本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 应用程序团队示例:创建 AWS Config 规则 以下是应用或开发团队可能负责的 Security Hub CSPM [基础安全最佳实践 (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 安全标准中的一些控制措施: + [[CloudFront.1] CloudFront 发行版应配置默认根对象](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1) + [[EC2.19] 安全组不应允许不受限制地访问高风险端口](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) + [[CodeBuild.1] CodeBuild GitHub 或者 Bitbucket 源存储库 URLs 应使用 OAuth](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1) + [[ECS.4] ECS 容器应以非特权身份运行](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4) + [[ELB.1] 应将 Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) 在此示例中,应用程序团队处理 FSBP 控制 EC2.19 的调查发现。此控件检查风险最高的指定端口是否可以访问安全组的不受限制的传入流量。如果安全组中的任何规则允许来自 `0.0.0.0/0` 或 `::/0` 这些端口的入口流量,则此控制措施失效。此控制措施的[文档](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19)建议删除允许此流量的规则。 除了解决单个安全组规则外,这也是一个很好的例子,说明了应该会产生新 AWS Config [规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)的发现。通过使用[主动评估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes),您可以帮助防止未来部署高风险的安全组规则。主动模式会在部署资源之前对其进行评估,这样您就可以防止资源配置错误及其相关的安全调查发现。在实施新服务或新功能时,应用程序团队可以在主动模式下运行规则,作为持续集成和持续交付(CI/CD)管线的一部分,以识别不合规的资源。下图显示了如何使用主动 AWS Config 规则来确认 AWS CloudFormation 模板中定义的基础架构是否合规。 ![\[检查 AWS CloudFormation 模板合规性的主动 AWS Config 规则\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png) 此示例还能带来另一项重要的效率提升。当应用程序团队创建主动 AWS Config 规则时,他们可以在公共代码存储库中共享该规则,以便其他应用程序团队可以使用。 与 Security Hub CSPM 控件关联的每个发现都包含有关该发现的详细信息以及修复问题的说明的链接。尽管云团队可能会遇到需要手动进行一次性修复的调查发现,但我们建议在适用时构建主动检查,以在开发过程中尽早明确问题。