aws microsoft 工作負載能力 · aws microsoft...
TRANSCRIPT
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 1
AWS Microsoft 工作負載能力
技術合作夥伴驗證檢查清單
2019 年 6 月
版本 1.0
本文件僅供參考,不構成 AWS 的任何要約、合約承諾、承諾或保證。此處描述的任何權益均由 AWS 自行決定,
如有異動或終止,恕不另行通知。本文件不是 AWS 與其客戶和/或 APN 合作夥伴之間任何協議的一部分,也並非
協議的修改。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 2
目錄
目錄 ............................................................................................................................................................................................................. 2
簡介 ............................................................................................................................................................................................................. 3
對締約方的期望 ......................................................................................................................................................................................... 3
AWS Microsoft 工作負載能力計劃 ............................................................................................................................................................ 4
AWS Microsoft 工作負載能力類別 ............................................................................................................................................................ 4
AWS Microsoft 工作負載能力計劃先決條件 ............................................................................................................................................ 5
AWS Microsoft 工作負載能力計劃驗證檢查清單 .................................................................................................................................... 8
依類別分類的 Microsoft 工作負載技術需求........................................................................................................................................ 8
營運優化 ..................................................................................................................................................................................................... 9
資料、分析和機器學習 ........................................................................................................................................................................... 10
AWS 技術需求....................................................................................................................................................................................... 11
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 3
簡介 AWS 能力計劃的目標旨在認可具備熟練技術、且在專業化解決方案領域擁有客戶成功經驗的 AWS 合作夥伴網路合作夥伴
(「APN 合作夥伴」)。能力合作夥伴驗證檢查清單 (「檢查清單」) 適用於有興趣申請 AWS 能力的 APN 合作夥伴。這個檢查
清單提供符合 AWS 能力計劃頭銜授與的必備條件。申請特定能力時,APN 合作夥伴需經過各項能力稽核。AWS 會採用內部
專家和第三方公司協助稽核。AWS 保留隨時修改本文件的權利。
對締約方的期望 即使已符合所有先決條件,APN 合作夥伴也需在申請 AWS 能力計劃之前詳閱本文件。如果本文件中的項目不清楚並需要
進一步說明,第一步請聯繫您的 AWS 合作夥伴開發代表 ("PDR") 或 AWS 合作夥伴開發經理 ("PDM")。如需進一步的協
助,您的 PDR/PDM 將聯繫計劃辦公室。
準備好提交計劃申請時,APN 合作夥伴應填寫檢查清單的合作夥伴自我評估欄,檢查清單位於本文件下方。
提交您的申請:
1. 以聯盟主管的身分登入 APN 合作夥伴中心 (https://partnercentral.awspartner.com/)
2. 選擇頁面左側的 "View My APN Account (檢視我的 APN 帳戶)"
3. 捲動至 "Program Details (計劃詳細資訊)" 部分
4. 選取您要申請之 AWS 能力旁的 "Update (更新)"
5. 填寫計劃申請,然後按一下 "Submit (提交)"
6. 使用電子郵件將完成的自我評估寄至 [email protected]。
o 自我評估必須包括:
▪ 解決方案的類別 (產品設計、生產設計、生產或營運)
▪ 部署類型 (在 AWS 上部署的 SaaS 或客戶)
▪ AWS 案例研究的文件 (參見下面的定義)
如果對上述說明有任何疑問,請聯繫您的 PDR/PDM。
AWS 會進行審查,並盡可能在五個工作日內回覆任何問題,以便安排您的稽核或請求其他資訊。
APN 合作夥伴應詳閱檢查清單做好稽核的準備、使用檢查清單完成自我評估,以及收集和整理客觀證據以便在稽核當天交給
稽核員。
AWS 建議 APN 合作夥伴要有能夠在稽核期間詳述各項需求的人員。理想的作法是 APN 合作夥伴安排以下稽核人員:一或多名
具備高度技術專業的 AWS 認證工程師/架構師、一名負責營運和支援各項元素的營運經理,以及一名業務開發主管負責提供概
要的簡報。安排稽核之前,APN 合作夥伴應確保他們徵得必要的同意,以便與稽核員 (無論是 AWS 或第三方) 分享客觀證據或
任何示範的所有資訊。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 4
AWS Microsoft 工作負載能力計劃
這個 AWS Microsoft 工作負載能力計劃 (稱為「AWS Microsoft 工作負載能力」或「能力」) 可識別和驗證 APN 技術合作夥伴
產品,這些產品能協助客戶評估 Microsoft 工作負載並將其移轉到 AWS,以及部署、優化和現代化 AWS 上的 Microsoft 工作
負載。相關產品分為三類:移轉、營運優化和資料/分析/機器學習。這些類別進一步分成不同的功能子類別。APN 合作夥伴
可透過一或多個類別申請和加入 AWS 能力計劃。
AWS Microsoft 工作負載能力類別
APN 合作夥伴必須為其解決方案確定領域類別和子類別 (或多個類別):
1. Microsoft 工作負載移轉:此類別中的技術提供移轉前評估和規劃,或自動化和管理 Microsoft 工作負載的移轉。
2. 營運優化:此類別中的技術用於在 AWS 上優化和自動化 Microsoft 工作負載,包括安全性、可用性和可管理性等領
域。
3. 資料、分析和機器學習:此類別中的技術可準備、轉換、分析和管控 Microsoft SQL Server 資料,以便在 AWS 上
進行資料分析和機器學習。
此表格已經過修改
Microsoft 工作負載
移轉
移轉前評估
移轉
移轉運作狀態
監控和報告
營運優化
安全性
可用性
管理
資料、分析和機器學習資料整合和準備
平台解決方案
SaaS
和A
PI 解決方案
BI 和視覺化
資料管控和安全
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 5
AWS Microsoft 工作負載能力計劃先決條件 以下項目將由 AWS 能力計劃管理員驗證;在安排技術驗證審核之前,必須補齊遺漏或不完整的資訊。
1.0 APN 計劃先決條件 是或否
1.1 計劃指
導方針
申請 Microsoft 工作負載能力計劃之前,APN 合作夥伴必須閱讀計劃指導方針和定義。按一下此處,了解計
劃詳細資訊。
1.2 APN 技
術合作夥伴
等級
APN 合作夥伴必須是進階級 APN 技術合作夥伴
1.3 解決方
案類別
APN 合作夥伴必須為其解決方案確定領域類別和子類別 (或多個子類別)。
類別:
▪ Microsoft 工作負載移轉
移轉前評估
應用程式和資料移轉
移轉運作狀態
監控和報告
▪ Microsoft 工作負載營運優化
安全和威脅管理
可用性與災難復原
資源管理、監視清單/運作狀態/成本監控和報告
▪ Microsoft 工作負載的資料、分析和機器學習
資料整合和準備
平台解決方案
SaaS 和 API 解決方案
商業智慧和視覺化
資料管控、合規和安全
2.0 案例研究 是或否
2.1
Microsoft 工
作負載特定
案例研究
APN 合作夥伴至少必須有四 (4) 個案例研究,證明使用的 APN 合作夥伴技術與審查中的類別相關。對於已經
在 AWS 移轉、DevOps 或資料和分析能力中驗證的 APN 合作夥伴,案例研究數量減為至少 2 個,一個公開和
一個私人案例研究,證明與 Microsoft 工作負載搭配使用的 APN 合作夥伴技術與審查中的類別相關。 如果審
查中的類別不只一個,則至少要有一個案例研究應證明每個子類別中使用的技術。
至於每個案例研究,APN 合作夥伴必須提供以下資訊:
▪ 客戶名稱
▪ 客戶面臨的挑戰
▪ 如何部署解決方案以應對挑戰
▪ 使用的第三方應用程式或解決方案
▪ 參考進入生產的日期
▪ 成果/結果
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 6
▪ 取決於解決方案類型的具體架構圖、部署指南和其他材料,如下一節所述。
在 APN 合作夥伴中心的計劃申請程序中會要求提供此資訊。
提供的所有四個案例研究將在「技術驗證」中進行檢驗。如果 APN 合作夥伴無法提供必要文件,以便針對檢查
清單中各個項目來評估案例研究,或如果未符合檢查清單的任何項目時,則不再考慮將案例研究納入 AWS 能
力。
案例研究必須描述過去 18 個月內執行的部署,而且必須用於與客戶共同生產的專案,而不是在「前導測
試」或概念驗證階段的專案。
2.2 公開的
案例研究
AWS 會在獲得能力核准後使用可公開提供的案例研究,根據可衡量的關鍵效能指標 (KPI) 與解決方案展示
APN 合作夥伴所展現的成功,並讓客戶相信 APN 合作夥伴擁有實現其目標的技術。
與案例研究相關的四 (4) 個客戶部署中的兩 (2) 個,必須由 APN 合作夥伴公佈為公開提供的案例研究。這些
公開提供的案例研究形式可能是正式的案例研究、白皮書、影片或部落格文章。
公開提供的案例研究必須容易從 APN 合作夥伴的網站取得,例如:必須可從 APN 合作夥伴的首頁找到公開
提供的案例研究,且 APN 合作夥伴必須在他們的應用程式中提供這些公開提供的案例研究連結。
公開提供的案例研究必須包括以下內容:
▪ 客戶名稱、APN 合作夥伴名稱和 AWS
▪ 客戶面臨的挑戰
▪ 如何部署解決方案以應對挑戰
▪ AWS 服務如何做為解決方案的一部分使用
▪ 成果/結果
3.0 AWS Microsoft 工作負載網路影響力和思想領導力 是或否
3.1 合作夥
伴 AWS 微
型網站
APN 合作夥伴的 AWS Microsoft 工作負載解決方案結合網際網路平台之後,讓客戶對 APN 合作夥伴的能力和
經驗充滿信心。
APN 合作夥伴必須架設 AWS 微型網站網頁來描述其 AWS Microsoft 工作負載解決方案、公開提供的案例研究
的連結、列出技術合作夥伴關係、提供任何其他相關資訊,證明合作夥伴具備 Microsoft 工作負載的專業知
識並突顯與 AWS 的合作關係。
必須可以從 APN 合作夥伴的首頁存取這個 AWS 專屬的 Microsoft 工作負載微型網站。除非 APN 合作夥伴是專
屬的 Microsoft 工作負載公司,否則首頁本身不能作為 AWS 微型網站,而且首頁的內容需反映 APN 合作夥伴
對 Microsoft 工作負載的關注。
3.2
Microsoft 工
作負載思想
領導力
AWS Microsoft 工作負載能力合作夥伴被視為在雲端管理方面擁有深厚的專業知識、已開發各種創新的解決
方案來利用或協助管理 AWS 服務。
APN 合作夥伴必須擁有面向公眾的材料 (例如,部落格文章、新聞文章、影片等),藉此展示 APN 合作夥伴對
Microsoft 工作負載的關注和具備的專業知識。務必提供過去 12 個月內發佈的材料範例連結。
4.0 業務需求 是或否
4.1 產品支援
/支援人員
APN 合作夥伴透過網路聊天、電話或電子郵件支援的方式為客戶提供產品支援。
證明必須以針對客戶的產品或解決方案所提供支援之描述的形式提供。
4.2 產品已列
在 AWS
Marketplace
上
APN 合作夥伴透過 AWS Marketplace 提供解決方案。
是
否
若為「是」,則 APN 合作夥伴必須提供列於 AWS Marketplace 上之解決方案的連結。若為「否」,則不需要
提供進一步資訊。請注意,AWS Marketplace 並非達成「能力」的必要項目。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 7
4.3 部署模型 APN 合作夥伴確定了客戶可用的所有部署模型選項。
AWS 上的 SaaS
AWS 外的 SaaS (用於移轉)
AWS 上的 BYOL
現場部署的 BYOL (用於移轉)
5.0 APN 合作夥伴自我評估 是或否
5.1 AWS 能
力合作夥伴
計劃驗證檢
查清單自我
評估
APN 合作夥伴必須使用此檢查清單來針對自身合規性進行自我評估。
▪ APN 合作夥伴必須完成檢查清單的所有部分。
▪ 完成的自我評估必須透過電子郵件傳送到 [email protected],並針對電子郵件主旨行
使用下列慣例:"[APN Partner Name], Microsoft Workloads Competency Technology Partner Completed Self-
Assessment"
▪ 建議 APN 合作夥伴在將完成的自我評估提交給 AWS 之前,先將其交給合作夥伴解決方案架構師、PDR
或 PDM 進行審查。這樣做的目的是確保 APN 合作夥伴的 AWS 團隊能密切參與並在審查之前提供相關建
議,以協助確保審查體驗的生產性。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 8
AWS Microsoft 工作負載能力計劃驗證檢查清單
以下項目將會由 AWS 合作夥伴解決方案架構師和/或第三方稽核員和/或 AWS 合作夥伴解決方案架構師進行驗證;在安排技
術驗證審核之前,請務必補齊所有缺失或不完整的資訊。
依類別分類的 Microsoft 工作負載技術需求
描述 APN 合作夥伴解決方案符合需求之方式的文件,必須連同 AWS 能力自我評估一起提交。
Microsoft 工作負載移轉
必要的解決方案功能 符合 (是/否)
移轉前評估
技術解決方案必須使用代理或無代理技術,自動識別要移轉至 AWS 的工作負載。這可以
包括:
▪ 以下其中一項 (或多項) Microsoft 工作負載移轉前評估:
o 評估在現場部署執行 Microsoft Windows 的伺服器和虛擬機器
o Docker 容器評估 (在 Windows Server 上執行或者如果容器正在執行 .NET/.NET
Core 應用程式)
o .NET/.NET Core 應用程式評估
o 資料移轉評估 (SQL、檔案系統、Blob 等)
o 企業解決方案移轉評估 (Active Directory、OneDrive、Dynamics、Exchange
等)。
▪ 應產生移轉前評估報告。
每個工作負載進入客戶指定的 AWS 資源群組
移轉
技術解決方案必須使用代理或無代理技術,自動將已識別的工作負載移轉至 AWS,或是以
工作負載移轉之一部分的形式移轉資料。這可以包括:
▪ 以下其中之一的 Microsoft 工作負載移轉:
o 虛擬機器移轉
o Docker 容器移轉 (在 Windows Server 上執行或者如果容器正在執行 .NET/.NET
Core 應用程式)
o .NET/.NET Core 應用程式移轉
o 資料移轉 (SQL、檔案系統、Blob 等)
o 企業解決方案移轉 (Active Directory、OneDrive、Dynamics、Exchange
等)。
▪ 能夠執行備份,並在任何移轉階段不成功的情況下,以最少或無資料遺失的方式回復
至任何時間點。
▪ 針對災難復原啟用混合雲端組態
▪ 進行差異同步以在移轉後同步資料,直到切換發生且來源伺服器/執行個體關閉為止。
▪ 將每個工作負載切換到客戶指定的 AWS 資源群組
移轉運作狀態 技術解決方案應在移轉過程中進行評估,以便即時確定:
▪ 資料完整性
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 9
營運優化
▪ 應用程式運作狀態
▪ 整體連接架構運作狀態評估
監控和報告
技術解決方案應該:
▪ 監控移轉進度
▪ 通知、警告和錯誤報告
▪ 整體移轉報告
必要的解決方案功能 符合 (是/否)
安全性
技術解決方案應執行以下操作:
▪ 安全狀態組態 (角色型存取、身分存取和管理、代理/防火牆組態、路由、加密等)
▪ 為 DLP (資料遺失防範) 提供分析
▪ 網路和執行個體安全狀態 (連接埠、憑證、安全組態)
▪ 針對網路流量 (可能的攻擊向量) 的威脅建模和警示。
▪ 合規 (HIPAA、PCI、SOX 等)
▪ 能夠針對安全狀態建議改善
▪ 針對原始程式碼檢查不良做法、記憶體流失、資料健康狀態和安全問題。
可用性
技術解決方案應執行以下操作:
▪ 持續的災難復原檢查。(混沌工程)
o 可擴展性
o 可用性
o 資料完整性和彈性
▪ 用於確定高可用性問題的資源分析。
▪ 能夠隨著工作負載的變化自動調整規模 (縮減和擴展)
管理
技術解決方案應執行以下操作:
▪ 針對下列項目的監視清單列表和分析 (Amazon EC2 執行個體、容器、無伺服器):
o Microsoft 工作負載資產
o Microsoft 工作負載組態
o Microsoft 基礎設施組態。
▪ 自動探索:
o 網路組態
o 運算資源 (伺服器、叢集)
o 儲存資源 (LUN、iSCSi 目標等)
o 資料庫 (引擎、組態、版本、相容性)
▪ 監視清單變更的歷史分析 (在選取的時間範圍內)。
▪ 資源分配、容量利用率分析。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 10
資料、分析和機器學習
▪ 持續的成本分析和警示 (同時針對資源利用率和授權)。
▪ 能夠根據利用率和工作負載模式建議減少佈建
▪ 持續的效能分析和警示。
▪ 常見的 Microsoft 工作負載特定的自動化操作任務包括:
o 備份與恢復
o 修補
o 工作負載狀態管理
o 組態管理
▪ 對現場部署解決方案/應用程式進行必要/平均效能的基準測試。
▪ 根據基準測試針對 AWS 提供執行個體、資源匹配和建議。
▪ 針對 AWS 中的解決方案/應用程式進行 POC 和基準測試。
▪ 根據基準測試提供估計的 TCO 和資源利用率。
▪ 報告:
o 效能報告、交付和警示 (針對報告)。
o 基礎設施報告、交付和警示 (針對報告)。
o 工作負載組態和運作狀態報告、交付和警示 (針對報告)。
o 修補報告、交付和警示 (針對報告)。
必要的解決方案功能 是或否
資料整合和準備
技術解決方案應該能夠:
▪ 擷取工作負載資料並提出行動建議
▪ 註釋具描述性、結構化、管理性、參考性和統計性的資料:
o 句法和依存樹庫,包括對共同參考的識別
o 對文字的語義註釋,包括針對搜尋、情感分析和資料探勘應用程式的具名實
體識別
o 對語言、方言和說話者人口統計資料的識別
o 影片、圖片、Word 檔案、pdf 等
o 部門、業務單位、流程
o 安全保護等級 (機密、公開、私人等)
o 物件類型 (建築、人物、動物等)
▪ 從不同來源移動並合併資料。
▪ 轉換並準備資料以進行分析。
▪ 資料品質檢查。
▪ 資料複寫。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 11
AWS 技術需求
以下是針對由 APN 合作夥伴所提交之 4 個案例研究的技術需求。每個案例研究都必須顯示 APN 合作夥伴所部署的解決方案
能符合 AWS 最佳實務,並遵守 AWS Well-Architected 架構。
▪ 資料分析。
▪ 特徵工程 – 從現有的特徵建立新的輸入特徵。
平台解決方案
技術解決方案應該是:
▪ 緊密整合並設計來協力解決標準化架構內之分析挑戰的工具,元件可能包括:
o 儲存
o 處理
o 排程
o 安全性
o 分析設施
▪ 為資料科學家和機器學習從業人員提供能取用其資料的工具,訓練預測模型,並對新的資料
進行預測。
SaaS 和 API 解決方
案
此類別包括能在客戶應用程式內啟用預測 (AI/ML) 功能的解決方案:
▪ Web
▪ 用戶端
▪ 架構
商業智慧和視覺化
使用下列分析處理技術,將原始資料轉換為可操作之業務資訊的技術解決方案:
▪ 報告
▪ 儀表板
▪ 資料視覺化
資料管控和安全
能探索、分類和控制資料的技術解決方案。這包括:
▪ 定義和實施政策。
▪ 個人資訊的安全和管理。
▪ 建立資料目錄和詞彙表。
▪ 資料歷程。
▪ 資料遮罩。
適用於:
是或
否 多租用
戶 SaaS
單一租用
戶 SaaS
在現場部
署的客戶
在 AWS 上
部署的客
戶
必要的文件
必須提交以下文件作為能力自我評估的一部分。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 12
架構圖
根據部署類別,需要一個或多個架構圖。
每個架構圖都必須顯示:
▪ 架構的主要元素,以及它們如何一起為客戶提供
APN 合作夥伴解決方案
▪ 使用適當的 AWS 服務圖示顯示所有使用的 AWS
服務。
▪ AWS 服務的部署方式,包括 Amazon Virtual
Private Cloud (Amazon VPC)、可用區域、子網
路,以及連線至 AWS 以外的系統。
▪ 包括部署至 AWS 外部的元素,例如現場部署元
件或硬體裝置。
是 – 一
個用於
整個解
決方
案,一
個用於
每個案
例研究
是 – 一個
用於整個
解決方
案,一個
用於每個
案例研究
是 – 一個
用於每個
案例研究
是 – 一個
用於每個
案例研究
部署指南
部署指南必須提供在 AWS 上部署 APN 合作夥伴解決
方案的最佳實務,包括在「部署指南的基準要求」中
所概述的所有小節
否 否 否
是 – 一個
用於解決
方案。
完成的驗證檢查
清單
針對四個案例研究中的每個案例研究,APN 合作夥伴
必須提供下列檢查清單的已完成版本,指出已符合哪
些檢查清單項目。
是 是 是 是
1.0 安全
安全支柱著重於保護資訊和系統。重要主題包括資料的機密性和完整性、透過權限管理來識別和管理有哪些人員可以執
行哪些工作、保護系統,以及建立控制項以偵測安全事件。
1.1 AWS 帳戶 root
使用者不適用於
例行活動
AWS 帳戶 root 使用者不得被用來進行例行活動。建
立 AWS 帳戶後,您應立即建立 AWS Identity and
Access Management (IAM) 使用者帳戶,並使用這些
IAM 使用者帳戶來進行所有例行活動。建立 IAM 使用
者帳戶後,您應該安全地存放 AWS root 帳戶登入資
料,並只將它們用來執行少數需要 AWS 帳戶 root 使
用者的帳戶和服務管理工作。如需如何設定 IAM 使用
者帳戶和群組以供例行使用的詳細資料,請參閱建立
您的第一個 IAM 管理員使用者和群組。
是 是 否 否
1.2 已在 AWS 帳
戶 root 使用者上
啟用 Multi-Factor
Authentication (MFA)
您必須為您的 AWS 帳戶 root 使用者啟用 Multi-Factor
Authentication (MFA)。由於 AWS 帳戶超級使用者可以在
AWS 帳戶中執行敏感操作,因此增加額外的身份驗證層
可以協助您更妥善地保護帳戶。有多種類型的 MFA 可
供使用,包括虛擬 MFA 和硬體 MFA。
是 是 否 否
1.3 使用 IAM 使用
者帳戶進行所有
例行活動
AWS 帳戶 root 使用者不得被用來進行任何不需要使
用它的任務。請改為針對需要管理員權限的每個人員
建立新的 IAM 使用者。然後將那些使用者加入附加
Administrator Access 受管政策的管理員群組,使他們
成為管理員。此後,管理員群組中的使用者應為 AWS
帳戶設定群組、使用者等。所有未來的互動都應該透過
AWS 帳戶的使用者和他們自己的金鑰進行,而不是透
過 root 使用者。不過,若要執行某些帳戶和服務管理
工作,您仍必須使用 root 使用者登入資料進行登入。
是 是 否 否
1.4 已針對所有互
動式 IAM 使用者
啟用 Multi-Factor
您必須為所有 IAM 使用者啟用 MFA。使用 MFA 時,
使用者所擁有的裝置將能產生唯一的身份驗證代碼
(一次性密碼,也稱為 OTP)。使用者必須提供一般登
入資料 (使用者名稱和密碼) 和 OTP。MFA 裝置可以是
是 是 否 否
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 13
Authentication (MFA)
一個特殊的硬體,也可以是虛擬裝置 (例如可以在智
慧型手機以應用程式方式執行)。
1.5 IAM 登入資料
會定期輪換
您必須定期更改密碼和存取金鑰,並確保帳戶中的所
有 IAM 使用者也會這樣做。因此,如果在您不知情的
情況下洩漏了密碼或存取金鑰,則可以限制登入資料
的資源存取時限。您可以將密碼政策套用到您的帳
戶,以要求所有 IAM 使用者輪換其密碼,並且可以選
擇他們的輪換頻率。要進一步了解如何輪換 IAM 使用
者的存取金鑰,請參閱輪換存取金鑰。
是 是
是 (用於
與 AWS
整合的登
入資料)
是 (用於與
AWS 整合
的登入
資料)
1.7 對 IAM 使用者
實施強式密碼政
策
您必須為 IAM 使用者設定強式密碼政策。如果允許使
用者變更自己的密碼,請要求他們建立強式密碼並定
期輪換密碼。您可以在 IAM 主控台的 Account Settings
(帳戶設定) 頁面上,為帳戶建立密碼政策。您可以使用
密碼政策定義各種密碼規定,例如最短長度、是否需
要非字母字元、輪換頻率等等。如需詳細資訊,請參
閱設定 IAM 使用者的帳戶密碼政策。
是 是
是 (用於
與 AWS
整合的登
入資料)
是 (用於與
AWS 整合
的登入
資料)
1.8 不在多個使用
者之間共用 IAM
登入資料
您必須為需要存取您 AWS 帳戶的任何人建立個別的
IAM 使用者帳戶。同時為自己建立一個 IAM 使用者,
授與該使用者管理權限,並使用該 IAM 使用者完成所
有工作。為存取您帳戶的人員建立個別 IAM 使用者,
您可以為每個 IAM 使用者提供一組獨一無二的安全
登入資料。您也可以對每個 IAM 使用者授與不同的
許可。如有必要,您可以隨時變更或撤銷 IAM 使用者
的許可。(如果您將 root 使用者登入資料外流,可能
會難以撤銷許可,而且可能無法限制許可。)
是 是 否 否
1.9 將 IAM 政策的
範圍縮小至最小
權限
您必須遵循授與最小權限的標準安全建議。這表示只授
與執行某任務所需的許可。確定使用者需要做什麼,然
後為他們制定政策,讓使用者只能執行這些任務。從最
小的一組許可開始,然後根據需要授與其他許可。這樣
做比開始使用過於寬鬆的許可,然後之後再試著緊縮會
更安全。定義正確的一組許可需要做一些研究。確定特
定任務的需求、特定服務所支援的動作,以及執行這些
動作所需的許可。
是 是
是 (對於
透過 IAM
角色整合
並在 AWS
外部執行
的解決方
案,應該
套用最低
權限)
是 (對於透
過 IAM 角
色整合並
在 AWS 外
部執行的
解決方
案,應該
套用最低
權限)
1.10 不使用硬式
編碼登入資料 (例
如存取金鑰)
您必須遵循 AWS 存取金鑰的最佳管理實務,避免使用
硬式編碼登入資料。以程式設計方式存取 AWS 時,您
會使用存取金鑰來驗證您的身分和應用程式的身分。任
何人只要取得您的存取金鑰,便擁有與您相同等級的
AWS 資源存取權。因此,AWS 會盡最大努力保護您的
存取金鑰,並且貫徹我們共同的責任模型,您也應該這
樣做。
是 是
是 (用於
與 AWS
整合的登
入資料應
該易於變
更,而不
是使用硬
式編碼)
是 (用於與
AWS 整合
的登入資
料應該易
於變更,
而不是使
用硬式
編碼)
1.11 所有登入資
料都是靜態加密 這項規定就是要確保任何登入資料一定會靜態加密。 是 是
是 (存放
在合作夥
伴解決方
案中並用
來與 AWS
整合的登
入資料應
是 (存放在
合作夥伴
解決方案
中並用來
與 AWS 整
合的登入
資料應經
過加密)
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 14
經過加
密)
1.12 AWS 存取金
鑰僅供互動式使
用者使用
除以下情況外,不應使用 AWS 存取金鑰:
1. 由真人用於存取 AWS 服務,並安全地儲存在由
該員控制的裝置上。
2. 由服務用來存取 AWS 服務,但僅限於以下情
況:a) 使用 Amazon Elastic Compute Cloud
(Amazon EC2) 執行個體角色、Amazon ECS 任務角
色或類似機制,b) AWS 存取金鑰至少每週輪換一
次,以及 c) IAM 政策的範圍非常嚴格並且:i) 只
允許存取特定的方法和目標,及 ii) 僅限存取相關
資源所在的子網路。
是 是 否 否
1.13 為每個區域
中的所有 AWS 帳
戶啟用 AWS
CloudTrail
必須在所有 AWS 帳戶和每個區域啟用 AWS
CloudTrail。能否查看 AWS 帳戶活動,是安全和營運
最佳實務的關鍵環節。您可以使用 AWS CloudTrail 查
看、搜尋、下載、存檔、分析和回應 AWS 基礎設施
的帳戶活動。您可以找出誰採取哪些行動、動用到哪
些資源、事件何時發生以及其他詳細資訊,以協助您
分析與回應 AWS 帳戶中的活動。
是 是 否 否
1.14 AWS
CloudTrail 日誌存
放在另一個 AWS
帳戶擁有的
Amazon S3 儲存
貯體。
AWS CloudTrail 日誌必須放置於另一個 AWS 帳戶擁有
的儲存貯體,而且要設定非常有限的存取權,例如僅
限稽核與復原之用。
是 是 否 否
1.15 AWS CloudTrail
Amazon S3 日誌
儲存貯體已啟用
版本控制或 MFA
刪除功能
AWS CloudTrail 日誌儲存貯體內容必須透過版本控制
或 MFA 刪除功能進行保護。 是 是 否 否
1.16 Amazon EC2
安全群組有嚴格
的限制
所有的 Amazon EC2 安全群組都應該最大程度地限制
存取。這至少包含:1.實作安全群組以限制網際網路
與 Amazon VPC 間的流量、2.實作安全群組以限制
Amazon VPC 內的流量,以及 3.在所有情況下,僅允
許最嚴格的設定值。
是 是 否 是
1.17 帳戶中的
Amazon S3 儲存
貯體有適當的存
取層級
您務必確保實施適當的控制,以控制每個 Amazon S3
儲存貯體的存取權。使用 AWS 時,最理想的做法是
將資源的存取權限制給絕對需要的人員 (最低權限原
則)。
是 是 否
否 (除非在
AWS 上執
行的合作
夥伴解決
方案需要
S3 服務)
1.18 未將 Amazon
S3 儲存貯體錯誤
設定為允許公開
存取。
您務必確保不允許公開存取的儲存貯體已正確設定為
禁止公開存取。依照預設,所有 Amazon S3 儲存貯體皆
為私有,只有明確獲得存取權的使用者得以存取。大
多數使用情況都不需要大範圍的公開存取即可從
Amazon S3 儲存貯體讀取檔案,除非您使用 Amazon S3
託管公開資產 (例如,託管影像供公有網站使用),且最
佳實務為永遠不開放存取權給公眾。
是
是 否
否 (除非在
AWS 上執
行的合作
夥伴解決
方案需要
S3 服務)
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 15
1.19 實施監控機
制,以偵測設為
公開的 Amazon
S3 儲存貯體或物
件
您必須實施監控或提醒功能,以便找出設為公開的
Amazon S3 儲存貯體。您可以採用 AWS Trusted
Advisor 選項進行這項工作。AWS Trusted Advisor 可檢
查 Amazon S3 中有開放存取許可的儲存貯體。將列出
權限授與每個人的儲存貯體許可,如果非預期的使用
者以很高的頻率列出儲存貯體中的物件,會導致高於
預期的費用。將上傳/刪除存取權授與每個人的儲存
貯體許可,可讓任何人在儲存貯體新增、修改或移除
項目,進而產生潛在安全漏洞。AWS Trusted Advisor
檢查可查看明確的儲存貯體許可,以及可能覆寫儲存
貯體許可的相關儲存貯體政策。
是 是 是
否 (除非在
AWS 上執
行的合作
夥伴解決
方案需要
S3 服務)
1.20 實施監控機
制,偵測 Amazon
EC2 執行個體與容
器的變更
任何對您 Amazon EC2 執行個體與容器的變更可能表
示未經授權的活動,必須至少記錄到一個持久的位置,
以便將來進行鑑定調查。基於此目的所設立的機制至少
必須:1.偵測任何對下列項目的變更:作業系統、
Amazon EC2 執行個體的應用程式檔案,或用於解決方
案中的容器。2 將記錄這些變更的資料存放在 Amazon
EC2 執行個體或容器外的持久位置。合適的機制範例
包括:a.透過排程組態管理 (如 Chef、Puppet 等) 或專業
工具 (如 OSSEC、Tripwire 或類似工具) 部署檔案完整性檢
查,或 b.擴展組態管理工具以驗證 Amazon EC2 主機組
態,並對關鍵組態檔或設有 'canary' (記錄為空操作) 事
件的套件更新提供提醒,以確保執行期間所有範圍內主
機上的服務都能正常運作,或 c.部署主機入侵偵測系
統,如 OSSEC with ElasticSearch 與 Kibana 等開放原始碼
解決方案或使用合作夥伴解決方案。請注意,下列機制
不符合此要求:a.經常循環的 Amazon EC2 執行個體或容
器。
是 是 否 否
1.21 分類所有資
料
已經過處理且存放在工作負載的所有客戶資料,都必
須謹慎分類以判斷其敏感程度,以及處理時要使用的
適當方法。
是 是 否 否
1.22 加密所有敏
感資料
分類為敏感資料的所有客戶資料都會進行動態與靜態
加密。 是 是 否 否
1.23 嚴密管理加
密金鑰
所有加密金鑰都會靜態和動態加密,且使用 AWS 解
決方案 (如 KMS) 或 APN 合作夥伴解決方案 (如
HashiCorp Vault) 來控制使用金鑰的存取權。
是 是 是 是
1.24 加密所有傳
輸中資料 跨 VPC 邊界傳輸的所有資料都會加密。 是 是 是 是
1.25 定義並演練
安全事件回應處理
必須定義安全事件回應程序以處理 AWS 帳戶入侵等
事件。這項處理程序必須通過實作程序測試,以演練
事件回應處理流程,例如完成安全驗收。演練必須在
12 個月內進行,以確認:a.適當的人員可以存取環
境。b.可以取得適當工具。c.適當的人員知道如何應
對計劃中概述的各種安全事件。
是 是 否 否
2.0 可靠性
可靠性支柱側重於預防與快速從故障中復原的能力,以滿足商業與客戶需求。關鍵主題包括有關設定、跨專案需求、
復原計劃以及如何處理變更等基本要素。
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 16
2.1 網路連接具備
高可用性
解決方案的網路連接必須具備高可用性。如果使用
VPN 或 AWS Direct Connect 連線至客戶網路,即使客
戶不常使用,解決方案仍必須支援備援連線。
是 是 是 是
2.2 基礎設施擴展
機制符合商業需
求
基礎設施擴展機制必須符合商業需求,透過:1.在架
構的每一層實作自動調整規模機制,或 2.確認目前的
商業要求,包括成本要求與預期的使用者成長,不需
要自動調整規模機制,且已完整記錄並經常測試手動
調整規模程序。
是 是 否 是
2.3 集中管理 AWS
與應用程式日誌
來自應用程式與 AWS 基礎設施的所有日誌資訊都應
該合併到單一系統。 是 是 否 否
2.4 集中管理 AWS
與應用程式監控
與警示
必須集中管理應用程式與 AWS 基礎設施,並將產生
的警示傳送給適當的操作人員。 是 是 否 否
2.5 自動佈建與管
理基礎設施
解決方案必須使用自動化工具 (如 CloudFormation 或
Terraform) 以佈建與管理 AWS 基礎設施。不應使用 AWS
主控台對生產 AWS 基礎設施進行例行變更。
是 是 否 否
2.6 執行定期資料
備份
您必須執行定期備份,並將其放入持久的儲存服務。
備份可確保您有能力從管理、邏輯或物理錯誤案例中
復原。Amazon S3 與 Amazon Glacier 是備份與存檔的
首選服務。兩者都是耐用、低成本的儲存平台。兩者
也都提供無限容量,而且備份資料集成長時不需要進
行磁碟區或媒體管理。按使用量付費模式與每月每 GB
低成本,使這些服務非常適合資料保護使用案例。
是 是 否 否
2.7 定期與重大架
構變更後測試復
原機制
您必須定期測試復原機制與程序,對雲端環境進行重
大變更後也要進行。AWS 提供大量資源以協助您管理
資料的備份與恢復。
是 是 否 否
2.8 解決方案可彈
性應對可用區域
的中斷
在單一可用區域內所有服務都已中斷的情況下,解決
方案必須繼續運作。 是 是 否 是
2.9 已測試解決方
案的彈性
已在生產環境測試基礎設施對應單一可用區域中斷的
彈性,例如在 12 個月內進行驗收。 是 是 否 是
2.10 已定義災難
復原 (DR) 計劃
明確定義的災難復原計劃包括復原點目標 (RPO) 與復
原時間目標 (RTO)。您必須對所有範圍內的服務定義
RPO 與 RTO,且 RPO 與 RTO 必須與您提供給客戶的
SLA 保持一致。
是 是 否 否
2.11 復原時間目
標 (RTO) 小於 24
小時
針對核心服務,基準要求是 RTO 必須少於 24 小時。 是 是 否 否
2.12 已充分測試
災難復原 (DR) 計
劃
您必須定期並在主要更新完成後,根據復原點目標
(RPO) 與復原時間目標 (RTO),測試您的 DR 計劃。必
須至少完成一次 DR 測試,才能核准您的 AWS APN 進
階級申請。
是 是 否 否
2.13 災難復原
(DR) 計劃包含復
原至另一個 AWS
帳戶
您的 DR 計劃必須包含復原至另一個 AWS 帳戶的策
略,並且您必須在定期復原測試中測試此案例。您
必須在 12 個月內完成至少一次 DR 計劃的完整測
試,包括至少復原至另一個 AWS 帳戶。請注意:雖
然將資料還原至測試環境或為使用者匯出資料的處
是 是 否 否
AWS Microsoft 工作負載能力:技術合作夥伴驗證檢查清單,v1.0 17
理流程是驗證備份的有效方法,但這些處理不符合
執行復原至另一個 AWS 帳戶之完整還原測試的要
求。
3.0 卓越營運
卓越營運支柱側重於執行與監控系統,以傳遞商業價值,同時不斷改進處理流程與程序。關鍵主題包括管理與自動化變更、
回應事件與定義標準,以成功管理日常營運。
3.1 自動部署程式
碼變更
解決方案必須採用自動化方法,將程式碼部署至 AWS
基礎設施。互動式 SSH 或 RDP 工作階段不得用於在
AWS 基礎設施部署更新。
是 是 否 否
3.2 定義 Runbook
與呈報程序
必須開發 Runbook 以定義用於回應不同應用程式與 AWS
事件的標準程序。必須定義呈報程序以處理系統產生的
提醒和警示,以及對客戶報告的事件做出回應。呈報程
序還必須視需要包含呈報至 AWS Support。
是 是 否 否
3.3 對 AWS 帳戶
啟用 AWS 商業支
援
必須啟用商業支援。商業支援 (或更高級) 是 AWS 合作
夥伴網路對進階級技術合作夥伴的要求。要取得進階級
資格,您必須至少在一個 AWS 帳戶啟用商業支援。
是 是 否 否