Skip to main content

Design principles

  • สร้างรากฐานด้านอัตลักษณ์ที่แข็งแกร่ง (Implement a strong identity foundation): ใช้หลักการให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น (Least privilege) และบังคับใช้การแยกหน้าที่ความรับผิดชอบ (Separation of duties) โดยมีการอนุญาตสิทธิ์ที่เหมาะสมสำหรับการโต้ตอบกับทรัพยากร AWS ในทุกครั้ง บริหารจัดการอัตลักษณ์จากส่วนกลาง และมุ่งเป้าไปที่การเลิกพึ่งพาข้อมูลประจำตัวที่คงอยู่ถาวรในระยะยาว (Static credentials)

  • รักษาความสามารถในการตรวจสอบย้อนกลับ (Maintain traceability): ตรวจสอบ แจ้งเตือน และตรวจสอบการกระทำและการเปลี่ยนแปลงต่างๆ ในสภาพแวดล้อมของคุณแบบเรียลไทม์ รวมการรวบรวม Log และ Metrics เข้ากับระบบเพื่อทำการสืบสวนและดำเนินการโดยอัตโนมัติ

  • บังคับใช้ความปลอดภัยในทุกระดับ (Apply security at all layers): ใช้แนวทางการป้องกันเชิงลึก (Defense in depth) ด้วยการควบคุมความปลอดภัยหลายชั้น โดยนำไปใช้กับทุกระดับ (เช่น ส่วนขอบของเครือข่าย, VPC, Load balancing, ทุก Instance และบริการประมวลผล, ระบบปฏิบัติการ, แอปพลิเคชัน และโค้ด)

  • ทำให้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเป็นอัตโนมัติ (Automate security best practices): กลไกความปลอดภัยในรูปแบบซอฟต์แวร์อัตโนมัติจะช่วยเพิ่มความสามารถในการขยายระบบอย่างปลอดภัยได้รวดเร็วขึ้นและคุ้มค่าใช้จ่ายมากขึ้น สร้างสถาปัตยกรรมที่ปลอดภัย รวมถึงการติดตั้งชุดควบคุมที่ถูกกำหนดและจัดการในรูปแบบของโค้ด (Infrastructure as Code) ภายใต้เทมเพลตที่มีการควบคุมเวอร์ชัน (Version-controlled templates)

  • ปกป้องข้อมูลทั้งในขณะรับส่งและขณะจัดเก็บ (Protect data in transit and at rest): จัดหมวดหมู่ข้อมูลของคุณตามระดับความสำคัญ และใช้กลไกต่างๆ เช่น การเข้ารหัส (Encryption), การทำ Tokenization และการควบคุมการเข้าถึง (Access control) ตามความเหมาะสม

  • ให้บุคลากรอยู่ห่างจากข้อมูล (Keep people away from data): ใช้กลไกและเครื่องมือเพื่อลดหรือขจัดความจำเป็นในการเข้าถึงข้อมูลโดยตรงหรือการประมวลผลข้อมูลด้วยตนเอง สิ่งนี้จะช่วยลดความเสี่ยงจากการจัดการข้อมูลผิดพลาด การแก้ไขโดยไม่ได้รับอนุญาต และความผิดพลาดจากมนุษย์เมื่อต้องจัดการกับข้อมูลที่ละเอียดอ่อน

  • เตรียมพร้อมสำหรับเหตุการณ์ด้านความปลอดภัย (Prepare for security events): เตรียมพร้อมสำหรับอุบัติการณ์โดยการมีนโยบายและกระบวนการจัดการและสืบสวนอุบัติการณ์ที่สอดคล้องกับข้อกำหนดขององค์กร ฝึกซ้อมสถานการณ์จำลองการตอบสนองต่ออุบัติการณ์ และใช้เครื่องมือที่เป็นระบบอัตโนมัติเพื่อเพิ่มความเร็วในการตรวจจับ การสืบสวน และการกู้คืนระบบ