AWS 架構安全評估工具 — AWS Well-Architected Tool
雲端服務的應用越來越多,雲端架構安全是近幾年所被重視的議題之一,但我們要如何執行安全評估呢?那就推薦大家試試看原廠的架構完善框架 (AWS Well-Architected )!
什麼是 AWS Well-Architected ?
AWS Well-Architected 協助雲端架構師建置安全、高效能、有彈性又有效率的各種應用程式和工作負載基礎設施。以五大架構支柱為基礎,即卓越營運、安全性、可靠性、效能達成效率、成本優化和永續發展,AWS Well-Architected 為客戶與合作夥伴提供一致的方法來評估架構,以及實作可擴展的設計。
AWS Well-Architected — 建立安全、有效率的雲端應用程式 (amazon.com)
在 Well-Architected 內有探討關於 Security 的一些設計原則,你應該要開啟的功能來確保你的架構是安全的,蠻多題目背後的意義都是非常基本的資安概念,官方也出了一些 Lab 教學文件,對不熟雲端資安從業人員來說非常親民,如果對於資安的基本原則不熟悉,在架構上我們可以參考 Design Principles、Best Practices 等要求去完成雲端安全架構評估,當然一個架構評估還可以延伸很多細節,不僅僅只有 Well-Architected 內容 ,但初期可以先從這一份做個自我檢視。
實際畫面
在介面上輸入 Well-Architected 應該就可以找到這個評估工具
照著步驟設定就能看到題目,非常容易!
依據你的回答,可以產出風險報告給使用者,這個工具不僅僅只有雲端安全架構師能用,自我評估也非常好用!
AWS Well-Architected Labs
官方很佛心的提供實際的操作文件給使用者,可以照著操作,避免不熟悉導致操作錯誤,但實際上你可能會有其他解決方案能夠做到相同的目的,Lab 當作參考即可!
Operational Excellence :: AWS Well-Architected Labs (wellarchitectedlabs.com)
依據Root User可以存取全部的資源,這是我們要對 Root 帳號做安全上的強化
下圖為真實的畫面截圖,如果沒有設定MFA的話就會有告警,同時能夠照著Lab教學完成安全設定
學習雲端安全?
雲端安全管理同樣需要學習雲端技術才會讓實務作法討論上會比較落地,要做好雲端安全這件事並不容易!需要技術解與管理解雙管齊下,而且雲端上和地端上的處理方式又有很多不同之處,組織僅僅考慮「功能」、「解決方案」其實很難完整並解決資安議題的根因,我們必須透過 Top-Down 去評估組織架構、管理程序、資安原則等議題。
例如雲端上的資安事件處理、數位鑑識、資料分散議題又和熟悉地端處理方式有些落差,這些是可以透過 LAB 或三大雲認證去了解一些實務上細節做法。
雲端安全要有管理思考外,有雲端平台的操作經驗會比較能與工程師一同解決實務上問題,而工程師需跳脫產品的安全功能,回到第三方(不以產品角度)的管理面角度去想發生的原因與管理程序是否出現問題。
對於技術人來說,雲端管理思維的建立可以透過 ISC2 CCSP 證照去驅動學習,如果不想考試也沒關係,我同樣非常推薦去讀 CCSP CBK、CISSP、CISM 的教材,幫助你建立整個安全管理的架構思維,如果具有相當實務經驗的雲端從業者去學習 CCSP,在雲端安全上是可以夠結合的非常棒!
而純管理背景或沒操作過雲服務的資安人員在實務探討上會比較辛苦,要精進 API Security、Container、Network Architecture 、Incident Response 、CICD 等重要相關主題,也要具有資安基本功(基本功建立:CISSP / CISSP CBK 教材 )!由於三大雲幾乎是市場主流,面對開發人員時需要具備基本概念,所以 AWS 是我少數推薦可以去考的廠商證照( Cisco 也是 ),否則以資安領域來說,非特定廠商證照大部分是比較好的選擇。
我不是專職在做雲端架構的工程師,本篇為資安有關的不專業分享,如果以上資訊有誤,歡迎你寄信給我提供您的意見!
Cloud Computing
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
- 雲端網路存取控制規則檢視-官方指令彙整(Azure NSG, AWS Security Group/NACL ,GCP Firewall)
- Amazon Bedrock 試用心得 — 安全的在雲端上使用生成式 AI
- [GCP] 部署 Docker 應用至 Cloud Run 並使用 IAP 驗證登入
- 使用AWS CloudFront 的原始存取控制(OAC)建立安全的 S3 靜態網站
- AWS 架構安全評估工具 — AWS Well-Architected Tool
- 遠距辦公與資料保護 — 使用 AWS WorkSpaces 虛擬桌面服務
- Amazon CodeGuru Security: Your Code Review SAST Tool (靜態應用程式安全測試)
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- 關於我:https://kuronetwork.me/about/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
剛入行新手想增加全面的資安核心觀念,建議念 ISC2 的 CC (Cybersecurity Certification)證照,大推
ISACA 考試延伸參考:
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.2 — Certified CyberSecurity Certification ( CC)
個人背景
- ISC2 Taipei Chapter / 台灣國際認證資安專家協會 監事
- 甲方科技製造業與金融業
- 乙方四大會計師事務所x2 兼萬能工具人 — 資安顧問( 技術與管理都包)
- 資安評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外法規合規檢視、資安框架評估、縱深防禦架構評估、資訊安全機制評估與輔導、風險控制評估、雲端安全管理、新興科技
- 我什麼都有興趣,不挑技術與管理知識,也不挑領域,資安管理要懂很多,給出最適當的建議,不是 FYI 就把議題拋給其他單位!
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。