跳至主要內容

什麼是網路安全?

建立 AWS 帳戶

頁面主題

什麼是網路安全?

網路安全是指各種技術、策略與程序,可用於保護組織的資料、工作負載及雲端基礎結構免遭未經授權的存取與濫用。組織的網路將重要的內部資料及資源與公共網際網路相連。網路安全服務可保護各個聯網層中的資源免受安全風險的影響,從而確保資料的機密性、可用性、完整性與易用性。

網路安全有哪些優勢?

客戶、員工及軟體使用者信任組織能保護其存取資源時的隱私權及安全。穩健的網路安全服務有助於改善組織的各項工作,協助組織降低資料風險、提高服務可用性,以及確保靈活的員工隊伍。

保護敏感資料

組織收集、存放敏感資料並進行處理,以便為其營運提供支援。藉助穩健的網路安全服務,組織能夠阻止未經授權存取存放的資料,以及遵守資料隱私權法律。

確保應用程式的可用性及可靠性

企業應用程式依賴於安全的網路來運作。若網路遭入侵,使用者體驗及組織的營運皆會受到影響。藉助高效的網路安全策略,可減少影響應用程式的威脅,或者在應用程式遭到入侵時加速復原。

打造靈活的辦公機會

越來越多的公司選擇採用混合式辦公環境。公司藉助各種網路安全措施與防護工具,來保障員工遠距辦公所用電腦與裝置的安全性。採用此類方法,公司能夠監控員工安裝的應用程式,對應用程式進行安全性更新,以及將可疑活動報告給安全團隊。

網路安全控制有哪些類型?

網路安全是指一系列政策與控制措施,旨在時確保資料安全流動與系統完整性的同時保護各種資源。

網路安全控制的四個獨立領域協同運作,以協助組織抵禦各種威脅。

預防性控制

藉助基於網路的預防性政策與控制措施,可為您的資料、工作負載和雲端基礎結構提供保護。在這個階段,您可使用分層的防禦方法。舉例來說,您可阻止未經授權存取組織內部網路的嘗試,阻止對關鍵應用程式的存取,以及阻止向外部各方傳送大量資料。

網路安全風險源於授權的網路存取,包括非預期的資料存取與勒索軟體事件。網路管理員可部署預防性控制措施,例如防火牆、Identity and Access Management (IAM) 控制,以及網路區隔。舉例來說,您可設定 Web 應用程式防火牆,阻止可疑 IP 位址連線至內部伺服器。

主動式控制措施

主動式控制措施旨在阻止在整個網路建立不合規的資源。這些控制措施可阻止網路漏洞進入環境。主動式網路控制措施包括各項規則,例如透過 IAM 角色限制資源的建立,以及在合規的基礎上建立基礎結構。舉例來說,預設可設定所有儲存體為完全不公開。

偵測控制措施

偵測是指可確認繞過預防性防禦參數的威脅,或未經授權流量的網路安全活動。安全團隊可在此利用行為分析、威脅智慧解決方案,以及入侵防禦系統等各種偵測工具,來確認組織網路內的異常模式。藉助良好的偵測系統,能夠確認威脅並向安全人員發出提醒,以幫助防止數位資產遭受大規模損害。舉例來說,入侵偵測系統 (IDS) 可偵測未經授權裝置的登入嘗試,以及將事件上報給安全團隊展開調查。

回應式控制措施

採用回應式控制措施,可協助組織限制網路安全事件的影響,以及復原其運作。在事件發生期間,自動執行修補服務啟動、安全團隊實作回應計劃,以及告知利害關係人他們將採取哪些緩解措施來遏止網路威脅。系統自動化並結合安全團隊的工作,來隔離受影響的網路,從備份中復原資料,以及執行取證分析,進而消除網路中的威脅。一旦遏止住攻擊,團隊就能利用調查結果來增強網路安全、改善回應計畫、完善資料遺失預防策略,並防止將來發生類似的攻擊。

網路安全解決方案有哪些類型?

安全團隊藉助各類網路安全工具與策略,來防止、偵測網路威脅並做出回應。下文中分享了一些常見範例。

網路存取控制

網路存取控制 (NAC) 可阻止未經授權的使用者,以及不合規的裝置存取組織的網路與專有資產。網路存取控制通常與 Identity and Access Management (IAM),以及以角色為基礎的存取控制 (RBAC) 解決方案搭配使用。這些解決方案結合在一起,讓安全團隊能夠依據使用者的角色、存取時間、位置及其他參數,來授予使用者存取權限。實作 NAC 時,網路會對嘗試連線至伺服器的每個使用者及裝置進行身分驗證。驗證通過後,系統將評估使用者的許可層級,依據評估結果來授予或拒絕存取權。

防火牆

防火牆是專門用於監控及篩選網路流量的軟體或硬體,依據預先定義的規則來運作。防火牆通常被置於網路邊緣,以便阻止有害流量。基本的防火牆可對來自可疑 IP 位址清單的流量進行封鎖。多年來,防火牆不斷發展,如今已具備更高階的網路監控功能,更適合 Web 應用程式和雲端環境。

WAF

Web 應用程式防火牆 (WAF) 是一種可改善 Web 安全性的防火牆。WAF 能夠監控 HTTP 流量,HTTP 是網站在伺服器與瀏覽器間進行通訊的一種通訊協定。在部署 WAF 後,能夠讓 Web 應用程式抵禦 SQL injection 隱碼攻擊與跨網站指令碼 (XSS) 等特定的網路威脅。SQL injection 隱碼攻擊是指威脅執行者向資料庫注入程式碼,以便竊取或篡改記錄的攻擊。而 XSS 攻擊則是指在合法網站上放置惡意指令碼,以便竊取敏感資訊的攻擊。

NGFW

新一代防火牆 (NGFW) 擴展了傳統防火牆的功能。類似於防火牆,新一代防火牆 (NGFW) 依據預先確定的規則,來監控傳入與傳出的流量。然而,其增加了執行深度封包偵測等進階監控功能,以便發現普通防火牆可能遺漏的隱藏威脅與資料模式。

DDoS 防護

分散式阻斷服務 (DDoS) 是一種旨在影響網站或應用程式等目標系統的可用性的網路攻擊事件。此類攻擊可阻止合法終端使用者存取及使用這些服務。通常,攻擊者會產生大量的封包或請求,試圖讓目標系統無法負荷。DDoS 攻擊利用多個遭入侵或控制的來源來發動攻擊。

端點安全

端點安全是指各種工具、策略與方法,可用於增強網路裝置,以及請求遠端存取裝置的數位安全性。端點安全解決方案可能具備多項功能,包括修補程式監控、流量分析、加密驗證,以及包括應用程式限制在內的服務控制。行動裝置管理 (MDM) 是指針對連線至企業環境的行動裝置,採取的特定形式的端點安全措施。

遠端存取 VPN

虛擬私有網路 (VPN) 透過安全伺服器來路由傳入與傳出的流量。虛擬私有網路會利用加密技術,來對使用者傳送及接收的資料進行加密處理。此外,虛擬私有網路還能隱藏使用者的 IP 位址,從而讓使用者在網際網路上保持匿名。這樣一來,員工即使在公共場所使用不安全的 Wi-Fi,亦能安全地連線至組織的網路。

什麼是網路安全策略?

組織可實作包含各種類型的裝置、使用者,以及聯網架構的針對性策略,藉此來建立穩健的網路安全管理框架。

零信任網路存取

零信任網路存取 (ZTNA) 確保僅受信任的使用者與裝置,方可存取網路資源。藉助該服務,安全團隊能夠保護電腦網路免於內外部威脅的影響。ZTNA 以最低權限原則為基礎,僅授予使用者完成其任務所需的資料許可。

舉例來說,設想一位部門經理嘗試存取公司的財務資料庫。即使其使用的是連線至公司 VPN 的公司筆記型電腦,並且是資深員工,ZTNA 系統仍會使用多重驗證步驟。該服務將透過多重要素驗證,來對使用者的身分進行確認,檢查其裝置的安全狀態 (最新的修補程式、防毒軟體),驗證其位置及存取時間,以及確認使用者擁有對特定資料庫的適當許可。

ZTNA 隨後只會授權存取該特定應用程式,而非整個網路,同時還會持續監控工作階段是否存在可疑活動。若是任何安全狀況發生變化 (例如,偵測到裝置上存在惡意軟體),則會立即撤銷存取權。無論使用者的角色或位置如何,這種「永不信任,始終驗證」方法適用於每一次存取請求。

網路區隔

網路區隔可將網路劃分為更小的區段,從而更便於對其進行管理及保障安全。首先,安全團隊依據其工作小組與互連,對使用者與資源進行分類。然後,他們將相似的使用者與資源分組到同一個網路區段,並在界限處設置防火牆及其他網路安全裝置。這樣一來,安全團隊就能套用特定的網路存取政策,以及阻止未經授權的使用者存取網路資源。

此外,網路區段有助於阻止可感染電腦的未經授權的軟體在整個組織內傳播。舉例來說,若依據業務部門來區隔公司網路,影響行銷部門的資料事件則不太可能影響人力資源部門。

使用者與實體行為分析

分析使用者、裝置與聯網基礎結構的行為,可協助防範可能發生的資料風險。安全團隊可藉助機器學習與資料分析,來偵測異常行為。舉例來說,若員工突然登入其行動應用程式且下載了大量敏感資料,網路安全系統會立即提醒安全人員。

AWS 如何為您的網路安全需求提供支援?

AWS 網路安全服務在主機、網路與應用程式層級界限提供精細的防護。例如:

  • Amazon VPC 安全群組為 AWS 工作負載中的資源提供在主機層級的保護。
  • AWS Network Firewall 支援您在網路層級,嚴格地控制進出 VPC 以及 VPC 間的流量。該服務包括狀態檢查、入侵防護,以及 Web 篩選等功能。
  • 藉助 The AWS Web Application Firewall,您可以篩選 Web 請求的任意部分,包括 IP 位址、HTTP 標頭、HTTP 內文,或是 URI 字串,以便阻止包括 SQL injection 隱碼攻擊與跨站指令碼攻擊在內的常見攻擊模式。
  • 即使是最大型的 DDoS 攻擊,AWS Shield 也能保護您的網路和應用程式免受其攻擊,並提供受管偵測和回應以抵禦目標攻擊。
  • AWS Firewall Manager 透過強制執行一組通用的安全規則,輕鬆實現新應用程式和資源合規。

即刻建立一個免費帳戶,開始在 AWS 上使用網路安全服務。