雲端共享責任模型
Vibe Prompt
「幫我解釋 AWS 共享責任模型:哪些是 AWS 負責,哪些是客戶負責。」
責任劃分
├── AWS 負責「雲端的安全」
│ ├── 實體資料中心
│ ├── 硬體與網路
│ ├── 虛擬化層
│ └── 託管服務(S3, RDS, Lambda)的底層
│
├── 客戶負責「雲端內的安全」
│ ├── 作業系統修補
│ ├── 防火牆設定(Security Group)
│ ├── IAM 權限管理
│ ├── 資料加密
│ └── 應用程式安全
│
├── 託管服務(如 Lambda)
│ ├── AWS 負責 OS 層
│ └── 客戶負責程式碼與 IAM
Security Hub
AWS Security Hub:集中檢視安全警示與合規狀態
└── 整合服務
├── GuardDuty(威脅偵測)
├── Inspector(漏洞掃描)
├── Macie(資料遺失防護)
└── Config(資源合規)
最佳實踐
- ✅ 啟用 CloudTrail(所有 API 呼叫記錄)
- ✅ 啟用 GuardDuty(威脅偵測)
- ✅ 啟用 Security Hub(集中管理)
- ✅ S3 Block Public Access
- ✅ IAM 最小權限原則
- ✅ 啟用 MFA