--- tags: islab --- 資安院-雲端PaaS、IaaS安全組態基準規範研析報告 === ## 查核點 - (12/15) 雲端PaaS 安全組態研究報告 - 偏向系統模型分析 - (04/15) 雲端IaaS 安全組態研究報告 - 偏向系統模型分析 - (08/15) 雲端安全組態基準規範研析報告 - 定義安全 ## Meeting Time - 預計 - 8/21~8/25 ## ToDo List ### Survey - 時間：8/17~8/31 - 工作內容 - [name=承翰] GCP - [name=光宇] AWS - [name=丞傑] Azure ## 會議記錄 ### Meeting (2023/08/17) - [name=徐老師] 可以參考NIST等相關標準機構已完成的工作，先Survey，了解整體 - [name=徐老師] 分類資安院現有gcb - [name=徐老師] 盤點PaaS服務商，並預估花費時間 - [name=徐老師] 整理因雲端所產生的資安威脅 - IE、Google Chrome、Firefox 相關設定 - Apache、MS SQL server (PaaS) - 新型態攻擊（不用的資源或使用者不清楚組態，不安全的API) - 整理因雲端所產生的資安威脅 ### Meeting (2023/08/24) - [name=徐老師] 支援管理平台安全的工具安全問題 - [name=徐老師] 因雲服務所造成的漏洞，例:遠端連接所導致的資安問題 - [name=徐老師] 雲端服務沒使用，過期OS有漏洞????有連上但被棄置，可能有淺在威脅 - 三大平台有建議設定，有工具檢測隱私 - 台灣目前GCB沒有涵蓋隱私保護 根據IAAS PAAS 個別雲端平台 做這部分的資源 Overview 講怎麼做API ### Meeting (2023/08/31) - [name=徐老師] 美國FedRAMP 和 NIST cloud 有何區別? - [name=徐老師] 希望找出在現今設定工具中在雲端中有關設定項目 - [name=徐老師] 做出總盤點，了解防護手段是否能夠涵蓋到設定 - [name=徐老師] 找出 IaaS、PaaS 與地端的設定有無差別(例如防火牆的功能) ### 外部 Meeting (2023/09/06) - [name=蕭漢威 館長] AWS 中的 Red Hat Enterprise Linux 8 可能是不同於常見的 Red Hat Enterprise - [name=Ato Lin] 目前 Red Hat 的 ISO 檔都是一樣的，應該不會有相異的差別 - [name=蕭漢威 館長] 現在業界合規做法? - [name=Ato Lin] 建立 Linux 模板先做好合規後再 Clone，使用 **Ansible** 進行設置 - [name=Ato Lin] Red Hat 有推出訂閱制程式進行合規設定 (Ansible) ### Meeting (2023/09/14) - [name=徐老師] 希望從政府制訂的規則去看相關合規檢測 - [name=徐老師] 組態補完整?根據不同os更新版本 - [name=徐老師] GCB分類 ### Meeting (2023/10/26) - [name=徐老師] 探討現今政府需求是私有雲還是公有雲 - [name=徐老師] ### Meeting (2023/11/16) - [name=徐老師] 整合各文件之合規內容 ## 報告架構 ### 1. 研究背景與目的 - **PaaS 與 IaaS 概述**：介紹這兩種雲服務模型的基本概念、優勢、限制，以及它們在現代 IT 架構中的角色。 - **組態錯誤的風險**：探討組態錯誤如何導致安全漏洞，特別是在雲端環境中。 ### 2. 研究方法與資料收集 - **案例研究**：分析過去因組態錯誤導致的著名雲端攻擊案例。 - **專家訪談**：訪問業界專家，獲取他們對於防範組態錯誤的見解和建議。 ### 3. 分析與討論 - **攻擊模式分析**：詳細介紹攻擊者如何利用 PaaS 和 IaaS 的組態錯誤進行攻擊。 - **風險評估**：評估這些錯誤對組織的潛在影響。 ### 4. 政府雲端採購指南（GCB）建議 - **安全最佳實踐**：基於研究發現，提供保障 PaaS 和 IaaS 安全的策略和措施。 - **政策與標準**：建議政府在採購雲服務時應考慮的安全標準和合規要求。 ### 5. 結論與未來展望 - **研究總結**：概括研究發現和建議的重要性。 - **未來研究方向**：提出未來在此領域研究可以探討的新問題或深入研究的領域。 ### 附錄與參考資料 - 包括所有使用的資料來源、參考文獻和案例研究。