跳至主要內容

什麼是安全架構?

建立 AWS 帳戶

頁面主題

什麼是安全架構?

安全架構是在策略上對政策、技術與程序進行設計,以便協助保護及保障組織的資產安全性。保障資產與系統的安全性能夠降低網路風險,改善事件發生期間的業務持續性,以及加速復原工作。與業務目標與合規要求保持一致的安全架構,是現代組織的重要支柱。

安全架構為何非常重要?

安全架構在保障網路安全方面提供了一種結構化方法,能夠阻止、偵測及應對安全事件。 

一個設計完善的安全架構包括安全控制措施、政策與技術,旨在增強您的網路安全策略。安全架構師實作各種架構、設計模式、工具與程序,來增強組織的安全狀況。 

強安全架構有哪些優勢?

組織可實作安全架構,以便在雲端及內部部署更有信心地進行營運與開發。藉助高效的安全架構,可保障網路、應用程式、端點,以及其他數位資產免遭未經授權的存取。

在業務方面,實作強安全架構能夠降低資料風險,以及提高對網路安全與資料隱私權法律的遵守程度。每個組織都有其獨特的安全要求。因此,安全架構師會依據具體的安全目標、資源組態設定,以及業務需求來對架構進行客製化設計。 

結果是,各組織能夠更迅捷地應對現有及新出現的網路威脅、日益演變的合規法律,以及客戶對資料隱私權的期望。您可將安全工具與實務相結合,以便減少停機時間,改善關鍵服務的業務持續性,以及更快地從安全事件中復原。

安全架構的元件有哪些?

始終採用穩健的安全架構設計,改善了資料、系統與服務的機密性、完整性及可用性。該架構在策略上將各種工具、架構,以及其他安全最佳實務相結合。 

機密性

機密性可協助阻止未經授權存取組織資料。安全團隊利用加密技術、存取控制,以及私密通訊等資料防護方法來確保機密性。這樣一來,僅擁有合法許可的使用者方可存取敏感資料。

完整性

完整性是指資料通過各種系統後保持不被篡改的狀態。為協助阻止篡改,安全團隊套用了資料驗證、數位簽章,以及總和檢查碼等技術。

可用性

可用性是指在滿足所有安全要求的前提下,使用者能夠存取資料與服務。災難復原、資料複寫,以及容錯型雲端基礎結構,皆可協助改善安全事件發生期間的可用性。 

身分驗證與授權

藉助身分驗證,可確保僅核准使用者方可存取受保護的資源。使用者登入時,系統將透過身分驗證系統,包括生物特徵辨識及密碼,來驗證其憑證,然後才授予存取權。 

授權則依據使用者的角色與職責,提供企業網路、資料與服務的存取權。安全團隊使用基於角色的存取控制 (RBAC) 與最低權限原則等方法,來確定存取權範圍。 

稽核與日誌記錄

稽核日誌提供基於時間的證據,用於對網路安全架構實作進行分析、改善與擴展。稽核日誌可協助安全團隊調查事件、增強現有的措施,以及確保符合監管要求。 

網路安全

網路安全包括採取主動措施,來阻止、確認,以及緩解對受保護網路未經授權的存取。安全團隊可部署各種解決方案來實施執行網路安全,例如入侵偵測系統、虛擬私有網路、網路區隔,以及 Web 應用程式防火牆。 

端點安全

端點安全可協助保護網路上的電腦、伺服器、虛擬機器,以及其他裝置,抵禦惡意程式與漏洞利用跡象。終端安全解決方案可自動掃描裝置是否存在漏洞,套用修補程式,以及報告可疑的活動,以便進行進一步調查。 

應用程式安全

應用程式安全著重於安全編碼實務、漏洞分析,以及軟體測試,以便降低生產環境中的安全風險。為及早解決漏洞,軟體開發人員將執行程式碼審查、滲透測試、相依項審查,以及其他自動執行的安全實務。

常見的安全架構模式有哪些?

安全架構模式是標準化實務,旨在協助安全團隊持續一致地實作最佳實務,以及可擴展的防禦措施。以下是一些常見範例。 

縱深防禦

縱深防禦透過增加多層安全措施,讓組織能夠抵禦內外部威脅。其目標是在外部防護失效的情況下,降低更深層的威脅。舉例來說,安全團隊需要使用者設定強密碼,以做為第一層防護。然後,他們藉由新增反惡意軟體程式、安全閘道、自動執行修補程式管理,以及災難復原解決方案來增強防禦。 

始於安全的設計

始終安全的設計是一種設計模式,這會將網路安全嵌入整個軟體開發生命週期 (SDLC)。藉由從軟體專案一開始,而不是僅僅在開發後期測試中就嵌入安全解決方案,能夠減少系統漏洞,以及修補所需的時間。

零信任

零信任是一種安全模型,注重資料存取不應僅基於網路位置的理念。它會要求使用者和系統有效證明其身分和可信度,並在允許他們存取應用程式,資料和其他系統之前,強制執行精細的身分型授權規則。 

透過零信任,這些身分通常會在高度彈性的身分感知網路中運作,而進一步縮小接觸面、消除資料的非必要途徑,並提供直接的外部安全防護機制。 

API 設計

軟體應用程式藉助應用程應用程式介面 (API),來與第三方服務交換資料。API 設計是開發、測試,以及部署 API 的程序。在設計 API 時,開發人員利用各種方法,來協助保護內部軟體資料免遭公開外洩。舉例來說,在建立安全的通訊通道之前,API 可能需要驗證,方可對第三方應用程式進行身分驗證及確認。 

靜態加密與傳輸中加密

加密技術可對資料進行加密處理,僅授權接收者方可讀取資料。藉由在應用程式層、網路層,以及儲存層對資料進行加密,可協助保護資料隱私權,以及降低安全事件的風險。

常見的安全架構框架有哪些?

網路安全架構師利用這些框架,來指引其制定用於保障數位資產的策略、實作及原則。

OWASP Top Ten

Open Web Application Security Project (OWASP) Top Ten 是一個清單,列出了 Web 應用程式中常見的安全漏洞。安全架構師與開發人員藉助該清單,來對其應用程式的安全威脅做出評估。針對開發應用程式時如何緩解威脅,該清單提供了指導方針及範例。 

NIST 網路安全框架

NIST 網路安全框架是由美國政府國家標準與技術研究院制定的一套自願性指導方針,旨在協助組織評估及管理安全風險。該安全框架提供了一種安全實作,各行各業的組織都可採用該實作來增強其網路復原能力。安全團隊圍繞著六大核心功能設計網路安全策略與架構:管控、確認、保護、偵測、回應,以及復原。

ISO 27001

ISO 27001 是由國際標準化組織制定的國際安全標準,該標準為資訊管理安全解決方案的定義、運作、改善與實作提供了指導方針。您可取得 ISO 27001 認證,證明您對保障客戶資料安全性的承諾。 

AWS 安全參考架構

AWS 安全參考架構 (SRA) 針對使用 AWS 服務來提升 AWS 雲端環境的安全性提供了指導方針。藉助 AWS SRA,軟體架構師能夠讓其雲端工作負載與 AWS 建議的實務保持一致,以及符合其組織的安全目標。

常見的安全架構工具有哪些?

組織利用各種安全架構工具,來協助保護敏感資料,支援及時做出事件回應,以及協助緩解潛在威脅。 

安全資訊與事件管理 (SIEM)

安全資訊與事件管理 (SIEM) 系統可對組織環境中的電腦、應用程式及系統的活動進行分析,以便發現可疑的活動。藉由整合這些資料,SIEM 能夠提供即時的威脅智慧,從而讓團隊能夠迅速應對潛在事件。 

Identity and Access Management (IAM)

Identity and Access Management (IAM) 是一種安全工具,可為使用者提供對系統、資料,以及應用程式的存取權。IAM 解決方案可將使用者的憑證與內部系統進行比對,來驗證使用者的身分,隨後依據指派給使用者的資源許可來授予存取權。 

自動化漏洞管理

漏洞掃描程式是一項安全解決方案,可協助偵測網路、電腦及應用程式中的安全問題。安全架構師利用漏洞掃描來確認安全漏洞,例如編碼缺陷、零時差漏洞,以及網路設定錯誤。 

端點偵測與回應 (EDR)

端點偵測與回應 (EDR) 是一種端點安全軟體,可對企業網路中的路由器、虛擬機器,以及電腦等裝置持續進行監控。若 EDR 軟體偵測到異常行為、惡意程式,或是未經授權的存取嘗試,可起始自動回應或通知安全團隊。  

雲端安全狀況管理 (CSPM)

雲端安全狀況管理 (CSPM) 讓您能夠評估、偵測及修補多重雲端環境中的安全風險。CSPM 提供了組織內雲端安全的整體概觀,包括安全狀況評分。組織在雲端進行工作負載部署、管理及創新時,會將 CSPM 做為共同責任模型的一部分來使用。

如何選擇最佳安全架構?

您可藉助全方位的安全架構,來改善您的網路復原能力。不過,具體的安全政策、工具,以及架構視乎您的業務目標、營運風險,以及安全目標而定。下面列出了各種方法,可協助您選擇高效的安全架構。

  1. 執行風險評估,以便確認您的組織面臨哪些數位威脅。
  2. 在調查結果的基礎上,將資產依重要性進行分類,特別要考慮其對客戶、員工,以及其他利害關係人的潛在影響。
  3. 定義安全需求。這些需求可能包括端點防護、法規遵循、網路安全,以及事件回應。 
  4. 選取適當的安全工具、架構、政策及資源,以便建立穩健的安全架構。確保您選擇的安全架構能夠適應複雜的雲端環境,並且與您的業務目標保持一致。 
  5. 測試安全架構,以便確保其強制執行的防護措施能夠有效地抵禦潛在威脅。

AWS 如何為您建置強大的安全架構提供支援?

AWS Cloud Security 服務用於在安全架構設計中符合最佳實務。 

Amazon Detective 用於協助安全團隊對安全調查結果進行三角定位,藉助互動視覺化來對事件展開調查,追蹤威脅,以及透過生成式 AI 來擴展安全調查。

Amazon Inspector 是一項漏洞掃描和管理服務,用於自動探索 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器映像及 AWS Lambda 函式、以及程式碼儲存庫等工作負載,並且加以掃描以得知軟體弱點及非預期網路暴露。

AWS Identity and Access Management (IAM) 是一項全方位的 IAM 解決方案,用於安全地管理身分,以及對 AWS 服務與資源的存取。AWS IAM 可讓您設定許可防護機制,以及精細的存取權,使用臨時安全憑證,以及在逐步設置最低權限的過程中分析 IAM 政策。

AWS Security Hub 用於執行安全最佳實務檢查,並擷取來自 AWS 安全服務和合作夥伴的安全調查結果。該服務可將這些結果與其他服務及合作夥伴安全工具的調查結果相結合,從而依據您的 AWS 資源自動執行檢查,以便協助確認錯誤設定,並對您的雲端安全狀況做出評估。

即刻建立一個免費帳戶,開始在 AWS 上實作您的安全架構。