我想取得有關「始於安全的設計」的資訊
始於安全的設計

始於安全的設計 (SbD) 是一種安全保證方法,可正規化 AWS 帳戶設計、自動化安全控制以及簡化稽核。SbD 並不倚賴追溯稽核安全,而是在整個 AWS IT 管理程序提供內建的安全控制。利用始於安全的設計 CloudFormation 範本,雲端的安全和合規便可更加有效率且廣泛。

SbD 包含一個四階段的方法,可用於多種產業、標準及安全條件的大規模安全與合規。您可以透過讓客戶設計 AWS 客戶環境中的所有項目 (包含許可、日誌、信任關係、強制加密、強制核准機器映像等等),使用 AWS SbD 為所有安全階段設計安全與合規功能。SbD 讓客戶能夠自動化 AWS 帳戶的前端結構、將安全與合規可靠地編碼在 AWS 帳戶中,且不需再使用不合規的 IT 控制項。


SbD 概述控制責任、安全基準的自動化、安全組態及針對 AWS 客戶基礎設施、作業系統、AWS 中執行的服務與應用程式的控制項客戶稽核。這個標準化、自動化且精準的可重複設計可用於部署常用案例、安全標準和多種產業與工作負載的稽核需求。

AWS 建議您依照以下的四階段方法將安全與合規內建在 AWS 帳戶中:

階段 1 – 了解需求。 概述您的政策,然後記錄您從 AWS 沿用的管制。接著,記錄您在 AWS 環境中擁有和操作的控制項,並決定要在 AWS IT 環境中強制使用的安全規則。

階段 2 – 建立符合您的需求與實作的「安全環境」。以 AWS 組態值的形式定義所需的組態,例如,加密需求 (強制 S3 物件的伺服器端加密)、資源許可 (哪些角色適用於特定環境)、哪些運算映像獲得授權 (根據您已授權的伺服器強化映像),及必須啟用的日誌類型 (例如在適用的資源強制使用 CloudTrail)。因為 AWS 提供一組完善的組態選項 (隨時包含新推出的服務),所以您可以找到符合環境的安全控制項範本。這些安全範本 (採用 AWS CloudFormation 範本的形式) 提供更廣泛的規則集,可以有系統地強制執行。AWS 也開發了一些範本,提供符合多種安全架構的安全規則。如需詳細資訊,請參閱 "Introduction to Security by Design" 白皮書。

建立此「安全環境」時如果需要其他協助,可以和 AWS 經驗豐富的架構師、AWS 專業服務及合作夥伴 IT 轉換主管聯繫。這些團隊可以從旁協助您的員工和稽核團隊,協助您專注在實作高品質的安全客戶環境以支援第三方稽核。

階段 3 – 強制使用範本。 提供服務型錄,請強制在型錄中使用您的範本。這個步驟是在建立的新環境中強制使用您的「安全環境」,且避免任何人建立不符合「安全環境」安全規則的環境。這可有效地操作控制項的剩餘客戶帳戶安全組態,為稽核做好準備。

階段 4 – 執行驗證活動。 在服務型錄與「安全環境」範本中部署 AWS 以協助建立做好稽核準備的環境。您在範本中定義的規則可作為稽核指南。AWS Config 讓您能夠擷取任何環境的目前狀態,然後與「安全環境」規則進行比較。這透過安全的「讀取權限」許可與唯一的指令碼提供稽核證據收集功能,為證據收集啟用稽核自動化。相對於傳統稽核取樣方式或時間點審核方式,客戶可將傳統手動管理控制方式轉換為以技術強制執行的控制方式,並確保只要設計與範圍正確,控制項可在任何時間點 100% 執行。

您可以透過預先稽核指導加強這種技術稽核,例如針對客戶稽核人員的支援和培訓,以確保稽核人員了解 AWS 雲端提供的唯一稽核自動化功能。

AWS 安全
AWS 雲端始於安全的設計

SbD 的 AWS 影響

SbD 方法主要為了達成以下各項:

• 建立無法被使用者 (不允許修改功能的使用者) 覆寫的強制執行功能。
• 建立可靠的控制項操作。
• 啟用持續且即時的稽核。
• 管理政策的技術指令碼編寫。

達成的結果是可實現環境安全保證、管理、安全及合規功能的自動化環境。針對之前在政策、標準和法規撰寫的項目,客戶現在都可以執行可靠的實作。此外,客戶可以建立強制執行的安全與合規,進而為 AWS 客戶環境建立實用可靠的管理模型。


白皮書

熟悉「始於安全的設計白皮書」中的概念。

以自己的進度進行「稽核您的 AWS 架構」訓練。此培訓提供 AWS 的功能和界面,特別著重在稽核人員和安全控制擁有者可用的組態選項。

熟悉您可使用的其他相關資源:
a. Amazon Web Services:Overview of Security Processes 白皮書
b. Introduction to Auditing the Use of AWS 白皮書
c. Federal Financial Institutions Examination Council (FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

始於安全的設計資源

 

聯絡我們