View a markdown version of this page

重新解譯雲端的基本八項策略 - AWS 方案指引
使用佈景主題重新解譯雲端的基本八項策略

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

重新解譯雲端的基本八項策略

以下是專為 Microsoft型網際網路連線網路設計的原始 Essential Eight 緩解策略:

  • 應用程式控制

  • 修補程式應用程式

  • 設定Microsoft Office巨集設定

  • 使用者應用程式強化

  • 限制管理權限

  • 修補程式作業系統

  • 多重要素驗證

  • 定期備份

請務必重申 Essential Eight 架構並非針對雲端環境而設計。不過,基礎原則適用,Essential Eight 策略和 AWS Well-Architected Framework 最佳實務之間存在重疊。

各種雲端原生方法可以改善安全性,並大幅降低您的合規負擔。在內部部署環境中,您必須負責所有層面的安全,而且沒有繼承的控制項。在雲端執行工作負載時, AWS 負責保護執行我們服務的基礎設施。您也可以使用自動化和受管服務來減輕合規負擔。受管服務也稱為抽象服務,其 AWS 服務 可 AWS 操作基礎設施層、作業系統和平台,而且您可以存取端點來存放和擷取資料。Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB 是受管服務的範例。如需詳細資訊,請參閱本指南中的主題 1:使用 受管服務一節。

因此,需要一些重新解譯才能使 Essential Eight 策略適用於其上的工作負載 AWS。本指南將 Essential Eight 策略轉換為 AWS 佈景主題

使用佈景主題

本指南分為八個主題。每個 Essential Eight 策略對應至下列一或多個主題,而每個主題對應至 AWS Well-Architected Framework 中的一或多個最佳實務:

每個主題都包含主題的概觀、相關的 AWS Well-Architected Framework 最佳實務,以及如何實現 Essential Eight 成熟度並監控合規性的說明。這些指示提供手動步驟,或使用 AWS Config 規則協助您設定自動化。手動步驟需要機制來確保問題清單已解決。如需詳細資訊,請參閱 佈景主題 8:實作手動程序的機制. AWS Config rules 需要類似的監督或自動化,以修復不合規的資源。透過遵循與這些主題一致的指引,您可以使用同時將雲端優勢最大化的方法達到 Essential Eight 成熟度。

重新解譯雲端的基本八項策略

由於 Essential Eight 架構並非針對雲端環境而設計,因此在解決每個 Essential Eight 策略的基礎原則時,必須採取雲端原生方法。該方法取決於兩個關鍵問題。

您使用哪些 服務?

AWS 共同責任模型 有助於減輕您的合規和操作負擔。受管服務會將更多責任轉移到 , AWS 以維護已部署服務的可用性、效能和安全性最佳化。受管服務也會消除維護服務的營運和管理負擔,提供更多時間專注於創新。

受管服務包括無伺服器服務,例如 Amazon API GatewayAWS Lambda、 和 DynamoDBAmazon Relational Database Service (Amazon RDS) 上的資料庫比 Amazon Elastic Compute Cloud (Amazon EC2) 上的資料庫需要較少的操作責任。

例如,如果您要為雲端調整修補程式作業系統 Essential Eight 策略,您需要考慮正在使用哪些服務,以及是否負責修補這些資源。 AWS 負責修補完全受管的服務,例如 Lambda 和 DynamoDB。對於其他 服務,例如 Amazon RDS 或 Amazon Redshift,您可能需要在維護時段期間管理修補程式。

您使用哪種部署模型?

您的組織是否使用可變或不可變的基礎設施方法?

可變基礎設施模型會更新和修改生產工作負載的現有基礎設施。 這是雲端之前的標準部署方法,當取代伺服器基礎設施非常昂貴且耗時,最實際的方法就是將變更套用至已在生產環境中的伺服器。雲端中可變方法的範例是將應用程式變更直接部署到執行中的 EC2 執行個體,無論是手動或使用 Run AWS Systems Manager Command 或 等軟體部署服務AWS CodeDeploy

不可變的基礎設施模型會為生產工作負載部署新的基礎設施,而不是更新、修補或修改現有的基礎設施。不可變方法的範例是在 AWS CloudFormation或 中定義應用程式堆疊AWS Cloud Development Kit (AWS CDK)。您可以使用這些服務,透過持續整合和持續交付 (CI/CD) 管道來部署應用程式堆疊。此方法使用部署方法,例如滾動藍/綠。如需此方法的詳細資訊,請參閱 AWS Well-Architected Framework 中的使用不可變基礎設施的部署最佳實務。

例如,如果您要針對雲端調整修補程式作業系統 Essential Eight 策略,您需要考慮修補如何套用至部署模型。對於可變基礎設施,您可以手動修補資源,也可以透過自動化提高營運效率。如果您使用的是不可變的基礎設施,則會使用 CI/CD 管道來部署具有最新版本作業系統的新基礎設施。事實上,修補一詞是此模型下的誤判,因為基礎設施將被取代而不是修補。