AWS 安全 = 管身分、看紀錄、守網路、護資料、能復原。
一、Security 是什麼?
Security 是 AWS Well-Architected Framework 的重要支柱。 它的目的不是單純「防止被駭」,而是在系統提供商業價值的同時, 保護資訊、系統與資產,並降低長期風險。
好的安全設計,可以避免資料外洩、帳號濫用、服務中斷與災難性損失。
二、AWS 安全設計重點
身分管理
最小權限
可追蹤性
分層防禦
資料加密
自動化回應
- 建立強大的身分基礎:集中管理帳號與權限,避免權限過大。
- 啟用可追蹤性:記錄誰做了什麼、什麼時候做、從哪裡做。
- 套用分層防禦:從邊緣、網路、主機、系統到資料都要保護。
- 自動化安全管理:安全不能只靠人工,應盡量用規則與事件自動處理。
- 保護資料:資料傳輸中與儲存中都應加密。
- 準備事件回應:假設問題會發生,提前設計偵測、通知與復原流程。
三、AWS 安全服務整理
| 類別 | AWS 服務 | 用途 | 白話說明 |
|---|---|---|---|
| 身分與權限 | IAM | 管理使用者、角色、權限 | 決定誰可以做什麼事 |
| 身分與權限 | MFA | 多因素驗證 | 登入時多一道保護 |
| 身分與權限 | STS | 臨時憑證 | 給短時間有效的通行證 |
| 身分與權限 | AWS Organizations | 集中管理多個 AWS 帳號 | 公司多帳號時統一控管 |
| 偵測與稽核 | CloudTrail | 記錄 API 操作 | 查誰在 AWS 做了什麼 |
| 監控 | CloudWatch | 監控指標、日誌、告警 | 看系統有沒有異常 |
| 合規檢查 | AWS Config | 檢查資源設定 | 檢查設定有沒有被亂改 |
| 網路防護 | VPC / Security Group / NACL | 控制網路與流量 | 建立雲端網路邊界與防火牆規則 |
| 邊緣防護 | CloudFront | CDN 與入口保護 | 讓流量先經過 AWS 邊緣節點 |
| DDoS 防護 | AWS Shield | 防禦 DDoS 攻擊 | 防止大量惡意流量打爆服務 |
| Web 防護 | AWS WAF | Web Application Firewall | 擋 SQL Injection、XSS 等 Web 攻擊 |
| 弱點檢查 | Amazon Inspector | 掃描弱點 | 幫 EC2、Container 做安全健檢 |
| 資料加密 | AWS KMS | 管理加密金鑰 | 集中管理加密用的鑰匙 |
| 資料保護 | S3 / EBS / RDS Encryption | 資料儲存加密 | 檔案、磁碟、資料庫都要加密 |
| 事件自動化 | EventBridge | 事件觸發自動處理 | 發生異常時自動通知或處理 |
| 復原 | CloudFormation | 重建基礎架構 | 照設計圖快速恢復環境 |
四、生活化比喻
AWS 安全可以想成一棟公司的大樓安全管理。
- IAM:門禁系統,決定誰可以進哪個區域。
- MFA:門禁卡之外,還要手機驗證碼。
- CloudTrail:監視器紀錄,記下誰做了什麼事。
- CloudWatch:監控中心,觀察系統是否異常。
- AWS Config:稽核人員,檢查設定是否符合規範。
- VPC:公司園區,裡面再分不同區域。
- Security Group:每個房間門口的門禁規則。
- WAF:櫃台保全,擋掉可疑訪客。
- Shield:防暴門,抵擋大量攻擊流量。
- KMS:鑰匙管理中心,負責保管加密鑰匙。
- CloudFormation:大樓設計圖,出事時可以快速重建。
五、整體概念流程圖
使用者 / 系統請求
│
▼
[邊緣防護]
CloudFront + Shield + WAF
先擋掉 DDoS、大量攻擊、Web 攻擊
│
▼
[網路防護]
VPC + Subnet + NACL + Security Group
控制哪些流量可以進入哪些資源
│
▼
[身分與權限]
IAM + MFA + STS + Organizations
確認誰可以登入、誰可以操作、權限有多大
│
▼
[主機與應用安全]
Patch + Inspector + 最小權限
降低主機與應用程式弱點
│
▼
[資料保護]
KMS + S3 Encryption + EBS Encryption + RDS Encryption + HTTPS
保護傳輸中與儲存中的資料
│
▼
[監控與稽核]
CloudTrail + CloudWatch + AWS Config
記錄操作、監控異常、檢查設定
│
▼
[事件回應]
EventBridge + SNS + Lambda + IAM + CloudFormation
通知、自動處理、限制帳號、重建環境
六、常見誤解與正確觀念
| 常見誤解 | 正確觀念 |
|---|---|
| 用了 AWS,安全就都是 AWS 負責 | AWS 負責雲端底層,客戶要負責帳號、權限、資料、網路與應用設定 |
| IAM 直接給 Administrator 比較方便 | 應採用最小權限,用多少給多少 |
| 有 Security Group 就夠安全 | Security Group 只是其中一層,還需要 IAM、WAF、加密、監控與稽核 |
| CloudTrail 跟 CloudWatch 一樣 | CloudTrail 看操作紀錄,CloudWatch 看系統指標、日誌與告警 |
| AWS Config 是效能監控工具 | AWS Config 是檢查資源設定與合規狀態 |
| WAF 可以防所有攻擊 | WAF 主要防 Web 層攻擊,不能取代 IAM、VPC、加密與弱點管理 |
| 安全事件發生再處理就好 | 應事先設計事件回應流程、自動化通知與復原機制 |
七、總結
AWS 安全不是單一服務,而是一整套架構設計。
從身分、網路、資料、監控到事件回應,每一層都要有防護。
沒有留言:
張貼留言