跳至主要內容

什麼是網路安全解決方案?

建立 AWS 帳戶

頁面主題

什麼是網路安全解決方案?

藉助網路安全解決方案,組織能夠確認、保護、偵測、回應、復原,以及管控網路安全事件。單一功能解決方案則針對特定網路領域中的特定問題。統一解決方案將各種工具結合起來,提供了一體化的概觀及回應中心。在 AWS 雲端實作最佳實務網路安全解決方案,有助於組織保持運作狀態良好的安全狀況。

網路安全解決方案如何為組織提供協助?

藉助網路安全解決方案,組織能夠更安全地營運,並且在發生事件時更有信心應對。這些解決方案能夠更深入地了解內外部威脅。現代化的網路安全解決方案透過持續改善,來應對當今網路安全面臨的挑戰。

每個組織各有其獨特的環境,這意味著網路安全解決方案沒有一成不變的模式。舉例來說,金融機構與政府機構必須遵循明確的合規法規。這些合規法規可能要求特定的網路安全解決方案、控制措施,或者架構。

關鍵網路安全領域有哪些?

保護資產及最大限度地降低事件對業務的影響,這是網路安全計畫的主要目標。如需了解如何處理這些程序的方法,首先必須確定組織資產與領域。

在企業內部,需要採用網路安全解決方案的資產與領域包括:

  • 資料
  • 基礎結構與基礎結構即服務 (IaaS)
  • 運用
  • Networks
  • 端點
  • 工作負載 (包括 AI 模型)
  • 軟體供應鏈
  • 使用者與管理員
  • 管控、風險及合規要求

什麼是網路安全解決方案策略?

組織可依據現代化最佳實務網路安全策略與架構,選擇其網路安全解決方案集。數位領域不斷變化與發展,網路安全威脅亦在不斷演變。同樣,這意味著組織對待網路安全的方式必須發展與變化。

舉例來說,網路安全的確認、保護、偵測、回應、復原及管控階段,均依據美國國家標準與技術研究院 (NIST) 網路安全框架。

下面所述策略有助於組織制定全方位的網路安全實務方法。

分層安全策略

之前,組織採用以網路安全為中心的方法,來為資產與網域提供保護。這種方法包括利用防火牆與閘道、周界區域、密碼防護及虛擬私有網路 (VPN) 連線等終端安全解決方案,來為網路周界提供安全保障。組織私有網路的界限則透過分層方法來進行保護,這種方法稱為縱深防禦。

然而,這種以網路安全為中心的方法有其限制。這種方法無法解決現代化組織環境中存在的威脅。隨著現代、分散、混合,以及基於遠端存取的系統發展,固定的內部專用網路已不復存在。除端點安全之外,網路周界更為複雜。雲端環境則讓這種方法變的複雜度進一步增加。

雖然分層防禦仍是網路安全計畫不可或缺的組成部分,但全新的策略範式可應對現代網路安全問題。

零信任架構

零信任架構 (ZTA) 假定網路上的每個裝置、應用程式、服務、連線,以及使用者預設都不應受到信任。取而代之的是,零信任要求在完成操作之前,進行持續的身分驗證與授權。

零信任架構著重在系統存取的各個階段,進行身分驗證與授權,讓存取成為新的安全周界。這種以身分為先的策略,意味著企業的界限延伸至全部資產、網路及裝置。

主要技術與策略

  • 多重驗證
  • 嚴格的身分及存取管理解決方案
  • 基於政策與基於角色的解決方案
  • 用於確認及預測可疑活動的存取模式遙測資料
  • 資源及資產分類
  • 網路微區隔及網路存取控制
  • 裝置安全
  • 加密全部資產與網路

假設遭入侵

假設遭入侵策略採取的方法是,認為內部環境已經遭受入侵。基於採取假設遭入侵策略,組織能夠實作解決方案,在問題對業務造成影響之前確認及解決問題。

藉由重點關注假定的安全漏洞,組織可以把大量精力集中在事件發生期間及之後的安全程序。

主要技術與策略

  • 自動化事件回應程序於手冊
  • 復原時間目標等關鍵服務的業務持續性
  • 備份與復原
  • 網路、應用程式與工作負載監控系統
  • 諸如端點偵測與回應 (EDR)、入侵防禦系統 (IPS),以及安全資訊與事件管理 (SIEM) 等工具
  • 事件通訊及管理策略
  • 網路微區隔

在選擇網路安全解決方案時,組織應考慮哪些因素?

AWS、合作夥伴及第三方提供了非常廣泛的網路安全解決方案。網路安全計畫以目前的網路安全策略、全方位的風險管理計畫,以及對持續安全性的承諾為基礎,這將協助確定合適的解決方案。

隨著適應性強、技術複雜的 AI 威脅日益受到關注,使用旨在應對這些威脅的解決方案變得越來越重要。組織可利用融入 AI 技術的網路安全解決方案來節省時間,同時還可更深入地分析資料。憑藉整合了資料、關聯性與視覺化功能的統一安全解決方案,能夠快速獲得洞察、做出回應,以及制定報告。

AWS 提供的網路安全解決方案有哪些?

在 AWS,安全是我們的首要考量。AWS 的設計宗旨是提供安全的全球雲端基礎結構,可用於建置、移轉和管理應用程式和工作負載。做為我們的安全重點策略的一部分,AWS 提供了涵蓋安全事件生命週期各個階段的各項網路安全解決方案,以便協助提供全方位的防護。您可結合使用這些解決方案與 AWS Marketplace 供應商及第三方的解決方案。

下面的清單列示了各項 AWS 服務,並且依用途進行分組,能夠讓您在 AWS 上建立現代化的網路安全解決方案堆疊。

統一的安全管理

為實現統一的雲端安全管理,AWS Security Hub 提供了一個統一的主控台來管理網路安全,以及涵蓋以下領域內容的儀表板:

  • 威脅
  • 漏洞
  • 狀況管理
  • 敏感資料
  • 問題清單
  • 資源
  • 整合
  • 自動化

AWS Security Hub 整合了各種 AWS 與第三方網路安全服務,可在一處提供增強的關聯性、情境化及視覺化功能。

AWS Security Hub 藉由跨多項服務提供統一訊號、集中式管理,以及標準化控制措施,來揭示作用中的安全風險。AWS Security Hub 的設計宗旨是降低雲端安全操作的複雜性。

確認

Amazon GuardDuty 使用智慧威脅偵測服務保護您的 AWS 帳戶、工作負載和資料。Amazon GuardDuty 提供可擴展且全受管威脅偵測、持續監控、採用 AI/ML 技術的威脅偵測、更快捷的威脅回應,以及對 AWS 運算工作負載的端對端可視性。

Amazon CloudWatch 讓您能夠深入了解 AWS 上資源與應用程式的系統效能。Amazon CloudWatch 可讓使用者設定警示,自動回應變更,以及取得統一的營運狀況檢視。

保護

資料管理

Amazon Macie 採用機器學習與模式比對技術,以在 Amazon S3 環境中探索敏感資料。Amazon Macie 能夠提供資料安全風險的可視性,以及支援對這些風險進行自動化防護。

AWS 金鑰管理服務 (KMS) 可讓您建立和控制用於加密或數位簽署資料的金鑰。AWS KMS 可對您的應用程式內的資料進行加密,以及安全地生成基於雜湊訊息驗證碼 (HMAC),從而確保訊息的完整性與真實性。

AWS Certificate Manager 可佈建及管理搭配 AWS、混合雲端及多重雲端工作負載使用的公有 SSL/TLS 憑證。

AWS Private Certificate Authority 在一處即可安全地簽發及管理連網資源的私有憑證。

AWS Payment Cryptography 可簡化雲端託管支付應用程式中的加密操作,以便滿足嚴格的合規要求。

AWS Secrets Manager 可集中存放與管理包括憑證、API 金鑰,以及其他機密在內的機密生命週期。

身分管理

AWS Identity and Access Management (IAM) 可讓您安全地管理身分以及對 AWS 服務和資源的存取。在 AWS IAM 中,您可設定許可防護機制與精細的存取權,跨帳戶管理身分,使用暫時的安全憑證,以及分析及驗證政策。

AWS IAM Identity Center 讓您能夠連線現有的工作人員身分來源,以及集中式管理對 AWS 的存取。

Amazon Cognito 是一種雲端存取安全代理程式,可提供客戶存取管理,並且能夠在 Web 和行動應用程式新增使用者註冊、登入,以及存取控制功能。

網路與裝置管理

AWS IoT Device Defender 提供跨 IoT 裝置與機群的安全管理,包括稽核、監控與提醒。AWS IoT Device Defender 可提供更新裝置憑證、隔離裝置群組,或取代預設政策等內建操作。

AWS Firewall Manager 讓您可以集中設定和管理跨 AWS 帳戶的防火牆規則。AWS Firewall Manager 可針對現有資源與新資源自動地強制執行政策,以及集中部署各項規則來對虛擬私有雲端 (VPC) 提供保護。

AWS Shield 藉由確認網路安全組態問題,以及讓應用程式抵禦作用中的 Web 漏洞利用,以及分散式阻斷服務 (DDoS) 事件,進而為網路與應用程式提供保護

AWS WAF 利用篩選 Web 流量、監控、封鎖或限速機器人等受管規則,讓您的 Web 應用程式免遭常見漏洞攻擊。此外,AWS WAF 還可封鎖常見的攻擊模式,例如 SQL injection 隱碼攻擊或跨網站指令碼 (XSS)。

偵測

Amazon Inspector 能自動發現 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器映像及 AWS Lambda 函式、以及程式碼儲存庫等工作負載。Amazon Inspector 隨後可對其進行掃描,查看是否存在軟體漏洞及非預期的網路風險。

Amazon Detective 可對安全資料進行分析及視覺化,以便調查可能會出現的安全問題。Amazon Detective 可協助您透過統一檢視使用者和資源互動,確定可能的安全問題。

AWS CloudTrail 可追蹤在 AWS 以及混合雲端和多雲端環境中的使用者活動和 API 使用情形。

回應

AWS 安全事件回應可協助您做好準備、應對安全事件,以及獲得有助於從安全事件中復原的指引。AWS 安全事件回應包括帳戶接管、資料外洩,以及勒索軟體攻擊等事件。AWS 安全事件回應將自動化監控與調查等強大功能相結合,還可加速溝通與協調。AWS 安全事件回應提供全天候直接聯繫 AWS 客戶事件回應團隊 (CIRT) 的服務。

復原

AWS Elastic Disaster Recovery (DRS) 可以快速、可靠地復原內部部署和以雲端為基礎的應用程式,從而最小化停機時間和資料遺失。AWS DRS 可利用經濟實惠的儲存體,最大限度地減少運算,以及提供時間點復原。

管控

AWS Security Hub CSPM 執行安全最佳實務檢查,並擷取來自 AWS 安全服務和合作夥伴的安全調查結果。該服務可將這些結果與其他服務及合作夥伴安全工具的調查結果相結合,從而依據您的 AWS 資源自動執行檢查,以便協助確認錯誤設定,並對您的安全狀況做出評估。

AWS Artifact 在自助服務入口網站中,提供隨選存取 AWS 和獨立軟體開發廠商 (ISV) 安全與合規報告。

AWS Audit Manager 可持續稽核您的 AWS 用量,以簡化風險與合規評估。AWS Audit Manager 針對合規與風險評估活動,可自動收集證據,以及減少收集、整理與上傳證據的手動工作。

AWS 如何為實作網路安全解決方案提供支援?

藉由實作 AWS Security Hub,組織能夠奠定堅實的基礎來建置全方位的雲端安全解決方案集。全面探索網路安全領域,有助於您確定自身獨特環境所需的特定用途解決方案。遵循目前的網路安全最佳實務策略,例如,假設安全漏洞與零信任,將協助您確保網路安全解決方案能夠應對現代網路難題。

即刻建立一個免費帳戶,開始在 AWS 上使用網路安全解決方案。