本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 云团队示例:更改 VPC 配置 云团队负责对具有共同趋势的安全发现进行分类和修复,例如对可能不适合您的用例的 AWS 默认设置的更改。这些发现往往会影响许多 AWS 账户 资源,例如 VPC 配置,或者它们包含应在整个环境中施加的限制。在大多数情况下,云团队会手动进行一次性更改,例如添加或更新策略。 在您的组织使用 AWS 环境一段时间后,您可能会发现一组反模式正在形成。*反模式*是一种用于解决反复出现的问题的常用解决方案,而在这类问题中,此解决方案适得其反、无效或不如替代方案有效。作为这些反模式的替代方案,您的组织可以使用更有效的环境范围限制,例如 AWS Organizations 服务控制策略 (SCPs) 或 IAM Identity Center 权限集。 SCPs 权限集可以为资源类型提供额外的限制,例如禁止用户配置公共的亚马逊简单存储服务 (Amazon S3) 存储桶。尽管限制所有可能的安全配置可能很诱人,但对 SCPs 和权限集都有策略大小限制。我们建议采取平衡的方法进行预防性和侦测性控制。 以下是云团队可能负责 AWS Security Hub CSPM [的基础安全最佳实践 (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 标准中的一些控制措施: + [[EC2.2] VPC 默认安全组不应允许入站和出站流量](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [[EC2.6] 应全部启用 VPC 流量记录 VPCs](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [[EC2.23] Amazon EC2 传输网关不应自动接受 VPC 连接请求](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [AWS Config 应启用 [Config.1]](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) 在此示例中,云团队处理 FSBP 控制 EC2.2 的调查发现。此控制措施的[文档](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2)建议不要使用默认安全组,因为其允许通过默认的入站和出站规则进行广泛的访问。由于无法删除默认安全组,因此建议更改规则设置以限制入站和出站流量。为了有效地解决这个问题,云团队应使用已建立的机制来修改所有人的安全组规则, VPCs 因为每个 VPC 都有这个默认安全组。在大多数情况下,云团队使用 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 自定义或基础设施即代码(IaC)工具(例如 [https://www.terraform.io/](https://www.terraform.io/) 或 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html))来管理 VPC 配置。