Key Points: AWS Security Overview: AWS prioritizes security as fundamental, providing robust infrastructure and services. Trusted by international organizations, including the U.S. Department of Defense, GE, and pharmaceutical companies like AstraZeneca. Shared Responsibility Model: AWS follows the Share Responsibility Model, where AWS manages security of the cloud infrastructure, while customers are responsible for security in the cloud. Responsibilities vary depending on the service used, with AWS handling foundational security. Security Services: IAM (Identity and Access Management) for controlling user access and permissions. Detection and monitoring tools like CloudTrail, CloudWatch, GuardDuty, and Inspector for threat detection and prevention. Data protection through encryption using services like KMS (Key Management Service) and ACM (Certificate Manager). Infrastructure Protection: DDoS protection with Shield Standard and advanced features with Shield Advanced. Network controls using Security Groups and NACLs (Network Access Control Lists). WAF (Web Application Firewall) for protecting against Layer 7 attacks. Additional Security Services: Trusted Advisor for cost-effectiveness, performance, and security recommendations. AWS Detective for in-depth investigation of security events. Compliance reports for various standards (SOC, PCI DSS, ISO, GDPR) to ensure regulatory adherence. AWS Contributions to Community: AWS provides a secure and reliable cloud computing environment, contributing to the overall cybersecurity landscape. Shared best practices and security models that empower organizations to enhance their security posture. Continuous innovation and updates in security services to address evolving threats, benefiting the broader community.

1. Copyright © CKmates. All rights reserved
AWS 雲端環境的資安佈局
講師:Tony Chung

2. 目錄
CO NTENTS
2
Copyright © CKmates. All rights reserved
1.
AWS Security Overview
2.
• Identity and Access Management
• 偵測控制
• 資料保護
• 基礎設備保護
3.
額外資安保護

3. 3
Copyright © CKmates. All rights reserved
1.
AWS Security Overview

4. 4
Copyright © CKmates. All rights reserved
近期資安事件:反思雲端資安重要性
資料來源:iThome

5. 5
Copyright © CKmates. All rights reserved
在AWS，雲端資安排序是第0順位
所有 AWS 的客戶都受益於為滿足對安全最敏感的組織的要求而構建的數據中心和網路架構。

6. 6
Copyright © CKmates. All rights reserved
AWS 資安深受國際大廠肯定
Where would some of the world’s top security people like
to work? At scale on huge challenges with huge rewards
So AWS has world-class security and compliance teams
watching your back!
Every customer benefits from the tough scrutiny of other
AWS customers

7. 7
Copyright © CKmates. All rights reserved
過往客戶在地端需要負起全權管理責任
On-Premise Responsibility
Traditional on-premises security model

8. 8
Copyright © CKmates. All rights reserved
AWS責任共擔模型(Share Responsibility Model)
On-Premise Responsibility
Traditional on-premises security model

9. 9
Copyright © CKmates. All rights reserved
責任歸屬會隨著使用服務不同而變動
硬體/AWS 全球基礎設施
運算 / 儲存 / 資料庫 / 網路
用戶端資料加密/一致性
伺服器端加密
網路流量防護
作業系統、網路、防火牆配置
平台及應用程式管理
客戶資料
AWS責任
客戶責任
基礎設備
服務
越客製化
+
越多的客戶責任
少客製化
+
越少的客戶責任
+
內建越多的
最佳實踐
EC2 RDS KMS Dynamo DB
S3
用戶端資料加密
網路流量防護
防火牆配置
作業系統、網路、防火牆配置
平台及應用程式管理
客戶資料
硬體/AWS 全球基礎設施
運算 / 儲存 / 資料庫 / 網路
AWS責任
客戶責任
AWS託管
服務
AWS抽象化
服務
用戶端資料加密
網路流量防護
作業系統、網路、防火牆配置
平台及應用程式管理
客戶資料
硬體/AWS 全球基礎設施
運算 / 儲存 / 資料庫 / 網路
AWS責任
客戶責任
伺服器端加密

10. 10
Copyright © CKmates. All rights reserved
AWS 資安合規相關服務
AWS Identity and Access
Management (IAM)
AWS Single Sign-On
AWS Organizations
AWS Directory Service
Amazon Cognito
AWS Resource Access
Manager
AWS Security Hub
Amazon GuardDuty
Amazon Inspector
Amazon CloudWatch
AWS Config
AWS CloudTrail
VPC Flow Logs
AWS IoT
Device Defender
AWS Firewall Manager
AWS Network Firewall
AWS Shield
AWS WAF
Amazon VPC
AWS PrivateLink
AWS Systems Manager
Amazon Macie
AWS Key Management
Service (KMS)
AWS CloudHSM
AWS Certificate Manager
AWS Secrets Manager
AWS VPN
Server-Side Encryption
Amazon Detective
Amazon EventBridge
AWS Backup
AWS Security Hub
AWS Elastic Disaster
Recovery
基礎設施保護 事件回應
身分與存與管理
AWS Artifact
AWS Audit Manager
Amazon CloudWatch
AWS CloudTrail
AWS Config
AWS Security Hub
AWS Systems Manager
資料保護 隱私與合規
偵測控制

11. 11
Copyright © CKmates. All rights reserved
2-1.
Identity and Access
Management

12. 12
Copyright © CKmates. All rights reserved
AAA with AWS
Authenticate
IAM Username/Password
Access Key
(+ MFA)
Federation
Authorize
IAM Policies
Audit
CloudTrail

13. 13
Copyright © CKmates. All rights reserved
IAM 相關管理服務
跨AWS服務的使用者
許可權和資源的定義、
執行和審核
身分與存取管理
Securely manage access to AWS services and resources
Centrally manage SSO access to multiple AWS accounts
and business apps
Managed Microsoft Active Directory in AWS
Add user sign-up, sign-in, and access control to your web and
mobile apps
Policy-based management for multiple AWS accounts
Simple, secure service for sharing AWS resources

14. 14
Copyright © CKmates. All rights reserved
AWS 存取帳號身分層級
• 能夠存取特定服務
• 能夠存取AWS Console或是API
• 能夠存取客戶支援(Business and Enterprise).
IAM Users, Groups and Roles
• 能夠存取特定服務
• 能夠存取AWS Console或是API
Temporary Security Credentials
• 擁有最大權限
• 能夠存取所有AWS服務
• 能夠更改帳戶設定、AWS support plan以及關閉帳戶
• 不建議直接使用
Account Owner ID (Root Account)

15. 15
Copyright © CKmates. All rights reserved
AWS 身分驗證(Authenticate)
AWS Management Console
透過帳號/密碼進行登入
並可以綁定MFA (極度推薦)
For time-limited access: a Signed URL can provide
temporary access to the Console
API access
透過 Access Key + Secret Key 存取
API,並可以綁定MFA
ACCESS KEY ID
Ex: AKIAIOSFODNN7EXAMPLE
SECRET KEY
Ex: UtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
For time-limited access: Call the AWS Security Token
Service (STS) to get a temporary AccessKeyId +
SecretAccessKey + SessionToken
驗證: 我們怎麼知道你是你所說的那個人？

16. 16
Copyright © CKmates. All rights reserved
AWS 授權(Authorization)
授權: 你能夠做到什麼事情?
Account Owner (Root)
• 有權限能執行所有動作
IAM 原則(Policies)
• 在用戶和資源級別定義的權限
註記: root account一定要綁定MFA才能確保您的帳號
是在安全的狀態下

17. 17
Copyright © CKmates. All rights reserved
2-2.
偵測控制

18. 18
Copyright © CKmates. All rights reserved
CloudTrail
CloudTrail 提供您的 AWS帳號活動的事件歷史記錄，包括
透過 AWS Console、AWS SDK、CLI和其他 AWS 服務執
行的API操作。
Who? When? What? Where to? Where from?
Bill 3:27pm Launch Instance us-west-2 72.21.198.64
Alice 8:19am Added Bob to
admin group
us-east-1 127.0.0.1
Steve 2:22pm Deleted
DynamoDB
table
eu-west-1 205.251.233.17
6

19. 19
Copyright © CKmates. All rights reserved
CloudWatch
• Amazon CloudWatch 是一項針對雲端資源或應用
程式進行監控的服務。
• 可以透過Amazon CloudWatch對雲上服務或主機
內自定義的數值來收集和追蹤指標、收集和監控日
誌檔以及設定警示。
How can you use it?
對應用程式OS日誌事件和可用性做出反應
告警/Auto Scaling 觸發
查看運行狀態並識別問題
CPU, 記憶體, 硬碟 I/O, 網路
CloudWatch Logs / CloudWatch Events
CloudWatch Alarms
CloudWatch Dashboards
CloudWatch Metrics

20. 20
Copyright © CKmates. All rights reserved
AWS資源組態管理-Config
• AWS Config 是全受管的服務，為您持續提供 AWS 資源清單、組態和變更的歷史資訊和通知
• 可以透過設定規則來對AWS環境上各種資源的操作(例如儲存空間檔案公開設定、流量防火牆、
Tag規範)進行規範，若不合規範就會及時通知以利持續稽核與合規

21. 21
Copyright © CKmates. All rights reserved
智慧威脅偵測-GuardDuty
• 監控VPC Flow Logs、 AWS CloudTrail logs、 CloudTrail S3 資料事件logs、DNS logs、EC2、
Container
• 透過機器學習以及列出已知危險IP的方式來幫你找出未經授權的活動
• 針對問題嚴重等級進行分類，並列出問題調查結果

22. 22
Copyright © CKmates. All rights reserved
系統漏洞掃描-Inspector
• 自動發現工作負載，例如 Amazon EC2 執行個體、容器和 Lambda 函數，並且加以掃描以得知軟
體弱點和意外網路公開
• 使用最新的常見漏洞和風險 (CVE) 資訊，結合網路可存取性等因素來建立以內容為基礎的風險評分

23. 23
Copyright © CKmates. All rights reserved
Security Hub
• 能彙整所有資安指標，例:GuardDuty security、
Inspector Finding、第三方資安產品，進一步達到合
規需求
• 透過國際合規認證的規範來檢查是否偏離資安的最佳
實踐
• 透過圖表化形式呈現Security Findings

24. 24
Copyright © CKmates. All rights reserved
2-3.
資料保護

25. 25
Copyright © CKmates. All rights reserved
資料加密種類
靜態資料
儲存空間加密
動態資料
網路傳輸加密
TLS

26. 26
Copyright © CKmates. All rights reserved
靜態資料加密-AWS KMS
• AWS KMS 讓您可以跨應用程式建立、管
理和控制加密金鑰
• AWS KMS 已整合到 100 多項 AWS 服務
中以加密敏感資料並建立數位簽章
全託管
安全
集中控制
稽核及監控使用
隨需付費
原生整合AWS
加密及解密資料

27. 27
Copyright © CKmates. All rights reserved
網路傳輸加密-ACM
• AWS Certificate Manager (ACM) 可讓您輕鬆佈建、管理和部
署能與 AWS 服務和您的內部連線資源搭配使用的公有與私有
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
憑證
• 透過 AWS Certificate Manager 佈建且專門使用於 ACM 整合
式服務的公有與私有憑證無須付費（僅可與CloudFront、Load
Balancer、API Gateway等服務進行整合）

28. 28
Copyright © CKmates. All rights reserved
2-4.
基礎設備保護

29. 29
Copyright © CKmates. All rights reserved
AWS Shield
• AWS DDoS防禦服務，能夠協助防禦L3、4、
7攻擊
• AWS原生就有啟用Shield Standard進行基
礎DDoS防護
• 可進一步啟用Shield Advanced 進行深度防
禦，透過AI/ML模型判別惡意流量並進阻擋
• 啟用Shield Advanced後，AWS SRT團隊會
提 供 您 7/24 全 天 候 協 助 ， 與 您 共 同 解 決
DDoS問題

30. 30
Copyright © CKmates. All rights reserved
AWS Shield Advanced report
• 偵測以及緩解指標
• 對資源的請求總數
• 被阻擋的請求數量
• 特定事件的時間點
• 攻擊手法識別
• 會根據來源IP、國家、URL、
• user agent以及轉發列出前五大攻
擊手法
• 與CloudWatch整合

31. 31
Copyright © CKmates. All rights reserved
Instance level 防火牆:Security Group
• 在Instance base相關服務，例如:EC2、RDS，外層進行傳入/出流量控制，可限制來源以及
port類型
• Stateful 防火牆，未開啟視為拒絕

32. 32
Copyright © CKmates. All rights reserved
Subnet level防火牆:NACL
• 網路存取控制清單 (ACL) 是 VPC 中的選用安全層，可控制VPC中個子網路的傳入和傳出流量
• 作用於網路層級，可以使用白名單或黑名單的方式進行整個雲端網路環境的流量控管

33. 33
Copyright © CKmates. All rights reserved
AWS WAF
• 阻擋掉帶有HTTP/HTTPS開頭的L7攻擊，Ex:
SQL Injection, XSS
• 結合 Amazon CloudFront, Amazon API
Gateway, Application Load Balancer一起
使用
• 可透過AWS代管規則或是第三方資安公司
提供的規則來進行阻擋/允許
• 可監控、封鎖機器人、封鎖來源國家IP或是
限制速率

34. 34
Copyright © CKmates. All rights reserved
3.
額外資安保護

35. 35
Copyright © CKmates. All rights reserved
AWS Trusted Advisor
分析您的 AWS 資源以獲得可用性、成本、性能和安全性的最佳實踐。

36. 36
Copyright © CKmates. All rights reserved
AWS Detective
• Detetive能夠幫助你調查資安事件發生的根本原因，透過機器學習、統計以及圖表
• 從以時間單位為基礎的服務，找出資安問題的模式、受影響的項目以及超出你規定的活動

37. 37
Copyright © CKmates. All rights reserved
滿足各產業的合規性報告
VPAT
Section 508
G-Cloud
FERPA
SEC Rule
17a-4(f)
SOC 1 SOC 2 SOC 3 CJIS
GxP
My Number
Act

38. 38
THANK YOU
Copyright © CKmates. All rights reserved
CKmates
CKmates漫步雲端
02-7729-0880
info@ckmates.com