雲端共享責任模型
Vibe Prompt
「幫我解釋 AWS 共享責任模型:哪些是 AWS 負責,哪些是客戶負責。」
責任劃分
├── AWS 負責「雲端的安全」
│ ├── 實體資料中心
│ ├── 硬體與網路
│ ├── 虛擬化層
│ └── 託管服務(S3, RDS, Lambda)的底層
│
├── 客戶負責「雲端內的安全」
│ ├── 作業系統修補
│ ├── 防火牆設定(Security Group)
│ ├── IAM 權限管理
│ ├── 資料加密
│ └── 應用程式安全
│
├── 託管服務(如 Lambda)
│ ├── AWS 負責 OS 層
│ └── 客戶負責程式碼與 IAM
Security Hub
AWS Security Hub:集中檢視安全警示與合規狀態
└── 整合服務
├── GuardDuty(威脅偵測)
├── Inspector(漏洞掃描)
├── Macie(資料遺失防護)
└── Config(資源合規)
最佳實踐
- ✅ 啟用 CloudTrail(所有 API 呼叫記錄)
- ✅ 啟用 GuardDuty(威脅偵測)
- ✅ 啟用 Security Hub(集中管理)
- ✅ S3 Block Public Access
- ✅ IAM 最小權限原則
- ✅ 啟用 MFA
關鍵要點
共同責任模型 (Shared Responsibility Model)
| 責任範圍 | AWS 負責 | 客戶負責 | |---------|:--------:|:--------:| | 實體安全(機房、門禁) | ✅ | ❌ | | 網路基礎設施(路由器、防火牆) | ✅ | ❌ | | 虛擬化層(Hypervisor) | ✅ | ❌ | | 作業系統修補與強化 | ❌ | ✅ | | 應用程式安全配置 | ❌ | ✅ | | 資料加密與存取控制 | ❌ | ✅ | | IAM 身分與權限管理 | ❌ | ✅ |
常見迷思
「搬到雲端 = 安全交給雲端廠商」— 這是錯誤的!
雲端廠商只負責「雲端的安全」(Security OF the Cloud),不負責「雲端裡的安全」(Security IN the Cloud)。如果因為你忘了設定 S3 Bucket 權限而導致資料外洩,這是你的責任,不是 AWS 的責任。
安全檢查清單
- [ ] S3 Bucket 是否設為 Public?
- [ ] IAM 是否遵循最小權限原則?
- [ ] 安全群組是否開放 0.0.0.0/0?
- [ ] CloudTrail / 審計日誌是否啟用?
- [ ] Root 帳號是否啟用 MFA?
- [ ] 資料是否啟用靜態加密 (KMS)?
一個真實的雲端資料外洩案例
2021 年,一家知名科技公司因為一個錯誤配置的 S3 Bucket,導致 3.5 億筆使用者資料外洩。
他們的反應是:「AWS 應該負責安全!」
但 AWS 的反應是:「S3 Bucket 的存取權限是客戶控制的——這是客戶的責任。」
這就是共同責任模型 (Shared Responsibility Model) 的核心:
AWS 負責「雲端的安全」(Security OF the Cloud) 客戶負責「雲端裡的安全」(Security IN the Cloud)
| AWS 負責 | 你負責 | |:---------|:-------| | 實體資料中心安全 | S3 Bucket 權限設定 | | 網路基礎設施 | EC2 安全群組配置 | | 虛擬化層 Hypervisor | 作業系統修補 | | 硬體與機房 | IAM 帳號與權限 | | 託管服務(RDS、Lambda)底層 | 應用程式程式碼安全 | | 全球基礎設施(AZ、Region) | 資料加密與備份 |
最常見的雲端安全錯誤
| 錯誤 | 後果 | 解決方案 |
|:----:|:----:|:---------|
| S3 Bucket 設為 Public | 資料暴露給全世界 | 使用 S3 Block Public Access |
| 安全群組開放 0.0.0.0/0:22 | SSH 被全球任意 IP 嘗試登入 | 只允許特定 IP 存取 |
| IAM 權限過大(Action: *) | 漏洞發生時影響範圍擴大 | 最小權限原則 |
| 資料庫直接暴露在公網 | 資料庫被直接攻擊 | 放在私有子網 + Security Group |
| 未啟用 CloudTrail | 發生問題時無法追查 | 開啟 CloudTrail 多區域追蹤 |
下一章預告:從責任劃分到權限管理
了解誰負責什麼之後,下一步就是實作權限管理——IAM(身分與存取管理)。下一章將教你如何使用 IAM User、Group、Role、Policy 來實現最小權限原則。