AWS 安全最佳實務主要來自 AWS Well-Architected Framework 的安全支柱,強調保護資料、系統和資產,同時滿足業務需求。
身份與存取管理
實施最小權限原則,使用 IAM 角色而非長期存取金鑰,並強制多因素認證 (MFA),尤其是根帳戶。
定期輪換存取金鑰,每 3 個月一次,並使用 IAM Identity Center 進行集中式管理,以降低未授權存取風險。避免根帳戶日常使用,改用 IAM 使用者或角色,並透過屬性基礎存取控制 (ABAC) 細分權限。
資料保護
對靜態和傳輸中資料強制加密,使用 AWS KMS 管理金鑰,並依資料分類等級應用不同控制,如標籤和 SCP。
啟用 S3 物件鎖定、版本控制和 Glacier Vault Lock,防止刪除或修改,並審核共享資源權限。
限制直接存取敏感資料,使用 Amazon QuickSight 等儀表板或自動化工作流程取代手動操作。
基礎設施保護
定期掃描並修補 EC2、ECS 和 EKS 漏洞,使用 Amazon Inspector 和 Systems Manager Patch Manager。
強化網路安全,啟用 VPC Flow Logs、AWS WAF 和 Shield,優先使用 PrivateLink 或 Transit Gateway 避免公網暴露。
對容器和 Lambda 應用最小權限 IAM 角色,啟用 ECR 映像掃描,並使用 ACM 管理 TLS 憑證。
偵測與回應
啟用 CloudTrail、GuardDuty 和 Security Hub,集中日誌至安全帳戶,並設定自動警報。
建立事件回應計劃,包括預先佈署工具、鑑識準備和測試 playbook,追蹤第三方存取活動。
持續審核 IAM 政策、S3 權限和合規性,結合自動化政策減少手動錯誤。
