AWS身分安全再進化！率先強制所有帳戶Root使用者啟用MFA，邁向更易實踐的資安設計

【美國費城直擊】落實Security by Design（設計即安全），已成為支撐現代企業發展的關鍵課題。作為全球三大雲端服務供應商之一，AWS於今（17）日在美國費城舉辦年度資安會議re:Inforce 2025，會中不僅揭露了該公司在身分安全發展的最新成果，更強調企業現今需要更簡便且具擴展性的方法，才能讓資安基礎更加穩固。

為了因應持續變化的攻擊態勢，AWS副總裁暨資安長Amy Herzog表示，Secure by design一向是他們秉持的重要核心概念，這讓他們在技術、控制措施與實踐上，都能扮演產業的領先角色。

而要徹底落實這件事，資安文化會是一大關鍵，我們去年看到AWS已經強調此點，因為有了資安文化，才能促使組織優先從資安角度考量。

今年，AWS揭露了更進一步的發展策略，我們可以歸納出兩大重點：

（一）AWS不僅是要「落實」Secure by Design，更是朝「更容易落實」邁進，因此需要找出更簡單、更具擴展性的方式。

（二）任何事都要優先從資安出發，在產品開發的每一層與每一個階段都應貫徹Secure by Design。

特別是在身分識別與存取管理（IAM）領域，成為現場矚目焦點，因為Amy Herzog宣布一項重大進展：「AWS已率先針對所有帳戶的Root使用者強制啟用多因素驗證（MFA），成為全球首家採取此項強制措施的雲端服務供應商。」

Amy Herzog進一步說明，這不僅是去年底AWS IAM加入根帳號憑證（Root Credentials）集中管理，以及根帳號登入Session監控的延續。還包括MFA機制支援FIDO2與passkey，讓使用者可採用高強度的無密碼MFA驗證。甚至，為了降低因設備遺失導致鎖帳的風險，AWS還支援每個Root或 IAM使用者可綁定最多8個MFA裝置。

Amy Herzog強調，這突顯AWS響應美國CISA所推動的「Secure by Design」倡議，並不止於口號，而是採取實際行動，並且已經相當重視Secure by Default（預設即安全）的概念，讓身分存取控管在預設情況下，就套用最佳安全實務。

如今，AWS不僅持續擴大這項政策，並將目標放在要讓落實可以變得更加容易。

強化最小權限原則管理，需要建立更容易實踐的機制

「建構以身分優先（identity-first）的安全策略」，是AWS今年強調的核心主軸之一，為此，該公司也揭露了在身分識別與存取管控領域的最新發展。例如，Amy Herzog公布了一項重要新功能，呼應了「更容易落實設計安全」的發展態勢，那就是AWS在IAM Access Analyzer所新增的內部存取發現功能。

Amy Herzog強調，身分與存取管控（IAM）不僅是資安的一環，更是所有安全控制的基石。然而，隨著企業規模與業務成長，IAM系統的管理複雜度也大幅提升。

例如，從規模來看，以AWS IAM為例，目前在全球處理的API呼叫已達每秒12億次，數量相當驚人，因此，AWS先前已經構建一種策略語言（policy language）驅動IAM的方式，來因應這樣的處理規模。

但是，從複雜程度來看，早期IAM的管理仍面臨巨大挑戰，因為企業需要預先設計繁瑣的權限策略。

這讓AWS意識到問題的存在：若要正確設定權限將是一個持續的過程，而不是一次性的任務，管理者幾乎不可能預先確切清楚所需的權限程度。

因此，AWS在前幾年推出IAM Access Analyzer並持續改進，從識別並移除最近未使用的角色、使用者與權限，到新增政策驗證與強化規則檢查，並且還能根據CloudTrail日誌自動產生最小權限的政策。

如今到了2025年的此刻，他們更是新推出名為內部存取發現（Internal access findings）的新功能。

這項新功能的特色在於，可依據組織內多個管理政策（如 SCP、資源政策、身分政策），讓系統自動推理（Automated reasoning）整體設定，確認是否足夠安全，找出潛在風險，甚至提供建議。

因此，它能分析角色、使用者對個別S3儲存桶、PCI資料等關鍵資源的存取權限，並將存取檢視結果整合到單一儀表板。所以我們可以清楚看出，此項新的強化機制，其目的就是要協助企業更有效實踐 「最小權限原則」。

消除長期憑證風險，應改採臨時存取機制

另一個身分安全的重要議題，Amy Herzog指出，我們需要消除長期憑證（long-term credentials）的風險。

她解釋，由於長期憑證的效期很長久，攻擊者發現並濫用的機會就越高。雖然定期輪換憑證是降低風險的基本做法，但AWS強調應透過IAM提供的臨時憑證與角色存取機制，來取代傳統長期憑證，將可確保每次存取的最小權限。

為了喚起大家對這方面風險的認識，Amy Herzog特別分享近期一起資安事件，她指出，攻擊者就是透過竊取或取得外洩的長期憑證，對AWS客戶發動攻擊。此次攻擊案例的關鍵在於，攻擊者濫用了平臺本身的SSE-C加密機制，該機制允許客戶使用自有金鑰，並透過AES-256演算法對Amazon S3物件進行加解密。

然而，攻擊者濫用此機制，利用新的自有金鑰重新加密S3物件，導致原本的金鑰無法再解密資料，使客戶無法存取自身資料，攻擊者以此惡意加密並向受害者索討贖金。

面對這樣的威脅，AWS祭出主動偵測手段，以辨識並防止可疑的加密行為，在過去五個月內，AWS已阻擋多達9.436億次的未經授權S3物件加密嘗試，這在在顯示攻擊者已有相當大規模的行動。因此，Amy Herzog強烈提醒，若企業能全面淘汰固定使用的長期憑證，並改用臨時存取機制，將能大幅降低被濫用的機率，因為憑證一旦過期，將無法被重複使用，自然降低攻擊面。

ACM憑證管理新突破，支援匯出公開SSL/TLS憑證

另一項在憑證（Certificate）管理方面的重要進化，恰好是臺灣近期關注的焦點。

Amy Herzog指出，數位憑證管理一直是項挑戰，多年前AWS也就推出AWS Certificate Manager（ACM）服務，可簡化這方面的管理、部署、續訂與金鑰儲存的過程。

如今這項服務也有全新功能發布，開始支援「可匯出型公開SSL/TLS憑證」。特別的是，此宣布獲得現場許多與會人士的掌聲。

此項匯出功能，打破以往ACM簽發公開憑證，或匯入第三方CA簽發的憑證，只能用於AWS整合服務中的限制。

對於AWS用戶來說，這不僅降低了憑證簽發的實作門檻，減少手動管理憑證流程的複雜與風險，更是擴展了憑證管理的適用範圍，讓其安全設計不再被特定平臺綁定。

簡化安全管理流程，監控、防護與威脅偵測亦有升級

此外，AWS在本次大會其實發表多項重要功能，也都與簡化安全管理流程有關。

例如，在資安監控方面，AWS Security Hub的進化，也是本場大會的一大亮點。這是因為，過去Security Hub雖然能集中呈現各項服務的Alert警告，但用戶仍需手動分析、過濾大量獨立的事件。

如今全新AWS Security Hub預覽版本推出，這項服務的功能變得更為全面，如同安全指揮中心一般，當中能將不同類型的安全警報與漏洞資訊進行關聯分析，涵蓋GuardDuty、Inspector、Macie、Security Hub等安全功能。

更重要的是，新的Security Hub介面可將分析出的關鍵安全問題，直接呈現儀表板上，幫助企業找出優先處理順序，而且控制介面也重構為五大區塊，包括Exposure、Threats、Vulnerabilities、Posture management、Sensitive data，讓企業在雲端安全態勢管理上可以更為直覺且簡易。

至於DDoS防護方面，AWS Shield現在具備更直覺的儀表板介面，可將問題依嚴重程度標示出來，並且提供逐步操作指南，幫助客戶快速修復問題。

還有威脅偵測方面，Amazon GuardDuty現在已擴大偵測範圍，總算可以涵蓋Amazon Elastic Kubernetes Service（Amazon EKS）上的容器化應用程式，並藉此提升偵測效能，有助於讓資安團隊更快調查，減少發現潛在威脅的花費時間。

​

值得一提的是，在AWS IAM政策語言之外，兩年前AWS曾開源一套Cedar政策語言，不過，兩者在設計目的、應用範圍與特性上，存在顯著差異。例如，前者以管理AWS資源存取為設計目標，Cedar則被設計為通用的存取控制政策語言。而在本場大會前一天，我們注意到，AWS新宣布開源Cedar Anaysis，根據展會現場工作人員的說明，這同樣是具備上述所提的自動推理能力的工具，可讓希望確保授權策略正確性的開發人員，或是探索這方面的研究人員，也能進一步應用或貢獻。

在身分安全領域，還有一個領域是稱之為CIAM的客戶身份與存取管理，也就是Customer Identity and Access Management，其核心在於管理外部客戶而非內部員工的身份與存取權限。過去我們知道微軟有AD B2C的方案，市場上也還有Auth0（已被Okta併購）等專注此領域的業者，而在AWS re:Inforce 2025大會上，我們注意到AWS在CIAM方面也有布局，其中一場工作坊就是帶領與會者操作Amazon Cognito，體驗這款CIAM方案的新功能。