非預期網路暴露。
  • Amazon Macie 使用機器學習和模式比對來探索敏感資料,提供對資料安全風險的可見性,並針對這些風險啟用自動化保護機制。
  • AWS Security Hub 優先處理關鍵安全問題,並協助大規模回應以保護環境。藉由關聯訊號並充實內容,將其轉化為可行動的洞察,以偵測關鍵問題並簡化回應流程。AWS Security Hub 包括雲端安全狀況管理 (CSPM),可協助您了解目前的安全狀況。

即刻建立一個免費帳戶,開始在 AWS 上使用雲端基礎結構安全服務。