需要遵循的 13 個 AWS 安全最佳實踐

Amazon Web Services (AWS) 等主要雲端平台使組織能夠利用可擴展且靈活的運算基礎設施，而價格僅為內部類似部署成本的一小部分。然而，雖然組織很快就採用了基於雲端的基礎設施的使用和好處，但雲端資安往往落後，導致廣泛的雲端資料外洩和其他雲端資安事件。填補這些知識空白對於保護您組織的 AWS 部署免受網路威脅至關重要。

在這裡，我們將討論實現強大的AWS 安全性的最佳實踐，同時在 AWS 和公有雲端環境中建立和維護一致的安全態勢。此 AWS 安全最佳實踐清單提供了保護 AWS 雲端的最新指南。

AWS 安全評估 Download Report

AWS 安全中的常見挑戰

許多組織都在努力為雲端環境實施強大的網路安全。確保雲端基礎設施安全的四個最常見的挑戰是：

了解責任：雲端服務供應商 (CSP) 定義了一個共享責任模型，該模型概述了哪些安全責任屬於 CSP、哪些安全責任屬於雲端客戶以及哪些安全責任在他們之間共享。缺乏對這種模型的理解可能會產生安全缺口，從而造成網路安全風險並使組織及其資料面臨攻擊。組織必須了解其 CSP 的共同責任模型，並制定履行其責任的策略，以最大限度地降低雲端中的風險。
保持可見性：許多組織擁有多個雲端部署，而組織經常遭受「影子 IT」的困擾，即員工在沒有 IT 知識的情況下設定雲端部署。這兩個因素都使 IT 團隊很難確定他們需要監控的內容。此外，雲端資產快速、大規模地配置和退役，使得雲端資產的追蹤和管理變得困難。

在雲端中，組織無法控制其底層基礎設施，這使得維持可見性的傳統方法（存取日誌檔案、使用端點資安解決方案等）在許多情況下無法使用。這迫使他們依賴雲端服務提供者提供的解決方案，而這些解決方案因提供者而異，因此很難保持對組織所有基於雲端的環境的一致可見性。公司需要利用可以部署在任何雲端環境中的安全解決方案，並且可以檢測組織的所有基於雲端的資產並提供一致的可見性。

滿足合規性要求：大多數公司都受到許多不同法規的約束，這些法規規定了敏感的客戶資訊應如何儲存並防止未經授權的存取和洩露。在雲端中，公司對其底層基礎設施沒有可見性或直接控制權，實現、維護和證明合規性可能會更加複雜。組織必須確定其數位基礎設施的監管要求，確保其選擇的雲端服務符合適用法規的要求，並確保其自己的雲端工作負載和資產符合這些要求。
執行一致的安全性策略：雲端環境都有自己的安全性配置，大多數組織至少有兩個不同的公有雲。這使得在所有環境中執行一致的安全性策略變得更加困難，因為網路安全人員必須為每個未整合的環境單獨配置和維護設定。執行一致的安全策略需要部署一個統一的安全管理平台，該平台能夠與組織所有基於雲端的部署的基於雲端的安全解決方案進行互動和控制。

AWS 安全最佳實踐

在雲端中實現強大的網路安全似乎令人畏懼，但這並非不可能。透過遵循此 AWS 安全最佳實務清單，可以提高 AWS 部署的安全性。

確定安全要求

1. 在 AWS 中定義和分類資產：不可能保護您不知道存在的系統。提高 AWS 部署安全性的第一步是識別您擁有的資產，並根據其用途將它們分類。

2. 為資料和應用程式建立分類：識別所有 AWS 資產後，應根據相關資料和功能的敏感度和重要性為每個資產或資產類別分配安全分類。這些分類有助於確定每項資產所需的保護等級和特定安全控制。

部署旨在解決雲端資安挑戰的解決方案

與傳統的本地環境相比，基於雲端的基礎設施需要不同的安全方法和工具。部署專為雲端設計的安全解決方案對於有效保護組織的 AWS 部署至關重要：

3. 管理雲端存取：限制對基於雲端的基礎設施的存取至關重要，因為可以直接存取基於雲端的資源，而無需透過組織的現有網路邊界（以及部署在那裡的安全堆疊）發送流量。

4.使用雲端原生安全解決方案：在雲端資安最近的報告中，82%的受訪者認為傳統安全解決方案要麼根本不起作用，要麼功能有限。雲端原生安全解決方案最適合保護雲端資產。此外，部署雲端原生安全解決方案將安全功能置於其要保護的資產旁邊，並確保安全解決方案在其部署環境中以最佳方式運作。

5. 保護您的所有邊界並分段一切：本地安全只有一個邊界：與外部世界的網路連接。雲端資安有多個邊界：每個雲端原生服務都有一個或多個邊界。組織需要確保所有邊界都受到保護，包括南北和東西流量。此外，雲端工作負載的分段和分離得越好，就越容易控制違規的影響。

在整個 AWS 部署中保持一致的安全狀況

Amazon 提供多種不同的內建安全配置和工具，可協助保護其 AWS 客戶免受網路威脅。正確配置這些設定是確保整個組織的 AWS 部署保持一致的雲端資安狀態的重要組成部分：

6. 管理 AWS 帳戶、IAM 使用者、群組和角色：身分和存取管理 (IAM) 是雲端運算的首要任務，因為基於雲端的基礎設施可以直接從公共互聯網存取。實施最小權限原則（即僅授予使用者完成其工作所需的存取和權限）對於最大限度地減少組織基於雲端的基礎設施內發生資料外洩或其他網路安全事件的可能性至關重要。

7. 管理對 Amazon EC2 執行個體的存取：有權存取組織EC2 執行個體的攻擊者可能會嘗試存取現有應用程式中的敏感資料或功能，或引入新的惡意應用程序，例如浪費或濫用組織租用運算能力的加密貨幣礦工。為了最大限度地降低組織 AWS 部署中的網路安全風險，有必要根據最小權限原則控制對 EC2 的存取。

保護 AWS 工作負載

組織越來越多地使用無伺服器和容器化部署來實施基於雲端的微服務。這些獨特的架構需要根據其需求量身定制安全性，例如雲端工作負載保護：

8. 為無伺服器和容器實施雲端工作負載保護：雲端基礎架構中的微服務工作負載需要與傳統應用程式不同的安全解決方案。部署雲端工作負載保護（包括可觀察性、最小權限執行和威脅防護功能）對於最大限度地減少對容器化、無伺服器和其他微服務的潛在網路威脅至關重要。

實施主動雲端資安

許多組織實施反應式網路安全偵測策略，僅在網路威脅在其網路中活躍時才做出回應。然而，這會延遲事件回應活動，從而使組織面臨風險。組織可以採取幾個步驟在其基於雲端的基礎設施中實施更主動的安全預防：

9. 訂閱威脅情資供稿： 威脅情資為當前和持續的網路威脅提供有價值的資訊和妥協指標。訂閱威脅情報來源並將其整合到組織基於雲端的安全解決方案中可以幫助及早識別和阻止潛在的網路威脅。

10. 在 AWS 中執行威脅追蹤：基於識別和回應正在進行的攻擊的完全反應式網路安全策略使組織面臨風險。當攻擊被識別時，攻擊者可能已經可以存取組織的基於雲端的基礎設施，並正在竊取資料或造成其他損害。執行主動威脅搜尋，即網路安全分析師尋找潛在入侵其網路的跡象，使組織能夠識別並修復那些在未被偵測到的情況下繞過網路安全防禦的威脅。這需要深入了解組織的雲端基礎設施，並需要存取威脅情報來源和自動化資料分析，以實現可擴展和有效。

11. 定義事件回應政策和程序：許多組織都有現有的網路安全政策和程序。然而，這些策略和程序可能是為本地環境設計的，在本地環境中，他們可以完全了解並控制其網路基礎設施的每個組件。更新和調整這些策略以解決本地部署和基於雲端的部署之間的差異對於有效回應組織基於雲端的部署中的網路安全威脅至關重要。

確保監管合規

大多數組織都受到許多法規的約束，這些法規定義了他們需要如何保護其擁有的敏感客戶資料。這些法規也適用於組織的雲端基礎設施，因此組織應採取措施協助確保在雲端中持續符合這些法規：

12. 確保安全控制的可見性：資料保護法規通常規定組織擁有一系列安全控制，以保護敏感資料免受特定攻擊媒介的侵害。合規要求能夠確保安全控制持續可見並驗證其正常工作；這也將改善組織的安全狀況並降低網路安全風險。

13. 持續驗證合規：除了確保組織保持對所需安全控制的可見性之外，驗證組織的安全部署是否符合適用法規的需求也很重要。這包括審查適用的法規和組織的基於雲端的基礎設施，以及識別和消除任何已識別的安全漏洞。

建置有效的 AWS 安全性策略

雲端資安需要與傳統的本地環境不同的實踐和工具。組織必須調整其安全方法，以適應基於雲端的部署的動態和敏捷特性，並選擇雲端原生安全解決方案，以最大限度地保護其 AWS 部署免受網路威脅。

改善組織雲端資安的第一步是識別現有的安全缺口，這可能使其容易受到攻擊。此自助評估包括審核 100 多項合規性要求的完整安全性報告、檢查 AWS 部署中的安全性配置錯誤、提供完整的 AWS 資產清單，並產生用於修復任何已識別問題的優先操作清單。

此外，您可以使用此即時雲端網路安全評估，該評估會向您發送一份有關您針對高階雲端網路安全威脅的脆弱性的報告。或在完成此評估後，限時 Check Point 將向您發送 100 美元的 AWS 積分。

在確定組織目前 AWS 安全狀況的潛在差距和問題後，下一步就是填補這些差距。 Check Point 提供雲端原生解決方案，可協助您的組織實現雲端資安自動化，提供全面的雲端保護並最大限度地發揮組織安全團隊的影響力。歡迎您聯絡我們，了解有關我們如何協助保護您的 AWS 部署的更多信息，並請求演示以了解 Check Point CloudGuard 的實際應用程式。