AMS 中的資料保護 - AMS 進階使用者指南
Amazon MacieGuardDutyAmazon Route 53 Resolver DNS 防火牆AWS Certificate Manager (ACM) 憑證AMS 中的資料加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AMS 中的資料保護

AMS 會利用 Amazon GuardDuty、Amazon Macie (選用) 和其他內部專屬工具和程序等原生 AWS 服務,持續監控您的受管帳戶。觸發警示後,AMS 會承擔初始分類和警示回應的責任。我們的回應程序是以 NIST 標準為基礎。AMS 會定期使用安全事件回應模擬測試其回應程序,讓您的工作流程與現有的客戶安全回應計劃保持一致。

當 AMS 偵測到 或您的安全政策的任何違規 AWS 或即將發生的違規威脅時,我們會收集資訊,包括受影響的資源和任何組態相關變更。AMS 每週 365 天、每天 24 小時全年無休follow-the-sun支援,專門的運算子會積極審查和調查所有受管帳戶的監控儀表板、事件佇列和服務請求。AMS 會與我們的安全專家調查調查結果,以分析活動,並透過您帳戶中列出的安全呈報聯絡人通知您。

根據我們的調查結果,AMS 會主動與您互動。如果您認為活動未經授權或可疑,AMS 會與您一起調查並修復或包含問題。GuardDuty 會產生某些問題清單類型,要求您先確認影響,AMS 才能採取任何動作。例如,GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/ConsoleLogin 表示您的其中一個使用者已從異常位置登入;AMS 會通知您,並要求您檢閱調查結果以確認此行為是否合法。

Amazon Macie

AWS Managed Services 建議您使用 Macie 來偵測大量且完整的敏感資料清單,例如個人健康資訊 (PHI)、個人身分識別資訊 (PII) 和財務資料。

Macie 可以設定為在任何 Amazon S3 儲存貯體上定期執行,隨著時間的推移,自動評估儲存貯體中的任何新物件或修改物件。產生安全調查結果時,AMS 會通知您,並視需要與您合作進行修復。

如需詳細資訊,請參閱分析 Amazon Macie 調查結果

Amazon Macie 安全性

Macie 是一種人工智慧/AI 支援的安全服務,可透過自動探索、分類和保護存放在 AWS 中的敏感資料,協助您防止資料遺失。Macie 使用機器學習來識別敏感資料,例如個人身分識別資訊 (PII) 或智慧財產權、指派商業價值,並提供這些資料存放位置和組織中使用方式的可見性。Macie 會持續監控資料存取活動是否有異常,並在偵測到未經授權存取或意外資料外洩的風險時傳送提醒。Macie 服務支援 Amazon S3 和 AWS CloudTrail 資料來源。

AMS 會持續監控來自 Macie 的提醒,如果收到提醒, 會採取快速動作來保護您的資源和帳戶。隨著 Macie 加入 AMS 支援的服務清單,我們現在也負責根據您的指示,在所有帳戶中啟用和設定 Macie。您可以在 Macie 提醒和我們的動作在 AWS 主控台或支援的整合中展開時加以檢視。在帳戶加入期間,您可以指定用來存放 PII 的帳戶。對於具有 PII 的所有新帳戶,建議使用 Macie。對於具有 PII 的現有帳戶,請聯絡我們,我們將在您的帳戶中將其開啟。因此,您可以獲得多一層的保護,並享受 AMS 管理之 AWS 環境中 Macie 的所有優點。

AMS Macie FAQs

  • 當所有 AMS 帳戶都啟用 Trend Micro 和 GuardDuty 時,為什麼我需要 Macie?

    Macie 可協助您對 Amazon S3 中的資料進行分類、資料對業務具有的值,以及與該資料存取相關聯的行為,以協助您保護 Amazon S3 中的資料。Amazon GuardDuty 透過協助識別威脅行為者偵察、執行個體問題和有問題的帳戶活動等威脅,為您的 AWS 帳戶、工作負載和資料提供廣泛的保護。這兩種服務都整合了使用者行為分析、機器學習和異常偵測,以偵測其各自類別中的威脅。Trend Micro 不會專注於識別 PII 和來自它們的威脅。

  • 如何在我的 AMS 帳戶中開啟 Macie?

    如果您的帳戶中存放 PII/PHI,或打算存放 PII/PHI,請聯絡您的 CSDM 或提出服務請求,為 AMS 管理的新帳戶或現有帳戶啟用 Macie。

  • 在我的 AMS 帳戶中啟用 Macie 的成本影響是什麼?

    Macie 定價適用於類似 Amazon Elastic Compute Cloud (Amazon EC2) 等其他服務的 AMS。您根據用量和根據 SLAs 的 AMS 提升來支付 Amazon Macie。Macie 費用是根據用量而定,請參閱以 AWS CloudTrail 事件和 Amazon S3 儲存體為基礎的 Amazon Macie 定價。 Amazon S3 請注意,Macie 費用通常會在啟用後第二個月扁平化,因為它會根據新增至 Amazon S3 儲存貯體的增量資料收費。

若要進一步了解 Macie,請參閱 Amazon Macie

GuardDuty

GuardDuty 是一種持續的安全監控服務,使用威脅情報摘要,例如惡意 IP 地址和網域的清單,以及機器學習,以識別 AWS 環境中非預期和可能未經授權的惡意活動。這可能包括權限提升、使用公開的登入資料,或與惡意 IP 地址或網域通訊等問題。GuardDuty 也會監控 Amazon Web Services 帳戶存取行為是否有入侵跡象,例如未經授權的基礎設施部署,例如部署在從未使用過的區域中的執行個體,或是不尋常的 API 呼叫,例如變更密碼政策以降低密碼強度。如需詳細資訊,請參閱 GuardDuty 使用者指南

若要檢視和分析 GuardDuty 調查結果,請使用下列程序。

  1. 開啟 GuardDuty 主控台

  2. 選擇問題清單,然後選擇特定問題清單以檢視詳細資訊。每個調查結果的詳細資訊會根據調查結果類型、涉及的資源和活動的性質而有所不同。

如需可用調查結果欄位的詳細資訊,請參閱 GuardDuty 調查結果詳細資訊

GuardDuty 安全性

Amazon GuardDuty 提供威脅偵測,可讓您持續監控和保護您的 AWS 帳戶和工作負載。Amazon GuardDuty 會分析從您的帳戶產生的中繼資料連續串流,以及事件、Amazon VPC 流程日誌和網域名稱系統 (DNS) 日誌中找到 AWS CloudTrail 的網路活動。它還使用整合的威脅情報,例如已知的惡意 IP 地址、異常偵測和機器學習,以更準確地識別威脅。GuardDuty 是受監控的 AMS 服務。若要進一步了解 Amazon GuardDuty 監控,請參閱 GuardDuty 監控。若要進一步了解 GuardDuty,請參閱 Amazon GuardDuty

所有新的 AMS 帳戶預設都已啟用 GuardDuty。AMS 會在帳戶加入期間設定 GuardDuty。您可以隨時提交變更請求來修改設定。GuardDuty 定價適用於 AMS,類似於其他 服務,例如 Amazon Elastic Compute Cloud (Amazon EC2)。您需要根據用量和根據 SLAs 的 AMS 提升來支付 GuardDuty。GuardDuty 費用是根據用量 (Amazon GuardDuty 定價),根據 Amazon VPC Flow 日誌 AWS CloudTrail 的事件和數量來衡量。

針對 AMS 中的 GuardDuty,會啟用下列主要偵測類別:

  • Reconnaissance -- 建議威脅行為者進行偵察的活動,例如異常 API 活動、VPC 內連接埠掃描、失敗的登入請求異常模式,或從已知的不良 IP 探勘的未封鎖連接埠。

  • 執行個體問題 -- 有問題的執行個體活動,例如加密貨幣挖掘、使用網域產生演算法 (DGA) 的惡意軟體、傳出拒絕服務活動、異常大量的網路流量、異常網路通訊協定、與已知惡意 IP 的傳出執行個體通訊、外部 IP 地址使用的臨時 Amazon EC2 登入資料,以及使用 DNS 的資料外洩。

  • 帳戶活動 -- 帳戶活動的常見模式包括來自異常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 記錄、異常執行個體或基礎設施啟動、異常 AWS 區域中的基礎設施部署,以及來自已知惡意 IP 地址的 API 呼叫。

AMS 會在您的受管帳戶中使用 GuardDuty 來持續監控 GuardDuty 的調查結果和提醒,如果收到提醒,AMS 操作會採取主動動作來保護您的資源和帳戶。您可以在 GuardDuty 調查結果和我們的動作在 AWS 主控台或支援的整合中展開時加以檢視。

GuardDuty 可與帳戶中的 Trend Micro Deep Security Manager 搭配使用。Trend Micro Deep Security Manager 提供主機型入侵偵測/入侵防護服務。Trend Micro Web Reputation 服務與 GuardDuty 有一些重疊,能夠偵測主機何時嘗試與已知為威脅的主機或 Web 服務通訊。不過,GuardDuty 提供額外的威脅偵測類別,並透過監控網路流量來達成此目的,這是一種與 Trend Micro 主機型偵測互補的方法。以網路為基礎的威脅偵測,如果主機出現有問題的行為,則不允許控制失敗,從而提高安全性。AMS 建議您在所有 AMS 帳戶中使用 GuardDuty。

若要進一步了解 Trend Micro,請參閱 Trend Micro Deep Security Help Center;請注意,非 Amazon 連結可能會變更,恕不另行通知。

GuardDuty 監控

GuardDuty 透過產生 AMS 擷取且可發出提醒的安全調查結果,通知您 AWS 環境的狀態。

Amazon GuardDuty 會透過分析和處理 VPC 流程日誌、 AWS CloudTrail 事件日誌和網域名稱系統日誌,來監控 AWS 環境的安全性。您可以將 GuardDuty 設定為也使用您自己的自訂、信任 IP 清單和威脅清單,以擴展此監控範圍。

  • 信任的 IP 清單包含您已允許與 AWS 基礎設施和應用程式進行安全通訊的 IP 地址。GuardDuty 不會針對信任 IP 清單中的 IP 地址產生問題清單。在任何指定的時間內,您在每一個區域的每一個 AWS 帳戶中僅能上傳一份信任 IP 清單。

  • 威脅清單包含已知的惡意 IP 地址。GuardDuty 會根據威脅清單產生調查結果。在任何指定的時間內,您在每一個區域的每一個 AWS 帳戶中可以上傳六份威脅清單。

若要實作 GuardDuty,請使用 AMS CT 部署 | 監控和通知 | GuardDuty IP 組 | 建立 (ct-08avsj2e9mc7g) 來建立一組核准的 IP 地址。您也可以使用 AMS CT 部署 | 監控和通知 | GuardDuty 威脅 intel 集 | 建立 (ct-25v6r7t8gvkq5) 來建立一組遭拒的 IP 地址。

如需 AMS 監控的服務清單,請參閱 AMS 監控系統監控什麼?

Amazon Route 53 Resolver DNS 防火牆

Amazon Route 53 Resolver 會以遞迴方式回應來自公開記錄、Amazon VPC 特定 DNS 名稱和 Amazon Route 53 私有託管區域的 AWS 資源的 DNS 查詢,且預設可在所有 VPCs 中使用。使用 Route 53 Resolver DNS 防火牆,您可以篩選和調節 Virtual Private Cloud (VPC) 的傳出 DNS 流量。為此,您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合、將規則群組與 VPC 產生關聯,然後監控 DNS 防火牆日誌和指標中的活動。根據活動,您可以相應地調整 DNS 防火牆的行為。如需詳細資訊,請參閱使用 DNS 防火牆篩選傳出 DNS 流量

若要檢視和管理 Route 53 Resolver DNS 防火牆組態,請使用下列程序:

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/vpc/:// 開啟 Amazon VPC 主控台。

  2. DNS 防火牆下,選擇規則群組

  3. 檢閱、編輯或刪除現有的組態,或建立新的規則群組。如需詳細資訊,請參閱 Route 53 Resolver DNS Firewall 的運作方式

Amazon Route 53 Resolver DNS 防火牆監控和安全性

Amazon Route 53 DNS Firewall 使用規則關聯、規則動作和規則評估優先順序的概念。網域清單是一組可重複使用的網域規格,可在規則群組的 DNS Firewall 規則中使用。當您將規則群組與 VPC 建立關聯時,DNS 防火墻會比較您的 DNS 查詢與規則中使用的網域清單。如果 DNS 防火牆找到相符項目,則會根據相符規則的動作來處理 DNS 查詢。如需規則群組和規則的詳細資訊,請參閱 DNS 防火牆規則群組和規則

網域清單可分為兩個主要類別:

  • 受管網域清單,可為您 AWS 建立和維護。

  • 您自己的網域清單,由您建立和維護。

規則群組會根據其關聯優先順序索引進行評估。

根據預設,AMS 會部署基準組態,其中包含下列規則和規則群組:

  • 一個名為 的規則群組DefaultSecurityMonitoringRule。規則群組具有最高關聯優先順序,可在建立時針對每個啟用的每個現有 VPC 使用 AWS 區域。

  • 一個在規則群組中DefaultSecurityMonitoringRule以優先順序 1 命名的DefaultSecurityMonitoringRule規則,使用AWSManagedDomainsAggregateThreatList受管網域清單搭配動作 ALERT

如果您有現有的組態,則會以低於現有組態的優先順序部署基準組態。您現有的組態是預設值。如果您現有的組態不提供如何處理查詢解析的較高優先順序指示,則可以使用 AMS 基準組態做為全部截獲。若要變更或移除基準組態,請執行下列其中一項操作:

如果您的帳戶是在開發人員模式或直接變更模式下操作,您可以自行執行變更。

AWS Certificate Manager (ACM) 憑證

AMS 具有 CT、部署 | 進階堆疊元件 | ACM 憑證搭配其他 SANs | 建立 (ct-3l14e139i5p50),可用來提交 AWS Certificate Manager 憑證的請求,以及最多五個額外的主體替代名稱 (SAN) (例如 example.com、example.net 和 example.org)。如需詳細資訊,請參閱什麼是 AWS Certificate Manager?ACM 憑證特性

注意

此逾時設定不僅與執行有關,也與透過電子郵件驗證 ACM 憑證的驗證有關。如果沒有您的驗證,RFC 會失敗。

AMS 中的資料加密

AMS 使用多項 AWS 服務進行資料加密,特別是 Amazon Simple Storage Service、 AWS Key Management Service (AWS KMS)、Amazon Elastic Block Store、Amazon Relational Database Service Amazon Redshift Amazon ElastiCache AWS Lambda和 Amazon OpenSearch Service。

Amazon Simple Storage Service (Amazon S3)

Amazon S3 提供多種物件加密選項,可保護傳輸中和靜態資料。伺服器端加密會先加密您的物件,再將該物件儲存至其資料中心內的磁碟,接著在下載物件時予以解密。只要您驗證要求並具備存取許可,存取加密物件或未加密物件的方式並無不同。如需詳細資訊,請參閱 Amazon S3 中的資料保護

Amazon EBS

使用 Amazon EBS 加密,您不需要建置、維護和保護自己的金鑰管理基礎設施。Amazon EBS 加密會在建立加密磁碟區和快照時使用 AWS KMS 金鑰。加密操作會在託管 Amazon EC2 執行個體的伺服器上進行。這是為了確保執行個體與其連接的 Amazon EBS 儲存體之間的data-at-rest和data-in-transit都是安全的。您可以將加密和未加密磁碟區同時連接到執行個體。如需詳細資訊,請參閱 Amazon EBS 加密

Amazon RDS

Amazon RDS 可以加密 Amazon RDS 資料庫執行個體。靜態加密的資料包括資料庫執行個體的基礎儲存體、其自動備份、僅供讀取複本和快照。Amazon RDS 加密資料庫執行個體使用業界標準的 AES-256 加密演算法,在託管 Amazon RDS 資料庫執行個體的伺服器上加密您的資料。加密資料後,Amazon RDS 會以透明的方式處理資料的存取和解密身分驗證,且對效能的影響最小。您不需要修改資料庫用戶端應用程式即可使用加密。如需詳細資訊,請參閱加密 Amazon RDS 資源

Amazon Simple Queue Service

除了預設的 Amazon SQS 受管伺服器端加密 (SSE) 選項之外,Amazon SQS 受管 SSE (SSE-SQS) 還可讓您建立自訂受管伺服器端加密,使用 Amazon SQS 受管加密金鑰來保護透過訊息佇列傳送的敏感資料。伺服器端加密 (SSE) 可讓您在加密佇列中傳輸敏感資料。SSE 會使用 Amazon SQS 受管加密金鑰 (SSE-SQS) 或 AWS KMS (SSE-KMS) 中管理的金鑰來保護佇列中的訊息內容。如需有關使用 管理 SSE 的資訊 AWS Management Console,請參閱靜態加密

靜態資料加密

OpenSearch Service 網域提供靜態資料加密,這是一種安全功能,可協助防止未經授權存取您的資料。此功能使用 AWS Key Management Service (AWS KMS) 來存放和管理加密金鑰,並使用 256 位元金鑰 (AES-256) 的進階加密標準演算法來執行加密。如需詳細資訊,請參閱 Amazon OpenSearch Service 的靜態資料加密

金鑰管理

AWS KMS 是一項受管服務,可讓您輕鬆地建立和控制客戶主金鑰 (CMKs),用來加密資料的加密金鑰。 AWS KMS CMKs 受到 FIPS 140-2 密碼編譯模組驗證計畫驗證的硬體安全模組 (HSMs) 保護,但中國 (北京) 和中國 (寧夏) 區域除外。如需詳細資訊,請參閱什麼是 AWS Key Management Service?