Security by Design
ภาพรวม
การทำให้การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนด และการบริหารจัดการใน AWS เป็นอัตโนมัติ
Security by Design (SbD) คือวิธีการประกันความปลอดภัยซึ่งจะทำให้การออกแบบบัญชีของ AWS มีแบบแผน ทำให้การควบคุมความปลอดภัยเป็นอัตโนมัติ และทำให้การตรวจสอบมีประสิทธิภาพ แทนที่จะใช้การตรวจสอบความปลอดภัยย้อนหลัง SbD ให้การควบคุมความปลอดภัยภายในตลอดทั้งกระบวนการจัดการไอทีของ AWS การใช้เทมเพลต SbD ใน AWS CloudFormation จะทำให้ความปลอดภัยและการปฏิบัติตามข้อกำหนดในระบบคลาวด์มีประสิทธิภาพและครอบคลุมยิ่งขึ้น
SbD คือวิธีการเพื่อความปลอดภัยและการปฏิบัติตามข้อกำหนดในขอบเขตของอุตสาหกรรม มาตรฐาน และกฎเกณฑ์ด้านความปลอดภัยต่างๆ คุณสามารถใช้ AWS SbD ในการออกแบบความสามารถด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับความปลอดภัยทุกเฟส เพื่อออกแบบทุกสิ่งที่อยู่ในสภาพแวดล้อมของลูกค้า AWS ของคุณ ไม่ว่าจะเป็นสิทธิ์การใช้งาน การบันทึก ความสัมพันธ์แบบ Trust การบังคับใช้การเข้ารหัส และการบังคับใช้ Machine Image ที่อนุมัติแล้ว เป็นต้น SbD ช่วยให้คุณสามารถทำให้โครงสร้างฟรอนต์เอนด์ของบัญชี AWS เป็นอัตโนมัติ เขียนโค้ดความปลอดภัยและการปฏิบัติตามข้อกำหนดลงในบัญชี AWS ทำให้ไม่มีปัญหาเรื่องการควบคุมไอทีไม่เป็นไปตามข้อกำหนดอีกต่อไป
แนวทางของ Security by Design
SbD จะกำหนดความรับผิดชอบในการควบคุม บรรทัดฐานของการทำให้การรักษาความปลอดภัยเป็นอัตโนมัติ การกำหนดค่าความปลอดภัย และการตรวจสอบจากลูกค้าเพื่อควบคุมโครงสร้างพื้นฐานสำหรับลูกค้าของ AWS ระบบปฏิบัติการ บริการ และแอปพลิเคชันต่างๆ ที่ใช้งานใน AWS การออกแบบที่เป็นมาตรฐาน เป็นอัตโนมัติ บังคับใช้ และทำซ้ำได้นี้สามารถนำไปปรับใช้กับกรณีการใช้งานทั่วไป มาตรฐานความปลอดภัย และข้อกำหนดในการตรวจสอบในหลายอุตสาหกรรมและปริมาณงานได้
AWS ขอแนะนำให้สร้างความปลอดภัยและการปฏิบัติตามข้อกำหนดลงในบัญชีของ AWS ของคุณโดยการปฏิบัติตามแนวทางแบบสี่เฟส ดังนี้
เฟส 1 – ทำความเข้าใจความต้องการของคุณ กำหนดนโยบายแล้วทำเอกสารการควบคุมที่คุณได้รับมาจาก AWS จากนั้น ทำเอกสารการควบคุมที่คุณเป็นเจ้าของและใช้งานในสภาพแวดล้อมของ AWS แล้วตัดสินใจว่ากฎการรักษาความปลอดภัยข้อใดที่คุณต้องการบังคับใช้ในสภาพแวดล้อมด้านไอทีของ AWS ของคุณ
เฟส 2 – สร้างสภาพแวดล้อมที่ปลอดภัยซึ่งเหมาะกับความต้องการและการใช้งานของคุณ ระบุการกำหนดค่าที่คุณต้องการในรูปแบบของค่าสำหรับการกำหนดค่า AWS เช่น ข้อกำหนดการเข้ารหัส (ตัวอย่างเช่น การบังคับใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์สำหรับอ็อบเจ็กต์ S3) สิทธิ์ในการใช้ทรัพยากร (บทบาทใดใช้กับสภาพแวดล้อมใด) อิมเมจการประมวลผลใดที่ได้รับอนุญาต (อิงตามอิมเมจของเซิร์ฟเวอร์ที่มั่นคงมากขึ้นที่คุณอนุญาตแล้ว) และประเภทของการบันทึกที่ต้องเปิดใช้งาน (เช่น การบังคับให้ใช้ CloudTrail กับทรัพยากรที่ใช้งานได้) AWS มีชุดตัวเลือกการกำหนดค่าที่สมบูรณ์โดยมีบริการใหม่ๆ ออกมาเสมอ และ AWS ทำให้ใช้งานเทมเพลตได้เพื่อให้สภาพแวดล้อมของคุณสอดคล้องกับการควบคุมความปลอดภัย เทมเพลตความปลอดภัยเหล่านี้ (ในรูปแบบเทมเพลตของ AWS CloudFormation) มีชุดกฎแบบครอบคลุมที่สามารถบังคับใช้ได้อย่างเป็นระบบ AWS ได้พัฒนาเทมเพลตที่มีกฎความปลอดภัยซึ่งเป็นไปตามเฟรมเวิร์กด้านความมั่นคงปลอดภัยหลายแบบ สำหรับข้อมูลเพิ่มเติม โปรดดูเอกสารรายงานความรู้เบื้องต้นเกี่ยวกับ Security by Design
เพื่อให้คุณได้สร้างสภาพแวดล้อมที่ปลอดภัย เรามีสถาปนิกผู้มีประสบการณ์ของ AWS บริการระดับมืออาชีพของ AWS และโซลูชันคู่ค้าของ AWS พร้อมให้ความช่วยเหลือเพิ่มเติม ทีมงานเหล่านี้สามารถทำงานไปพร้อมกับพนักงานของคุณและทีมตรวจสอบเพื่อสร้างสภาพแวดล้อมที่มีความปลอดภัยระดับสูง โดยมีการตรวจสอบจากภายนอกคอยสนับสนุน
เฟส 3 – บังคับการใช้เทมเพลต AWS Service Catalog อนุญาตให้คุณบังคับการใช้เทมเพลตของคุณในแค็ตตาล็อกได้ นี่คือขั้นตอนที่จะทำให้คุณมั่นใจถึงการมีสภาพแวดล้อมที่ปลอดภัยในทุกๆ สภาพแวดล้อมใหม่ที่สร้างขึ้น และป้องกันไม่ให้ผู้ใดสร้างสภาพแวดล้อมที่ไม่ได้ยึดตามกฎความปลอดภัยของสภาพแวดล้อมที่ปลอดภัยของคุณ การบังคับใช้เทมเพลตของคุณในแค็ตตาล็อกจะทำให้มั่นใจว่าการกำหนดค่าความปลอดภัยที่เหลืออยู่ของการควบคุมพร้อมสำหรับการตรวจสอบ
เฟส 4 – ดำเนินกิจกรรมเพื่อการยืนยัน การปรับใช้ AWS ทาง Service Catalog และเทมเพลตสภาพแวดล้อมที่ปลอดภัยจะช่วยสร้างสภาพแวดล้อมที่พร้อมสำหรับการตรวจสอบ กฎที่คุณกำหนดในเทมเพลตสามารถใช้เป็นแนวทางการตรวจสอบได้ AWS Config อนุญาตให้คุณบันทึกสถานะปัจจุบันของสภาพแวดล้อม ซึ่งสามารถนำไปเปรียบเทียบกับกฎสภาพแวดล้อมที่ปลอดภัยหลังจากนั้นได้ คุณสามารถเปิดใช้งานการตรวจสอบอัตโนมัติสำหรับการเก็บรวบรวมข้อมูลหลักฐานได้โดยใช้สิทธิ์เข้าถึงการอ่านที่มีความปลอดภัย พร้อมกับสคริปต์ที่ไม่ซ้ำกัน คุณสามารถแปลงการควบคุมด้านการบริหารจัดการด้วยตนเองแบบดั้งเดิมให้เป็นการควบคุมที่บังคับเชิงเทคนิค ซึ่งสามารถรับประกันได้ว่า หากได้รับการออกแบบและกำหนดขอบเขตอย่างเหมาะสมจะสามารถทำงานได้ 100 เปอร์เซ็นต์ตลอดเวลา ซึ่งเป็นสิ่งที่วิธีการสุ่มตัวอย่างเพื่อตรวจสอบแบบดั้งเดิมหรือการตรวจสอบ ณ จุดใดจุดหนึ่งของเวลาไม่สามารถทำได้
การตรวจสอบเชิงเทคนิคนี้สามารถปรับปรุงให้ดีขึ้นได้ตามคำแนะนำของการตรวจสอบล่วงหน้า เช่น สนับสนุนและฝึกอบรมผู้ตรวจสอบเพื่อให้มั่นใจได้ว่าบุคลากรที่ตรวจสอบมีความเข้าใจความสามารถในการตรวจสอบอัตโนมัติแบบไม่ซ้ำกันที่ AWS Cloud มี
ผลกระทบของ Security by Design
แนวทาง SbD สามารถบรรลุในสิ่งต่อไปนี้
- การสร้างฟังก์ชันแบบบังคับซึ่งไม่สามารถแทนที่โดยผู้ใช้ซึ่งไม่ได้รับอนุญาตให้แก้ไขฟังก์ชันเหล่านั้น
- การสร้างการดำเนินงานการควบคุมที่เชื่อถือได้
- การเปิดใช้งานการตรวจสอบแบบเรียลไทม์และต่อเนื่อง
- การเขียนสคริปต์เชิงเทคนิคสำหรับนโยบายด้านการกำกับดูแลของคุณ
ผลที่ได้คือสภาพแวดล้อมอัตโนมัติซึ่งสามารถเปิดใช้งานความสามารถของสภาพแวดล้อมในด้านความปลอดภัย การรับประกัน การกำกับดูแล และการปฏิบัติตามข้อกำหนด ขณะนี้คุณสามารถใช้งานการดำเนินการที่น่าเชื่อถือซึ่งก่อนหน้านี้เป็นเพียงสิ่งที่ระบุไว้ในนโยบาย มาตรฐาน และข้อบังคับ นอกจากนี้ คุณสามารถสร้างความปลอดภัยและการปฏิบัติตามข้อกำหนดที่สามารถนำไปบังคับใช้ได้ ซึ่งได้สร้างโมเดลการกำกับดูแลที่น่าเชื่อถือและใช้งานกับสภาพแวดล้อมของ AWS ของคุณได้
