SEC 1: 如何安全地操作工作負載？

若要安全地操作工作負載，您必須將總體最佳實務套用到每個安全領域。採用您在組織和工作負載層級所定義的卓越營運要求和程序，將這些要求和程序套用到所有領域。透過 AWS 和產業建議與威脅情報持續取得最新資訊，可協助您發展威脅模型和控制目標。自動化安全程序、測試和驗證可讓您擴展安全操作。

資源

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

最佳實務:

• 使用帳戶區隔工作負載: 根據函數或一組常用的控制項，在個別的帳戶和群組帳戶中管理工作負載，而不是複製公司的報告結構。先從安全與基礎設施開始，讓您的組織隨著工作負載的成長設定常見的防護機制。

• 安全的 AWS 帳戶: 例如，透過啟用 MFA 和限制根使用者的使用，來保護帳戶的存取權，並設定帳戶聯絡人。

• 識別和驗證控制目標: 根據合規要求以及從威脅模型識別的風險，獲得並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證，可協助您測量風險降低的有效性。

• 及時了解安全威脅: 透過隨時得知最新安全威脅來辨識攻擊媒介，協助您定義並實作適當的控制。

• 及時了解安全建議的最新資訊: 隨時掌握 AWS 和產業安全建議的最新資訊，以發展工作負載的安全狀態。

• 自動化管道中安全控制的測試和驗證: 為安全機制建立安全的基準和範本，這些機制會在建置、管道和程序中進行測試和驗證。使用工具和自動化，持續測試和驗證所有安全控制。例如，掃描機器圖像和基礎設施即程式碼範本，檢查是否有安全漏洞、異常和偏離各階段既定基準。

• 使用威脅模型識別風險並確定優先級: 使用威脅模型來識別和維護對潛在威脅的最新紀錄。排定威脅的優先順序並調整安全控制，以防止、偵測和回應威脅。在不斷演變的安全形勢下，重新審視和維護此事項。

• 定期評估和實作新的安全服務和功能: AWS 和 APN 合作夥伴會持續發佈新的功能和服務，讓您發展工作負載的安全狀態。

改進方案

使用帳戶區隔工作負載

使用 AWS Organizations: 使用 AWS Organizations 為多個 AWS 帳戶集中執行以策略為基礎的管理。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

考慮使用 AWS Control Tower: AWS Control Tower 可讓您根據最佳實務，輕鬆設定和管控全新、安全的多帳戶 AWS 環境。
AWS Control Tower

安全的 AWS 帳戶

使用 AWS Organizations: 使用 AWS Organizations 為多個 AWS 帳戶集中執行以策略為基礎的管理。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

限制 AWS 根使用者的使用: 僅使用根使用者來執行特別需要的任務。
AWS Tasks That Require AWS Account Root User Credentials

為根使用者啟用 MFA: 如果 AWS Organizations 沒有為您管理根使用者，請在 AWS 帳戶根使用者上啟用 MFA。
Lab: AWS account and root user
Root user

定期變更根使用者密碼: 變更根使用者密碼可降低使用已儲存密碼的風險。如果您沒有使用 AWS Organizations，而且任何人都有實體存取權，則尤為重要。
Changing the AWS account root user password

使用 AWS 帳戶根使用者時發出通知: 自動收到通知會降低風險。
How to receive notifications when your AWS account's root access keys are used

限制對新增區域的存取。: 對於新的 AWS 區域，IAM 資源 (例如使用者和角色) 只會傳播到您啟用的區域。
Setting permissions to enable accounts for upcoming AWS Regions

考慮使用 CloudFormation StackSets: CloudFormation StackSets 可用於將資源 (包括 IAM 政策、角色和群組) 從核可的範本部署到不同的 AWS 帳戶和區域中。
Use CloudFormation StackSets

識別和驗證控制目標

確定合規要求: 發現您的工作負載務必遵守的組織、法律和合規要求。

確定 AWS 合規性資源: 確定 AWS 可用於協助您達成合規的資源。
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

及時了解安全威脅

訂閱威脅情報來源: 定期從多個來源檢閱與工作負載中使用的技術相關的威脅情報。
Common Vulnerabilities and Exposures List

考慮使用 AWS Shield Advanced 服務: 如果您的工作負載可透過網際網路存取，它可提供近乎即時的情報來源可見性。
AWS Shield

及時了解安全建議的最新資訊

關注 AWS 更新: 訂閱或定期查看新的建議、秘訣和技巧。
AWS Well-Architected Labs
AWS security blog
AWS service documentation

訂閱產業新聞: 定期在多個來源檢閱與工作負載中使用技術相關的新聞摘要。
Example: Common Vulnerabilities and Exposures List

自動化管道中安全控制的測試和驗證

自動化組態管理: 透過使用組態管理服務或工具，來自動執行和驗證安全組態。
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

使用威脅模型識別風險並確定優先級

建立威脅模型: 威脅模型可協助您識別和解決潛在的安全威脅。
NIST: Guide to Data-Centric System Threat Modeling

定期評估和實作新的安全服務和功能

規劃定期審查: 建立一個審查活動行事曆，其中包含合規要求、對新的 AWS 安全功能和服務的評估以及最新的產業新聞。

發現 AWS 服務和功能: 發現可用於您正在使用的服務的安全功能，並在新功能發佈時檢閱這些功能。
AWS security blog
AWS security bulletins
AWS service documentation

定義 AWS 服務的採用程序: 定義採用新 AWS 服務的流程。包含您如何評估新 AWS 服務的功能，以及工作負載的合規要求。

測試新的服務和功能: 在緊密複寫生產服務的非生產環境中發佈新服務和功能時，請對其進行測試。

實作其他防禦機制: 實作自動化機制以保護您的工作負載，探索可用的選項。
Remediating non-compliant AWS resources by AWS Config Rules