集中式安全管理

許多組織在掌握和集中管理其環境上，都面臨各種挑戰。隨着您的操作影響層面擴大，若不仔細思考安全設計，可能會讓此項挑戰愈趨複雜。缺乏知識，再加上治理與安全程序上分散且不平均的管理，可能會讓您的環境容易受到攻擊。

AWS 提供各種工具協助您解決 IT 管理與治理上，一些最具挑戰性的問題，以及協助您從設計達成保護資料的目的。

AWS Control Tower 提供方法讓您設定及治理安全、新穎的多帳戶 AWS 環境。此服務會依照最佳實務的藍圖，自動設定多帳戶環境的登陸區域，並允許您從預先封裝的清單中，選擇防護機制來實現治理。防護機制會針對安全、合規與營運實作治理規則。AWS Control Tower 使用 AWS IAM Identity Center (IAM Identity Center) 的預設目錄，提供身分識別管理，並使用 IAM Identity Center 與 IAM，允許跨帳戶進行稽核。此外也集結了儲存於 Amazon S3 中，來自 CloudTrail 與 AWS Config 日誌的日誌。

AWS Security Hub 是另一項支援集中功能，並能提升組織掌握度的服務。Security Hub 可集中管理來自 AWS 帳戶與服務 (例如 Amazon GuardDuty 與 Amazon Inspector) 的安全與合規結果，並排列其優先順序，同時還能和第三方合作夥伴的安全軟件整合，協助您分析安全趨勢，從中找出最高優先順序的安全問題。

Amazon GuardDuty 是智慧型威脅偵測服務，可協助客戶更精確而且輕鬆地監控及保護其 AWS 帳戶、工作負載，以及儲存於 Amazon S3 中的資料。GuardDuty 可以分析幾個來源中，您 AWS 帳戶的數十億個事件，包括 AWS CloudTrail 管理事件、CloudTrail Amazon S3 資料事件、Amazon Virtual Private Cloud 流程日誌，以及 DNS 日誌例如，其可偵測異常的 API 呼叫、對已知惡意之 IP 位址發出的可疑輸出通訊，或是利用 DNS 查詢作為傳輸機制，企圖竊取資料的行為。GuardDuty 能夠利用機器學習支援的威脅情報，以及第三方的安全合作夥伴，提供更精確的結果。

Amazon Inspector 是自動安全評定服務，可協助改善在 AWS EC2 執行個體上部署之應用程式的安全與合規。Amazon Inspector 可自動評定應用程式的暴露程度、弱點，以及和最佳實務之間的偏差。在執行評定之後，Amazon Inspector 會產生一份詳細的安全問題清單，並依據嚴重程度排列其內容。

Amazon CloudWatch Events 可讓您將 AWS 帳戶設定為將事件傳送給其他 AWS 帳戶，或是做為其他帳戶或組織的事件接收者。此機制在實作跨帳戶事件回應案例時非常實用，可以採取及時的修正動作 (例如呼叫 Lambda 函數，或對 Amazon EC2 執行個體執行命令)，以在發生安全事件時隨時執行。

圖 5 – 採取 AWS Security Hub 與 Amazon CloudWatch Events 的行動

AWS Organizations 可協助您集中管理及治理複雜的環境，並可讓您控制多帳戶環境中的存取、合規與安全。AWS Organizations 支援服務控制政策 (SCP)，其定義了可以對組織中之特定帳戶或組織單位 (OU) 執行的 AWS 服務動作的。

AWS Systems Manager 可協助您掌握及控制 AWS 上的基礎結構。您可以從整合的主控台中，檢視來自多個 AWS 服務的操作資料，並自動執行這些服務中的操作任務。您可以獲取有關近期 API 活動、資源組態變更、操作警示、軟體庫存，以及與修補合規狀態的資訊。您也可以將這項整合與其他 AWS 服務搭配使用，依據您的營運需求，對資源採取動作，以達成環境合規的目的。

例如將 Amazon Inspector 與 AWS Systems Manager 整合，可簡化及自動執行安全評定，原因是您可以在啟動 Amazon EC2 執行個體時，使用 Amazon Elastic Compute Cloud Systems Manager，自動安裝 Amazon Inspector 代理程式。您也可以使用 Amazon EC2 System Manager 與 Lambda 函數，自動修復 Amazon Inspector 結果。