# 安全操作工作負載
<a name="operating-your-workload-securely"></a>

操作工作負載安全地涵蓋了工作負載的整個生命週期，從設計、建置、執行到持續改善。改善在雲端中安全操作能力的方法之一，就是採用組織方法進行管控。管控是一致地指引決策的方式，而不是僅依賴相關人員的良好判斷。您的管控模型和流程是您回答「我如何知道是否達到給定工作負載的控制目標，並且這些目標是否適合於該工作負載？」問題的方式。採用一致方法做出決策，可以加快工作負載的部署，並有助於提高組織中安全能力的標準。

若要安全地操作工作負載，您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序，並將其應用於所有區域。掌握最新的 AWS 和產業建議以及威脅情報，可協助您發展威脅模型並控制目標。自動化安全流程、測試和驗證可協助您擴展安全操作。

自動化讓流程得以維持一致性和可重複性。人員或許擅長做很多事情，但卻不包括一直重複同一件事而能不出錯。即使執行手冊撰寫得再完整，仍難免發生人員未能始終如一地執行重複任務的風險。尤其當人員承擔不同的責任，而必須回應不熟悉的提醒時，更是如此。然而，自動化每次都會以相同的方式回應。部署應用程式的最佳方式就是透過自動化。執行部署的程式碼可以進行測試，然後用來執行部署。這可在變更過程中增加信心，並降低變更失敗的風險。

若要驗證組態是否達到您的控制目標，請先在非生產環境中測試自動化和部署的應用程式。如此一來，您可以測試自動化以證明它已正確地執行所有步驟。您也可以在開發和部署週期中獲得早期意見回饋，從而減少返工。若要減少部署錯誤的機會，請透過程式碼而不是人員來進行組態變更。如果您需要重新部署應用程式，自動化會使這個動作容易得多。當定義其他控制目標時，您可以輕鬆地將它們新增到所有工作負載的自動化。

與其讓個別工作負載擁有者投資於其工作負載特有的安全性，不如透過使用常用功能和共用元件來節省時間。多個團隊可以取用的一些服務範例包括 AWS 帳戶建立流程、集中式人員身分、常用的日誌記錄組態，以及 AMI 和容器基礎映像建立。這種方法可以協助建立者縮短工作負載週期時間，並始終如一地達到安全控制目標。當團隊更加一致時，您可以驗證控制目標，並向利害關係人更好地報告您的控制態勢和風險位置。

**Topics**
+ [SEC01-BP03 識別和驗證控制目標](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 隨時掌握安全威脅和建議的最新資訊](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 縮小安全管理範圍](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 自動部署標準安全控制](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 使用威脅模型識別威脅並優先考慮緩解措施](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期評估和實作新的安全服務和功能](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 識別和驗證控制目標
<a name="sec_securely_operate_control_objectives"></a>

 根據合規需求以及從威脅模型識別的風險，衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證，可協助您測量風險降低的有效性。

 **預期成果：**企業的安全控制目標是明確定義的，並符合您的合規要求。控制項是透過自動化和政策來實作和強制執行的，並持續評估其在達成目標方面的有效性。在一個時間點和一段時間內的有效性證據可以很容易地向稽核人員報告。

 **常見的反模式：**
+  您的企業對可保證安全的法規要求、市場預期和業界標準並未充分了解 
+  網路安全架構和控制目標不符合業務需求 
+  控制措施的實作並未以可衡量的方式與您的控制目標保持一致 
+  您不使用自動化來報告控制措施的有效性 

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 有許多常見的網路安全框架可以構成安全控制目標的基礎。考慮企業的法規要求、市場期望和業界標準，以決定哪些架構最能支援您的需求。範例包括 [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/)、[HITRUST](https://aws.amazon.com/compliance/hitrust/)、[PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) 和 [NIST SP 800-53](https://aws.amazon.com/compliance/nist/)。

 針對您確定的控制目標，了解您使用的 AWS 服務如何協助您達成這些目標。使用 [AWS Artifact](https://aws.amazon.com/artifact/) 尋找符合目標架構的文件和報告，這些文件和報告可說明 AWS 涵蓋的責任範圍，以及您負責的剩餘範圍的指引。如需符合各種架構控制聲明的詳細服務特定指引，請參閱 [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)。

 當您定義實現目標的控制措施時，使用預防性控制措施對執行進行整理，並使用偵測性控制來自動化緩解措施。使用[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)，協助防止您的 AWS Organizations 中的不合規資源組態和動作。在 [AWS Config](https://aws.amazon.com/config/) 中實作規則以監控和報告不合規的資源，然後在對其行為有信心後，將規則切換為強制執行模型。若要部署符合網路安全架構的預定義和受控規則集，請首先評估 [AWS Security Hub CSPM 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)的使用。AWS Foundational Service Best Practices (FSBP) 標準和 CIS AWS Foundations Benchmark 是良好的起點，具有與多個標準框架共享的許多目標保持一致的控制措施。如果 Security Hub CSPM 本質上沒有所需的控制偵測，則可以使用 [AWS Config 一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)來補充它。

 使用 AWS 全球安全與合規加速 (GSCA) 團隊建議的 [APN 合作夥伴套件](https://aws.amazon.com/partners/programs/gsca/bundles/)，在需要時從安全顧問、諮詢機構、證據收集和報告系統、稽核人員和其他輔助服務那裡取得協助。

### 實作步驟
<a name="implementation-steps"></a>

1.  評估常見的網路安全架構，並使您的控制目標與選擇的目標保持一致。

1.  使用 AWS Artifact 取得有關架構指引和責任的相關文件。了解哪些法規遵循部分屬於共同責任模式的 AWS 方面，以及哪些部分是您的責任。

1.  使用 SCP、資源政策、角色信任政策及其他防護機制來防止不合規的資源組態和動作。

1.  評估部署符合您控制目標的 Security Hub CSPM 標準和 AWS Config 一致性套件。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC03-BP01 定義存取需求](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 設定服務和應用程式日誌記錄](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 了解您的資料分類方案](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 評估管控要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 評估合規要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 使用政策和參考架構](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 根據貴組織的需求制定政策](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **相關文件：**
+  [AWS 客戶合規指南](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **相關工具：**
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 隨時掌握安全威脅和建議的最新資訊
<a name="sec_securely_operate_updated_threats"></a>

 透過監控業界威脅情報刊物和資料摘要以取得更新，以便隨時掌握最新的威脅和緩解措施。評估根據最新威脅資料自動更新的受管服務產品。

 **預期成果：**隨著產業刊物更新，隨時掌握最新威脅和建議的資訊。 在識別新威脅時，使用自動化技術偵測潛在的漏洞和暴露。您可以採取緩解措施對抗這些威脅。 可採用 AWS 服務，以自動掌握最新威脅情報的資訊。

 **常見的反模式：**
+  沒有可靠且可反覆執行的機制，因而無法隨時掌握新威脅情報。
+  手動維護技術產品組合、工作負載和相依項的庫存清單，而這些都需要人員審查才能得知是否有潛在的漏洞和暴露。
+  沒有既定的機制能夠將工作負載和相依項更新到可用的最新版本，因而無法取得已知的威脅緩解措施。

 **建立此最佳實務的優勢：**使用威脅情報來源隨時掌握新資訊，即可盡量避免錯過可能影響業務的威脅態勢中發生的重大變化。 採用自動化的方式取代手動，以掃描、偵測和修復工作負載及其相依項中存在的潛在漏洞或暴露，如此就能協助您事先預測並快速降低風險。 這有助於控制與漏洞緩解相關的時間和成本。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 審核值得信賴的威脅情報刊物，以掌握威脅態勢。 請參閱 [MITRE ATT&CK](https://attack.mitre.org/) 知識庫中的文件，了解已知的對手策略、技巧和程序 (TTP)。審核 MITRE 的[常見漏洞和暴露](https://cve.org/) (CVE) 清單，隨時了解您仰賴的產品中的已知漏洞。透過開放式全球應用程式安全專案 (OWASP) 熱門的 [OWASP 十大](https://owasp.org/www-project-top-ten/)專案，了解 Web 應用程式的重大風險。

 透過 CVE 的 AWS [安全公告](https://aws.amazon.com/security/security-bulletins/)，隨時掌握 AWS 安全事件和建議的修復步驟。

 為了減輕您隨時掌握新知的整體投入與負擔，請考慮使用 AWS 服務，這些服務會隨著時間自動納入新的威脅情報。 例如，[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 會隨時提供業界威脅情報的最新資訊，可用來偵測您帳戶內的異常行為和威脅特徵。 [Amazon Inspector](https://aws.amazon.com/inspector/) 會自動將其用於連續掃描功能的 CVE 資料庫保持在最新狀態。 [AWS WAF](https://aws.amazon.com/waf/) 和 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) 兩者都提供受管規則群組，這些群組會隨著新的威脅出現時自動更新。

 審核 [Well-Architected 卓越營運支柱](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html)，了解自動機群管理和修補的資訊。

## 實作步驟
<a name="implementation-steps"></a>
+  訂閱與您的業務和產業相關的威脅情報刊物更新。訂閱 AWS 安全公告。
+  考慮採用會自動納入新威脅情報的服務，例如 Amazon GuardDuty 和 Amazon Inspector。
+  部署符合 Well-Architected 卓越營運支柱最佳實務的機群管理和修補策略。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC01-BP07 使用威脅模型識別威脅並優先考慮緩解措施](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 評估威脅環境](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 建立持續改進程序](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 縮小安全管理範圍
<a name="sec_securely_operate_reduce_management_scope"></a>

 確定您是否可以使用 AWS 服務將某些控制的管理轉移至 AWS (*受管服務*)，藉此縮小安全範圍。這些服務有助於減少安全維護任務，例如基礎設施佈建、軟體設定、修補或備份。

 **預期成果：**您為工作負載選取 AWS 服務時，會考慮安全管理的範圍。除了其他 Well-Architected 考量外，還會根據您所選取服務的成本來權衡管理開銷和維護任務的成本 (總體擁有成本，亦即 TCO)。您會將 AWS 控制和合規文件納入您的控制評估和驗證程序中。

 **常見的反模式：**
+  部署工作負載時，並未徹底了解您所選取服務的共用責任模式。
+  在虛擬機器上託管資料庫和其他技術時，未先行評估對等的受管服務。
+  比較受管服務選項時，未將安全管理任務納入虛擬機器上託管技術的總體擁有成本中。

 **建立此最佳實務的優勢：**使用受管服務可以減輕您管理營運安全控制的整體負擔，進而降低安全風險和總體擁有成本。否則，時間可能會花費在某些安全任務上，而無法轉投入其他為企業創造更多價值的任務。受管服務也可以透過將某些控制要求轉移到 AWS，以縮小合規要求的範圍。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 您可以透過多種方式在 AWS 上整合工作負載的元件。您在 Amazon EC2 執行個體上安裝和執行技術時，通常需要承擔最大部分的整體安全責任。為了協助您減輕操作特定控制的負擔，請識別可縮小您的共同責任模式範圍的 AWS 受管服務，並了解如何在現有架構中使用這些服務。範例包括使用 [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) 來部署資料庫，使用 [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) 或 [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) 來協調容器，或使用[無伺服器選項](https://aws.amazon.com/serverless/)。建置新的應用程式時，請仔細考量哪些服務有助於減少實作和管理安全控制方面的時間和成本。

 合規要求也是選取服務時的考量因素。受管服務可以將某些合規要求轉移至 AWS。請與合規團隊討論，了解他們在稽核您操作和管理的服務方面，以及接受相關 AWS 稽核報告中控制聲明時面對的難度。您可以將 [AWS Artifact](https://aws.amazon.com/artifact/) 中找到的稽核成品提供給稽核員或監管機構，作為 AWS 安全控制的證據。您也可以使用某些 AWS 稽核成品所提供的責任指引來設計您的架構，以及參考 [AWS 客戶合規指南](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)。本指引可協助您確定應採取哪些額外的安全控制，以便支援系統的特定使用案例。

 使用受管服務時，請熟悉將其資源更新為較新版本的程序 (例如，更新 Amazon RDS 所管理資料庫的版本，或 AWS Lambda 函數的程式設計語言執行時期)。雖然受管服務可能會自動為您執行此操作，但設定更新的時間並了解對操作的影響仍然是您的責任。[AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) 等工具可以協助您在整個環境中追蹤和管理這些更新。

### 實作步驟
<a name="implementation-steps"></a>

1.  評估可取代為受管服務的工作負載元件。

   1.  如果您要將工作負載遷移至 AWS，在評估是否應主機轉換、重構、平台轉換、重新建置或取代您的工作負載時，考慮減少管理 (時間和費用) 並降低風險。有時候，在一開始遷移時的額外投資，長遠來看可能帶來大幅的節省。

1.  考慮實作 Amazon RDS 等受管服務，而非安裝和管理您自己的技術部署。

1.  使用 AWS Artifact 中的責任指引來協助您確定應針對工作負載採取的安全控制。

1.  將使用中的資源記錄起來，並隨時掌握新的服務和方法，以識別縮小範圍的新機會。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [PERF02-BP01 選取最適合您工作負載的運算選項](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 使用最能滿足資料存取和儲存需求的專用資料存放區](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 使用受管服務](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **相關文件：**
+  [ 的計劃生命週期事件AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **相關工具：**
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS 客戶合規指南](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **相關影片：**
+  [如何使用 AWS DMS 遷移至 Amazon RDS 或 Aurora MySQL 資料庫執行個體？](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023 - 使用 AWS Health 大規模管理資源生命週期事件](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 自動部署標準安全控制
<a name="sec_securely_operate_automate_security_controls"></a>

 在開發和部署整個 AWS 環境的標準安全控制時，採用現代 DevOps 實務。 使用基礎設施即程式碼 (IaC) 範本定義標準安全控制和組態、擷取版本控制系統中的變更、在 CI/CD 管道中測試變更，並將變更自動部署至您的 AWS 環境。

 **預期成果：**IaC 範本會擷取標準化的安全控制，並將其遞交至版本控制系統。 CI/CD 管道準備好偵測變更，並自動測試和部署您的 AWS 環境。 防護機制準備好在進行部署之前，先偵測範本中的組態錯誤並發出提醒。 工作負載會部署到已採取標準控制的環境中。 團隊有權透過自助服務機制部署經核准的服務組態。 已制定安全的備份和復原策略來控制組態、指令碼和相關資料。

 **常見的反模式：**
+  透過 Web 主控台或命令列介面，手動變更標準安全控制。
+  仰賴個別工作負載團隊手動實作中央團隊定義的控制。
+  仰賴中央安全團隊應工作負載團隊的要求部署工作負載層級的控制。
+  允許相同的個人或團隊開發、測試和部署安全控制自動化指令碼，而未能妥善區分職責，或適當地對其加以制衡。  

 **建立此最佳實務的優勢：**使用範本定義標準安全控制，可讓您使用版本控制系統追蹤和比較一段時間的變更。 使用自動化方式測試和部署變更可建立標準化和可預測性，從而提高成功部署的機會，並減少手動重複任務。 為工作負載團隊提供自助服務機制來部署核准的服務和組態，可降低組態錯誤和濫用的風險。這也有助於讓團隊及早在開發過程中納入控制。

 **未建立此最佳實務時的風險暴露等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 遵循 [SEC01-BP01 使用帳戶區隔工作負載](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html)中所述的實務，您最終會有多個 AWS 帳戶，可用於您使用 AWS Organizations 管理的不同環境。 雖然其中每個環境和工作負載可能需要不同的安全控制，但您可以將整個組織的某些安全控制標準化。 範例包括整合集中式身分提供者、定義網路和防火牆，以及設定用於儲存和分析日誌的標準位置。 同樣地，您可以使用*基礎設施即程式碼* (IaC) 將同樣嚴謹的應用程式程式碼開發程序套用至基礎設施佈建，也可以使用 IaC 來定義和部署標準安全控制。

 請盡可能以宣告的方式定義安全控制 (例如在 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 中)，並將其儲存在來源控制系統中。 使用 DevOps 實務來自動部署控制，以便更容易預測發行版本、使用 [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 等工具進行自動測試，以及偵測已部署控制與所需組態之間的偏差。 您可以使用 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)、[AWS CodeBuild](https://aws.amazon.com/codebuild/) 和 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) 等服務來建構 CI/CD 管道。請考慮[使用多個帳戶整理您的AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html)中的指引，以在自己的帳戶中設定這些服務，將其與其他部署管道分開來。

 您也可以定義範本來標準化定義和部署 AWS 帳戶 帳戶、服務和組態。 此技術可讓中央安全團隊管理這些定義，並透過自助服務方法將其提供給工作負載團隊。 實現這一點的方法之一是使用 [Service Catalog](https://aws.amazon.com/servicecatalog/)，您可以在其中將範本發佈為*產品*，讓工作負載團隊可以將這些產品納入自己的管道部署中。 如果您使用的是 [AWS Control Tower](https://aws.amazon.com/controltower/)，某些範本和控制可以作為起點。 Control Tower 還提供 [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html) 功能，可讓工作負載團隊使用您定義的標準建立新的 AWS 帳戶。 此功能有助於消除對中央團隊的依賴，以在工作負載團隊視需要識別新帳戶時核准和建立新帳戶。 您可能需要這些帳戶，以便根據諸如提供的功能、所處理資料的敏感性或其行為等原因，區隔不同的工作負載元件。

## 實作步驟
<a name="implementation-steps"></a>

1.  確定如何在版本控制系統中儲存和維護範本。

1.  建立 CI/CD 管道以測試和部署您的範本。 定義測試以檢查是否有組態錯誤，以及範本是否符合您公司的標準。

1.  建置標準化範本目錄，供工作負載團隊根據您的需求部署 AWS 帳戶和服務。

1.  針對控制組態、指令碼和相關資料實作安全的備份和復原策略。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [OPS05-BP01 使用版本控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 使用建置和部署管理系統](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 使用自動化部署變更](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 採用可以快速引入永續性改進的方法](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **相關文件：**
+  [使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **相關範例：**
+  [使用 Service Catalog、AWS Organizations 和 AWS Lambda 自動建立帳戶和佈建資源](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [使用 AWS Secrets Manager、AWS KMS 和 AWS Certificate Manager 加強 DevOps 管道並保護資料](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **相關工具：**
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [ 登陸區域加速器AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 使用威脅模型識別威脅並優先考慮緩解措施
<a name="sec_securely_operate_threat_model"></a>

 執行威脅建模，為您的工作負載識別並保有潛在威脅及關聯緩解措施的最新記錄。排定威脅的優先順序並調整安全控制緩解措施，以防止、偵測和回應威脅。就您的工作負載的情況，以及不斷演變的安全態勢，重新檢視和維護此工作。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 **什麼是威脅建模？** 

 「威脅建模以保護有價值物為目標，識別、溝通和了解威脅及緩解措施。」 – [開放式 Web 應用程式安全專案 (OWASP) 應用卡程式威脅建模](https://owasp.org/www-community/Threat_Modeling) 

 **為何使用威脅模型？** 

 系統本身錯綜複雜，並且隨時間變得更複雜且更具能力，從而實現更大的商業價值及更高的客戶滿意度和參與度。這意味著 IT 設計決策需要考慮不斷增加的使用案例數量。這種複雜性和使用案例數量的排列通常使得非結構化方法無法有效尋找和緩解威脅。反之，您需要一套系統化方法來列舉對系統的潛在威脅，以及制定緩解措施，並以這些緩解措施為優先來確保組織的有限資源能在改善系統整體安全狀態上發揮最大的影響力。

 威脅建模旨在提供這套系統化方法，目的是要在設計過程中及早尋找和解決問題，此時進行緩解的成本和精力與生命週期稍後相比要來得低。此方法與[*往前移*安全性](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview)的業界原則相一致。威脅建模最終會與組織的風險管理程序整合，透過使用威脅驅動的方法，協助推動要實作哪些控制決策。

 **何時應執行威脅建模？** 

 在工作負載的生命週期中及早開始威脅建模，可給予您更大的彈性來決定要如何處理所識別的威脅。就跟軟體錯誤一樣，越早識別威脅，就能以越具成本效益的方式加以解決。威脅模型是不斷更新的文件，並且應該持續隨著工作負載的變更而演進。隨時間重新檢視您的威脅模型，包括當有重大變更、威脅形勢有變化，或是採用新功能或服務時。

### 實作步驟
<a name="implementation-steps"></a>

 **我們如何執行威脅建模？** 

 有許多不同的方式來執行威脅建模。就跟程式設計語言一樣，各有優缺點，而您應選擇最適合您的方式。其中一個方法是從 [Shostack 針對威脅建模的 4 個問題框架](https://github.com/adamshostack/4QuestionFrame)開始著手，當中提出自由回答的問題會為您的威脅建模練習提供結構：

1.  **我們目前在做什麼？** 

    此問題的目的是協助您了解正在建置的系統並對之取得一致的意見，以及該系統與安全相關的詳細資訊。建立模型或圖表是回答此問題最受歡迎的方法，因為這可協助您將正在建置的項目視覺化，例如使用[資料流程圖](https://en.wikipedia.org/wiki/Data-flow_diagram)。寫下關於您的系統的假設和重要詳細資訊也有助於您定義涵蓋的範圍。這可讓對參與威脅模型的每個人專注於相同的事情，並避免耗時地繞入不在範圍內的主題 (包括系統的過時版本)。舉例來說，如果您正在建置 Web 應用程式，可能不值得花時間為瀏覽器用戶端建立作業系統信任開機順序的模型，因為您無法透過您的設計對此產生影響。

1.  **什麼可能出錯？** 

    這是您識別對系統的威脅之處。威脅是意外或故意的動作或事件，會帶來不必要的影響，並且可能會影響系統安全。如果對可能出錯之處沒有清楚的了解，則無法對症下藥。

    對於什麼可能出錯，您並沒有標準的清單可循。建立此清單需要團隊內的每個人與[涉及的相關角色](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips)在威脅建模練習中集思廣益和共同協作。您可以使用識別威脅的模型來協助集思廣益，例如 [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security))，這會建議不同的類別以進行評估：詐騙、竄改、否認、資訊洩露、拒絕服務和提升權限。此外，您可能會想要審核現有的清單並研究以獲得靈感來協助集思廣益，包括 [OWASP 前十大](https://owasp.org/www-project-top-ten/)、[HiTrust 威脅型錄](https://hitrustalliance.net/hitrust-threat-catalogue/)，以及您組織本身的威脅型錄。

1.  **我們要做何處理？** 

    就跟上一個問題一樣，對於所有可能的緩解措施並沒有標準的清單可循。此步驟的輸入是上一步識別的威脅、動作和改進之處。

    安全與合規是[您和 AWS 之間的共同責任](https://aws.amazon.com/compliance/shared-responsibility-model/)。了解當您提出「我們要做何處理？」時，也是在問「誰要對其負責？」，這一點很重要。了解您與 AWS 之間的責任制衡有助於您將威脅建模練習的範圍定在您控制之下的緩解措施，這通常是 AWS 服務組態選項與您自身的系統特定緩解措施的組合。

    對於共同責任的 AWS 部分，您將發現 [AWS 服務在許多合規計畫的範圍之內](https://aws.amazon.com/compliance/services-in-scope/)。這些計畫可協助您了解 AWS 在維護雲端安全和合規方面設立的強大控制。來自這些計畫的稽核報告可供 AWS 客戶從 [AWS Artifact](https://aws.amazon.com/artifact/) 下載。

    無論您使用何種 AWS 服務，其始終涉及客戶責任，而您的威脅模型中應包含與這些責任一致的緩解措施。對於 AWS 服務本身的安全控制緩解措施，您要考慮跨領域實作安全控制，包括身分和存取管理 (驗證和授權)、資料保護 (靜態和傳輸中)、基礎設施安全、日誌記錄和監控等領域。每個 AWS 服務的文件都有[專屬的安全章節](https://docs.aws.amazon.com/security/)，提供將安全控制視為緩解措施的指引。重要的是，考慮您正在編寫的程式碼及其程式碼相依性，並思考您可以設立以解決這些威脅的控制。這些控制可以是[輸入驗證](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)、[工作階段處理](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling)和[界限處理](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow)等事項。大多數漏洞通常是在自訂程式碼中引入，因此請專注於此區域。

1.  **我們處理得當嗎？** 

    目標是讓您的團隊和組織改進威脅模型的品質以及隨時間執行威脅建模的速度。這些改進出自練習、學習、教導和審查的組合。若要更加深入並實作，建議您與您的團隊完成[建置人員建立威脅模型的正確方式訓練課程](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)或[研討會](https://catalog.workshops.aws/threatmodel/en-US)。此外，如果您正在尋找有關如何將威脅建模整合至您組織的應用程式開發生命週期，請參閱 AWS 安全部落格上的[如何進行威脅建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)文章。

 **威脅編寫器** 

 為了協助並指導您執行威脅建模，請考慮使用[威脅編寫器](https://github.com/awslabs/threat-composer#threat-composer)工具，該工具旨在縮短威脅建模實現價值的時間。此工具可協助您執行下列操作：
+  撰寫與[威脅文法](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar)相符、可在自然非線性工作流程中使用的有用威脅陳述式 
+  產生人類可讀的威脅模型 
+  產生機器可讀的威脅模型，以讓您將威脅模型視為程式碼 
+  使用洞察儀表板協助您快速識別品質和涵蓋範圍有所改進的領域 

 如需進一步的參考，請造訪「威脅編寫器」，並切換到系統定義的**範例工作區**。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC01-BP03 識別和驗證控制目標](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 隨時掌握安全威脅和建議的最新資訊](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 縮小安全管理範圍](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 定期評估和實作新的安全服務和功能](sec_securely_operate_implement_services_features.md) 

 **相關文件：**
+  [如何進行威脅建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS 安全部落格) 
+ [NIST：以資料為中心的系統威脅建模指南](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **相關影片：**
+ [AWS Summit ANZ 2021 - 如何進行威脅建模](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - 擴展安全性 – 針對快速和安全交付進行最佳化](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **相關訓練：**
+ [建置人員建立威脅模型的正確方式 – AWS Skill Builder 虛擬自定進度培訓](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [建置人員建立威脅模型的正確方式 – AWS 研討會](https://catalog.workshops.aws/threatmodel)

 **相關工具：**
+  [威脅編寫器](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 定期評估和實作新的安全服務和功能
<a name="sec_securely_operate_implement_services_features"></a>

 評估和實作 AWS 和 AWS 合作夥伴提供的安全服務和功能，讓您發展工作負載的安全狀態。  

 **預期成果：**您擁有一套標準實務，可通知您 AWS 和 AWS 合作夥伴發行的新功能和服務。您會評估這些新功能對於環境和工作負載目前和新控制的設計有何影響。

 **常見的反模式：**
+  您未訂閱 AWS 部落格和 RSS 摘要，因此未能迅速得知相關的新功能和服務 
+  您仰賴第二手來源得知安全服務和功能的最新消息和更新 
+  您沒有鼓勵組織中的 AWS 使用者隨時掌握最新更新 

 **建立此最佳實務的優勢：**如果您能隨時掌握新的安全服務和功能，就可以在雲端環境和工作負載中實作控制方面做出明智的決策。這些來源有助於提高對於不斷變化的安全態勢的意識，以及説明如何使用 AWS 服務來防範新出現的威脅。  

 **未建立此最佳實務時的曝險等級：**低 

## 實作指引
<a name="implementation-guidance"></a>

 AWS 會透過幾種通道通知客戶新的安全服務和功能：
+  [AWS 最新消息](https://aws.amazon.com/new) 
+  [AWS 新聞部落格](https://aws.amazon.com/blogs/aws/) 
+  [AWS 安全部落格](https://aws.amazon.com/blogs/security/) 
+  [AWS 安全公告](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS 文件概觀](https://aws.amazon.com/documentation/) 

 您可以使用 Amazon Simple Notification Service (Amazon SNS) 訂閱 [AWS 每日功能更新](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/)主題，以獲得完整的每日更新摘要。某些安全服務 (例如 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html)) 會提供自己的 SNS 主題，以持續掌握與這些特定服務有關的新標準、調查結果及其他更新。

 每年全球各地也會舉行多場[會議、活動和網路研討會](https://aws.amazon.com/events/)，於會中宣佈並詳細描述新服務和功能。其中特別值得關注的是年度 [AWS re:Inforce](https://reinforce.awsevents.com/) 安全會議，以及較為常態的 [AWS re:Invent](https://reinvent.awsevents.com/) 會議。先前所述的 AWS 新聞頻道會分享這些有關安全和其他服務的會議公告，您可以在 YouTube 上的 [AWS 活動頻道](https://www.youtube.com/c/AWSEventsChannel)線上觀看更深入的教育性分組會議。

 您也可以向您的 [AWS 帳戶 團隊](https://aws.amazon.com/startups/learn/meet-your-aws-account-team)詢問有關最新安全服務更新和建議的資訊。如果沒有直接聯絡資訊，您可以透過[銷售人員支援表單](https://aws.amazon.com/contact-us/sales-support/)聯繫您的團隊。同樣地，如果您訂閱 [AWS 企業支援](https://aws.amazon.com/premiumsupport/plans/enterprise/)，將會收到來自技術客戶經理 (TAM) 的每週更新，您可以與他們安排定期審查會議。

### 實作步驟
<a name="implementation-steps"></a>

1.  使用您偏好的 RSS 閱讀器訂閱各種不同的部落格和公告，以及訂閱每日功能更新 SNS 主題。

1.  評估要參加哪些 AWS 活動，以獲得有關新功能和服務的第一手資訊。

1.  與您的 AWS 帳戶 團隊排定會議，以討論有關更新安全服務和功能的任何問題。

1.  考慮訂閱企業支援，即可定期向技術客戶經理 (TAM) 諮詢。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [PERF01-BP01 了解並熟悉可用的雲端服務和功能](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 及時了解新的服務版本](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)