始於安全的設計

概觀

自動化 AWS 中的安全、合規與管理

始於安全的設計 (SbD) 是一種安全保證方法,可正規化 AWS 帳戶設計、自動化安全控制以及簡化稽核。SbD 並不倚賴追溯稽核安全,而是在整個 AWS IT 管理程序提供內建的安全控制。使用 AWS CloudFormation 中的 SbD 範本,使雲端的安全與合規更加有效率,而且更廣泛。

SbD 是可用於多種產業、標準及安全條件的大規模安全與合規方法。您可以在設計所有安全階段的安全與合規功能時,使用 AWS SbD 設計 AWS 客戶環境內的各種項目:許可、日誌、信任關係、強制加密、強制核准機器映像等等。SbD 讓您能夠自動化 AWS 帳戶的前端結構、將安全與合規可靠地編碼到 AWS 帳戶中,且不需再使用不合規的 IT 控制項。

始於安全的設計方法

SbD 概述控制責任、安全基準的自動化、安全組態及針對 AWS 客戶基礎設施、作業系統、AWS 中執行的服務與應用程式的控制項客戶稽核。這個標準化、自動化且規範性的可重複設計,可用於部署常用案例、安全標準和多種產業與工作負載的稽核需求。

AWS 建議您依照以下的四階段方法在 AWS 帳戶中建置安全與合規:

階段 1 – 了解需求。概述您的政策,然後記錄從 AWS 沿用的控制項。接著,記錄您在 AWS 環境中擁有和操作的控制項,並決定要在 AWS IT 環境中強制使用的安全規則。

階段 2 – 建立符合您的需求與實作的安全環境。以 AWS 組態值的形式定義所需的組態,像是加密需求 (例如,強制 S3 物件的伺服器端加密)、資源許可 (哪些角色適用於特定環境)、哪些運算映像獲得授權 (根據您已授權的伺服器強化映像),以及必須啟用的日誌類型 (例如在適用的資源強制使用 CloudTrail)。AWS 提供一組完善的組態選項,隨時會發佈新的服務,也提供符合環境的安全控制項範本。這些安全範本 (採用 AWS CloudFormation 範本的形式) 提供完整的規則集,可以有系統地強制執行規則。AWS 也開發了一些範本,提供符合多種安全架構的安全規則。如需詳細資訊,請參閱始於安全的設計簡介白皮書。

您可以透過 AWS 經驗豐富的架構師、AWS 專業服務,以及 AWS 合作夥伴解決方案取得更多建立安全環境的協助。這些團隊可以從旁協助您的員工和稽核團隊,協助實作高品質的安全環境以支援第三方稽核。

階段 3 – 強制使用範本。AWS Service Catalog 可讓您在型錄中要求使用您的範本。這個步驟可確保在所有新建立的環境中採用您的安全環境,並防止任何人建立不符合您安全環境之安全規則的環境。在型錄中要求使用您的範本,可確保剩餘的安全控制組態已做好稽核的準備。

階段 4 – 執行驗證活動。透過 Service Catalog 和安全環境範本部署 AWS 有助於建立稽核就緒環境。您在範本中定義的規則可作為稽核指南。AWS Config 讓您能夠擷取任何環境的目前狀態,然後與安全環境規則進行比較。使用安全讀取存取許可搭配專屬指令碼,即可啟用稽核自動化來收集證據。您可將傳統手動管理控制方式轉換為以技術強制執行的控制方式,以確保只要設計與範圍正確,控制項可在任何時間點 100% 執行,這是傳統稽核取樣方式或時間點審核方式無法達成的目標。

您可以透過預先稽核指導加強這種技術稽核,例如為您的稽核人員提供支援和培訓,以確保稽核人員了解 AWS 雲端提供的獨特稽核自動化功能。

始於安全的設計的影響

SbD 方法可達成以下目標:

  • 建立無法被使用者 (不允許修改功能的使用者) 覆寫的強制執行功能。
  • 建立可靠的控制項操作。
  • 啟用持續且即時的稽核。
  • 管理政策的技術指令碼編寫。

因此可提供一個具備安全、保證、管理及合規功能的自動化環境。針對之前僅在政策、標準和法規撰寫的項目,您現在都可以執行可靠的實作。此外,您可以建立強制執行的安全與合規,進而為您的 AWS 環境建立實用可靠的管理模型。

始於安全的設計資源

有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »