本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全管理
AWS Managed Services (AMS) 安全管理是 AMS 识别组织资产并实施保护这些资产的策略和程序的流程。
**注意**
AMS 现在有了变更类型 (CT),即部署 \$1 高级堆栈组件 \$1 ACM 证书以及其他 SANs \$1 Create (ct-3l14e139i5p50),你可以用它来提交证书申请。 AWS Certificate Manager 有关信息,请参阅[AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html)。本 CT 规定创建其他主题备用名称 (SAN)。
要更好地了解一般 AWS 安全性,[请参阅安全、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)。
AMS 将安全风险分类如下:
+ 反恶意软件检测到的已知风险,恶意软件缓解过程会处理这些风险。
+ 安全事件,包括访问漏洞,由安全事件管理流程处理。
**Topics**
+ [AMS 中的数据保护](sec-data-protect.md)
+ [身份和访问管理](sec-iam.md)
+ [AMS 中的安全事件响应](security-incident-response.md)
+ [在 AMS Advanced 中更改请求安全审查](ams-sec-change-request-review.md)
# AMS 中的数据保护
AMS 利用亚马逊 GuardDuty、Amazon Macie(可选)等原生 AWS 服务以及其他内部专有工具和流程,持续监控您的托管账户。警报触发后,AMS 将负责对警报的初始分类和响应。我们的响应流程基于 NIST 标准。AMS 定期与您一起使用安全事件响应模拟来测试其响应流程,使您的工作流程与现有客户安全响应计划保持一致。
当 AMS 检测到您的安全策略有任何违规行为或迫在眉睫的 AWS 违规威胁时,我们会收集信息,包括受影响的资源和任何与配置相关的更改。AMS 提供 24/7/365 follow-the-sun 支持,由专门的操作员积极审查和调查所有托管账户的监控仪表板、事件队列和服务请求。AMS 会与我们的安全专家一起调查调查结果,分析活动并通过您账户中列出的安全升级联系人通知您。
根据我们的调查结果,AMS 会主动与您互动。如果您认为该活动未经授权或可疑,AMS 会与您合作,调查和补救或遏制问题。由 GuardDuty 此生成的某些调查结果类型要求您先确认影响,然后AMS才能采取任何行动。例如, GuardDuty 查找结果类型 **UnauthorizedAccess:IAMUser/ConsoleLogin**表示您的一个用户从不寻常的位置登录;AMS 会通知您并要求您查看调查结果以确认这种行为是否合法。
## Amazon Macie
AWS Managed Services 建议您使用 Macie 来检测大量而全面的敏感数据,例如个人健康信息 (PHI)、个人身份信息 (PII) 和财务数据。
可以将 Macie 配置为在任何 Amazon S3 存储桶上定期运行,从而随着时间的推移自动评估存储桶内任何新的或修改过的对象。生成安全调查结果后,AMS 将通知您并根据需要与您合作进行补救。
有关更多信息,请参阅[分析 Amazon Macie 调查结果](https://docs.aws.amazon.com/macie/latest/user/findings.html)。
### 亚马逊 Macie 安全
Macie 是一项人工 intelligence/AI 驱动的安全服务,可通过自动发现、分类和保护存储在 AWS 中的敏感数据来帮助您防止数据丢失。Macie 使用机器学习来识别敏感数据,例如个人身份信息 (PII) 或知识产权,分配业务价值,并提供对这些数据的存储位置以及组织中如何使用这些数据的可见性。Macie 会持续监控数据访问活动中是否存在异常情况,并在检测到未经授权的访问或无意中数据泄露的风险时发出警报。Macie 服务支持 Amazon S3 和 AWS CloudTrail 数据源。
AMS 会持续监控来自 Macie 的警报,如果收到警报,则会迅速采取措施保护您的资源和帐户。将 Macie 添加到 AMS 支持的服务列表后,我们现在还负责根据您的指示在您的所有账户中启用和配置 Macie。您可以在 AWS 控制台或支持的集成中查看 Macie 警报和我们的操作。在账户注册期间,您可以指定用于存储 PII 的账户。对于所有具有 PII 的新账户,我们建议使用 Macie。对于已有 PII 的账户,请联系我们,我们将在您的账户中将其启用。因此,您可以获得额外的保护层,并在由 AMS 管理的 AWS 环境中享受 Macie 的所有好处。
**AMS Macie FAQs**
+ 当所有 AMS 账户都已启用趋势科技并 GuardDuty 启用后,为什么还需要 Macie?
Macie 可帮助您对拥有的数据、数据对业务的价值以及与访问这些数据相关的行为进行分类,从而保护您在 Amazon S3 中的数据。Amaz GuardDuty on 通过帮助识别威胁行为者侦察、实例问题和有问题的账户活动等威胁,为您的 AWS 账户、工作负载和数据提供广泛的保护。这两项服务都包含用户行为分析、机器学习和异常检测,以检测各自类别的威胁。趋势科技并不专注于识别 PII 及其威胁。
+ 如何在我的 AMS 账户中开启 Macie?
如果您已在自己的账户中 PII/PHI 存储或计划将其存储,请联系您的 CSDM 或提出服务请求,为您由 AMS 管理的新账户或现有账户启用 Macie。
+ 在我的 AMS 账户中启用 Macie 会产生哪些成本影响?
AMS 的 Macie 定价与亚马逊弹性计算云 (Amazon EC2) 等其他服务类似。您需要根据使用量为 Amazon Macie 付费,并根据您的使用情况支付 AMS 升级。 SLAsMacie 费用基于使用情况,参见 [Amazon Macie](https://aws.amazon.com/macie/pricing/) 定价,该定价 AWS CloudTrail 基于事件和亚马逊 S3 存储空间进行衡量。请注意,Macie 的费用往往会从启用后的第二个月起趋于平缓,因为它根据添加到 Amazon S3 存储桶的增量数据收费。
要了解有关 Macie 的更多信息,请参阅[亚马逊](https://aws.amazon.com/macie/) Macie。
## GuardDuty
GuardDuty 是一项持续的安全监控服务,它使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习来识别您的 AWS 环境中意外且可能未经授权的恶意活动。这可能包括权限升级、使用暴露的凭据或与恶意 IP 地址或域的通信等问题。 GuardDuty 还可以监控 Amazon Web Services 账户访问行为是否存在泄露迹象,例如未经授权的基础设施部署(例如部署在从未使用过的区域中的实例)或异常的 API 调用(例如更改密码策略以降低密码强度)。有关更多信息,请参阅《[GuardDuty 用户指南》](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。
要查看和分析您的 GuardDuty 发现,请按以下步骤操作。
1. 打开 [GuardDuty 管理控制台](https://console.aws.amazon.com/guardduty/)。
1. 选择 “**调查结果**”,然后选择特定的调查结果以查看详细信息。每个发现的详细信息因发现类型、所涉及的资源和活动性质而异。
有关可用查找字段的更多信息,请参阅[GuardDuty 查找结果详细信息](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html)。
### GuardDuty 安全
Amazon GuardDuty 提供威胁检测功能,使您能够持续监控和保护您的 AWS 账户和工作负载。Amazon GuardDuty 会分析从您的账户生成的连续元数据流以及 AWS CloudTrail 事件、Amazon VPC 流日志和域名系统 (DNS) 日志中发现的网络活动。它还使用集成的威胁情报(例如已知的恶意 IP 地址、异常检测和机器学习)来更准确地识别威胁。 GuardDuty 是一项受监控的 AMS 服务。要了解有关 Amazon GuardDuty 监控的更多信息,请参阅[GuardDuty 监控](#guardduty-scope)。要了解更多信息 GuardDuty,请参阅 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)。
默认情况下,所有新的 AMS 账户均已 GuardDuty 启用。AMS GuardDuty 在账户注册期间进行配置。您可以随时提交更改请求以修改设置。 GuardDuty AMS 的定价方式与亚马逊弹性计算云 (Amazon EC2) 等其他服务类似。您 GuardDuty 根据使用量付费,并根据您的使用情况进行AMS提升. SLAs GuardDuty 费用基于使用量([亚马逊 GuardDuty 定价](https://aws.amazon.com/guardduty/pricing/)),根据您的 Amazon VPC 流日志 AWS CloudTrail 的事件和流量进行衡量。
GuardDuty 在 AMS 中,启用了以下主要检测类别:
+ 侦测--暗示威胁行为者侦测的活动,例如异常 API 活动、VPC 内部端口扫描、登录请求失败的异常模式或来自已知不良 IP 的未屏蔽端口探测。
+ 实例问题--有问题的实例活动,例如加密货币挖矿、使用域生成算法 (DGA) 的恶意软件、出站拒绝服务活动、网络流量异常大、网络协议异常、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时亚马逊 EC2 凭证以及使用 DNS 进行数据泄露。
+ 账户活动--表明账户活动的常见模式包括来自异常地理位置或匿名代理的 API 调用、尝试禁用 AWS CloudTrail 日志记录、异常启动实例或基础设施、在异常的 AWS 区域部署基础设施,以及来自已知恶意 IP 地址的 API 调用。
AMS GuardDuty 在您的托管账户中使用来持续监控调查结果和提醒,如果收到警报,AMS 运营部门会采取积极措施保护您的资源和账户。 GuardDuty 您可以在 AWS 控制台或支持的集成中查看 GuardDuty 发现结果和我们的操作。
GuardDuty 在您的帐户中与趋势科技趋势科技服务器深度安全防护系统管理中心配合使用。趋势科技趋势科技服务器深度安全防护系统管理中心提供基于主机的入侵检测/入侵防护服务。趋势科技 Web 信誉服务 GuardDuty 在检测主机何时尝试与已知构成威胁的主机或 Web 服务通信的能力方面存在一些重叠之处。但是, GuardDuty 提供了其他威胁检测类别,并通过监视网络流量来实现这一点,这种方法是对趋势科技基于主机的检测的补充。基于网络的威胁检测允许在主机出现问题行为时控制失败,从而提高安全性。AMS 建议 GuardDuty 在您的所有 AMS 账户中使用。
要了解有关趋势科技的更多信息,请参阅[趋势科技趋势科技服务器深度安全防护系统帮助中心](https://help.deepsecurity.trendmicro.com/10_3/aws/Welcome.html?redirected=true);请注意,非亚马逊链接可能会更改,恕不另行通知。
#### GuardDuty 监控
GuardDuty 通过生成[安全调查结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html),AMS 可以捕获并发出警报,从而告知您 AWS 环境的状态。
Amazon 通过分析和处理 VPC 流日志、 AWS CloudTrail 事件日志和域名系统日志来 GuardDuty 监控您的 AWS 环境的安全。您可以通过配置 GuardDuty 为同时使用自己的自定义、可信 IP 列表和威胁列表来扩展此监控范围。
+ 可信 IP 列表由您允许与 AWS 基础设施和应用程序进行安全通信的 IP 地址组成。 GuardDuty 不会生成可信 IP 列表上的 IP 地址的查找结果。在任何给定时间,每个区域的每个 AWS 账户只能上传一个可信 IP 列表。
+ 威胁列表由已知的恶意 IP 地址组成。 GuardDuty 根据威胁列表生成调查结果。在任何给定时间,每个区域的每个 AWS 账户最多可以上传六份威胁清单。
要实施 GuardDuty,请使用 AMS CT 部署 \$1 监控和通知 \$1 GuardDuty IP 集 \$1 创建 (ct-08avsj2e9mc7g) 创建一组经批准的 IP 地址。你也可以使用 AMS CT 部署 \$1 监控和通知 \$1 GuardDuty 威胁情报集 \$1 创建(ct-25v6r7t8gvkq5)来创建一组被拒绝的 IP 地址。
有关 AMS 监控的服务的列表,请参阅[AMS 监控系统监控什么?](monitoring-what-services.md)。
## 亚马逊 Route 53 解析器 DNS 防火墙
Amazon Route 53 Resolver 以递归方式响应来自公共记录 AWS 资源、亚马逊 VPC 特定的 DNS 名称和 Amazon Route 53 私有托管区域的 DNS 查询,默认情况下全部可用。 VPCs使用 Route 53 Resolver DNS Firewall,您可以筛选和管理 Virtual Private Cloud (VPC) 的出站 DNS 流量。为此,您需要在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组关联到您的 VPC,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以相应地调整 DNS Firewall 的行为。有关更多信息,请参阅[使用 DNS 防火墙过滤出站 DNS 流量](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。
要查看和管理 Route 53 解析器 DNS 防火墙配置,请按以下步骤操作:
1. 登录 AWS 管理控制台 并打开 Amazon VPC 控制台,网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在 **DNS 防火墙**下,选择**规则组**。
1. 查看、编辑或删除现有配置,或创建新的规则组。有关更多信息,[请参阅 Route 53 解析器 DNS 防火墙的工作原理](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html)。
### Amazon Route 53 解析器 DNS 防火墙监控和安全
Amazon Route 53 DNS 防火墙使用规则关联、规则操作和规则评估优先级的概念。域列表是您在规则组内的 DNS Firewall 规则中使用的一组可重复使用的域规范。当您关联规则组与 VPC 时,DNS Firewall 会将您的 DNS 查询与规则中使用的域列表进行比较。如果 DNS Firewall 找到匹配项,则它会根据匹配规则的操作处理 DNS 查询。有关规则组和规则的更多信息,请参阅 [DNS 防火墙规则组和规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。
域列表分为两大类:
+ 托管域名列表, AWS 可为您创建和维护。
+ 您自己的域名列表,由您创建和维护。
根据规则组的关联优先级指数对其进行评估。
默认情况下,AMS 部署的基准配置由以下规则和规则组组成:
+ 一个名为的规则组`DefaultSecurityMonitoringRule`。对于每个已启用的现有 VPC,规则组在创建时具有最高的关联优先级 AWS 区域。
+ 规则组中一个优先级为 `DefaultSecurityMonitoringRule` **1** 的`DefaultSecurityMonitoringRule`规则,使用带有操作 A **LE** RT 的`AWSManagedDomainsAggregateThreatList`托管域列表。
如果您已有配置,则部署基准配置的优先级将低于现有配置。您的现有配置是默认配置。如果您的现有配置没有提供有关如何处理查询解析的更高优先级的指令,则可以使用 AMS 基准配置作为包罗万象的配置。要更改或移除基准配置,请执行以下操作之一:
+ 请联系您的云服务交付经理 (CSDM) 或云架构师 (CA)。
+ 使用[管理 \$1 其他 \$1 其他 \$1 创建 CT (ct-1e1xtak34nx76) 创建变更请求 (](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ex-other-other.html)RFC)。
+ 创建服务请求。
如果您的账户在开发者模式或直接更改模式下运行,则可以自己进行更改。
## AWS Certificate Manager (ACM) 证书
AMS 有一个 CT、部署 \$1 高级堆栈组件 \$1 ACM 证书以及其他 SANs \$1 Create (ct-3l14e139i5p50),你可以用它来提交 AWS Certifice Manager 证书申请,还有最多五个额外的主题备用名称 (SAN)(例如 example.com、example.net 和 example.org)。有关详细信息,请参阅[什么是 AWS Certificate Manager?](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) 和 [ACM 证书特征](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html)。
**注意**
此超时设置不仅与运行有关,还涉及您通过电子邮件验证对 ACM 证书的验证。未经您的验证,RFC 就会失败。
## AMS 中的数据加密
AMS 使用多种 AWS 服务进行数据加密,尤其是亚马逊简单存储服务、 AWS Key Management Service (AWS KMS)、亚马逊 Elastic Block Store、Amazon Relational Database Service Amazon Redshift Amazon ElastiCache AWS Lambda、、、、和亚马逊 OpenSearch 服务。
**Amazon S3**
Amazon S3 提供了多种对象加密选项,用于保护传输中的数据和静态数据。服务器端加密在将对象保存到数据中心的磁盘上之前加密对象,然后在下载对象时对数据进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密对象的方式就没有区别。有关更多信息,请参阅 [Amazon S3 中的数据保护](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
**Amazon EBS**
使用 Amazon EBS 加密,您无需构建、维护和保护自己的密钥管理基础设施。Amazon EBS 加密在创建加密卷和快照时使用 AWS KMS 密钥。加密操作发生在托管 Amazon EC2 实例的服务器上。这样做是为了确保实例 data-at-rest与其连接的 Amazon EBS 存储 data-in-transit之间的安全性。您可以同时将加密卷和未加密卷附加到实例。有关更多信息,请参阅 [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。
**Amazon RDS**
Amazon RDS 可以加密您的 Amazon RDS 数据库实例。静态加密的数据包括数据库实例的底层存储、其自动备份、只读副本和快照。Amazon RDS 加密的数据库实例使用行业标准的 AES-256 加密算法对托管 Amazon RDS 数据库实例的服务器上的数据进行加密。在加密数据后,Amazon RDS 将以透明方式处理访问的身份验证和数据的解密,并且对性能产生的影响最小。您无需修改数据库客户端应用程序来使用加密。有关更多信息,请参阅[加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。
**Amazon Simple Queue Service**
除了默认的 Amazon SQS 托管服务器端加密 (SSE) 选项外,Amazon SQS 托管 SSE (SSE-SQS) 还允许您创建自定义托管服务器端加密,该加密使用亚马逊 SQS 托管的加密密钥来保护通过消息队列发送的敏感数据。服务器端加密(SSE)允许您采用加密队列的方式传输敏感数据。SSE 使用 Amazon SQS 托管的加密密钥 (SSE-SQS) 或在 (SSE-KMS) 中管理的密钥来保护队列中的消息内容。 AWS KMS 有关使用管理 SSE 的信息 AWS 管理控制台,请参阅静[态加密](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-server-side-encryption.html)。
**静态数据加密**
OpenSearch 服务域提供静态数据加密,这是一项有助于防止未经授权访问您的数据的安全功能。该功能使用 AWS Key Management Service (AWS KMS) 来存储和管理您的加密密钥,并使用 256 位密钥的高级加密标准算法 (AES-256) 来执行加密。有关更多信息,请参阅 [Amazon OpenSearch 服务的静态数据加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)。
**密钥管理**
AWS KMS 是一项托管服务,可让您轻松创建和控制客户主密钥 (CMKs),即用于加密数据的加密密钥。 AWS KMS CMKs 受经过 FIPS 140-2 加密模块验证计划验证的硬件安全模块 (HSMs) 保护,中国(北京)和中国(宁夏)地区除外。有关更多信息,请参阅[什么是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
# 身份和访问管理
AWS Identity and Access Management (IAM) 是一项 Web 服务,可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(具有相应权限)来使用资源。在 AMS 入职期间,您负责在每个托管账户中创建跨账户 IAM 管理员角色。
## 多账户登录区 (MALZ) IAM 保护措施
AMS 多账户登陆区 (MALZ) 要求将 Active Directory (AD) 信任作为AMS访问管理的主要设计目标,以允许每个组织(包括AMS和客户)管理自己的身份的生命周期。这样就无需在彼此的目录中拥有凭证。配置了单向信任,以便其中的托管 Active Directory AWS 账户 信任客户拥有或托管 AD 来对用户进行身份验证。由于信任只是一种方式,因此并不意味着客户活动目录信任托管 AD。
在此配置中,管理用户身份的客户目录称为用户林,Amazon EC2 实例所连接的托管 AD 称为资源林。这是 Microsoft 常用的用于 Windows 身份验证的设计模式;有关更多信息,[请参阅森林](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models)设计模型。
这种模式允许两个组织自动执行各自的生命周期,并允许 AMS 和您在员工离开组织时快速撤消访问权限。如果没有这种模式,如果两个组织都使用公共目录(或 users/groups 在彼此的目录中创建),那么两个组织都必须投入额外的工作流程和用户同步,以考虑员工的起步和离职情况。这会带来风险,因为该过程存在延迟并且容易出错。
### MALZ 访问权限的先决条件
MALZ 身份提供商集成,用于访问 AWS/AMS 控制台、CLI、SDK。
![\[身份提供商与 AWS IAM、和 AMS 之间的关系变更管理。 AWS 管理控制台\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
对您的 AMS 账户中的 Amazon EC2 实例进行单向信任。
![\[信任的方向是单向的:从您的Amazon EC2 实例到您组织的Active Directory域。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# 使用身份进行身份验证
AMS 使用 IAM 角色,这是一种 IAM 身份。IAM 角色与用户非常相似,因为它是一个具有权限策略的身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,一个角色没有与之关联的凭证,而且,一个角色不是与一个人有唯一的关联,而是让任何需要它的人都可以担任。IAM 用户可担任角色来暂时获得针对特定任务的不同权限。
访问角色由内部组成员资格控制,内部组成员资格由运营管理部门管理和定期审查。
# AMS 中的 IAM 用户角色
IAM 角色与 IAM 用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。
目前,对于标准 AMS 账户,有一个 AMS 默认用户角色`Customer_ReadOnly_Role`,还有一个角色适用于使用托管 Active Directory 的 AMS 账户。`customer_managed_ad_user_role`
角色策略设置了 Amazon S3 日志操作的权限、AMS 控制台访问权限、对大多数控制台的只读限制 AWS 服务、对账户 S3 控制台的限制访问以及 AMS 更改类型访问权限。 CloudWatch
此外,还`Customer_ReadOnly_Role`具有可变的预留实例权限,允许您预留实例。它具有一些节省成本的价值,因此,如果您知道在很长一段时间内将需要一定数量的 Amazon EC2 实例,则可以调用这些 APIs实例。要了解更多信息,请参阅 [Amazon EC2 预留实例](https://aws.amazon.com/ec2/pricing/reserved-instances/)。
**注意**
除非要重复使用现有策略,否则为 IAM 用户创建自定义 IAM 策略的 AMS 服务级别目标 (SLO) 为四个工作日。如果您想修改现有的 IAM 用户角色或添加新角色,请分别提交 [IAM:更新实体](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html)或 [IAM:创建实体](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) RFC。
如果您不熟悉 Amazon IAM 角色,请参阅 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)了解重要信息。
**多账户着陆区 (MALZ)**:要查看 AMS 多账户着陆区默认、未自定义的用户角色政策,请参阅下文。[MALZ:默认 IAM 用户角色](#json-default-role-malz)
## MALZ:默认 IAM 用户角色
默认多账户 AMS 多账户 landing zone 用户角色的 JSON 政策声明。
**注意**
用户角色是可自定义的,并且可能因每个账户而异。提供了有关如何找到您的角色的说明。
以下是默认 MALZ 用户角色的示例。要确保设置了所需的策略,请运行 AWS 命令[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)或登录 AWS 管理-> [IAM 控制台](https://console.aws.amazon.com/iam/),然后在导航窗格中选择**角色**。
### OU 账户的核心
核心账户是 MALZ 管理的基础设施账户。AMS 多账户 landing zone Core 账户包括一个管理账户和一个网络账户。
**OU 核心 OU 账户:常见角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
**核心 OU 账户:管理账户角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
**核心 OU 账户:网络账户角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
### 应用程序账户角色
应用程序账户角色适用于您的应用程序专用账户。
**应用程序账户:角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
### 策略示例
提供了大多数使用的策略的示例。要查看该 ReadOnlyAccess 政策(只要它提供对所有 AWS 服务的只读访问权限,则为页面),如果您有活跃的 AWS 账户,则可以使用此链接:[ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)。此外,此处还包括精简版。
#### AMSBilling政策
`AMSBillingPolicy`
您的会计部门可以使用新的账单角色来查看和更改管理账户中的账单信息或账户设置。要访问诸如备用联系人之类的信息、查看账户资源使用情况、查看账单甚至修改付款方式,您可以使用此角色。这个新角色包含 [AWS 账单 IAM 操作网页](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount)中列出的所有权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
查看所有 AMS 变更类型以及请求更改类型的历史记录的权限。
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
请求 Deployment \$1 Managed landing zone \$1 管理账户 \$1 创建应用程序账户(使用 VPC)更改类型的权限。
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
请求 Deployment \$1 Managed landing zone \$1 网络账户 \$1 创建应用程序路由表更改类型的权限。
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(管理层 \$1 其他 \$1 其他 CTs)
请求 “管理” \$1 “其他” \$1 “其他” \$1 “创建” 和 “管理” \$1 “其他” \$1 “其他” \$1 “更新” 更改类型的权限。
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
查看 AMS 通过 passwords/hashes 共享的机密的权限 AWS Secrets Manager (例如,用于审计的基础设施密码)。
创建与 AMS 共享 password/hashes 的密钥的权限。 (例如,需要部署的产品的许可证密钥)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
请求和查看所有 AMS 变更类型的权限,以及请求的更改类型的历史记录。
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
管理亚马逊 EC2 预留实例的权限;有关定价信息,请参阅[亚马逊 EC2 预留实例](https://aws.amazon.com/ec2/pricing/reserved-instances/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3政策
`AMSS3Policy`
在现有 Amazon S3 存储桶中创建和删除文件的权限。
**注意**
这些权限不授予创建 S3 存储桶的权限;必须使用部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建更改类型来完成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupport访问权限
`AWSSupportAccess`
完全访问权限 支持。有关信息,请参阅[入门 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。有关 Premium Support 的信息,请参阅[支持](https://aws.amazon.com/premiumsupport/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(公共 AWS管理政策)
订阅、取消订阅和查看订 AWS Marketplace 阅的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
完全访问权限 AWS Certificate Manager。有关更多信息,请参阅 [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/)。
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)信息,(公共 AWS 托管政策)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFull访问权限
`AWSWAFFullAccess`
完全访问权限 AWS WAF。有关更多信息,请参阅 [AWS WAF -Web 应用程序防火墙](https://aws.amazon.com/waf/)。
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)信息,(公共 AWS 管理政策)。此政策授予对 AWS WAF 资源的完全访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
对 AWS 控制台上所有 AWS 服务和资源的只读访问权限。 AWS 启动新服务时,AMS 会更新 ReadOnlyAccess 政策,为新服务添加只读权限。更新的权限会应用于策略附加到的所有主体实体。
这并不能授予登录 EC2 主机或数据库主机的权限。
如果您有激活的政策 AWS 账户,则可以使用此[ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)链接查看整个 ReadOnlyAccess 政策。只要它为所有人提供只读访问权限,整个 ReadOnlyAccess 策略就会持续很长时间 AWS 服务。以下是该 ReadOnlyAccess 政策的部分摘录。
**单账户着陆区 (SALZ)**:要查看 AMS 单账户着陆区默认、未自定义的用户角色策略,请参阅 “下一步”。[SALZ:默认 IAM 用户角色](#json-default-role)
## SALZ:默认 IAM 用户角色
默认 AMS 单账户 landing zone 用户角色的 JSON 政策声明。
**注意**
SALZ 默认用户角色是可自定义的,可能因每个账户而异。提供了有关如何找到您的角色的说明。
以下是默认 SALZ 用户角色的示例。要确保已为您设置了策略,请运行[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)命令。或者,登录 AWS Identity and Access Management 控制台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/),然后选择 “**角色**”。
客户只读角色是多个策略的组合。以下是该角色的细分 (JSON)。
Managed Services 审计政策:
托管服务 IAM ReadOnly 政策
Managed Services 用户政策
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
客户 Secrets Manager 共享政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
客户市场订阅政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# 安全事件日志记录和监控
AMS 持续监控托管环境中是否存在安全威胁。AMS 或您可能会检测到安全事件。AMS 根据美国国家标准与技术研究院 (NIST) 的《计算机安全事件处理指南》定期更新其自动化流程,以更好地检测安全威胁。
# 端点安全 (EPS)
您在 AMS Advanced 环境中配置的资源自动包括安装端点安全 (EPS) 监控客户端。此过程可确保全天候监控和支持 AMS Advanced 管理的资源。此外,AMS Advanced 会监控所有代理活动,如果检测到任何安全事件,就会创建事件。
**注意**
安全事件作为事件处理;有关更多信息,请参阅[事件响应](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
端点安全提供反恶意软件保护,具体而言,支持以下操作:
+ EC2 向 EPS 注册的实例
+ EC2 从 EPS 取消注册的实例
+ EC2 实例实时反恶意软件保护
+ EPS 代理启动的心跳
+ EPS 恢复隔离的文件
+ EPS 事件通知
+ 每股收益报告
AMS Advanced 使用趋势科技实现端点安全 (EPS)。这些是默认 EPS 设置。要了解有关趋势科技的更多信息,请参阅趋势科技[趋势科技服务器深度安全防护系统帮助中心](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true);请注意,非亚马逊链接可能会更改,恕不另行通知。
以下章节介绍了 AMS 高级多账户着陆区 (MALZ) 的默认设置;有关非默认 AMS 多账户着陆区 EPS 设置,[请参阅 AMS 高级多账户](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings)着陆区 EPS 非默认设置。
**注意**
你可以自备 EPS,请参阅 [AMS 自带 EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)。
## 常规 EPS 设置
端点安全常规网络设置。
**每股收益默认值**
| 设置 | Default |
| --- | --- |
| 防火墙端口(实例的安全组) | EPS 趋势科技服务器深度安全防护系统管理中心代理 (DSMs) 必须打开端口 4120 Agent/Relay 才能与管理中心通信,为管理中心控制台打开端口 4119。EPS 中继必须打开端口 4122 Manager/Agent 才能与中继通信。不应为客户实例的入站通信打开特定的端口,因为代理会启动所有请求。 |
| 沟通方向 | 客户端/设备已启动 |
| 心跳间隔 | 十分钟 |
| 警报前错过的心跳次数 | 二 |
| 服务器时间之间允许的最大偏差(差) | 无限制 |
| 对处于非活动状态(已注册但未联机)的虚拟机引发脱机错误 | 否 |
| 默认策略 | 基本政策(下文将介绍) |
| 使用相同主机名激活多台计算机 | 被允许 |
| 已发出待定更新的警报 | 七天后 |
| 更新日程安排 | AMS 的目标是趋势科技趋势科技服务器深度安全防护系统管理中心 (DSM) /趋势科技服务器深度安全防护系统客户端 (DSA) 软件更新的每月发布周期。但是,AMS 不维护更新的 SLA。在部署期间,AMS 开发团队在整个舰队范围内执行更新。 DSA/DSA 更新记录在趋势科技 DSM 系统事件中,AMS 默认在本地保留这些事件 13 周。有关供应商文档,请参阅趋势科技趋势科技服务器深度安全防护[系统帮助中心中的系统事件](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html)。日志还会导出到亚马逊 CloudWatch的日志组/ aws/ams/eps/var/log/DSM .log。 |
| 更新源代码 | 趋势科技更新服务器 (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| 删除事件或日志数据 | 事件和日志将在七天后从 DSM 数据库中删除。 |
| 代理软件版本已保留 | 最多五个 |
| 最新规则更新已保存 | 最多十个 |
| 日志存储 | 默认情况下,日志文件安全地存储在 Amazon S3 中,但您也可以将其存档到 Amazon Glacier,以帮助满足审计和合规要求。 |
## 基本政策
端点安全基础策略默认设置。
**每股收益基本政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/eps-defaults.html)
## 反恶意软件
端点安全防恶意软件设置。
**EPS 防恶意软件默认值**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/eps-defaults.html)
# 恶意软件缓解流程
AMS 使用趋势科技的趋势科技服务器深度安全防护平台(反恶意软件系统)来检测和响应您的 AMS 托管实例上的恶意软件。默认情况下,趋势科技检测代理在所有 Amazon EC2 实例上运行,包括共享服务和私有子网中的实例,适用于 Windows 和 Linux 操作系统。反恶意软件系统连接到 AMS 监控,因此每当检测到恶意软件时都会生成事件。如果对客户造成影响,则事件将上报至事件管理流程(有关详细信息,请参阅[AMS 事件响应](sec-incident-response.md))。在 AMS 评估影响时,您会收到通知,并尝试减轻影响。
趋势科技发布更新时,趋势科技的防恶意软件定义会自动更新。
在应用程序启动期间,您需要指明在实例上发现恶意软件时希望 AMS 采取的操作:
+ 确保隔离文件在允许列表中,将其从隔离区中删除,然后将其释放回文件系统。
+ 删除隔离文件,将其从实例中移除。
+ 暂停实例并替换它。然后,您可以挂载暂停的实例以进行取证研究。
申请入职后:
+ 当反恶意软件系统在实例上发现恶意软件时,AMS 会自动隔离该恶意软件。这会触发事件和后续调查。
+ AMS 通过服务通知将事件通知您,并开始遵循您选择的默认缓解措施。
+ 如果您尚未选择默认操作,AMS 会询问您要采取哪项操作。收到您的指示后,AMS 会运行所选操作并通知您。操作完成后,AMS 会再次通知您,包括取证分析所需的详细信息(如果适用)。
# 在趋势科技趋势科技服务器深度安全防护系统中启用 IDS 和 IPS
您可以请求 AMS 为您的账户启用趋势科技入侵检测系统 (IDS) 和入侵防护系统 (IPS)(非默认功能)。
为此,请提交更新请求(管理 \$1 其他 \$1 其他 \$1 更新),并附上用于接收 IDS 和 IPS 通知的电子邮件地址列表。这些地址将添加到您账户中的 SNS 主题中,AMS 会为您创建该主题。
**注意**
AMS 不能添加任何可能干扰我们提供其他 AMS 服务的趋势科技服务。
# 全系统恶意软件扫描
支付卡行业数据安全标准 (PCI DSS) 要求进行完整的系统恶意软件扫描,默认情况下,AMS 管理的 VPC 上已启用这些扫描。完整系统扫描设置为凌晨 2 点(服务器上设置的时区)进行,因为它们会占用大量 CPU。除了不占用大量 CPU 的常规恶意软件扫描之外,还会进行全面的系统扫描。
新增了管理更改类型 (CT),即**禁用恶意软件扫描**,允许您禁用完整的系统恶意软件扫描。你可以在管理 \$1 主机安全 \$1 完整系统扫描 \$1 禁用分类,更改 ID ct-1pybwg08h8qsz 中找到 CT。要重新启用扫描,请使用管理 \$1 其他 \$1 其他 \$1 更新 CT。禁用完整系统扫描不会禁用常规恶意软件扫描。
## 亚马逊 Inspector 安全
Amazon Inspector 服务监控 AMS 管理的堆栈的安全。Amazon Inspector 是一项自动安全评估服务,可帮助识别部署在其上的基础设施在安全与合规方面的差距 AWS。Amazon Inspector 安全评估使您能够通过检查您的亚马逊实例中是否存在意想不到的网络可访问性和漏洞,自动评估堆栈的漏洞、漏洞以及与最佳实践的偏差。 EC2 执行评估后,Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。Amazon Inspector 评估以预定义规则包的形式提供,这些规则包与常见的安全最佳实践和定义相对应。这些规则由 AWS 安全研究人员定期更新。有关 Amazon Inspector 的更多信息,请访问[亚马逊 Inspector](https://aws.amazon.com/inspector)。
**AMS 亚马逊 Inspector FAQs**
+ 我的 AMS 账户是否默认安装了 Amazon Inspector?
不是。 Amazon Inspector 不是默认 AMI 版本或工作负载摄取的一部分。
+ 如何访问和安装 Amazon Inspector?
向 Inspector 提交 RFC(管理 \$1 其他 \$1 其他 \$1 创建)以申请账户访问和安装,AMS 运营团队将修改 Customer\$1 ReadOnly \$1Role 以提供 Amazon Inspector 控制台访问权限(没有 SSM 访问权限)。
+ 我想要评估的所有亚马逊 EC2 实例上都必须安装 Amazon Inspector 代理吗?
不需要,使用网络可访问性规则包的 Amazon Inspector 评估可以在没有代理的情况下运行任何亚马逊 EC2 实例。主机评估规则包需要代理。有关代理安装的更多信息,请参阅[安装 Amazon Inspector 代理](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html)。
+ 这项服务需要额外费用吗?
是。Amazon Inspector 的定价可以在[亚马逊 Inspector 定价](https://aws.amazon.com/inspector/pricing/)网站上找到。
+ Amazon Inspector 的发现是什么?
调查结果是指在 Amazon Inspector 对所选评估目标进行评估期间发现的潜在安全问题。调查结果显示在 Amazon Inspector 控制台或 API 中,其中包含对安全问题的详细描述和解决这些问题的建议。
+ Amazon Inspector 评估报告是否可用?
是。评估报告是一种文档,用于详细介绍评估运行的测试内容和评估结果。评估结果采用标准报告格式,可用于在团队内部分享实施修正措施的结果,丰富合规性审计数据,或存储以供将来参考。成功完成评估后,可以为评估运行生成 Amazon Inspector 评估报告。
+ 我能否使用标签来识别我要针对哪些堆栈运行 Amazon Inspector 报告?
是。
+ AMS 运营团队能否获得 Amazon Inspector 的评估结果?
是。任何有权访问 AWS 中的 Amazon Inspector 控制台的人都可以查看调查结果和评估报告。
+ AMS 运营团队会根据亚马逊 Inspector 报告的调查结果提出建议或采取行动吗?
不是。 如果您想根据 Amazon Inspector 报告的调查结果进行更改,则必须通过 RFC(管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新)申请更改。
+ 当我运行 Amazon Inspector 报告时,AMS 会收到通知吗?
当您申请 Amazon Inspector 访问权限时,运行 RFC 的 AMS 操作员会将请求通知您的 CSDM。
有关更多信息,请参阅 [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/)。
# AMS 事件响应
AMS 使用传统的 IT 服务管理 (ITSM) 事件管理最佳实践,在需要时尽快恢复服务。
我们通过遍布全球的多个运营中心提供全天候 follow-the-sun支持,专门的操作员会主动监控仪表板和事件队列。
我们的运营工程师使用内部事件跟踪工具来识别、记录、分类、确定优先级、诊断、解决和关闭事件,并通过 AMS 控制台或 支持 API 向您提供所有这些活动的最新信息。我们的操作员中有许多人曾在 AWS Premium Support 担任过各种技术背景和职务,他们利用各种内部 支持 工具来帮助完成所有这些活动。这些运营商对 AMS 支持的基础设施非常熟悉,并且具有解决所有已确定的支持问题的专家级技术技能。在极少数情况下,我们的操作员需要帮助,Premium Support 和 AWS 服务团队可以根据需要提供帮助。
如果高优先级事件影响您的关键工作负载,AMS 将建议恢复基础架构。通常需要在故障排除问题或从已知良好的备份中恢复之间进行权衡,而客户风险和服务停机造成的影响是决定性因素。如果您有时间解决问题,AMS 将为您提供帮助,但如果恢复的紧迫性很高,我们可以立即启动恢复。
**注意**
不属于堆栈模板或数据恢复的临时数据会丢失。当 AWS 服务不可用时,AMS 会尽合理努力执行基础设施恢复。提供 AWS 服务后,基础架构恢复即告完成。
如果您未按照 AMS 的建议授权恢复基础架构,则您将没有资格在事件解决时间内获得 AMS 服务承诺的服务积分。
# 合规性验证
AMS 部署并管理 AWS Config 规则和补救措施库,以防出现可能降低账户安全性和运营完整性的错误配置。
例如,创建 Amazon S3 存储桶时, AWS Config 可以根据要求 Amazon S3 存储桶拒绝公开读取访问的规则来评估 Amazon S3 存储桶。如果 Amazon S3 存储桶策略或存储桶访问控制列表 (ACL) 允许公共读取权限,则会将存储桶和规则 AWS Config 标记为不合规。它们根据评估结果将资源 AWS Config 规则 标记为 “合规”、“不合规” 或 “不适用”。有关 AWS Config 服务的更多信息,请参阅《[AWS Config 开发人员指南》](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。
您可以使用 AWS Config 控制台、 AWS CLI 或 AWS Config API 来查看您的账户中部署的规则以及规则和资源的合规状态。有关更多信息,请参阅 AWS Config 文档:[查看配置合规性](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
# 多账户登录区查看您的合规状态 AWS Config 规则
AMS 多账户 landing zone 利用 AWS Config 聚合器服务来创建所有账户合规的集中视图。这意味着您可以在安全账户的聚合 AWS Config 器下查看 AWS Config 规则 所有 AMS 多账户 landing zone 环境中的合规状态。
以下是展示 AWS Config 规则 跨账户集中合规状态的 AWS Config 聚合器示例。
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
有关更多信息,请参阅 [Config Aggregator](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) 的 AWS 文档。
+ AMS 如何使用 AWS Config 规则?
AMS 创建的 AWS Config 规则 目的是让您可以根据规则中指定的条件查看您的 AWS 资源配置。如果规则不合规,您可以申请更改,AMS Ops 团队将与您合作采取纠正措施。
+ 在这种情况下,您会看到您的 AMS 账户中出现以下更改:
+ AWS Config 规则 在 AWS Config > 规则下
+ 您的账户中存在带有 Lambda 函数的自定义 Config 规则
+ 安全账户中的 Config Aggregator 和所有账户中的 Config 授权(仅限多账户登录区域)
以下是样本,其 AWS Config 规则 合规性评估结果如下所示:
![\[AWS Config 规则 dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
要了解有关 AWS Config 的更多信息,请参阅:
+ AWS Config:[什么是配置?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 规则:[使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 规则:[动态合规性检查:AWS Config 规则 — 云资源的动态合规性检查](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 聚合器:[多账户多区域](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)数据聚合
# AMS 多账户 landing zone 服务控制策略限制
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
# 恢复能力
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础结构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure)。
# 基础结构安全性
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
# end-of-support操作系统的安全控制
不在操作系统制造商的 “end-of-support” 或 EOS 的常规支持期内,并且未收到安全更新的操作系统的安全风险会增加。
AWS 提供一些服务来帮助处理操作系统 end-of-support。有关 Windows 的信息 end-of-support,请参阅适用[于 Windows 服务器的 End-of-Support迁移程序](https://aws.amazon.com/emp-windows-server/)。
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
## 使用安全组
安全组起着虚拟防火墙的作用,可控制一个或多个实例的流量。AMS 安全组允许您在实例级别上设置入站流量规则和出站流量规则。您可以创建安全组并指定要与安全组关联的 AMS 账户、Amazon EC2 实例、Amazon RDS 数据库实例、负载均衡器、趋势科技服务器深度安全防护系统管理中心 (DSM) 复制实例、EFS 挂载目标和 ElastiCache 集群中的资源。关联后,进出这些实例的流量将受到安全组中设置的规则的限制。
要更好地了解 AWS 的一般安全性,请参阅[安全、身份与合规最佳实践和适用](https://aws.amazon.com/architecture/security-identity-compliance/)于 [Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。
AMS 现在有一组用于创建和管理安全组的更改类型:
+ 部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (ct-1oxx2g2d7hc90)
+ 管理 \$1 高级堆栈组件 \$1 安全组 \$1 删除 (ct-3cp96z7r065e4)
+ 管理 \$1 高级堆栈组件 \$1 安全组 \$1 更新 (ct-3memthlcmvc1b)
有关示例,请参阅[安全组](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html)。
# 安全组
在 AWS 中 VPCs,AWS 安全组充当虚拟防火墙,控制一个或多个堆栈(一个或一组实例)的流量。堆栈启动时,它会与一个或多个安全组相关联,这些安全组决定了允许哪些流量到达堆栈:
+ 对于公有子网中的堆栈,默认安全组接受来自所有位置(互联网)的 HTTP (80) 和 HTTPS (443) 流量。这些堆栈还接受来自您的公司网络和 AWS 堡垒的内部 SSH 和 RDP 流量。然后,这些堆栈可以通过任何端口导出到互联网。它们还可以输出到您的私有子网和公有子网中的其他堆栈。
+ 私有子网中的堆栈可以输出到私有子网中的任何其他堆栈,并且堆栈中的实例可以通过任何协议相互完全通信。
**重要**
私有子网上堆栈的默认安全组允许私有子网中的所有堆栈与该私有子网中的其他堆栈通信。如果要限制私有子网内堆栈之间的通信,则必须创建描述限制的新安全组。例如,如果您想限制与数据库服务器的通信,使该私有子网中的堆栈只能通过特定端口从特定的应用程序服务器进行通信,请请求特殊的安全组。本节将介绍如何执行此操作。
## 默认安全组
------
#### [ MALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “SentinelDefaultSecurityGroupPrivateOnly-vpc-id”,其中是 *ID* AMS 多账户着陆区账户中的 VPC ID。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnly
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*”,其中*ID*是唯一标识符。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “mc-initial-garden--” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/about-security-groups.html)
------
## 创建、更改或删除安全组
您可以请求自定义安全组。如果默认安全组不能满足您的应用程序或组织的需求,则可以修改或创建新的安全组。此类申请将被视为需要批准,并将由AMS运营团队进行审查。
要在堆栈之外创建安全组 VPCs,请使用`Deployment | Advanced stack components | Security group | Create (review required)`更改类型 (ct-1oxx2g2d7hc90) 提交 RFC。
要修改活动目录 (AD) 安全组,请使用以下更改类型:
+ 添加用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 将用户添加到群组 [ct-24pi85mjtza8k] 提交 RFC
+ 要移除用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 从群组中移除用户 [ct-2019s9y3nfml4] 提交 RFC
**注意**
使用 “需要审核” 时 CTs,AMS 建议您使用 “尽快**安排**” 选项(在控制台中选择 “尽快”,在 **AP** I/CLI 中将开始和结束时间留空),因为这些选项 CTs 要求 AMS 操作员检查 RFC,并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs,请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准,RFC 将被自动拒绝。
## 查找安全组
要查找附加到堆栈或实例的安全组,请使用 EC2 控制台。找到堆栈或实例后,您可以看到与其关联的所有安全组。
有关在命令行中查找安全组并筛选输出的方法,请参阅[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。
# AMS 预防和侦探控制库
AWS Managed Services (AMS) 为您提供 library/catalog 一系列行之有效的服务控制策略 (SCPs) ConfigRules ,这些策略可以用来改善您的安全状况并缩小 AMS 账户中的合规漏洞。
**Topics**
+ [精选规则 SCPs 和 Config 规则](scp-library-compliance.md)
+ [Config 规则的自定义通知](scp-lib-custom-notice.md)
# 精选规则 SCPs 和 Config 规则
AMS Advanced 的精选规则 SCPs 和 Config 规则。
+ **服务控制策略 (SCPs)**:提供的策略 SCPs 是默认 AMS 策略的补充。
您可以将这些库控件与默认库控件配合使用,以满足特定的安全要求。
+ **配置规则**:作为基准衡量标准,AMS 建议应用一致性包(参见 AWS Config 指南中的[一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html))以及默认 AMS 配置规则(有关默认规则,请参阅 AMS Artifacts)。合规包涵盖了大部分合规要求,AWS 会定期对其进行更新。
此处列出的规则可用于弥补一致性包未涵盖的特定用例差距
**注意**
随着 AMS 默认规则和一致性包会随着时间的推移而更新,您可能会看到这些规则的重复内容。
一般而言,AMS 建议定期清理重复的 Config 规则。
对于 AMS Advanced,为了避免更改,配置规则不应使用自动修复(请参阅[通过 AWS Config 规则修复不合规的 AWS](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) 资源)。 out-of-band
## SCP-AMS-001:限制 EBS 的创建
如果您未启用加密,请阻止创建 EBS 卷。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002:限制 EC2 启动
如果 EBS 卷未加密,则禁止启动 EC2 实例。这包括拒绝未加密的 EC2 启动, AMIs 因为此 SCP 也适用于根卷。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001:限制 RFC 提交
限制默认 AMS 角色自动提交特定的角色, RFCs 例如**创建 VPC** 或**删除 VPC**。如果您想对联合角色应用更精细的权限,这会很有用。
例如,您可能希望默认`AWSManagedServicesChangeManagement Role`用户能够提交大部分可用信息,但允许创建和删除 VPC、创建其他子网、退出应用程序账户、更新或删除 SAML 身份提供商的 RFCs 除外:
## SCP-AMS-003:限制在 AMS 中创建 RDS EC2 或 RDS
防止创建没有特定标签的 Amazon EC2 和 RDS 实例,同时允许 AMS 默认`AMS Backup IAM`角色这样做。这是灾难恢复或灾难恢复所必需的
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004:限制 S3 的上传
防止上传未加密的 S3 对象。
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005:限制 API 和控制台访问权限
阻止 AWS 控制台和 API 以确定的客户身份访问来自已知不良 IP 地址的请求 InfoSec。
## SCP-AMS-006:阻止 IAM 实体从组织中移除成员账户
防止 AWS Identity and Access Management 实体从组织中移除成员帐户。
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007:防止与组织外部的账户共享资源
防止与 AWS 组织外部帐户共享资源
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008:防止与组织或组织单位共享 (OUs)
防止与组织中的账户 and/or OU 共享资源。
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009:阻止用户接受资源共享邀请
阻止成员账户接受加入资源共享 AWS RAM 的邀请。此 API 不支持任何条件,并且只能阻止来自外部账户的共享。
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010:禁止使用账户区域启用和禁用操作
防止为您的 AWS 账户启用或禁用任何新 AWS 区域。
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011:阻止账单修改操作
防止修改账单和付款配置。
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012:防止对特定内容进行删除或修改 CloudTrails
防止修改特定 AWS CloudTrail 路径。
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013:防止禁用默认 EBS 加密
防止禁用默认 Amazon EBS 加密。
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014:防止创建默认 VPC 和子网
防止创建默认 Amazon VPC 和子网。
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015:防止禁用和修改 GuardDuty
GuardDuty 防止亚马逊被修改或禁用。
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016:防止 root 用户活动
阻止 root 用户执行任何操作。
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017:阻止为 root 用户创建访问密钥
阻止为 root 用户创建访问密钥。
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018:防止禁用 S3 账户公共访问封锁
防止禁用 Amazon S3 账户的公开访问封锁。这样可以防止账户中的任何存储桶被公开。
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019:防止禁用 AWS Config 或修改配置规则
防止禁用或修改 AWS Config 规则。
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020:阻止所有 IAM 操作
阻止所有 IAM 操作。
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021:防止删除 CloudWatch 日志组和流
防止删除 Amazon CloudWatch 日志组和直播。
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022:防止 Glacier 被删除
防止删除 Amazon Glacier。
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023:防止删除 IAM 访问分析器
防止删除 IAM 访问分析器。
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024:防止对 Security Hub 进行修改
防止删除 AWS Security Hub CSPM。
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025:防止在 Directory Service 下删除
防止删除下的资源 Directory Service。
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026:禁止使用列入拒绝名单的服务
防止使用被拒绝名单的服务。
**注意**
*service2*用您的服务名称替换*service1*和。示例*access-analyzer*或*IAM*。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027:禁止在特定地区使用被拒绝名单的服务
禁止在特定 AWS 地区使用被拒绝名单的服务。
**注意**
*service2*用您的服务名称替换*service1*和。示例*access-analyzer*或*IAM*。
*region2*用您的服务名称替换*region1*和。示例*us-west-2*或*use-east-1*。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028:禁止除授权委托人之外修改标签
防止除授权委托人之外的任何用户修改标签。使用授权标签对委托人进行授权。授权标签必须与资源和委托人关联。 user/role 只有当资源和主体上的标签都匹配时,才会将A视为已授权。有关更多信息,请参阅以下资源:
+ [使用中的服务控制策略保护用于授权的资源标签 AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [防止除授权委托人以外的其他人修改标签](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029:防止用户删除亚马逊 VPC 流日志
防止删除 Amazon VPC 流日志。
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030:防止与网络账户以外的账户共享 VPC 子网
防止与网络账户以外的账户共享 Amazon VPC 子网。
**注意**
*NETWORK\$1ACCOUNT\$1ID*替换为您的网络账户 ID。
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031:防止启动具有违禁实例类型的实例
防止启动禁止的 Amazon EC2 实例类型。
**注意**
将*instance\$1type1*和*instance\$1type2*替换为要限制的实例类型,例如*t2.micro*或通配符字符串,例如。*\$1.nano*
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032:防止在没有的情况下启动实例 IMDSv2
防止不 EC2 使用亚马逊实例 IMDSv2。
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033:防止修改特定 IAM 角色
防止修改指定的 IAM 角色。
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034:防止 AssumeRolePolicy 修改特定 IAM 角色
防止修改指定 AssumeRolePolicy IAM 角色的。
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: 必填标签
检查 EC2 实例是否具有您所需的自定义标签。此外 InfoSec,这对您的成本管理也很有用
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: 访问密钥已轮换
检查访问密钥是否在指定的时间段内轮换。根据典型的合规性要求,通常将其设置为 90 天。
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: AMS 中的 IAM 根访问密钥
检查账户上是否没有根访问密钥。对于 AMS 高级账户,这应该是合规的 out-of-the-box。
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM 托管 EC2
检查您的系统 EC2s 是否由 SSM Systems Manager 管理。
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: AMS 中未使用的 IAM 用户
检查是否有在指定持续时间内未使用的 IAM 用户证书。与密钥轮换检查一样,根据典型的合规性要求,这通常默认为 90 天。
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3 存储桶日志
检查账户中的 S3 存储桶是否已启用日志记录。
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: S3 存储桶版本控制
检查所有 S3 存储桶上是否启用了版本控制和 mfa-Delete(可选)
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: S3 公共访问权限
检查账户中的公共访问设置(公共 ACL、公共策略、公共存储桶)是否受到限制
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: 未存档 GuardDuty 的调查结果
检查是否存在超过指定持续时间的未存档搜索 GuardDuty 结果。低sev的默认持续时间为30天,中sev的默认持续时间为7天,高sev发现的默认持续时间为1天。
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: 已删除 CMK
检查是否有计划删除(又名待处理CMKs)的 AWS Key Management Service 自定义主密钥 ()。这一点至关重要,因为对删除 CMK 一无所知会导致数据无法恢复
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: 密钥轮换
检查账户中的每个 CMK 是否启用了自动轮换
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Config 规则的自定义通知
可能会出现严重的不合规的 Config 规则,需要 InfoSec 您和领导团队直接提高认识。对于此类情况,AMS 建议您配置不合规事件驱动的自定义通知。
例如:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# 适用于 AMS 高级版的 Amazon EventBridge 规则服务相关角色
AMS Advanced 使用名为的服务相关角色 (SLR) **AWSServiceRoleForManagedServices\$1Events**— 此角色信任其中一位 AWS 托管服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 EventBridge 托管规则。此规则是您的账户中将警报状态更改信息从您的 AWS 账户传送到 Managed Services 所需的基础架构。 AWS
## AMS 高级 EventBridge 版单反相机的权限
**AWSServiceRoleForManagedServices\$1Events** 服务相关角色信任以下服务代入该角色:
+ events.managedservices.com
该角色附带的是**AWSManagedServices\$1EventsServiceRolePolicy** AWS 托管策略(参见 [AWS 托管策略: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy))。该服务使用该角色将警报状态更改信息从您的账户传送到 Managed Ser AWS vices。您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 *AWS Identity and Access Management* 用户指南中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
你可以下载这个压缩文件**AWSManagedServices\$1EventsServiceRolePolicy**中的 JSON:[EventsServiceRolePolicy.zip。](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## 为 AMS Advan EventBridge ced 创建单反相机
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Advanced 会为您创建服务相关角色。
**重要**
如果您在 2023 年 2 月 7 日之前使用 AMS Advanced 服务,则该服务相关角色可以出现在您的账户中,AMS Advanced 服务开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices\$1Events 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Advanced 会再次为您创建与服务相关的角色。
## 为 AMS Advan EventBridge ced 编辑单反相机
AMS Advanced 不允许您编辑 AWSServiceRoleForManagedServices\$1Events 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 AMS EventBridge 高级版单反相机
无需手动删除 AWSServiceRoleForManagedServices\$1Events 角色。当您在 AWS 管理控制台、 AWS CLI 或 AWS API 中退出 AMS 时,AMS Advanced 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Advanced 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除** AWSServiceRoleForManagedServices\$1Events 服务相关角色使用的** AMS 高级资源**
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices\$1Events 服务相关角色。
有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# 安全最佳实践
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## AMS 多账号 landing zone EPS 非默认设置
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## AMS 护栏
护栏是一项高级规则,可为您的整个 AMS 环境提供持续治理。
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## MALZ 服务控制策略
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
# AMS 中的安全事件响应
安全是 AWS Managed Services (AMS) 的重中之重。AMS 在您的账户中部署资源和控制来对其进行管理。 AWS 有一个责任共担模式: AWS 管理云的安全,你负责云中的安全。AMS 通过使用安全控制和主动监控安全问题,保护您的数据和资产,并帮助确保您的 AWS 基础设施安全。这些功能可帮助您为在 AWS 云中运行的应用程序建立安全基准。AMS 通过安全事件响应与您合作,评估其影响,然后根据最佳实践建议进行遏制和补救。
当出现偏离基线的情况(例如配置错误或外部因素的变化)时,您需要做出回应并进行调查。要成功做到这一点,您需要了解 AMS 环境中安全事件响应的基本概念。您还必须了解在安全问题发生之前做好准备、教育和培训云团队的要求。重要的是要了解您可以使用的控制和功能,针对常见的安全问题(例如用户帐户受损或滥用特权帐户)制定应对计划,并确定使用自动化来提高响应速度和一致性的补救方法。此外,您需要了解您的合规和监管要求,因为它们与制定安全事件响应计划以满足这些要求有关。
安全事件响应可能很复杂,但是通过实施迭代方法,您可以简化流程,并允许事件响应团队通过提供早期和持续的检测和响应来让资产利益相关者满意。在本指南中,我们向您提供 AMS 用于事件响应的方法、AMS 责任矩阵 (RACI)、如何为安全事件做好准备、如何在安全事件期间与 AMS 接触,以及 AMS 使用的一些事件响应操作手册。
# AMS 安全事件响应的工作原理
AWS Managed Services 与 NIST 800-61 [安全事件响应计算机安全事件处理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)保持一致。通过与该行业标准保持一致,我们提供了一种一致的安全事件管理方法,并遵守保护和响应云端安全事件的最佳实践。
![\[事件响应生命周期\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/sec-inc-response-1.png)
**事件响应生命周期**
当检测发现并生成安全警报,或者您请求安全帮助时,AWS Managed Services Operations 团队会确保及时进行调查,自动执行数据收集、分类和分析,通知您分析情况,执行调查和任何遏制活动,然后发布事件分析。
事件响应期间执行的数据收集、分类、分析和遏制活动因所调查的安全事件的类型而异。本文档末尾列出了特定场景的安全事件响应工作流程示例。
在事故发生期间,AMS 会动态确定正确的行动方案,这可能会导致对记录在案的步骤进行重新排序或酌情绕过,以确保产生正确的结果。
# 准备
随着威胁形势的演变,AMS 继续扩大检测和响应能力。随着新检测的增加,AMS 会将这些新检测产生的警报整合到检测和响应平台中。AMS 安全响应人员经过培训,可以在整个安全事件响应生命周期中进行调查并与您合作。
由于这种合作方式,您的安全和应用团队必须做好与 AMS 合作的准备,以便在这些事件发生时处理这些事件,这一点非常重要。本文档解释了安全事件期间的预期,并帮助您为安全事件发生时的快速响应做好准备。
本文档使用 NIST 800-61 的定义,将**事件**定义为系统或网络中任何可观察到的事件,将**事件**定义为违反政策、可接受使用策略或标准安全实践的违规行为或迫在眉睫的威胁。
## 准备清单
与您的 AMS 云解决方案交付经理 (CSDM) 和 AMS 云架构师 (CA) 一起完成以下清单:
+ 了解哪些工作负载在哪些账户中运行。
+ 了解哪些内部团队负责各种工作负载,并在工作负载中对其进行适当标记。
+ 在内部保留在安全事件调查和控制决策期间可能需要的其他团队的联系方式。
+ 确认安全联系人是最新的,并已添加到所有托管 AWS 账户。联系人按账户进行管理。
+ 知道如何向 AMS 举报安全事件,并熟悉严重程度和预期的响应时间。
+ 确保在收到安全通知时,将它们发送给相应的人员和系统,例如寻呼机或您的安全运营中心。
+ 了解哪些日志源可供您使用,这些日志源存储在您的账户中的位置以及谁有权访问它们。
+ 了解如何在调查期间使用 CloudWatch Insights 查询日志。
+ 了解按资源(EC2、IAM、S3 等)可供您使用的控制选项,以及处于控制状态时对工作负载可用性的影响。
# Detect
在管理您的 AWS 账户期间,AMS 会使用从检测来源和控件(包括但不限于亚马逊、亚马逊、 GuardDuty VPC 流日志、Amazon Macie 和 CloudWatch亚马逊内部威胁情报源)收集的数据来监控用户行为、账户活动 AWS Config 和潜在安全事件中的异常情况。
AMS 使用原生 AWS 服务和其他检测技术来响应由以下原因创建的安全事件:
+ Config 一致性查找类型
+ GuardDuty 查找类型
+ Macie 查找类型
+ 亚马逊 Route 53 解析器 DNS 防火墙事件
+ AMS 安全事件(云监视警报)
随着服务、产品和威胁生态系统的发展,还增加了其他发现。
## 向 AMS 报告安全事件
通过 AMS Support 门户或 支持 中心举报事件,向 AMS 通报安全事件或请求调查。
# 分析
识别并报告安全事件后,下一步是分析报告的事件是误报事件还是真实事件。AMS 使用自动化和手动调查技术来处理安全事件。分析包括调查来自不同检测源的日志,例如网络流量日志、主机日志、CloudTrail 事件、 AWS 服务日志等。该分析还通过相关性寻找显示异常行为的模式。
您的合作伙伴关系需要了解特定于账户环境的背景,并确定您的账户和工作负载的正常情况。这有助于 AMS 更快地识别异常并加快事件响应。
## 处理来自 AMS 的有关安全事件的通信
在调查期间,AMS 会通过事件单与您的安全联系人联系,随时向您通报情况。在主动安全调查期间,您的 AMS 云服务交付经理 (CSDM) 和 AMS 云架构师 (CA) 是联系人,可以联系他们进行任何沟通。
通信包括在生成安全警报时自动通知、事件分析后进行通信、建立呼叫桥接以及持续交付项目(例如日志文件、受感染资源的快照),以及在安全事件期间向您提供调查结果。
AMS 安全警报通知中包含的标准字段如下所示。这些字段为您提供信息,以便您可以将事件发送给组织内的相应团队进行补救。
+ 查找类型
+ 查找标识符(如果相关)
+ 查找严重性
+ 查找描述
+ 查找创建日期和时间
+ AWS 账户编号
+ 区域(如果相关)
+ AWS 资源(IAM user/role/policy、 EC2、S3、EKS)
根据查找结果类型,还会提供其他字段,例如,EKS Finding 包括 Pod、容器和集群详细信息。
# 遏制
AMS 的遏制方法是与您合作。您了解您的业务以及遏制活动可能对工作负载产生的影响,例如网络隔离、IAM 用户或角色取消预配、实例重建等。
遏制的一个重要部分是决策。例如,关闭系统、将资源与网络隔离开来,或者关闭访问或结束会话。如果有预先确定的策略和程序来遏制事件,则更容易做出这些决定。AMS 提供遏制策略,然后在您考虑实施遏制措施所涉及的风险后实施解决方案。
根据所分析的资源,有不同的控制选项。AMS预计,在事故调查期间,将同时部署多种类型的遏制措施。其中一些例子包括:
+ 应用保护规则来阻止未经授权的流量(安全组、NACL、WAF 规则、SCP 规则、拒绝列出、将签名操作设置为隔离或阻止)
+ 资源隔离
+ 网络隔离
+ 禁用 IAM 用户、角色和策略
+ 修改/减少 IAM 用户、角色权限
+ 终止/暂停/删除计算资源
+ 限制公众访问受影响资源
+ 轮换访问密钥、API 密钥和密码
+ 清理披露的凭据和敏感信息
AMS鼓励您考虑风险偏好范围内的每种重大事件类型的遏制策略类型,并明确记录标准,以帮助在发生事件时做出决策。确定适当策略的标准包括:
+ 资源潜在损害程度
+ 保存证据
+ 服务不可用性(如网络连接、向外部提供的服务)
+ 实施策略所需的时间与资源
+ 策略的有效性(例如,部分遏制、完全遏制)
+ 解决方案的永久性(例如,单向门与双向门的决策)
+ 解决方案的持续时间(例如,紧急变通方案将在四小时内删除,临时变通方案将在两周内删除,永久解决方案)。
+ 应用您可以开启的安全控制措施来降低风险,并留出时间来定义和实施更有效的遏制措施。
遏制速度至关重要,AMS建议采取分阶段的方法,通过制定短期和长期方法来实现高效和有效的遏制。
使用本指南来考虑您的遏制策略,该策略涉及基于资源类型的不同技术。
+ 遏制策略
+ AMS 能否确定安全事件的范围?
+ 是:标记所有相关资源(用户、系统、资源)。
+ 否:对已识别资源执行下一步,同时继续调查。
+ 资源是否能被隔离?
+ 是:立即隔离受影响资源。
+ 否:协同系统负责人确定替代遏制方案。
+ 所有受影响的资源是否都已与未受影响的资源隔离开来?
+ 是:进入下一阶段。
+ 如果不是,则继续隔离受影响的资源,直到完成短期遏制,以防止事件进一步升级。
+ 系统备份
+ 是否已创建受影响系统备份用于分析?
+ 取证副本是否已加密并安全存储?
+ 是:进入下一阶段。
+ 否:立即加密取证映像并安全存储,防止意外使用、损坏或篡改。
# 根除
事件得到控制后,在进入下一个恢复阶段之前,可能需要根除威胁以完全消除威胁源,从而保护系统。根除步骤可能包括删除恶意软件和移除受感染的用户帐户,以及识别和缓解所有被利用的漏洞。在根除期间,重要的是要识别环境中所有受影响的账户、资源和实例,以便对其进行补救。
最佳做法是分阶段进行根除和恢复,以便确定补救措施的优先顺序。对于大规模事件,恢复可能需要几个月的时间。早期阶段的目的必须是通过相对较快(几天到几周)的高价值更改来提高整体安全性,以防止将来发生事件。后期阶段必须侧重于长期变革(例如基础架构变更)和持续的工作,以尽可能确保企业的安全。
对于某些事件,要么没有必要,要么在恢复期间进行消除。
请考虑以下事项:
+ 能否对系统进行重新映像,然后通过补丁或其他对策进行强化以防止或降低攻击风险?
+ 攻击者留下的所有恶意软件和其他工件是否都被清除,受影响的系统是否已得到加强,可以抵御进一步的攻击?
# 恢复
AMS 与您合作,将系统恢复到正常运行,确认系统运行正常,并(如适用)修复漏洞以防止发生类似事件。
请考虑以下事项:
+ 受影响的系统是否经过修补和强化,可以抵御最近的攻击和未来可能的攻击?
+ 哪一天和什么时间可以将受影响的系统恢复到生产状态?
+ 您将使用哪些工具来测试、监控和验证恢复到生产环境的系统是否不容易受到初始攻击技术的攻击?
# 事故后报告
事件发生后,AMS 会对所有安全事件进行调查审查。而且,AMS 启动了错误更正 (COE) 流程,以解决由系统或程序失误引起的安全事件,这些事件可能还有改进余地。AMS 与您合作,不断改善安全调查体验。COE 流程可帮助 AMS 识别影响客户的事件的促成因素,并将这些原因与下一步的行动项目联系起来,这些项目可以防止类似事件再次发生,或者有助于缓解影响的持续时间或程度。
安全事件调查审查流程涉及以下事项,以确定改进机会:
+ 从事件开始到事件发现,到最初的影响评估,再到事件处理过程的每个阶段(例如遏制、恢复),经过了多长时间?
+ 事件响应小组花了多长时间才对事件的初步报告做出回应?
+ 进行初步影响分析花了多长时间?
+ 这是可以预防的吗?如何预防? 有没有可以阻止这种情况的工具或流程?
+ 我们能早点发现吗?如何发现?
+ 什么能让调查更快地进行?
+ 是否遵循了记录在案的事故响应程序? 它们足够吗?
+ 与其他利益相关者的信息共享是否及时?如何加以改进?
+ 与其他团队(AWS 安全、客户团队、 AWS 开发团队和客户安全团队)的合作是否有效? 如果不是,还有什么可以改进的地方?
+ 缺少了哪些可能有所帮助的准备步骤,升级矩阵、RACI、分担责任模型等等? 是否需要更新任何 Runbook?
+ 初步影响评估和最终影响评估有什么区别? 在事件响应的早期阶段,我们可以做些什么来提高评估的准确性?
+ 经验教训中的行动项目有哪些?
# AMS 中的安全事件响应操作手册
本节包含两个运行手册:
+ [对 root 用户活动的响应](sir-root-user.md)
+ [对恶意软件事件的响应](sir-malware.md)
# 对 root 用户活动的响应
r [oot 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)是您 AWS 账户中的超级用户。请注意,AMS 会监控根用户使用情况。最佳做法是仅将根用户用于少数需要它的任务,例如更改账户设置、激活 AWS Identity and Access Management (IAM) 账单和成本管理权限、更改根密码以及开启多重身份验证 (MFA)。有关更多信息,请参阅[需要 root 用户凭据的任务](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root)。
有关如何通知 AMS 计划的 root 用户使用情况的更多信息,请参阅[何时以及如何在 AMS 中使用根账户](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html)。
当检测到 root 用户活动时,无论是登录尝试失败(可能表示暴力攻击)或成功登录后账户中的活动,都会生成一个事件并将事件发送给您定义的安全联系人。
AWS Managed Services Operations 调查计划外的根用户活动,执行数据收集、分类和分析,并按照您的指示执行遏制活动,然后进行事件后分析。
如果您使用的是 AMS Advanced 操作模式,则会收到来自 AMS CSDM 和 AMS Ops 工程师的额外通信,这些通信确认了由于 AMS 有责任保护根用户凭证而导致的计划外根用户活动。AMS 会调查 root 用户活动,直到您确认前进方向。
## 准备
通过提交 AMS 服务请求,告知 AMS 计划使用 root 用户的情况,包括计划中的事件的数据和时间,以防止不必要的事件响应活动。
定期 GameDays 与 AMS 合作,验证 AMS 的客户事件响应流程、人员和系统是否处于最新状态,并与负责任的个人建立肌肉记忆,以实现更快的事件响应。
## 阶段 A:检测
AMS 通过检测源(包括 GuardDuty AMS 监控)来监控账户中的根用户活动。
如果您有 AMS Accelerate,则操作模型会对请求对意外根用户活动进行调查的事件做出响应。发生这种情况时,AMS 运营部门会启动被盗账户操作手册。
如果您有 AMS Advanced,则运营模式会对事件做出响应,或者将 root 用户的任何计划活动通知给 CSDM,以终止正在进行的账户泄露调查。
## B 阶段:分析
当确定根用户事件未获得授权时,AMS 会对该活动进行彻底调查。使用自动化和 AMS 安全响应团队,对日志和事件进行分析,以确定根用户的异常和意外行为。向您提供日志是为了帮助您确定活动是否未知、是否是授权的 root 用户事件,或者是否需要进一步调查。
调查期间为支持内部检查而提供的信息的一些示例包括:
+ 账户信息:root 账户用于哪个账户?
+ root 用户的电子邮件地址:每个 root 用户都与贵组织中的一个电子邮件地址相关联
+ 身份验证详情:root 用户从何时何地访问您的环境?
+ 活动记录:用户以 root 身份登录后做了什么? 这些记录以 CloudWatch 事件的形式出现。了解如何阅读这些日志有助于调查。
最佳做法是准备好接收分析信息,并计划如何联系组织内客户的授权联系人。由于 root 用户不是以个人身份命名的,因此确定谁有权访问组织内用于该帐户的根电子邮件地址有助于在内部快速传递问题。
## C阶段:遏制和消灭
AMS 与您的安全团队合作,在您授权的客户安全联系人的指导下进行遏制。密封选项包括:
+ 轮换适当的凭证和密钥。
+ 终止与账户和资源的活动会话。
+ 清除已创建的资源。
在控制活动期间,AMS 会与您的安全团队密切合作,确保最大限度地减少对您的工作负载的任何干扰,并适当保护根凭证。
控制计划完成后,您可以根据需要与 AMS 运营团队合作采取任何恢复行动。
## 事故后报告
根据要求,AMS启动调查审查流程,以确定任何经验教训。作为完成 COE 的一部分,AMS 会将所有相关发现传达给受影响的客户,以帮助他们改善事件响应流程。
AMS 记录调查的所有最终细节,收集适当的指标,然后将事件报告给任何需要信息的 AMS 内部团队,包括您分配的 CSDM 和 CA。
# 对恶意软件事件的响应
Amazon EC2 实例用于托管各种工作负载,包括由组织内部应用程序团队部署的第三方软件和定制开发的软件。AMS 提供并鼓励您在由 AMS 持续修补和维护的映像上部署工作负载。
在实例运行期间,AMS 通过各种安全检测控件(包括 Amazon、Endpoint Protection、网络流量和亚马逊 GuardDuty内部威胁情报源)来监控行为或活动中的异常情况。
采用 AMS Advanced 操作模式的 AMS 客户会自动在已配置的资源上安装端点安全 (EPS) 监控客户端。这样可以确保资源得到全天候监控和支持,包括在检测到事件时制造安全事件。
AMS 还会监控 GuardDuty 恶意软件发现。如果启用,它们在 AMS Advanced 和 AMS Accelerate 上都可用。有关更多信息,请参阅 [Amazon GuardDuty 中的恶意软件防护](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)。
**注意**
如果您选择了 Brin [g Your Own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html),则事件响应的流程与本页上概述的流程不同。有关更多信息,请参阅参考文档。
当检测到恶意软件时,就会创建事件并向您通知该事件。在此通知之后,将显示已发生的任何补救活动。AMS Operations 负责调查、执行数据收集、分类和分析,然后按照您的指示执行遏制活动,然后进行事后分析。
## 阶段 A:检测
AMS 通过端点安全解决方案监控 GuardDuty 和端点安全解决方案监控实例上的事件。AMS 确定适当的浓缩和分类活动,以帮助您根据发现或警报类型做出遏制或风险接受决策。
数据收集是根据发现类型进行的。数据收集涉及查询受影响账户内部和外部的多个数据源,以了解观察到的活动或关注的配置。
AMS 将发现结果与来自任何受影响账户或 AMS 威胁情报平台的任何其他警报和警报或遥测数据进行关联。
## B 阶段:分析
收集数据后,对其进行分析以确定任何活动或令人担忧的指标。在调查的这一阶段,AMS 将与您合作,整合实例和工作负载的业务和领域知识,以帮助了解预期情况和异常情况。
调查期间为支持内部检查而提供的信息的一些示例包括:
+ 账户信息:在哪个账户上观察到恶意软件活动?
+ 实例详情:哪些实例与恶意软件事件有关?
+ 事件时间戳:警报是什么时候触发的?
+ 工作负载信息:实例上正在运行什么?
+ 恶意软件详细信息(如果相关):恶意软件系列和有关恶意软件的开源信息。
+ 用户或角色详情:哪些用户或角色受活动影响并参与其中?
+ 活动记录:实例上记录了哪些活动? 它们以 CloudWatch 事件和来自实例的系统事件的形式出现。了解如何阅读这些日志将有助于您进行调查
+ 网络活动:哪些终端节点正在连接到实例,实例正在连接什么,以及流量分析是什么?
最佳做法是做好接收调查信息的准备,并就如何联系组织内的客户、实例和工作负载的相应联系人制定计划。了解您的网络拓扑和预期的连接有助于加快影响分析。了解环境中计划的渗透测试以及应用程序所有者最近执行的部署也可以加快调查速度。
如果您确定该活动已计划并已获得授权,则会更新事件并结束调查。如果确认妥协,则您和 AMS 将确定适当的控制计划。
## C 阶段:遏制和消灭
AMS 与您合作,根据收集的数据和已知信息确定适当的遏制活动。封闭选项包括但不限于:
+ 通过快照保留数据
+ 修改网络规则以限制进出实例的流量
+ 修改 SCP、IAM 用户和角色策略以限制访问权限
+ 终止、暂停或关闭实例
+ 终止所有持久连接
+ 轮换适当的凭据/密钥
如果您选择对实例执行清除活动,那么 AMS 将支持您实现这一目标。选项包括但不限于:
+ 正在删除所有不需要的软件
+ 从干净的完全修补的映像重建实例,然后重新部署应用程序和配置
+ 从之前的备份中恢复实例
+ 将应用程序和服务部署到您账户中可能适合托管工作负载的另一个实例。
在恢复服务之前,必须确定恶意软件是如何传递和在实例上运行的,以确保应用任何其他控制措施来防止恶意软件在实例上再次出现。AMS 根据需要向您的取证合作伙伴或团队提供其他见解或信息,以支持取证。
此时,您将与 AMS 运营部门合作开展恢复活动。AMS 与您密切合作,以最大限度地减少对工作负载的干扰并保护实例。
## 事故后报告
根据要求,AMS启动调查审查流程,以总结经验教训。作为完成 COE 的一部分,AMS 会向您传达相关调查结果,以帮助您改进事件响应流程。
AMS 记录调查的最终细节,收集适当的指标,并将事件报告给 AMS 内部团队,这些团队需要信息,包括您分配的 CSDM 和 CA。
# 在 AMS Advanced 中更改请求安全审查
AWS Managed Services 变更请求审核流程可确保 AMS 在您的账户中代表您实施变更时对请求的更改进行安全审查。
[AMS 高级技术标准](ams-sec-technical-standards.md)定义最低安全标准、配置和流程,以建立账户的基本安全性。当 AMS 实施所要求的变更时,我们会遵循这些标准。
AMS 根据 AMS 技术标准评估所有变更请求。任何可能因偏离技术标准而降低账户安全状况的变更都要经过安全审查流程。在此过程中,AMS会强调相关风险,并由您的授权风险审批人进行审查和批准,以平衡安全和业务需求。
# 客户安全风险管理流程
AMS 高级客户安全风险管理 (CSRM) 流程有助于清楚地识别风险并将其传达给合适的所有者。此过程可最大限度地降低您环境中的安全风险,并减少已识别风险的持续运营开销。
默认情况下,当贵组织中的某人请求 AMS 对您的托管环境进行更改时,AMS 会审查更改以确定该请求是否超出了技术标准,这可能会改变您账户的安全状况。如果存在高或非常高的安全风险,则您的授权安全人员会接受或拒绝变更审查。还会评估所要求的变更是否会对AMS的账户运营能力产生不利影响。如果审查发现可能的不利影响,则需要在AMS内部进行额外的审查和批准。
对于高风险或非常高的风险,您可以选择退出 CSRM 流程中基于审批的工作流程。要将特定账户的 CSRM 选项从**标准 CSRM** 更改为 “**仅限通知**”,请与您的云服务交付经理合作创建一次性风险承受单。如果您选择继续使用 “**仅限通知**” 选项,则无论风险类别如何,AMS 都会实施所请求的更改。而且,AMS 会向您的授权风险批准者发送风险通知,而不是在变更实施之前寻求批准。请咨询您的云架构师或云服务交付经理,了解有关 AMS CSRM 流程、如何在注册新 AMS 账户时更改默认 CSRM 选项或如何更新现有账户的更多信息。
**注意**
AMS 强烈建议您在所有账户中使用默认的**标准 CSRM** 选项。
# AMS 高级技术标准
以下是 AMS 高级技术标准类别:
| ID | 类别 |
| --- | --- |
| AMS-STD-001 | 标记配置 |
| AMS-STD-002 | AWS Identity and Access Management |
| AMS-STD-003 | 网络安全性 |
| AMS-STD-004 | 渗透测试 |
| AMS-STD-005 | Amazon GuardDuty |
| AMS-STD-006 | 主机安全 |
| AMS-STD-007 | 日志系统 |
| AMS-STD-008 | AMS-MAD |
| AMS-STD-009 | 其他 |
# AMS 高级版中的标准控件
以下是 AMS 中的标准控件:
## AMS-STD-001-标记配置
以下是 001-标记配置的标准控件。
1. AMS 团队出于运营和管理目的所需的所有 AWS 资源都必须具有以下键值对。
+ AppId= AMSInfrastructure
+ 环境= AMSInfrastructure
+ AppName = AMSInfrastructure
+ AMSResource=没错
1. 除了先前列出的标签外,AMS 团队要求的所有标签都必须具有 AMS 前缀列表中提到的前缀(参见注意)。
1. AMS 团队(AppId、环境和 AppName)要求的标签值可以根据您的更改请求在您创建的任何资源上进行更改。
1. 不得根据您的更改请求删除 AMS 要求的堆栈上的任何标签。
1. 如第 2 点所述,您不能对基础设施使用 AMS 标签命名约定。
1. 您可以在 AMS 所需的资源中创建自定义标签(通常用于账单和成本报告用例)。如果资源是通过堆栈更新而不是通过更新模板来更新的,则会保留自定义标签。
**注意**
AMS 前缀列表
ams-\$1
AWSManaged服务\$1
/ams/ \$1
上午\$1
上午\$1
Ams\$1
mc\$1
MC\$1
麦克\$1
哨兵\$1
哨兵\$1
托管服务\$1
Newams\$1
AWS\$1\$1
啊\$1
VPC\$1\$1
CloudTrail\$1
Cloudtrail \$1
/aws\$1reserved/
摄取\$1
EPSDB\$1
MMS\$1
TemplateId\$1
StackSet-ams\$1
StackSet-AWS 着陆区
IAMPolicy\$1
客户-mc-\$1
根\$1
LandingZone\$1
StateMachine\$1
代码部署服务角色
管理主机
sentinel.int。
eps
UnhealthyInServiceBastion
ms-
## AMS-STD-002- AWS Identity and Access Management (IAM)
| ID | 技术标准 |
| --- | --- |
| 1.0 | 超时持续时间 |
| 1.1 | 联邦用户的默认超时会话为一小时,最多可以增加到四小时。 |
| 1.2 | 默认堆栈访问时间为 12 小时。 |
| 2.0 | AWS 主账号使用情况 |
| 2.1 | 如果出于任何原因使用了根账户,则 GuardDuty 必须将 Amazon 配置为生成相关调查结果。 |
| 2.2 | 对于单账户着陆区 (SALZ) 账户和多账户着陆区 (MALZ) 管理账户(以前称为账户),根用户 Master/Billing 账户必须启用虚拟 MFA,并且在账户注册期间丢弃 MFA 软令牌,这样 AMS 和客户都无法以 root 身份登录。必须与 AMS 云服务交付管理器 (CSDM) 一起执行标准的 AWS root 密码丢失流程。此配置必须在 AMS 托管账户的生命周期内保留。 |
| 2.3 | 您不得为 root 账户创建访问密钥。 |
| 3.0 | 用户创建和修改 |
| 3.1 | 无需任何时间限制策略即可创建 users/roles 具有编程访问权限和只读权限的 IAM。但是,不允许读取账户中所有 Amazon Simple Storage Service 存储桶中的对象(例如 S3:GetObject)的权限。 |
| 3.1.1 | 可以使用时间限制策略(最长 180 天)创建用于控制台访问和只读权限的 IAM 人类用户,而时间限制策略将生成风险通知。removal/renewal/extension但是,不允许读取账户中所有 S3 存储桶中的对象(例如 S3:GetObject)的权限。 |
| 3.2 | 在不接受风险的情况下,不得在客户账户中创建具有任何基础架构变更权限(写入和权限管理)的 IAM 用户和用于控制台和编程访问的角色。S3 对象级写入权限存在例外情况,只要特定的存储桶在范围内,并且对非 AMS 相关标签进行标记操作,则无需接受风险即可使用这些权限。 |
| 3.3 | 无需任何时间限制政策,即可创建具有编程访问权限、已命名customer\$1servicenow\$1user并customer\$1servicenow\$1logging\$1user需要 ServiceNow 集成到 SALZ 或 MALZ 应用程序账户以及\$1核心账户\$1的 IAM 用户。 |
| 3.4 | 可以创建具有编程访问权限、在 SALZ customer\$1cloud\$1endure\$1policy 和 MALZ 账户中 CloudEndure 集成所需的和customer\$1cloud\$1endure\$1deny\$1policy(具有只读访问权限)的 IAM 用户,但需要在计划迁移期间制定有时间限制的策略。时间限制最长可为 180 天,无需任何 RA。SCP还被授权更改MALZ账户,以允许这些政策在规定的期限内发挥作用。您可以根据需要定义适当的迁移窗口,并根据需要进行调整。 |
| 4.0 | 政策、行动和 APIs |
| 4.1 | 您在 SALZ 账户中的所有 IAM 用户和角色都必须附加默认的客户拒绝政策 (CDP),以保护 AMS 基础设施免受意外或故意损坏。 |
| 4.2 | SCPs 必须在 MALZ 的所有 AMS 托管账户中启用 AMS。 |
| 4.3 | 能够对 KMS 密钥执行管理操作(例如PutKeyPolicyScheduleKeyDeletion、和)的身份必须仅限于 AMS 操作员和自动化主体。 |
| 4.4 | 在不接受风险的情况下,策略不得向管理员提供等同于 “效果”:“允许” 和 “操作”:“\$1” 而不是 “资源”:“\$1” 的语句。 |
| 4.5 | IAM 策略不得包含任何包含在不接受风险的情况下对任何存储桶执行 “允许 S3: \$1\$1\$1” 操作的操作。 |
| 4.6 | 不得允许针对客户 IAM 策略中的 AMS 基础设施密钥的 KMS 密钥策略进行 API 调用。 |
| 4.7 | 不得允许绕过变更管理流程 (RFC) 的操作,例如启动或停止实例、创建 S3 存储桶或 RDS 实例等。 |
| 4.8 | 不得允许对 Amazon Route 53 中的 AMS 基础设施 DNS 记录进行更改的操作。 |
| 4.9 | 按照正当程序创建的具有控制台访问权限的 IAM 人类用户,除了信任策略、代入角色和限时策略外,不得直接附加任何策略。 |
| 4.10 | 可以在同一账户中创建对特定密钥或命名空间具有读取 AWS Secrets Manager 权限的 Amazon EC2 实例配置文件。 |
| 4.11 | 可以将 AWS Managed Services 变更管理 (AMSCM) 或 AWS Managed Services 服务知识管理系统 (AMSSKMS) 权限添加到任何角色(可以打开)。SR/Incident/RFC |
| 4.12 | IAM 策略不得包含任何包含在任何 AMS Amazon 日志组上的 “允许日志:DeleteLogStream ” DeleteLogGroup 和 “日 CloudWatch 志:” 操作的操作。 |
| 4.13 | 不得允许创建多区域密钥。 |
| 4.14 | 要提供对您的账户中尚未创建 ARNs 的 S3 存储桶的访问权限,请使用特定于服务的 S3 条件密钥s3:ResourceAccount来指定账号。 |
| 4.15 | 您可以对自定义控制面板拥有查看、创建、列出和删除权限,但只能在 Amazon 控制面板上查看和列 CloudWatch 出。 |
| 4.15.1 | 您可以查看、创建、列出和删除您的 S3 存储镜头自定义仪表板。 |
| 4.16 | 可以授予与 SQL Workbench 相关的完全权限, roles/users 允许其使用 Amazon Redshift 数据库。 |
| 4.17 | 可以将任何 AWS CloudShell 权限授予客户角色作为 CLI 的替代方案。 |
| 4.18 | 以可信委托人 AWS 服务 为的 IAM 角色也必须符合 IAM 技术标准。 |
| 4.19 | 服务关联角色 (SLRs) 不受 AMS IAM 技术标准的约束,因为它们由 IAM 服务团队构建和维护。 |
| 4.20 | IAM 策略不得允许对账户中所有存储桶的 Amazon S3 存储桶对象(例如 Amazon S3:GetObject)进行不受限制的读取权限:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/ams-sec-stand-controls.html) |
| 4.21 | 可以向客户授予资源类型 “savingsplan” 的所有 IAM 权限。 |
| 4.22 | AMS 工程师不得在任何数据存储服务(例如 Amazon S3、Amazon Relational Database Service、Amazon DynamoDB 等)或操作系统文件系统中手动复制或移动客户数据(文件、S3 对象、数据库)。 |
| 4.23 | 不得修改 SCP 策略以允许任何 AMS 托管账户中的任何其他访问权限。 |
| 4.24 | 不得允许对 SCP 政策进行任何可能破坏 AMS 基础设施或管理能力的更改。(注意:AMS 资源带有标签AppId= AMSInfrastructure,紧随其后的是 AMS 受保护的命名空间)。 |
| 4.25 | AMS 自动 IAM 配置功能必须作为可选功能在您的账户中启用。 |
| 4.26 | AMS 人工扮演的角色或用户不得访问客户在 S3、RDS、DynamoDB、Redshift、Elasticache、Elasticache、EFS 和中的内容。 FSx此外,在操作员角色中,必须明确拒绝访问其他 AWS 服务 人 APIs 发布的已知新内容,且授予客户内容访问权限。 |
| 5.0 | 联合身份验证 |
| 5.1 | 必须在 AMS 托管账户中使用联合身份验证进行配置。 |
| 5.2 | 从 AMS AD 到您的活动目录只能存在单向传出信任(AMS AD 信任本地 AD)。 |
| 5.3 | AMS 托管应用程序账户中不得存在用于向 AMS 进行身份验证的身份存储。 |
| 6.0 | 跨账户政策 |
| 6.1 | 根据客户记录,可以配置属于同一客户的 AMS 账户之间的 IAM 角色信任策略。 |
| 6.2 | 只有当非 AMS 账户由同一 AMS 客户拥有时,才必须配置 AMS 账户和非 AMS 账户之间的 IAM 角色信任策略(通过确认他们属于同一个 AWS Organizations 账户或将电子邮件域名与客户的公司名称进行匹配)。 |
| 6.3 | 如果不接受风险,则不得配置 AMS 账户和第三方账户之间的 IAM 角色信任策略。 |
| 6.4 | 可以配置跨账户策略,以便在同一客户的 AMS 账户 CMKs 之间访问任何客户管理的账户。 |
| 6.5 | 可以配置跨账户策略,通过 AMS 账户访问非 AMS 账户中的任何 KMS 密钥。 |
| 6.6 | 在不接受风险的情况下,不得允许第三方账户访问AMS账户内的任何 KMS 密钥的跨账户政策。 |
| 6.6.1 | 只有当非 AMS 账户由同一 AMS 客户拥有时,才能配置跨账户策略,允许非 AMS 账户访问 AMS 账户内的任何 KMS 密钥。 |
| 6.7 | 可以配置跨账户策略,用于访问可在同一客户的 AMS 账户之间存储数据的任何 S3 存储桶数据或资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.8 | 可以配置跨账户策略,从具有只读访问权限的 AMS 账户访问可在非 AMS 账户中存储数据的任何 S3 存储桶数据或资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.9 | 只有在非 AMS 账户归同一 AMS 客户所有(通过确认他们属于同一个账户或将电子邮件域名与客户匹配)的情况下,才必须配置跨账户策略,才能访问任何 S3 存储桶数据或可以存储数据的资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift),并拥有从 AMS 到非 AMS 账户(或非 AMS 到 AMS 账户)的写入权限的公司名称)。 AWS Organizations |
| 6.10 | 可以配置跨账户策略,从具有只读权限的 AMS 账户访问第三方账户中可以存储数据的任何 S3 存储桶数据或资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.11 | 不得配置跨账户策略,用于从具有写入权限的 AMS 账户访问第三方账户中可以存储数据的任何 S3 存储桶数据或资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.12 | 未经风险接受,不得配置第三方账户用于访问 AMS 客户 S3 存储桶或可以存储数据的资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)的跨账户策略。 |
| 7.0 | 用户组 |
| 7.1 | 允许具有只读权限和非变异权限的 IAM 群组。 |
| 8.0 | 基于资源的策略 |
| 8.1 | 必须通过附加基于资源的策略来保护 AMS 基础设施资源,使其免受未经授权的身份的管理。 |
| 8.2 | 除非您明确指定不同的策略,否则您的资源必须使用基于资源的最低权限策略进行配置。 |
| 9.0 | 自助配置服务 (SSP) |
| 9.1 | 无论是否接受任何风险,都不得修改 AMS 默认 IAM 角色或策略(包括实例配置文件、SSP、模式)。信任策略允许例外(不接受风险)。默认 SSP 角色还允许对角色、策略或用户更改进行标记。 |
| 9.3 | 除默认角色外,Systems Manager Automation 控制台角色的 SSP 策略不能附加到任何自定义角色。只有在确保将策略关联到自定义角色不会为默认 SSP 服务的预期设计之外提供额外权限之后,才能将其他 SSP 策略附加到自定义 IAM 角色。 |
## AMS-STD-003-网络安全
以下是 003-网络安全的标准控件:
| ID | 技术标准 |
| --- | --- |
| | 联网 |
| 1.0 | 只能通过堡垒主机、堡垒主机 VPC CIDR 范围或同一 EC2 实例 VPC CIDR 范围通过 SSH 或 RDP 访问所有实例。 |
| 2.0 | 允许在 EC2 实例上使用弹性 IP |
| 3.0 | 必须使用 AMS 控制平面,进而在数据平面中使用 TLS 1.2\$1。 |
| 4.0 | 所有出口流量都必须使用账户 IGW 或 TGW 通过。 |
| 5.0 | 如果安全组未按照 9.0 连接到负载均衡器,则其入站规则中不得将源设置为 0.0.0.0/0 |
| 6.0 | 未经风险接受,不得将 S3 存储桶或对象公开。 |
| 7.0 | 服务器管理端口 SSH/22 或 SSH/2222(不是 SFTP/2222)、TELNET/23、RDP/3389、winRM/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 以及 RPC/135、NETBIOS/137-139 上的访问权限。 |
| 8.0 | 不得允许公共端口(mySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433)或自定义端口进行数据库管理访问,不得允许未通过 DX、vpc-Peer 或通过安全组通过 VPC 路由到 VPC 的公共端口。 IPs |
| 8.1 | 任何可以存储客户数据的资源都不应直接暴露在公共互联网上。 |
| 9.0 | 仅允许负载均衡器通过端口 HTTP/80、HTTPS/8443 和 HTTPS/443 直接访问应用程序,但不允许直接访问任何计算资源,例如实例、容器等。 EC2 ECS/EKS/Fargate |
| 10.0 | 可以允许应用程序通过端口 HTTP/80 和 HTTPS/443 从客户私有 IP 范围进行访问。 |
| 11.0 | 未经风险接受,不得允许对控制 AMS 基础设施访问权限的安全组进行任何更改。 |
| 12.0 | 每次请求将安全组附加到实例时,AMS Security 都会参考这些标准。 |
| 13.0 | 只有通过 DX、vpc-Peer 或 VPN 路由到 VPC 的私有 IP 范围才能允许客户通过端口 3389 和 22 访问堡垒。 |
| 14.0 | 只有当非 AMS 账户由同一 AMS 客户(通过确认他们属于同一 AWS 组织账户或通过将电子邮件域与客户的公司名称进行匹配)时,才必须使用内部工具配置私有托管区域与 VPCs 从 AMS 到非 AMS 账户(或非 AMS 到 AMS 账户)的跨账户关联。 |
| 15.0 | 可以允许属于同一客户的账户之间的 VPC 对等连接。 |
| 16.0 | 只要两个账户均归同一个客户所有(通过确认他们属于同一个账户,或者将电子邮件域名与客户的公司名称进行匹配), AMIs 即可使用内部工具与非 AMS AWS Organizations 账户共享 AMS 库。 |
| 17.0 | 未经风险认可,不得在任何安全组中配置 FTP 端口 21。 |
| 18.0 | 只要所有账户均归客户所有,则允许通过公交网关进行跨账户网络连接。 |
| 19.0 | 不允许将私有子网设为公有子网 |
| 20.0 | 不得允许与第三方账户(不归客户所有)的 VPC 对等连接。 |
| 21.0 | 不得允许使用第三方账户(不归客户所有)连接 Transit Gateway。 |
| 22.0 | AMS 向客户提供服务所需的任何网络流量都不得在客户网络出口点被屏蔽。 |
| 23.0 | 允许与同一客户共享由同一客户 AWS 账户 拥有的解析规则,并附上风险通知 |
| 19.0 | ICMP |
| 19.1 | EC2 从买家基础设施向 Amazon 发出的入库 ICMP 请求需要风险通知。 |
| 19.2 | 允许通过安全组通过 DX、vpc-Peer 或 VPN 从公共 IPs 路由到 Amazon VPC 的入站请求。 |
| 19.3 | 来自公众的入站请求 IPs 如果未通过 DX、vpc-Peer 或 VPN 通过安全组路由到 Amazon VPC,则需要接受风险。 |
| 19.4 | 允许从 Amazon EC2 向任何目的地发出出站 ICMP 请求。 |
| 20.0 | 安全组共享 |
| 20.1 | 如果安全组符合此安全标准,则可以在同一个账户和同一组织 VPCs 中的账户之间共享该安全组。 |
| 20.2 | 如果安全组不符合此标准,并且此安全组以前需要接受风险,则 VPCs 在不接受新的 VPC 或账户风险的情况下,不允许在同一账户之间或同一组织中的账户之间使用安全组共享功能。 |
## AMS-STD-004-渗透测试
以下是 004-渗透测试的标准控件
1. AMS 不支持 pentest 基础架构。这是客户的责任。例如,Kali 不是 AMS 支持的 Linux 发行版。
1. 客户需要遵守[渗透测试](https://aws.amazon.com/security/penetration-testing/)。
1. 如果客户想在账户内进行基础设施渗透测试,则应提前 24 小时预先通知 AMS。
1. AMS 将根据客户在变更请求或服务请求中明确说明的客户要求提供客户渗透测试基础设施。
1. 客户渗透测试基础设施的身份管理由客户负责。
## AMS-STD-005- GuardDuty
以下是 005 的标准控件- GuardDuty
1. GuardDuty 必须始终在所有客户账户中启用。
1. GuardDuty 来自 MALZ 客户托管应用程序账户 (CMA) 的调查结果不会给运营团队带来警报。
1. GuardDuty 警报必须存储在同一账户或同一组织下的任何其他托管账户中。
1. GuardDuty 不得使用的 “可信 IP 列表” 功能。相反,可以将自动存档用作替代方案,这对于审计目的很有用。
1. GuardDuty 不得在 MALZ 中启用管理员委派,因为委派的管理员可以在不接受风险的情况下执行高权限操作,例如 GuardDuty 在其他账户中禁用。
1. GuardDuty 自动存档过滤器应使用最小范围来获得最大回报。例如,如果 AMS IPs 在不同的 CIDR 区块中看到多个不可预测的,并且有适合使用的公司 ASN,则使用 ASN。但是,如果您可以将范围缩小到特定范围或 /32 地址,则可以将范围缩小到这些范围或 /32 地址。
## AMS-STD-006-主机安全
以下是 006-主机安全的标准控件
+ 必须始终在所有 EC2 实例上运行防病毒代理。 (例如,趋势科技 DSM)。
+ 必须启用防恶意软件模块。
+ EPS 代理必须包含所有要扫描的目录和文件。
+ 通过防病毒解决方案隔离的文件可以按需与您共享。
+ 不应安装第三方端点安全解决方案。
+ 必须将防病毒签名更新频率设置为每天至少更新一次。
+ 必须将计划扫描频率设置为每月至少一次。
+ 必须启用实时(按访问时)扫描并始终处于运行状态。
+ AMS 不得在您的实例上执行任何非 AMS 拥有或创作的自定义脚本。(注意:您可以通过堆栈管理员访问权限 CT 使用堆栈管理员访问权限或使用[AWS Systems Manager 自动化 (AMS SSP)](https://docs.aws.amazon.com/managedservices/latest/userguide/sys-man-runbook.html) 来实现。
+ 不得在 Windows 主机上禁用网络级身份验证 (NLA)。
+ 根据配置的补丁周期,主机操作系统必须安装最新的安全补丁。
+ AMS 托管账户的账户中不得有非托管实例。
+ 不得允许 AMS 在您的实例上创建本地管理员账户。
+ EC2 不得在开启时创建密钥对。
+ 您不得使用声明为寿命终止 (EOL) 的操作系统,也不得使用供应商或第三方不提供进一步安全支持的操作系统。
## AMS-STD-007-日志记录
以下是 007-Logging 的标准控件
| ID | 技术标准 |
| --- | --- |
| 1.0 | 日志类型 |
| 1.1 | 操作系统日志:所有主机都必须记录最少的主机身份验证事件、所有使用提升权限的访问事件以及访问和权限配置的所有更改的访问事件,包括成功和失败。 |
| 1.2 | AWS CloudTrail:必须启用并配置 CloudTrail 管理事件日志以将日志传送到 S3 存储桶。 |
| 1.3 | VPC 流日志:必须通过 VPC 流日志记录所有网络流量日志。 |
| 1.4 | Amazon S3 服务器访问日志:AMS 强制存储日志的 S3 存储桶必须启用服务器访问日志记录。 |
| 1.5 | AWS Config 快照: AWS Config 必须记录所有区域中所有受支持资源的配置更改,并且每天至少将配置快照文件传送到 S3 存储桶一次。 |
| 1.6 | 端点保护系统 (EPS) 日志:必须启用并配置 EPS 解决方案日志记录,才能将日志传送到 CloudWatch 日志日志组。 |
| 1.7 | 应用程序日志:客户有权在其应用程序中启用日志记录并存储在 CloudWatch 日志日志组或 S3 存储桶中。 |
| 1.8 | S3 对象级日志记录:客户有权在其 S3 存储桶中启用对象级日志记录。 |
| 1.9 | 服务日志:客户可以像任何核心服务一样启用和转发 SSP 服务的日志。 |
| 1.10 | Elastic Loa Classic/Application Load Balancer/Network d Balancing(Load Balancer)日志:访问和错误日志条目必须存储在 AMS 2.0 托管的 S3 存储桶中。 |
| 2.0 | 访问控制 |
| 2.1 | 您不得拥有存储日志和日志; CloudWatch 日志组的 AMS 要求的 S3 存储桶中的写入或删除权限。 |
| 2.2 | 您必须对账户中的所有日志具有只读访问权限。 |
| 2.3 | 作为存储桶策略中的原则,AMS 规定的存储日志的 S3 存储桶不得允许第三方账户用户使用。 |
| 2.4 | 未经您的授权安全联系人明确批准,不得删除来自 CloudWatch 日志日志组的日志。 |
| 3.0 | 日志保留 |
| 3.1 | AMS 规定的 CloudWatch 日志日志组的日志保留期必须至少为 90 天。 |
| 3.2 | AMS 规定的用于存储日志的 S3 存储桶的日志保留期必须至少为 18 个月。 |
| 3.3 | AWS Backup 在支持的资源上,快照应至少保留 31 天。 |
| 4.0 | 加密 |
| 4.1 | 必须在 AMS Teams 要求的存储日志的所有 S3 存储桶中启用加密。 |
| 4.2 | 从客户账户向任何其他账户转发的任何日志都必须经过加密。 |
| 5.0 | 完整性 |
| 5.1 | 必须启用日志文件完整性机制。必须在 AMS 团队要求的 AWS CloudTrail 跟踪中配置 “日志文件验证”。 |
| 6.0 | 日志转发 |
| 6.1 | 任何日志都可以从一个 AMS 账户转发到同一客户的另一个 AMS 账户。 |
| 6.2 | 只有当非 AMS 账户由同一 AMS 客户拥有时,才能将任何日志从 AMS 转发到非 AMS 账户。 |
| 6.3 | 不得将客户账户中的任何日志转发到第三方账户(该账户不归客户所有)。 |
## AMS-STD-008-AMS-MAD
以下是 008-AMS-MAD 的标准控件
| ID | 技术标准 |
| --- | --- |
| 1.0 | 访问控制 |
| 1.1 | 只有具有交互式登录和自动化任务的 AMS 特权用户才能登录管理主机,以管理客户账户中的托管 AD。 |
| 1.2 | AD 管理员只能拥有委派的管理员权限(AMS 委派管理员组)。 |
| 1.3 | 登录客户 AD 环境(管理主机或实例)的工程师必须具有有时限的访问权限。 |
| 1.4 | 客户在 EC2 实例中使用远程服务器管理员工具对 AD 对象具有只读访问权限。 |
| 1.5 | 不得允许活动目录用户或组拥有管理权限。 |
| 1.6 | AWS 允许与同一客户 AWS 账户 拥有的目录共享,并附有风险通知。 |
| 2.0 | 服务账号 |
| 2.1 | 必须在应用程序支持的地方使用群组托管服务帐户 (GMSA),而不是标准服务帐户。 |
| 2.2 | 所有其他服务账户都必须在风险接受流程之后创建。 |
| 2.3 | 除非客户明确要求,否则不得重复使用 AD 安全组。应创建新的 AD 组。必须将请求访问服务帐户的计算机对象添加到新的安全组中。 |
| 2.4 | 必须在 “托管服务账户” 组织单位 (OU) 下添加任何 GMSA 服务帐户。 |
| 2.5 | 必须在 “用户→服务帐户” OU下添加任何非GMSA服务帐户。 |
| 3.0 | 组策略对象 (GPO) |
| 3.1 | 如果 “Windows 设置 > 安全设置” GPO 下的任何设置以任何方式降低了当前状态下的帐户安全状况,则不得对其进行修改。 |
| 3.2 | 在 MALZ 中,从申请创建 GPO 的应用程序账户 RFCs 提交,GPO 必须关联到与应用程序账户对应的 OU。任何 GPOs 影响所有帐户的内容都必须来自共享服务帐户。 |
| 3.3 | 必须将 Active Directory 域下所有服务器的默认 RDP 空闲会话超时设置为 15 分钟。 |
| 4.0 | 活动目录信任 |
| 4.1 | 如果条件转发器通过 DX、vpc-Peer 或 VPN 路由到 VPC,则允许单向出站信任(AMS 托管目录到客户目录)。 IPs |
| 5.0 | 其他 |
| 5.1 | 必须启用日志文件完整性机制。必须在 AMS 团队要求的 AWS CloudTrail 跟踪中配置 “日志文件验证”。 |
| 6.0 | 日志转发 |
| 6.1 | 客户用户、群组、计算机对象、OU 或其他实体不得按照 AMS 命名惯例使用 AMS 命名惯例。 |
| 6.2 | 所有这些都 OUs 必须由 AMS 管理。 |
## AMS-STD-009-其他
以下是 009-杂项的标准控件
+ 如果在资源、对象、数据库或文件系统中启用了加密,则不得将其禁用。
# 在您的环境中引入高或非常高的安全风险的更改
以下更改会给您的环境带来高或非常高的安全风险:
**AWS Identity and Access Management**
+ High\$1risk-iam-001:为根账户创建访问密钥
+ High\$1risk-iam-002:修改 SCP 策略以允许其他访问权限
+ High\$1risk-iam-003:SCP 政策修改可能会破坏 AMS 基础设施
+ High\$1risk-iam-004:在客户账户中创建 role/user 基础架构变更权限(写入、权限管理或标记)
+ High\$1risk-iam-005:AMS 账户和第三方账户(不归客户所有)之间的 IAM 角色信任策略
+ High\$1risk-iam-006:跨账户政策,允许第三方账户从 AMS 账户访问任何 KMS 密钥)
+ High\$1risk-iam-007:来自第三方账户的跨账户政策,用于访问 AMS 客户 S3 存储桶或可以存储数据的资源(例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)
+ High\$1risk-iam-008:为客户账户中的任何基础设施变更权限分配 IAM 权限
+ High\$1risk-iam-009:允许列出和读取账户中的所有 S3 存储桶
+ High\$1risk-iam-010:带权限的自动化 IAM 预配置 read/write
**网络安全**
+ High\$1risk-net-001:从互联网上打开操作系统管理端口 SSH/22 或 SSH/2222(不是 SFTP/2222)、TELNET/23、RDP/3389、winrm/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139
+ High\$1risk-net-002:打开数据库管理端口 mysql/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或互联网上的任何管理客户端口
+ High\$1risk-net-003:直接在任何计算资源上打开应用程序端口 HTTP/80、HTTPS/8443 和 HTTPS/443。例如,来自互联网的 EC2 实例、ECS/EKS/Fargate容器等
+ High\$1risk-net-004:对控制 AMS 基础设施访问权限的安全组所做的任何更改
+ High\$1risk-net-006:与第三方账户(不归客户所有)的 VPC 对等
+ High\$1risk-net-007:添加客户防火墙作为所有 AMS 流量的出口点
+ High\$1risk-net-008:不允许与第三方账户连接 Transit Gateway
+ High\$1Risk-S3-001:在 S3 存储桶中配置或启用公共访问权限
**日志系统**
+ High\$1risk-log-001:禁用。 CloudTrail(需要运营现场经理批准)
+ High\$1risk-log-002:禁用 VPC 流日志。(需要运营现场经理批准)
+ High\$1risk-log-003:通过任何方法(S3 事件通知、SIEM 代理提取、SIEM 代理推送等)将日志从 AMS 托管账户转发到第三方账户(不归客户所有)
+ high\$1risk-log-004:使用非 AMS 跟踪进行 CloudTrail
**主机安全**
+ High\$1risk-host-001:出于任何原因在账户中禁用端点安全。 (需要运营现场经理批准)
+ high\$1risk-host-002:在资源或账户级别禁用修补。
+ high\$1risk-host-003:在账户中部署非托管实例。 EC2
+ High\$1risk-host-004:运行客户提供的自定义脚本。
+ High\$1risk-host-005:在实例上创建本地管理员帐户。
+ High\$1risk-host-006:趋势科技 EPS 文件类型/扩展名扫描排除项或在端点上禁用恶意软件防护。
**注意**
对于与渗透测试或漏洞扫描相关的 EPS 反恶意软件排除或 GuardDuty 抑制规则,或者需要采取主动措施的影响 events/known 性能的服务问题,无需接受风险。在这种情况下,风险通知就足够了。
+ high\$1risk-host-007:为 KeyPair EC2
+ High\$1risk-host-008:在中禁用端点安全 EC2
+ High\$1risk-host-009:使用生命周期终止 (EOL) 操作系统的账户
**其他**
+ High\$1risk-enc-001:如果启用了任何资源的加密,则将其禁用
**托管活动目录**
+ High\$1risk-ad-001:为活跃的导演用户或组提供管理员权限
+ High\$1risk-ad-002:能够降低账户安全状况的 GPO 策略