教學目標

初步了解 AWS 資訊安全之基本概念。

重點概念

首先 AWS 主要提供可擴展的雲端運算平台,旨在實現高可用性和高可靠性,提供讓客戶能夠運行各種應用程式的工具,並且保護系統和資料的機密性,完整性和可用性,更重要的是讓客戶好維護已經在正式環境運行的系統。而 AWS 雲端服務的基礎架構是最靈活和最安全的雲端運算環境之一,以利客戶能夠快速安全的部署應用程式和資料。其中 AWS 使用冗餘和分層控制,持續驗證和測試,以及大量自動化,以利確保底層基礎設施得到全天候監控和保護,並且 AWS 確保在每個新資料中心或服務中複製相關元件,以利讓所有 AWS 客戶皆能夠從資料中心和網路架構中受益,這些架構可滿足對於資訊安全敏感度最高要求的客戶,簡單來說,我們獲得一個彈性基礎架構,旨在實現高安全性,而無需使用資本支出和傳統資料中心的運營開銷。

接著 AWS 主要設定基礎架構的元件和提供用於增強安全性的服務和功能,像是身份和存取管理 (AWS Identity and Access Management, IAM) 服務就是用於管理 AWS 服務中使用者和權限控管,以利確保提供客戶安全的服務。為了確保提供安全服務,AWS 為每種不同類型的服務提供共享責任模型 (Shared Responsibility Model),在 AWS 共享責任模型下,其提供全面安全性基礎設施和基礎運算,儲存,網路和資料庫服務,以及更高層次的服務, AWS 提供一系列安全服務以及客戶可用於保護其資產的功能之外,還負責保護在雲端中資料的機密性、完整性和可用性,以及滿足特定業務需求資訊保護,為了理解有關資訊安全的共享責任模型,根據互動方式和存取功能的不同,我們將其分為三大類型,分別為:

  1. 基礎架構服務:主要包括運算服務和相關服務,像是 Amazon EC2、Amazon Elastic Block Store (Amazon EBS),Auto Scaling 和 Amazon Virtual Private Cloud (Amazon VPC),透過這些服務,我們將能夠使用與內部部署解決方案類似,並且基於兼容的技術來建立雲端基礎架構,同時我們能夠控制作業系統,並且設定和操作任何提供對於虛擬化使用者存取的身份管理系統。
  2. 容器服務:主要包括獨立的 Amazon EC2 或其他基礎架構上執行的容器服務,像是Amazon Relational Database Services (Amazon RDS)、Amazon Elastic Map Reduce (Amazon EMR) 和 AWS Elastic Beanstalk,請注意我們無法管理作業系統或平台,而是透過 AWS 為這些容器應用程式提供託管服務,至於我們僅需負責設定和管理網路控制,像是防火牆規則和管理平台中的使用者存取。
  3. 抽象服務:主要包括儲存服務,資料庫服務和訊息服務,像是 Amazon Simple Storage Service (Amazon S3)、Amazon Glacier、Amazon DynamoDB、Amazon Simple Queuing Service (Amazon SQS) 和 Amazon Simple Email Service (Amazon SES),這些抽像服務能夠在 AWS 平台建立和執行雲端應用程式,並且我們能夠透過 AWS API 存取這些抽象服務的端點,此時 AWS 主要管理底層服務元件和作業系統,我們共享底層基礎架構,至於抽象服務提供了一個多租戶平台,以安全的方式隔離資料,並且提供與強大的使用者存取。

當然我們更能夠透過共享責任模型在 AWS 中設計資訊安全管理系統 (Information Security Management System, ISMS),以利與客戶共同努力實現資訊安全的目標,像是協助客戶的企業通過 ISO 27001 標準認證。

再來 AWS 有責任共享合規性,透過以治理為中心,以及完善的稽核服務功能與適合的合規性標準整合在一起,也就是 AWS Compliance 主要以傳統應用程式為基礎,協助客戶在AWS 安全的控制環境中建立和營運系統,同時為客戶提供的 IT 基礎架構的設計和管理已經符合資訊安全最佳實務和各種安全標準,像是 ISO 27001、FIPS 140-2、CSA、PCI DSS、HIPAA、GDPR、… 等。此外客戶非常在乎隱私權與資料安全,此時透過 AWS 簡單、強大的工具,將允許我們決定儲存內容的位置、保護傳輸中和靜態內容的安全,以及管理使用者對 AWS 服務和資源的存取,讓我們完全擁有及控制內容的權限,同時 AWS 更負責實作複雜的技術與實體控制措施,旨在防止未經授權的存取或揭露客戶的資料內容。

最後 AWS 更提供無伺服器服務,像是 AWS Lambda,透過無伺服器服務將能夠處理更多的工作負載來實現可擴展性,效能和成本效率,而無需管理底層基礎架構,這些工作負載每秒可擴展到數千個並發請求,目前 AWS 客戶使用無伺服器服務用於每月處理數萬億個請求,從媒體和娛樂到金融服務和其他受監管產業的各種客戶皆注意到無伺服器服務。此外這些客戶除了非常關注透過最擅長的方式來縮短產品上市時間,優化成本、提高靈活性和有效率的進行運營業務之外,更注重資訊安全的管理,此時 AWS 對於無伺服器服務主要管理底層基礎架構和基礎服務,作業系統和應用程式平台,至於客戶僅需負責程式碼的安全性,敏感資料的儲存和存取以及同於無伺服器服務和函數內的身份和存取管理。

相關資源