在 AWS 的資安生態系中,所謂的 「資安鐵三角」 通常指的是這三個緊密整合、負責不同階段任務的服務:
- Amazon GuardDuty(負責偵測)
- Amazon Detective(負責調查)
- AWS Security Hub(負責管理與彙整)
這三者就像是警察局裡的三個不同部門,共同合作來處理資安事件。
1. 角色分工介紹
A. Amazon GuardDuty —— 「巡邏員警 / 監視器」
- 核心任務:偵測 (Detection)。
- 做什麼:它 24 小時盯著你的 AWS 帳號日誌(CloudTrail, VPC Flow Logs, DNS Logs),利用機器學習尋找異常。
- 情境:它會大喊:「有奇怪的 IP 正在掃描我們的 Port!」或者「這台 EC2 正在挖礦!」。
- 產出:Findings (發現)。
B. Amazon Detective —— 「刑警 / 鑑識人員」
- 核心任務:調查 (Investigation)。
- 做什麼:當 GuardDuty 報案後,Detective 會介入。它自動收集相關日誌,畫出「關聯圖」,幫你分析攻擊的時間軸、來源 IP 的歷史行為。
- 情境:它會告訴你:「這個攻擊 IP 來自俄羅斯,它在昨天 3 點先連了 A 機器,然後用 IAM User Bob 的權限建立了 B 機器。」
- 產出:Root Cause Analysis (根本原因分析)、視覺化圖表。
C. AWS Security Hub —— 「指揮中心 / 局長」
- 核心任務:管理與合規 (Management & Compliance)。
- 做什麼:它把 GuardDuty 的報案紀錄、Inspector 的掃描結果、Macie 的發現全部收集起來,放在一個儀表板上。同時它還會檢查你的環境是否符合資安標準(如 CIS, PCI DSS)。
- 情境:主管只看這個畫面,說:「我們今天的整體資安分數是 85 分,還有 3 個高風險警報沒處理。」
- 產出:Insights (洞察)、Security Score (安全評分)。
2. 鐵三角的運作流程 (The Workflow)
當一個駭客攻擊發生時,這三個服務是如何連動的?- 【偵測階段】GuardDuty 發現某台 EC2 有異常流量,產生一個 Finding。
- 【彙整階段】Security Hub 接收到這個 Finding,並將其顯示在中央儀表板上,標記為「高風險」。
- 【調查階段】 資安工程師在 Security Hub 或 GuardDuty 的介面上,點擊 「Investigate with Detective」。
- 【分析階段】Detective 立刻跳轉出來,顯示該 EC2 與惡意 IP 的互動圖表與時間軸,協助工程師確認這是不是誤報,以及災害範圍有多大。
- 【回應階段】 確認被駭後,工程師(或透過 EventBridge 自動化)封鎖該 IP 或隔離該 EC2。
3. 超級比一比 (Summary Table)
4. 補充:其他的資安好夥伴
雖然鐵三角是核心,但常常還有兩個服務會加入這個生態系:
- Amazon Inspector:負責 「漏洞掃描」。差別:GuardDuty 是抓「正在發生的攻擊」;Inspector 是抓「軟體太舊有漏洞 (CVE)」。Inspector 的掃描結果也會送到 Security Hub。
- Amazon Macie:負責 「資料隱私」。差別:專門掃描 S3 Bucket,看有沒有身分證字號或信用卡號外洩。結果也會送到 Security Hub。
總結
在考試或架構設計中:
- 先有 GuardDuty (看門)。
- 再有 Security Hub (管總帳)。
- 出事了想搞清楚來龍去脈,就開 Detective (辦案)。
