美國政府在2014年為了加強公部門的資安防護能力,頒布了NIST (NIST Cybersecurity Framework)架構。因為美國公部門落實這個架構非常成功,所以政府也將這套辦法逐漸傳到民間企業以及學術領域,也希望透過此資安架構來提升各單位的資安保護力。根據Gartner調查指出,在2020年時美國已經有50%的企業已經採用此架構。
CSF的三大要素
CSF 提供了一個簡單而有效的結構,由三個元要素組成 — — 核心(Core)、層級(Tier)和配置文件(Profile)。 核心代表一組網路安全實踐、成果以及技術、運營和管理安全控制,支持五種風險管理功能 — — 識別(Detection)、保護(Protection)、調查(Investigation)、響應(Response)和恢復(Recover)。 層級表徵了組織管理 CSF 功能和控制的能力和成熟度,配置文件是指在傳達組織的“現狀”和“未來”網路安全態勢。
在這三大要素中,最常被拿來當作資安服務稜量標準的就是核心的五大面向。
AWS針對CSF五大面向的相關服務
AWS針對CSF五大面向而分類的相關服務(資料來源:AWS 官網)
AWS當然也針對NIST CSF五大面向,將自有服務歸類為IAM、偵測、基礎設備保護、資料保護以及事件回應。後面的天數將會介紹AWS資安五大面向以及其服務如何佈建。