AWS Security and Compliance 總整理

AWS Security and Compliance 總整理

一、核心概念

AWS 安全與合規不是靠單一服務，而是透過多層防護來完成。 從外部流量防護、身分權限、資料加密、設定稽核、威脅偵測，到集中管理與事件調查， 每一個服務都有不同的角色。

簡單記法：
Shield / WAF / Network Firewall 負責擋攻擊；
KMS / CloudHSM / ACM 負責加密與憑證；
GuardDuty / Inspector / Macie 負責找風險；
CloudTrail / Config 負責記錄與合規；
Security Hub / Detective 負責集中管理與調查。

二、AWS 服務整理表

AWS 服務	用途	白話說明
Shared Responsibility Model	定義 AWS 與使用者責任	AWS 管底層基礎設施，使用者管自己的設定、資料與權限。
AWS Shield	DDoS 防護	幫 AWS 資源抵擋大量流量攻擊。
AWS WAF	Web 防火牆	根據規則過濾 HTTP / HTTPS 請求。
AWS KMS	金鑰管理	用來建立與管理加密金鑰。
CloudHSM	硬體加密模組	你自己管理金鑰，AWS 管理底層硬體。
ACM	SSL / TLS 憑證管理	幫網站、ALB、CloudFront 等服務使用 HTTPS。
AWS Artifact	合規文件	可以下載 PCI、ISO、SOC 等合規報告。
GuardDuty	威脅偵測	分析 CloudTrail、VPC Flow Logs、DNS Logs 找可疑行為。
Inspector	弱點掃描	檢查 EC2、ECR Image、Lambda 是否有軟體漏洞。
Network Firewall	VPC 網路防火牆	保護 VPC 進出流量，抵擋網路層攻擊。
AWS Config	設定追蹤與合規檢查	記錄資源設定變更，也能檢查設定是否符合規範。
Macie	敏感資料偵測	找出 S3 裡面的個資與敏感資料。
CloudTrail	API 稽核	記錄誰在 AWS 帳號中做了什麼操作。
Security Hub	安全發現集中管理	把多個安全服務與多個帳號的告警集中管理。
Detective	事件根因分析	協助調查安全事件發生的原因。
IAM Access Analyzer	外部存取分析	找出哪些資源被分享到信任範圍之外。
Firewall Manager	集中管理安全規則	跨 AWS Organization 管理 WAF、Shield、Security Group 等規則。

三、生活化比喻

可以把 AWS 帳號想成一棟企業大樓。 Shield 是外面的防暴盾牌，WAF 是大門警衛，Network Firewall 是整棟大樓的網路管制站。 KMS 是鑰匙管理員，CloudHSM 是你自己掌控的高級保險箱。 CloudTrail 是監視器，Config 是資產盤點員，GuardDuty 是 AI 保全， Inspector 是安檢人員，Macie 是個資巡查員。 Security Hub 是中央保全控制室，Detective 則是負責追查原因的偵探。

四、整體流程圖

使用者 / 外部流量 │ ▼ [邊界防護] Shield + WAF + Network Firewall │ ▼ [身分與權限] IAM + IAM Access Analyzer + Root User 控制 │ ▼ [資料保護] KMS + CloudHSM + ACM │ ▼ [設定與合規] AWS Config + AWS Artifact │ ▼ [威脅與弱點偵測] GuardDuty + Inspector + Macie │ ▼ [稽核與記錄] CloudTrail │ ▼ [集中管理與調查] Security Hub + Detective + Firewall Manager

五、常見誤解

常見誤解	正確觀念
GuardDuty 是掃毒軟體	不是。GuardDuty 是分析 Log 與行為，找出可疑資安活動。
Inspector 跟 GuardDuty 一樣	不一樣。Inspector 找漏洞，GuardDuty 找可疑行為。
CloudTrail 是監控 CPU 的	不是。CloudTrail 是記錄 API 操作。
Macie 可以掃所有 AWS 資料	Macie 主要用來偵測 S3 裡的敏感資料。
Security Hub 會取代 GuardDuty	不會。Security Hub 是集中平台，GuardDuty 是安全發現來源之一。
Root user 可以日常使用	不建議。Root user 權限太大，應該只在必要時使用。