# 安全性
**Topics**
+ [安全基础知识](a-sec-security.md)
+ [身份与权限管控](a-identity-and-access-management.md)
+ [检测](a-detective-controls.md)
+ [基础设施保护](a-infrastructure-protection.md)
+ [数据保护](a-data-protection.md)
+ [事件响应](a-incident-response.md)
# 安全基础知识
**Topics**
+ [SEC 1 如何安全地操作您的工作负载?](w2aac19b7b5b5.md)
# SEC 1 如何安全地操作您的工作负载?
为了安全地操作您的工作负载,您必须对安全性的各个方面应用总体最佳实践。采用您在组织和工作负载层面的卓越运营中定义的要求和流程,并将它们应用到各个方面。及时了解最新的 AWS、行业建议以及威胁情报信息可帮助您改进您的威胁模型和控制目标。实现安全流程、测试和验证的自动化可扩展您的安全运营。
**Topics**
+ [SEC01-BP01 使用账户分隔工作负载](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 保护 AWS 账户](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 及时了解最新的安全威胁](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 及时了解最新的安全建议](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 在管道中自动测试和验证安全控制措施](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 使用威胁模型识别风险并确定其优先级](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期评估和实施新的安全服务和功能](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 使用账户分隔工作负载
从安全性和基础设施入手,随着工作负载的增长,使您的组织能够设置通用防护。这种方法在工作负载之间提供了边界和控制。强烈建议执行账户级分离,以使生产环境与开发和测试环境分离,或者在需要处理外部合规性要求(例如 PCI-DSS 或 HIPAA)所定义的各级敏感数据的工作负载与无需处理这些数据的工作负载之间提供强大的逻辑边界。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 使用 AWS Organizations:使用 AWS Organizations 集中实现针对多个 AWS 账户的基于策略的管理。
+ [开始使用 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [如何使用服务控制策略来设置您在 AWS Organization 中的跨账户权限防护机制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ 考虑使用 AWS Control Tower:AWS Control Tower 基于最佳实践,提供了一种简单的方法来设置和管理新的、安全的多账户 AWS 环境。
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## 资源
**相关文档:**
+ [IAM 最佳实践 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [安全公告](https://aws.amazon.com/security/security-bulletins)
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**相关视频:**
+ [使用 AWS Organizations 管理多账户 AWS 环境 ](https://youtu.be/fxo67UeeN1A)
+ [架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
+ [使用 AWS Control Tower 监管多账户 AWS 环境 ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 保护 AWS 账户
您的 AWS 账户可以通过很多方法进行保护,包括保护 [根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)且不使用它,并及时更新联系人信息。随着您的工作负载增长和扩展,您可以使用 [AWS Organizations](https://aws.amazon.com/organizations/) 集中管理和控制您在 AWS 中的账户。AWS Organizations 可以帮助您管理账户、设置控制以及跨账户配置服务。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 使用 AWS Organizations:使用 AWS Organizations 集中实现针对多个 AWS 账户的基于策略的管理。
+ [开始使用 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [如何使用服务控制策略来设置您在 AWS Organization 中的跨账户权限防护机制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ 限制 AWS 根用户的使用:只使用根用户执行明确需要根用户的任务。
+ [ 需要 AWS 账户根用户凭证的 AWS 任务 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ 为根用户启用多重身份验证(MFA):如果没有使用 AWS Organizations 为您管理根用户,请在 AWS 账户根用户上启用 MFA。
+ [根用户 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ 定期更改根用户密码:更改根用户密码可降低使用已保存的密码的风险。如果您未使用 AWS Organizations 且有其他人具有物理访问权限,那么这一点尤为重要。
+ [ 更改 AWS 账户根用户密码 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ 使用 AWS 账户根用户时启用通知:自动接收通知可降低风险。
+ [ 如何在 AWS 账户的根访问密钥被使用时接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ 限制对新添加的区域的访问:对于新的 AWS 区域,诸如用户和角色之类的 IAM 资源将仅传播到您启用的区域。
+ [ 设置权限,为即将推出的 AWS 区域启用账户 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ 考虑使用 AWS CloudFormation StackSets:CloudFormation StackSets 可用于通过已批准的模板将资源(包括 IAM 策略、角色和组)部署到不同的 AWS 账户和区域中。
+ [ 使用 CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## 资源
**相关文档:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全性审计指导原则 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 最佳实践 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全公告 ](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [ 利用自动化和监管,支持大规模采用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [ 架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
**相关示例:**
+ [ 实验室:AWS 账户和根用户 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 识别并验证控制目标
根据您的合规性要求以及从威胁模型中发现的风险,获得并验证您需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 确定合规性要求:了解您的工作负载必须符合的组织、法律和合规性要求。
+ 确定 AWS 合规性资源:确定 AWS 帮助您实现合规性的资源。
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## 资源
**相关文档:**
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [AWS Security Hub CSPM:管理安全警报和自动执行合规性检查](https://youtu.be/HsWtPG_rTak)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 及时了解最新的安全威胁
通过及时了解最新的安全威胁,帮助您定义并实施适当的控制措施,识别攻击媒介。使用 AWS Managed Services 可以更轻松地接收 AWS 账户中意外或异常行为的通知。在您的安全信息流程中,使用 AWS 合作伙伴工具或第三方威胁信息源进行调查。此 [通用漏洞披露(CVE,Common Vulnerabilities and Exposures)列表 ](https://cve.mitre.org/) 包含公开披露的网络安全漏洞,可供您用于掌握最新信息。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 订阅威胁情报来源:定期查看来自多个来源、与您在工作负载中所用技术相关的威胁情报信息。
+ [通用漏洞披露列表 ](https://cve.mitre.org/)
+ 考虑使用 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 服务:如果您的工作负载可通过互联网访问,则该服务可让您近乎实时地了解情报来源。
## 资源
**相关文档:**
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 及时了解最新的安全建议
及时了解最新的 AWS 和行业安全建议,以改善您的工作负载安全状况。[AWS 安全公告](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 包含有关安全性和隐私通知的重要信息。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 关注 AWS 更新:订阅或定期查看新建议、提示与诀窍。
+ [AWS Well-Architected 实验室](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [AWS 安全性博客](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [AWS 服务文档](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ 订阅行业新闻:定期查看来自多个来源、与您在工作负载中所用技术相关的新闻动态。
+ [示例:通用漏洞披露列表](https://cve.mitre.org/cve/?ref=wellarchitected)
## 资源
**相关文档:**
+ [安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 在管道中自动测试和验证安全控制措施
为安全机制建立可靠的基准和模板,并将其作为构建、管道和流程的一部分进行测试和验证。利用工具和自动化功能,持续测试并验证所有的安全控制措施。例如,对机器镜像和基础设施即代码模板等项目进行扫描,以发现安全漏洞、异常以及与每个阶段的既定基准的偏差。AWS CloudFormation Guard 可帮助您验证 CloudFormation 模板是否安全,为您节省时间并减少配置错误风险。
减少引入到生产环境中的安全性错误配置的数量至关重要 — 在构建过程中,可以执行的质量控制和可以减少的缺陷越多越好。设计持续集成和持续部署 (CI/CD) 管道,以便尽可能测试安全问题。CI/CD 管道提供了在构建和交付的每个阶段增强安全性的机会。还必须确保 CI/CD 安全工具始终是最新版本,以减轻不断变化的威胁。
跟踪对工作负载配置进行的更改,帮助您进行合规性审计、更改管理以及可能适用于您的调查。您可以使用 AWS Config 记录和评估您的 AWS 和第三方资源。这使您可以依据规则及合规包(合规包是带有补救操作的规则集合),连续审计和评估您的整体合规情况。
更改跟踪应包括计划更改,计划更改可能是组织更改控制流程(有时也称作 MACD,即移动、添加、更改、删除(Move, Add, Change, Delete))、临时更改或意外更改(如意外事件)的一部分。更改可能出现在基础设施中,但也可能涉及其他类别,如代码存储库中的更改、机器镜像和应用程序清单更改、流程和策略更改或文档更改。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 自动管理配置:使用配置管理服务或工具自动实施安全配置并对其进行验证。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [在 AWS 上设置 CI/CD 管道 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## 资源
**相关文档:**
+ [如何使用服务控制策略来设置您在 AWS Organization 中的跨账户权限防护机制](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**相关视频:**
+ [使用 AWS Organizations 管理多账户 AWS 环境](https://youtu.be/fxo67UeeN1A)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 使用威胁模型识别风险并确定其优先级
使用威胁模型识别并维护一个最新的潜在威胁登记表。确定您的威胁优先级并调整您的安全控制措施,以进行防范、检测和响应。在不断变化的安全环境中,重新审视和维护此登记表。
威胁建模提供了系统化的方法,用于在设计流程的早期阶段协助查找和解决安全问题。这个时机越早越好,因为相比生命周期的后期,前期补救成本更低。
威胁建模流程的常规核心步骤包括:
1. 确定资产、参与者、入口点、组件、使用案例和信任级别,并在设计图中包括这些内容。
1. 确定威胁列表。
1. 对于每个威胁,确定防范措施,这可以包括实施安全控制措施。
1. 创建并检查风险矩阵,以确定是否采取了足够的措施来防范威胁。
在工作负载(或工作负载功能)级别进行威胁建模最为有效,这可以确保获取所有上下文信息用于评估。随着安全形势的变化,请重新检查并维护此矩阵。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 创建威胁模型:威胁模型可以帮助您识别和解决潜在的安全威胁。
+ [NIST:以数据为中心的系统威胁建模指南 ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## 资源
**相关文档:**
+ [AWS 安全性审计指导原则 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [安全公告 ](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 定期评估和实施新的安全服务和功能
评估并实施 AWS 和 AWS 合作伙伴提供的安全服务和功能,以改善您的工作负载安全状况。AWS 安全博客重点介绍新的 AWS 服务和功能、实施指导和常规安全指南。[AWS 的最新内容](https://aws.amazon.com/new) 是一个很好的工具,可帮助您随时了解所有新的 AWS 功能、服务和公告。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 规划定期审核:创建审核活动日历,包括遵守合规性要求、评估新的 AWS 安全功能和服务,以及及时了解行业最新动态。
+ 发现 AWS 服务和功能:发现适用于您使用的服务的安全功能,并在新功能发布时查看这些功能。
+ [AWS 安全性博客](https://aws.amazon.com/blogs/security/)
+ [AWS 安全公告 ](https://aws.amazon.com/security/security-bulletins/)
+ [AWS 服务文档 ](https://aws.amazon.com/documentation/)
+ 定义 AWS 服务上线流程:定义用于上线新 AWS 服务的流程。包括您如何评估新 AWS 服务的功能,以及针对工作负载的合规性要求。
+ 测试新的服务和功能:当有新的服务和功能发布时,在与生产环境非常相似的非生产环境中对其进行测试。
+ 实施其他防御机制:实施自动化机制来保护您的工作负载,并探索可用选项。
+ [按照 AWS Config 规则 修正不合规的 AWS 资源 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## 资源
**相关视频:**
+ [架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
# 身份与权限管控
**Topics**
+ [SEC 2 如何管理人员和机器的身份验证?](w2aac19b7b7b5.md)
+ [SEC 3 如何管理人员和机器的权限?](w2aac19b7b7b7.md)
# SEC 2 如何管理人员和机器的身份验证?
在访问和运行安全的 AWS 工作负载时,您需要管理两种类型的身份。了解管理和授予访问权限所需的身份类型,这有助于确保正确的身份能够在正确的条件下访问正确的资源。
人员身份:您的管理员、开发人员、操作员和最终用户需要确定身份才能访问您的 AWS 环境和应用程序。这些是您的组织成员或您与之协作的外部用户,以及通过 Web 浏览器、客户端应用程序或交互式命令行工具与您的 AWS 资源交互的用户。
机器身份:您的服务应用程序、操作工具和工作负载需要一个身份来向 AWS 服务发出请求,例如,读取数据。这些身份包括在 AWS 环境中运行的机器,例如 Amazon EC2 实例或 AWS Lambda 函数。您还可以管理需要访问权限的外部各方的机器身份。此外,您可能还有需要访问您 AWS 环境的 AWS 之外的机器。
**Topics**
+ [SEC02-BP01 使用强大的登录机制](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 使用临时凭证](sec_identities_unique.md)
+ [SEC02-BP03 安全存储和使用密钥](sec_identities_secrets.md)
+ [SEC02-BP04 依赖集中式身份提供者](sec_identities_identity_provider.md)
+ [SEC02-BP05 定期审计和轮换凭证](sec_identities_audit.md)
+ [SEC02-BP06 利用用户组和属性](sec_identities_groups_attributes.md)
# SEC02-BP01 使用强大的登录机制
强制执行最小密码长度策略,并指导您的用户避免使用常见或重复使用过的密码。使用软件或硬件机制实施 Multi-Factor Authentication (MFA),以提供一层额外的保护。例如,当使用 IAM Identity Center 作为身份源时,请为 MFA 配置“背景认知”或“始终开启”设置,并允许用户注册自己的 MFA 设备以加快采用速度。当使用外部身份提供程序 (IdP) 时,请为 MFA 配置您的 IdP。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 创建 Identity and Access Management(IAM)策略来实施 MFA 登录:创建客户管理的一项 IAM 策略,禁止其他所有 IAM 操作(除了允许用户在 [“我的安全凭证”页面](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1)上代入角色、更改自己的凭证、以及管理其 MFA 设备)。
+ 在身份提供者中启用 MFA:在您使用的身份提供者中启用 [MFA](https:/aws.amazon.com/iam/details/mfa) 或者启用单点登录服务,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。
+ 配置强密码策略:配置强 [密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) (在 IAM 和联合身份系统中)来防护暴力攻击。
+ [定期轮换凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials):确保工作负载管理员定期更改其密码和访问密钥(如果使用)。
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 使用临时凭证
需要身份以动态获取 [临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)。对于员工身份,使用 AWS IAM Identity Center 或与 AWS Identity and Access Management(IAM)角色联合访问 AWS 账户。对于机器身份,例如 Amazon Elastic Compute Cloud(Amazon EC2)实例或 AWS Lambda 函数,要求使用 IAM 角色,而不是拥有长期访问密钥的 IAM 用户。
对于使用 AWS 管理控制台 的人员身份,要求用户获取临时凭证并联合到 AWS 中。您可以使用 AWS IAM Identity Center 用户门户来完成此操作。对于需要访问 CLI 的用户,请确保他们使用 [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/),它支持与 IAM Identity Center 直接集成。用户可以创建链接到 IAM Identity Center 账户和角色的 CLI 配置文件。CLI 会自动从 IAM Identity Center 检索 AWS 凭证,并代表您刷新这些凭证。这样就无需从 IAM Identity Center 控制台复制并粘贴临时 AWS 凭证。对于开发工具包,用户应依靠 AWS Security Token Service(AWS STS)来代入角色,以接收临时凭证。在某些情况下,使用临时凭证可能并不现实。您应了解存储访问密钥的风险、经常轮换这些密钥,并尽可能要求使用多重身份验证(MFA)作为一项条件。使用最后访问的信息来确定何时轮换或删除访问密钥。
当您需要授权使用方访问您的 AWS 资源时,请使用 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) 身份池,并为他们分配一组临时的有限权限凭证,以使他们能够访问您的 AWS 资源。通过您创建的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 控制每个用户的权限。您可以定义规则,以根据用户的 ID 令牌中的声明,为每个用户选择角色。您可以为通过身份验证的用户定义一个默认角色。对于未通过身份验证的访客用户,您还可以定义一个拥有有限权限的单独 IAM 角色。
对于机器身份,您应依靠 IAM 角色授予对 AWS 的访问权限。对于 Amazon Elastic Compute Cloud(Amazon EC2)实例,您可以使用 [适用于 Amazon EC2 的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。您可以将 IAM 角色附加到您的 Amazon EC2 实例,以使您在 Amazon EC2 上运行的应用程序能够使用 AWS 创建的临时安全凭证,并通过实例元数据服务(IMDS,Instance Metadata Service)自动进行轮换。此 [最新版本](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) 的 IMDS 可防御暴露临时凭证的漏洞,应该予以实施。要使用密钥或密码访问 Amazon EC2 实例,[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 是一种更安全的方法,它允许您使用预安装的代理来访问和管理实例,而无需使用存储的密钥。此外,您也可以使用其他 AWS 服务(例如 AWS Lambda)来配置 IAM 服务角色,以授权此服务利用临时凭证执行 AWS 操作。在无法使用临时凭证的情况下,请使用编程工具,例如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/),来自动完成凭证轮换和管理。
**定期审计和轮换凭证: **(最好通过自动化工具)定期验证,以确保实施正确的控制措施。对于人员身份,您应要求用户定期更改他们的密码并弃用访问密钥,以支持临时凭证。在从 IAM 用户转向集中身份时,您可以 [生成凭证报告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)以审计 IAM 用户。我们还建议您在身份提供者中实施 MFA 设置。您可以设置 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 来监控这些设置。对于机器身份,您应依靠使用 IAM 角色的临时凭证。当无法执行此操作时,需要经常审计和轮换访问密钥。
**安全存储和使用密钥:** 对于并非与 IAM 相关且无法利用临时凭证的凭证,如数据库登录,请使用一种专门用于处理密钥管理的服务,比如 [Secrets Manager](https://aws.amazon.com/secrets-manager/)。借助 Secrets Manager,您可以使用 [支持的服务](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)轻松管理、轮换和安全地存储加密密钥。为访问密钥而执行的调用将记录到 AWS CloudTrail 中以用于审计,IAM 权限可以为它们授予最低访问权限。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施最低权限策略:向 IAM 组和角色分配具有最低权限的访问策略,以反映所定义的用户角色或职能。
+ [授予最小特权](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ 删除不必要的权限:通过删除不必要的权限来实施最低权限。
+ [通过查看用户活动缩小策略范围](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [查看角色访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ 考虑使用权限边界:权限边界是一项高级功能,它使用托管策略设置基于身份的策略可向 IAM 实体授予的最高权限。实体的权限边界仅允许实体执行其基于身份的策略及其权限边界都允许的操作。
+ [实验室:IAM 权限边界委派角色创建](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ 考虑为权限分配资源标签:您可以使用标签来控制对支持标记的 AWS 资源的访问。您还可以对 IAM 用户和角色进行标记,以控制他们可以访问的内容。
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [基于属性的访问控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 安全存储和使用密钥
对于需要密钥(例如用于第三方应用程序的密码)的员工和机器身份,请根据最新的行业标准,在专业服务中存储并自动轮换它们。对于并非与 IAM 相关且无法利用临时凭证的凭证,如数据库登录,请使用一种专门用于处理密钥管理的服务,比如 AWS Secrets Manager。借助 Secrets Manager,您可以使用支持的服务轻松管理、轮换和安全存储加密密钥。为访问密钥而执行的调用将记录到 AWS CloudTrail 中以用于审计,IAM 权限可以为它们授予最低访问权限。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 使用 AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 是一项 AWS 服务,让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 依赖集中式身份提供者
对于员工身份,依赖身份提供商,使您能够在集中位置管理身份。这样,您就可以更轻松地管理跨多个应用程序和服务的访问权限,因为您在从单一位置创建、管理和撤销访问权限。例如,如果有人离开了您的组织,您可以从一个位置撤销此人对所有应用程序和服务(包括 AWS)的访问权限。这样就降低了对多个凭证的需求,并提供了与现有的人力资源 (HR) 流程集成的机会。
要与单独的 AWS 账户联合,您可以将用于 AWS 的集中身份与基于 SAML 2.0 并支持 AWS Identity and Access Management 的提供程序结合使用。无论是由您在 AWS 中托管的提供程序、AWS 外部的提供程序还是由 AWS Partner 提供的提供程序,您都可以使用,只要这些提供程序与 [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 协议兼容。您可以使用您的 AWS 账户与您选择的提供程序之间的联合,为用户或应用程序授予访问权限,以使他们能通过使用 SAML 断言获得临时安全凭证,以调用 AWS API 操作。基于 Web 的单点登录同样受支持,因此允许用户从您的登录网站登录到 AWS 管理控制台。
要与您的 AWS Organizations 中的多个账户联合,您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中配置您的身份源,并指定您的用户和组的存储位置。配置之后,您的身份提供程序将是您的事实来源,并可以使用跨域身份管理系统 (SCIM) v2.0 协议来 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 信息。随后,您可以查找用户或组,并授予他们 IAM Identity Center 访问权限,以使他们能够访问 AWS 账户和/或云应用程序。
IAM Identity Center 与 AWS Organizations 集成,这样,您就可以配置您的身份提供程序,然后为您的组织中管理的 [现有账户和新账户授予访问权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 为您提供了一个默认存储库,您可以使用它来管理您的用户和组。如果您选择使用 IAM Identity Center 存储库,请创建您的用户和组,并为他们分配对您的 AWS 账户和应用程序的访问权限级别,同时铭记最低权限最佳实践。您也可以选择使用 SAML 2.0 [连接到您的外部身份提供程序 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html),或 [连接到您的 Microsoft AD 目录](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) (使用 AWS Directory Service)。配置之后,您可以通过您的中央身份提供者进行身份验证,以登录到 AWS 管理控制台或 AWS 移动应用程序。
要管理您的工作负载的最终用户或消费者,例如移动应用程序,您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它为您的 Web 和移动应用程序提供了身份验证、授权和用户管理功能。您的用户可以直接使用用户名和密码登录,也可以通过第三方(例如 Amazon、Apple、Facebook 或 Google)登录。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 集中管理访问:创建 Identity and Access Management(IAM)身份提供者实体,以在您的 AWS 账户与身份提供者(IdP)之间建立信任关系。IAM 支持与 OpenID Connect(OIDC)或 SAML 2.0(Security Assertion Markup Language 2.0,安全断言标记语言 2.0)兼容的 IdP。
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 集中应用程序访问:考虑使用 Amazon Cognito 实现应用程序集中式访问。借助 Amazon Cognito,您可以快速轻松地将用户注册、登录和访问控制添加到 Web 和移动应用程序中。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可扩展至数百万用户,并支持使用社交身份提供者(如 Facebook、Google 和 Amazon)登录,以及通过企业身份提供者使用 SAML 2.0 登录。
+ 删除旧的 IAM 用户和组:在您开始使用身份提供者(IdP)后,请删除不再需要的 IAM 用户和组。
+ [查找未使用的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [删除 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 资源
**相关文档:**
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 定期审计和轮换凭证
当您无法依赖临时凭证并需要长期凭证时,请审计凭证,以确保实施了定义的控制措施(例如多重身份验证(MFA))、凭证定期轮换且具有适当的访问级别。(最好通过自动化工具)定期验证,以确保实施正确的控制措施。对于人员身份,您应要求用户定期更改他们的密码并弃用访问密钥,以支持临时凭证。在从 AWS Identity and Access Management(IAM)用户转向集中身份时,您可以 [生成凭证报告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)以审计 IAM 用户。我们还建议您在身份提供者中实施 MFA 设置。您可以设置 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 来监控这些设置。对于机器身份,您应依靠使用 IAM 角色的临时凭证。当无法执行此操作时,需要经常审计和轮换访问密钥。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 定期审计凭证:使用凭证报告以及 Identity and Access Management(IAM)Access Analyzer 审计 IAM 凭证和权限。
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [获取凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [实验室:自动化 IAM 用户清理](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ 使用访问级别审核 IAM 权限:为了提高您的 AWS 账户的安全性,请定期审核和监控每个 IAM 策略。请确保您的策略授予仅执行必要操作所需的最低权限。
+ [使用访问级别审核 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ 考虑自动创建和更新 IAM 资源:AWS CloudFormation 可用于自动部署 IAM 资源(包括角色和策略),以减少人为错误,因为可以验证模板和控制版本。
+ [实验室:自动部署 IAM 组和角色](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 利用用户组和属性
随着您管理的用户数量不断增加,您需要确定如何组织这些用户,以便能够实现规模管理。将具有常见安全要求的用户置于由您的身份提供程序定义的组中,并建立机制以确保用于访问控制的用户属性(例如部门或位置)正确无误且已更新。使用这些组和属性(而不是单个用户)来控制访问权限。这样,您就可以通过使用 [权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)一次性更改用户的组成员身份或属性来集中管理访问,而不是在需要更改用户的访问权限时更新多个单独策略。您可以使用 AWS IAM Identity Center(IAM Identity Center)来管理用户组和属性。IAM Identity Center 支持最常用的属性,无论是在创建用户时手动输入的属性还是使用同步引擎自动预置的属性,例如跨域身份管理系统(SCIM,Cross-Domain Identity Management)规范中定义的那些属性。
将具有常见安全要求的用户置于由您的身份提供程序定义的组中,并建立机制以确保用于访问控制的用户属性(例如部门或位置)正确无误且已更新。使用这些组和属性(而不是单个用户)来控制访问。这使您可以通过一次性更改用户的组成员身份或属性来集中管理访问,而不是在用户的访问需要更改时更新多个单独策略。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 如果您在使用 AWS IAM Identity Center(IAM Identity Center)配置组:IAM Identity Center 使您能够配置用户组,并为组分配所需的权限级别。
+ [AWS Single Sign-On – 管理身份](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 了解基于属性的访问控制(ABAC,Attribute-Based Access Control):ABAC 是一种基于属性定义权限的授权策略。
+ [什么是适用于 AWS 的 ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相关示例:**
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 如何管理人员和机器的权限?
管理权限以控制对需要访问 AWS 和您的工作负载的人员和机器身份的访问。权限用于控制哪些人可以在什么条件下访问哪些内容。
**Topics**
+ [SEC03-BP01 定义访问要求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md)
+ [SEC03-BP03 建立紧急访问流程](sec_permissions_emergency_process.md)
+ [SEC03-BP04 持续减少权限](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 为您的组织定义权限防护机制](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 基于生命周期管理访问权限](sec_permissions_lifecycle.md)
+ [SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 安全地共享资源](sec_permissions_share_securely.md)
# SEC03-BP01 定义访问要求
管理员、最终用户或其他组件都需要访问您工作负载的每个组件或资源。明确定义哪些人员或事物应当有权访问每个组件,选择用于进行身份验证和授权的适当身份类型和方法。
**常见反模式:**
+ 在应用程序中进行硬编码或存储密码。
+ 向每个用户授予自定义权限。
+ 使用长期有效的凭证。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
管理员、最终用户或其他组件都需要访问您工作负载的每个组件或资源。明确定义哪些人员或事物应当有权访问每个组件,选择用于进行身份验证和授权的适当身份类型和方法。
应提供对组织内 AWS 账户 的常规访问,方法是使用 [联合身份访问](https://aws.amazon.com/identity/federation/) 或集中式身份提供者。您还应将身份管理集中处理,确保对于 AWS 将访问集成到员工访问生命周期中已建立了既定做法。例如,当员工转岗到具有不同访问级别的职位时,该员工的小组成员资格也应进行更改以反映新的访问要求。
在定义非人类身份的访问要求时,请确定哪些应用程序和组件需要访问权限以及如何向其授予权限。建议使用通过最低权限访问模型构建的 IAM 角色。[AWS 托管策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 提供了预定义的 IAM 策略,这些策略涵盖了大多数常见使用案例。
AWS 服务(例如 [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 和 [AWS Systems Manager Parameter Store)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)可以帮助在无法使用 IAM 角色的情况下,安全地将密码与应用程序或工作负载分离。在 Secrets Manager 中,您可以为凭证建立自动轮换。您可以通过 Systems Manager 使用您在创建参数时指定的唯一名称,来引用脚本、命令、SSM 文档、配置和自动化工作流中的参数。
您可以使用 AWS Identity and Access Management Roles Anywhere [获取 IAM 中的临时安全凭证,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 这种凭证适用于在 AWS 外部运行的工作负载。您的工作负载可以使用 [IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 和 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ,也就是您为访问 AWS 资源在 AWS 应用程序中所用的策略和角色。
如果可能,请优先选择短期临时凭证而不是长期静态凭证。在一些场景中,需要具有编程访问权限和长期凭证的 IAM 用户,此时请使用 [访问密钥上次使用的信息](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 来轮换和删除访问密钥。
## 资源
**相关文档:**
+ [基于属性的访问控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [适用于 IAM Identity Center 的 AWS 托管策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM 策略条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM 使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [如何根据 AWS 账户、OU 或组织来控制对 AWS 资源的访问](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [使用 AWS Secrets Manager 中的增强搜索来轻松标识、安排和管理密钥](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**相关视频:**
+ [在 60 分钟以内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [简化身份和访问管理以实施创新](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 授予最低访问权限
通过允许在特定条件下访问特定 AWS 资源上的特定操作,仅授予身份所需的访问权限。依靠组和身份属性来大规模动态设置权限,而不是为单个用户定义权限。例如,您可以允许一组开发人员访问,以便仅管理其项目的资源。这样,当开发人员被从组中移除时,开发人员的访问权限将在使用该组进行访问控制的任何位置被撤消,而无需对访问策略进行任何更改。
**常见反模式:**
+ 默认为向用户授予管理员权限。
+ 使用根账户进行日常活动。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
建立 [最小权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 原则可确保身份只能执行完成特定任务所需的最小功能集,同时实现可用性和效率的平衡。按照此原则进行操作可以限制意外访问,并有助于确保您能够审计哪些用户有权访问哪些资源。在 AWS 中,默认情况下,身份不具有任何权限(根用户除外)。根用户的凭证应受到严格控制,并且应该仅用于少数 [特定任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。
您可以使用策略来明确授予附加到 IAM 或资源实体的权限,例如联合身份或计算机所使用的 IAM 角色或者某些资源(例如 S3 存储桶)。当您创建并附加策略时,您可以指定服务操作、资源以及为使 AWS 允许访问而必须满足的条件。AWS 支持多种条件以帮助您缩小访问权限范围。例如,使用 `PrincipalOrgID` [条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)时,将会验证 AWS Organizations 的标识符,以便能够授权在您的 AWS 组织内访问。
您还可以控制 AWS 服务代表您发出的请求,例如要求 AWS CloudFormation 创建一个 AWS Lambda 函数,方法是使用 `CalledVia` 条件键。您应该对不同的策略类型进行分层,以有效地限制账户内的总体权限。例如,您可以允许应用程序团队创建他们自己的 IAM 策略,但使用 [权限边界](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 来限制他们可以授予的最高权限。
有几种 AWS 功能有助于您扩展权限管理并遵守最低权限原则。[基于属性的访问控制](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 允许您根据资源 *[标签](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* 来限制权限,从而根据应用于资源的标签和调用的 IAM 主体做出授权决定。这使您能够将标记和权限策略结合使用,以实现精细的资源访问,而无需许多自定义策略。
另一种加速创建最低权限策略的方法是,在活动运行后基于 CloudTrail 权限生成策略。[IAM Access Analyzer 会自动基于活动生成 IAM 策略](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)。您也可以在组织或个人账户级别,使用 IAM Access Advisor [来跟踪上次获取的关于某个具体策略的信息](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
确立一种节奏,按此节奏查看这些详细信息并删除不需要的权限。您应在 AWS 组织内建立权限防护机制,以控制任何成员账户中的最高权限。诸如 [AWS Control Tower 这样的服务具有规范性的托管式预防控制机制,](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 并允许您定义自己的控制机制。
## 资源
**相关文档:**
+ [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [用于编写最低权限 IAM 策略的方法](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [通过基于访问活动生成的 IAM 策略,IAM Access Analyzer 可让您更轻松实施最低权限](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [使用上次获取的信息来细化权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM 策略类型及其使用时间](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [使用 IAM 策略模拟器测试 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [AWS Control Tower 中的防护机制](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [零信任架构:AWS 视角](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [如何使用 CloudFormation StackSets 实施最低权限原则](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**相关视频:**
+ [新一代权限管理](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [零信任:AWS 视角](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [如何使用权限边界限制 IAM 用户和角色以防止权限升级?](https://www.youtube.com/watch?v=omwq3r7poek)
**相关示例:**
+ [实验室:创建 IAM 权限边界委派角色](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 建立紧急访问流程
万一发生自动化流程或管道问题,此流程允许紧急访问您的工作负载。这将帮助您依赖最低权限访问,但确保用户可以在需要时获得相应的访问级别。例如,为管理员建立用来验证和批准其请求的流程,如用于提供访问权限的紧急 AWS 跨账户角色,或者管理员在验证和批准紧急请求时所遵循的特定流程。
**常见反模式:**
+ 未建立紧急流程,无法从现有身份配置中断状态中恢复。
+ 授予长期提升权限以进行问题排查或恢复。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
建立紧急访问会采用多种形式,您应为此做好准备。首先是主要身份提供者失败。在此情况下,您应依赖具有所需权限的另一种访问方法进行恢复。此方法可以是后备身份提供者或 IAM 用户。第二种方法应受到 [严格的控制和监控,](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 并在使用时发送通知。紧急访问身份应来自专用于此目的的账户,并且其权限只相当于专为恢复而设计的角色。
有些紧急访问需要临时提升管理访问权限,您还应为此做好准备。一个常见的场景是,将更改权限限制为用于部署更改的自动化流程。如果此流程出现问题,用户可能需要申请提升的权限,才能还原功能。在此情况下,请建立一个流程,使用户能够申请提升的访问权限,并使管理员能够验证和批准请求。还应在流程中提供实施计划,详细说明有关预置访问权限和设置*break-glass*紧急角色的最佳实践指南 [SEC10-BP05 预置访问权限](sec_incident_response_pre_provision_access.md)。
## 资源
**相关文档:**
+ [在 AWS 上监控和通知](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [管理临时提升的访问权限](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**相关视频:**
+ [在 60 分钟以内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 持续减少权限
当团队和工作负载确定他们需要哪些访问权限时,删除他们不再使用的权限,并建立审核流程以实现最低权限。持续监控和减少未使用的身份和权限。
当团队和项目刚刚起步时,您有时会选择授予宽泛的访问权限(在开发或测试环境中),以激励创新和敏捷性。我们建议您持续评估访问权限,特别是在生产环境中,将访问权限限制为仅提供所需的权限,实现最低权限。AWS 提供了访问权限分析功能,以帮助您识别未使用的访问权限。为了帮助您识别未使用的用户、角色、权限和凭证,AWS 会分析访问活动,并提供关于访问密钥和角色的上次使用情况的信息。您可以使用 [上次访问时间戳](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 来 [识别未使用的用户和角色](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)并将它们移除。此外,您还可以查看关于服务和操作的上次访问情况的信息,并 [收紧特定用户和角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。例如,您可以使用关于上次访问情况的信息,确定您的应用程序角色需要执行的特定 Amazon Simple Storage Service(Amazon S3)操作,并只允许访问这些操作。AWS 管理控制台中提供了这些功能,您也可以对这些功能进行编程,以便将它们整合到您的基础设施工作流程和自动化工具中。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 配置 AWS Identity and Access Management(IAM)Access Analyzer:AWS IAM Access Analyzer 帮助您识别组织和账户中与外部实体共享的资源,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 IAM 角色。
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## 资源
**相关文档:**
+ [基于属性的访问控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [授予最小特权](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**相关视频:**
+ [在最多 60 分钟的时间内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 为您的组织定义权限防护机制
建立通用控件以限制对组织中所有身份的访问。例如,您可以限制对特定 AWS 区域 的访问,或防止操作员删除通用资源,例如用于您的核心安全团队的 IAM 角色。
**常见反模式:**
+ 在组织管理员账户中运行工作负载。
+ 在同一账户中运行生产工作负载和非生产工作负载。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
当您在 AWS 中的工作负载增多并管理这些额外的工作负载时,您应使用账户分离这些工作负载,并使用 AWS Organizations 管理这些账户。我们建议您建立常用权限防护机制,以限制您所在组织中的所有身份的访问权限。例如,您可以限制对特定 AWS 区域 的访问,或防止您的团队删除常见资源,例如您的核心安全团队使用的 IAM 角色。
您可以首先实施示例服务控制策略,例如禁止用户禁用密钥服务。SCP 使用 IAM 策略语言,并允许您建立所有 IAM 主体(用户和角色)都要遵循的控制机制。您可以限制对特定服务操作和资源的访问,并根据特定的条件限制访问,以满足您所在组织的访问控制需求。如有必要,您可以为您的防护机制定义异常情况。例如,您可以为账户中除特定管理员角色以外的所有 IAM 实体限制服务操作。
我们建议您避免在管理账户中运行工作负载。应该使用管理账户来管理和部署将影响成员账户的安全防护机制。一些 AWS 服务支持使用委派管理员账户。在可能的情况下,您应使用此委派账户,而不是使用管理账户。您应严格限制对组织管理员账户的访问。
通过使用多账户策略,您可以更灵活地将防护机制应用于工作负载。AWS Security Reference Architecture 提供了有关如何设计账户结构的规范性指南。AWS Control Tower 等 AWS 服务提供了一些功能,可集中管理整个组织内的预防性和检测性控制机制。为组织中的每个账户或 OU 定义明确的用途,并根据该用途限制控制机制。
## 资源
**相关文档:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [服务控制策略(SCP,Service Control Policy)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [在多账户环境中充分利用服务控制策略](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture(AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**相关视频:**
+ [使用服务控制策略实施预防性防护机制](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [使用 AWS Control Tower 实施大规模管理](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management 深入探讨](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 基于生命周期管理访问权限
将访问控制措施与操作员和应用程序生命周期以及您的集中联合身份提供者集成。例如,在用户离开组织或角色发生变化时删除用户的访问权限。
当您使用不同的账户管理工作负载时,您有时需要在这些账户之间共享资源。我们建议您使用 [AWS Resource Access Manager (AWS RAM) 来共享资源](http://aws.amazon.com/ram/)。使用此服务,您可以轻松、安全地在您的 AWS Organizations 和组织部门内共享 AWS 资源。使用 AWS RAM,当账户移进和移出与之共享资源的组织或组织部门时,会自动授予或撤销对共享资源的访问权限。这样有助于您确保只与您的目标账户共享资源。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
用户访问生命周期:针对加入的人员、工作职能变更和离开的人员实施用户访问生命周期策略,以确保只有在职用户具有访问权限。
## 资源
**相关文档:**
+ [基于属性的访问控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [授予最小特权](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**相关视频:**
+ [在最多 60 分钟的时间内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 分析公共和跨账户访问
持续监控重点关注公共访问和跨账户访问的调查结果。将公共访问和跨账户访问限制为仅限需要此类访问的资源。
**常见反模式:**
+ 在管理跨账户访问和对资源的公开访问时,没有遵循流程。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
在 AWS 中,您可以授权访问另一个账户中的资源。您可以使用附加到资源的策略(例如,[Amazon Simple Storage Service(Amazon S3)存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html))授予直接跨账户访问权限,或者通过允许某个身份代入另一个账户中的 IAM 角色来授予此类访问权限。使用资源策略时,请验证将访问权限授予了您组织中的身份,并且您确定是要公开这些资源。建立一个流程来审批所有需要可公开访问的资源。
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) 使用 [可证明的安全性](https://aws.amazon.com/security/provable-security/) 来标识从账户的外部访问某个资源时的所有访问路径。它持续审核资源策略,并报告公开访问和跨账户访问的结果,以使您能够轻松分析可能非常宽泛的访问权限。请考虑配置 IAM Access Analyzer 与 AWS Organizations 来验证您可以监控所有账户。使用 IAM Access Analyzer,您还可以 [预览 Access Analyzer 调查结果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html),然后再部署资源权限。这样,您便可以验证策略更改仅按照意图,授权对您资源的公共和跨账户访问。在设计多账户访问权限时,您可以使用 [信任策略来控制在何种情况下允许代入某个角色](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)。例如,您可以限制特定的源 IP 范围才能代入角色。
您也可以使用 [AWS Config 报告和修复资源](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) 中任何意外设置为公开访问的配置(通过 AWS Config 策略检查)。诸如 [AWS Control Tower](https://aws.amazon.com/controltower) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) 等服务简化了跨 AWS Organizations 的检查和防护机制的部署,可以识别并修复公开暴露的资源。例如,AWS Control Tower 具有托管防护机制,可以检测是否有任何 [Amazon EBS 快照可由所有 AWS 账户恢复](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)。
## 资源
**相关文档:**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [AWS Control Tower 中的防护机制](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 基础安全最佳实践标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor 检查参考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**相关视频:**
+ [保护多账户环境的最佳实践](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [深入探究 IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 安全地共享资源
管理对跨账户或您的 AWS Organizations 内的共享资源的使用。监控共享资源并查看共享资源访问。
**常见反模式:**
+ 在向第三方授予跨账户访问权限时使用默认 IAM 信任策略。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
使用多个 AWS 账户管理工作负载时,您可能需要在账户之间共享资源。这种共享通常是某个 AWS Organizations 内的跨账户共享。多种 AWS 服务,例如 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html)、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)和 [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) 均具备与 Organizations 集成的跨账户功能。您可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) 分享其他共用资源,例如 [VPC 子网或中转网关连接](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc)、[AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)或 [Amazon SageMaker Runtime 管道](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker)。如果您希望确保账户仅在自己的 Organizations 内共享资源,我们建议使用 [服务控制策略(SCP,Service Control Policy)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) 来防止向外部主体授予访问权限。
在共享资源时,您应采取相关措施来防止意外的访问。我们建议您将基于身份的控制与网络控制结合起来, [为组织创建数据边界](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)。这些控制措施应施加严格的限制,确定哪些资源可以共享,并防止共享或暴露不应被外泄的资源。例如,作为数据边界的一部分,您可以使用 VPC 端点策略和 `aws:PrincipalOrgId` 条件,确保访问您 Amazon S3 存储桶的身份属于您的组织。
在一些情况下,您可能需要允许 Organizations 之外的资源或者向第三方授予对您账户的访问权限。例如,合作伙伴提供的监控解决方案可能会需要访问您账户内部的资源。在这些情况下,您应该创建 IAM 跨账户角色,并仅向该角色提供第三方所需的权限。您还应该使用 [外部 ID 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)制定信任策略。使用外部 ID 时,您应该为每个第三方生成唯一的 ID。该唯一 ID 不应由第三方提供,也不应由其控制。如果第三方不再需要访问您的环境,您应删除该角色。在任何情况下,您都应该避免向第三方提供长期 IAM 凭证。保持对其他原生支持分享功能的 AWS 服务的关注。例如,AWS Well-Architected Tool 允许 [将工作负载](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) 与其他 AWS 账户分享。
在使用 Amazon S3 等服务时,建议 [禁用 Amazon S3 存储桶的 ACL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) 并使用 IAM 策略来定义访问控制。[要限制对 Amazon S3 的](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) 源自 [Amazon CloudFront](https://aws.amazon.com/cloudfront/)的访问,请从来源访问身份(OAI)迁移到来源访问控制(OAC),后者支持使用 [AWS KMS](https://aws.amazon.com/kms/)的服务器端加密等附加功能。
## 资源
**相关文档:**
+ [存储桶拥有者向并非其拥有的对象授予跨账户权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [如何将信任策略与 IAM 结合使用](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [在 AWS 上构建数据边界](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**相关视频:**
+ [使用 AWS Resource Access Manager 实现精细访问](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [使用 VPC 端点保护您的数据边界](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ 在 AWS 上建立数据边界 ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# 检测
**Topics**
+ [SEC 4 您如何检测和调查安全事件?](w2aac19b7b9b5.md)
# SEC 4 您如何检测和调查安全事件?
通过日志和指标来记录和分析事件,以便了解信息。针对安全事件和潜在的威胁采取措施,以便保护您的工作负载。
**Topics**
+ [SEC04-BP01 配置服务和应用程序日志记录](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 集中分析日志、结果和指标](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 自动响应事件](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 实施可操作的安全事件](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 配置服务和应用程序日志记录
在整个工作负载中配置日志记录,包括应用程序日志、资源日志和 AWS 服务日志。例如,确保已为组织内的所有账户启用 AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty 和 AWS Security Hub CSPM。
基本做法是在账户级别建立一套检测机制。这套基本机制的目的是记录和检测对您账户中的所有资源执行的多种操作。它们允许您构建全面的检测能力和一些用于添加功能的选项,包括自动修复和合作伙伴集成。
在 AWS 中,可以实施这套基本机制的服务包括:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) 可提供 AWS 账户活动的事件历史记录,包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。
+ [AWS Config](http://aws.amazon.com/config) 监控和记录您的 AWS 资源配置,并允许您对照所需的配置自动执行评估和修复。
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) 集中聚合、组织和优先处理来自多个 AWS 服务和可选第三方产品的安全警报或调查结果,以使您全面了解安全警报和合规性状态。
在账户级别构建基础时,很多核心 AWS 服务(例如 [Amazon Virtual Private Cloud Console(Amazon VPC)](http://aws.amazon.com/vpc)提供了服务级别的日志记录功能。[Amazon VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 可让您捕获有关传入和传出网络接口的 IP 流量的信息,这些信息可提供对于连接历史记录的宝贵见解,并根据异常行为触发自动操作。
对于并非起源于 AWS 服务的 Amazon Elastic Compute Cloud(Amazon EC2)实例和基于应用程序的日志记录,可以使用以下工具来存储和分析日志: [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch)。云 [代理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) 将从正在运行的操作系统和应用程序收集日志,并自动存储这些日志。当这些日志在 CloudWatch Logs 中可用之后,您即可 [实时处理它们](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html),或者使用 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)进行深入分析。
与收集和聚合日志同样重要的是,要能够从复杂的架构生成的大量日志和事件数据中提取有意义的见解。请参阅 *《可靠性支柱》白皮书* 的 [“监控”部分](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) 以获取详细信息。日志自身可能包含敏感数据 – 当应用程序数据以错误的方式进入 CloudWatch Logs 代理捕获的日志文件中,或者为日志聚合功能配置了跨区域日志记录并且在跨境传输某些类型的信息时需要注意一些法律事项时。
一种方法是使用提供日志时在事件上触发的 AWS Lambda 函数,以筛选和编辑日志数据,然后将其转发到中央日志记录位置,例如 Amazon Simple Storage Service(Amazon S3)存储桶。未编辑的日志可以保留在本地存储桶中,直到合理的时间结束(由法律和您的法律团队决定),届时 Amazon S3 生命周期规则会自动将它们删除。可以在 Amazon S3 中使用 [Amazon S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)功能进一步保护日志,您可在其中使用“一次写入多次读取”(WORM) 模式来存储对象。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 启用 AWS 服务的日志记录:启用 AWS 服务的日志记录以满足您的要求。日志记录功能包括:Amazon VPC 流日志、Elastic Load Balancing(ELB)日志、Amazon S3 存储桶日志、CloudFront 访问日志、Amazon Route 53 查询日志和 Amazon Relational Database Service(Amazon RDS)日志。
+ [AWS Answers:原生的 AWS 安全日志记录功能 ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ 评估并记录特定于操作系统和应用程序的日志,以便检测可疑行为。
+ [ 开始使用 CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ 开发人员工具和日志分析 ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ 对日志采取适当的控制:日志中可能包含敏感信息,只有获得授权的用户可以访问。考虑限制对 Amazon S3 存储桶和 CloudWatch Logs 日志组的访问权限。
+ [ Amazon CloudWatch 的身份验证与访问控制 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Amazon S3 中的身份与访问管理 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ 配置 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html):AWS 账户 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 GuardDuty 和工作负载。使用实验启用 GuardDuty 并配置通过电子邮件发送的自动化警报。
+ [在 CloudTrail 中配置自定义跟踪](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html):配置跟踪可将日志保存比默认时长更长的时间,以便日后进行分析。
+ 支持 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html):AWS Config 可以提供 AWS 账户 中的 AWS 资源配置详细信息。其中包括资源彼此之间的关系以及它们以前的配置,让您可以了解配置和关系随时间的变化。
+ 支持 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)通过 Security Hub CSPM,您可以全面了解自己在 AWS 中的安全状态,帮助您检查是否符合安全行业标准和最佳实践。Security Hub CSPM 会收集 AWS 账户、服务和支持的第三方合作伙伴产品的数据,帮助您分析您的安全趋势,并确定最高优先级的安全问题。
## 资源
**相关文档:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相关示例:**
+ [ 实验室:自动部署检测性控制 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 集中分析日志、结果和指标
安全运营团队依靠收集日志和使用搜索工具来发现需要关注的潜在事件,这些事件可能代表未经授权的活动或无意的更改。但是,仅仅分析收集的数据和手动处理信息不足以应对从复杂架构流出的大量信息。单凭分析和报告无法及时分配合适的资源来处理事件。
建立成熟的安全运维团队的最佳实践是,将安全事件和调查结果的流程深度集成到通知和工作流系统中,例如票证系统、错误或问题系统或者其他安全信息和事件管理(SIEM,Security Information and Event Management)系统。这样,工作流可以摆脱电子邮件和静态报告,让您能够路由、上报和管理事件或调查结果。许多组织也在逐步将安全警报集成到他们的聊天或协作以及开发人员工作效率平台中。对于正在踏上自动化之旅的组织,在规划首要自动化任务时,一个由 API 驱动的低延迟票证系统能够提供极高的灵活性。
这种最佳实践不仅适用于从描述用户活动或网络事件的日志消息生成的安全事件,还适用于在基础设施本身检测到的更改生成的安全事件。当面对一些更改,而且这些更改的不受欢迎程度足够微妙,以致于目前无法使用 AWS Identity and Access Management(IAM)和 AWS Organizations 配置的组合来防止这些更改发生时,为了保持和验证安全架构,必须能够检测更改、确定更改是否适当,然后将这些信息路由到正确的修复工作流程。
Amazon GuardDuty 和 AWS Security Hub CSPM 为日志记录提供了聚合、重复数据删除和分析机制,您也可以通过其他 AWS 服务提供这些机制。GuardDuty 可从 AWS CloudTrail 管理和数据事件、VPC DNS 日志以及 VPC 流日志等来源提取、聚合和分析信息。Security Hub CSPM 能够提取、聚合和分析来自 GuardDuty、AWS Config、Amazon Inspector、Amazon Macie、AWS Firewall Manager 以及 AWS Marketplace 中提供的大量第三方安全产品的输出,如果您相应构建了自己的代码,还将包括这些代码。GuardDuty 和 Security Hub CSPM 都有一个管理员-成员模型,此模型可以跨多个账户聚合调查结果和见解,拥有本地 SIEM 的客户通常将 Security Hub CSPM 用作 AWS 端日志和警报预处理器和聚合器,随后即可通过基于 AWS Lambda 的处理器和转发服务器提取 Amazon EventBridge。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 评估日志处理功能:评估用于处理日志的选项
+ [使用 Amazon OpenSearch Service 来记录和监控(几乎)所有内容 ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [寻找专门提供日志记录和监控解决方案的合作伙伴 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ 作为分析 CloudTrail 日志的开始,请测试 Amazon Athena。
+ [ 配置 Athena 分析 CloudTrail 日志 ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ 在 AWS 中实施集中式日志记录:请参阅以下 AWS 示例解决方案来集中处理多个来源的日志记录。
+ [集中日志记录解决方案 ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ 通过合作伙伴集中处理日志记录:APN 合作伙伴拥有可以帮助您集中分析日志的解决方案。
+ [ 日志记录和监控 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## 资源
**相关文档:**
+ [AWS Answers:集中式日志记录 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 自动响应事件
使用自动化流程调查和修复事件可减少人工处理工作量和人为错误,从而扩展调查功能。定期审核将帮助您优化自动化工具,并实现持续迭代。
在 AWS 中,可以使用 Amazon EventBridge,调查感兴趣的事件以及自动化工作流程可能发生的意外变化的相关信息。此服务提供可扩展的规则引擎,可代理原生 AWS 事件格式(例如 AWS CloudTrail 事件)以及您可以从应用程序中生成的自定义事件。Amazon GuardDuty 还允许您将这些事件路由到构建意外事件响应系统(AWS Step Functions)的工作流程系统中,或者路由到中央安全账户或存储桶中以执行进一步分析。
检测更改并将此信息路由到正确的工作流的操作也可以使用 AWS Config 规则 和 [合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)完成。AWS Config 会检测对范围内服务的更改(虽然延迟会比 EventBridge 更高),并生成可使用 AWS Config 规则 进行解析的事件,以便进行回滚、强制实施合规性策略以及将信息转发到相关系统(如变更管理平台和运营票证系统)。除了编写您自己的 Lambda 函数以响应 AWS Config 事件,您还可以充分利用 [AWS Config 规则 开发工具包](https://github.com/awslabs/aws-config-rdk)以及 [一组开源](https://github.com/awslabs/aws-config-rules) AWS Config 规则。合规包是 AWS Config 规则 和修复操作的集合,您可将其作为以 YAML 模板格式创作的单个实体进行部署。一个 [示例合规包模板,](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) 面向 Well-Architected 安全性支柱提供。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 使用 GuardDuty 实施自动化警报:GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。启用 GuardDuty 并配置自动化警报。
+ 自动执行调查流程:制定自动化流程来调查事件并向管理员报告信息,以便节省时间。
+ [ 实验室:Amazon GuardDuty 动手实践 ](https://hands-on-guardduty.awssecworkshops.com/)
## 资源
**相关文档:**
+ [AWS Answers:集中式日志记录 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ 设置 Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相关示例:**
+ [实验室:自动部署检测性控制 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 实施可操作的安全事件
创建发送给团队并将由团队处理的警报。确保警报包含团队采取措施所需的相关信息。对于您的每个检测性机制,您还应调查一个以 [运行手册](https://wa.aws.amazon.com/wat.concept.runbook.en.html) 或者 [行动手册](https://wa.aws.amazon.com/wat.concept.playbook.en.html)形式存在的流程。例如,当您启用 [Amazon GuardDuty](http://aws.amazon.com/guardduty)时,它会生成不同的 [调查结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html)。您的每个调查结果类型都应具有一个运行手册条目,例如,如果发现了 [特洛伊木马程序,](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) 您的运行手册的简单说明可以指示某个人员进行调查和修复。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 发现可用于 AWS 服务的指标:发现可通过 Amazon CloudWatch 用于您正在使用的服务的指标。
+ [AWS 服务文档](https://aws.amazon.com/documentation/)
+ [使用 Amazon CloudWatch 指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ 配置 Amazon CloudWatch 告警。
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 资源
**相关文档:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# 基础设施保护
**Topics**
+ [SEC 5 如何保护您的网络资源?](w2aac19b7c11b5.md)
+ [SEC 6 如何保护计算资源?](w2aac19b7c11b7.md)
# SEC 5 如何保护您的网络资源?
任何以某种形式连接至网络的工作负载(互联网或私有网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。
**Topics**
+ [SEC05-BP01 创建网络层](sec_network_protection_create_layers.md)
+ [SEC05-BP02 控制所有层的流量](sec_network_protection_layered.md)
+ [SEC05-BP03 自动执行网络防护](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 实施检查和保护](sec_network_protection_inspection.md)
# SEC05-BP01 创建网络层
将具有相同可访问性需求的组件分组为若干层。例如,应将虚拟私有云(VPC)中无需进行互联网访问的数据库集群,放在无法向/从互联网路由的子网中。在不使用 VPC 操作的无服务器工作负载中,使用微服务进行类似的分层和隔离可实现相同目的。
具有相同可访问性要求的组件(例如 Amazon Elastic Compute Cloud(Amazon EC2)实例、Amazon Relational Database Service(Amazon RDS)数据库集群和 AWS Lambda 函数)可细分为由子网构成的层。例如,应将 VPC 中无需进行互联网访问的 Amazon RDS 数据库集群放在无法向/从互联网路由的子网中。此分层控制方法可减轻单层错误配置的影响,这种错误可能允许意外访问。对于 Lambda,您可以在 VPC 中运行您的函数,以充分利用基于 VPC 的控制。
对于可能包含数千个 VPC、AWS 账户和本地网络的网络连接,您应使用 [AWS Transit Gateway](http://aws.amazon.com/transit-gateway)。它充当一个枢纽,以控制如何在类似于辐条的所有互联网络之间路由流量。Amazon Virtual Private Cloud 与 AWS Transit Gateway 之间的流量保留在 AWS 私有网络中,可减少外部威胁媒介,例如分布式拒绝服务(DDoS,Distributed Denial of Service)攻击和常见漏洞(SQL 注入、跨站点脚本、跨站点请求伪造或滥用损坏的身份验证代码等等)。AWS Transit Gateway 区域间对等连接也会对区域间流量加密,而且不会出现任何单点故障或带宽瓶颈。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 在 VPC 中创建子网:为每层创建子网(在包含多个可用区的组中)并关联路由表以控制路由。
+ [VPC 和子网 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [路由表 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构 ](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 控制所有层的流量
当构建您的网络拓扑时,您应检查每个组件的连接要求。例如,某个组件是否需要互联网可访问性(入站和出站)、连接到 VPC 的能力、边缘服务和外部数据中心。
使用 VPC,您可以使用您设置的私有 IPv4 地址范围或者 AWS 选择的 IPv6 地址范围来定义跨 AWS 区域的网络拓扑。对于入站和出站流量,您应采用深度防御方法应用多种控制,包括使用安全组(状态检测防火墙)、网络 ACL、子网和路由表。在 VPC 中,您可以在可用区中创建子网。每个子网都可以拥有一个关联的路由表,此表定义了用于管理流量在子网内所采用路径的路由规则。您可以将要连接到互联网或 NAT 网关的路由连接到 VPC 或使其经过另一个 VPC,以定义互联网可路由子网。
当在 VPC 内启动某个实例、Amazon Relational Database Service(Amazon RDS)数据库或其他服务时,它的每个网络接口都有自己的安全组。此防火墙位于操作系统层之外,可用于定义允许入站和出站流量的规则。您还可以定义安全组之间的关系。例如,通过参考对相关的实例应用的安全组,数据库层安全组中的实例仅接受来自应用程序层内实例的流量。除非您在使用非 TCP 协议,否则不必在以下情况下允许互联网直接访问 Amazon Elastic Compute Cloud(Amazon EC2)实例(甚至使用安全组禁止使用的端口):没有负载均衡器或 [CloudFront](https://aws.amazon.com/cloudfront)。这样有助于防止通过操作系统或应用程序问题进行意外访问。您还可以为子网附加网络 ACL,它将用作无状态防火墙。您应配置网络 ACL 以缩小各层之间允许的流量范围,但请注意,您需要定义入站和出站规则。
一些 AWS 服务要求组件访问互联网进行 API 调用,其目标是 [AWS API 端点](https://docs.aws.amazon.com/general/latest/gr/rande.html) 所在的位置。另外一些 AWS 服务使用 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) ,这些端点位于您的 Amazon VPC 中。很多 AWS 服务(包括 Amazon S3 和 Amazon DynamoDB)都支持 VPC 端点,并且已在 [AWS PrivateLink](https://aws.amazon.com/privatelink/)中广泛使用此技术。我们建议您使用此方法来访问 AWS 服务、第三方服务以及安全地托管在其他 VPC 中您自己的服务。AWS PrivateLink 上的所有网络流量保持在 AWS 骨干网中,永远不会通过互联网。连接只能由服务的使用方启动,不能由服务的提供方启动。为外部服务访问使用 AWS PrivateLink 让您可以创建没有互联网访问的气隙 VPC,帮助您保护 VPC 免受外部威胁因素的影响。第三方服务可以使用 AWS PrivateLink 允许其客户通过私有 IP 地址,从其 VPC 连接到服务。对于需要出站连接到互联网的 VPC 资产,可以让它们通过 AWS 托管的 NAT 网关、仅出站的互联网网关或者您创建并管理的 Web 代理进行仅出站(单向)连接。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 控制 VPC 中的网络流量:实施 VPC 最佳实践来控制流量。
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Amazon VPC 安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ 控制边缘站点的流量:实施边缘服务(例如 Amazon CloudFront),以提供一层额外的保护和其他功能。
+ [Amazon CloudFront 使用案例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall(AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC 传入路由](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ 控制私有网络流量:实施保护工作负载专有流量的服务。
+ [Amazon VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC 端点服务(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 接入点](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护 ](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 自动执行网络防护
自动运行保护机制,以提供基于威胁情报和异常检测的自我防御网络。例如可应对最新的威胁并减轻它们的影响的那些入侵检测和预防工具。您可以通过实施 Web 应用程序防火墙来实现自动化的网络保护,例如使用 AWS WAF Security Automations 解决方案([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations))来自动拦截来自已知威胁媒介相关 IP 地址的请求。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 自动执行基于 Web 流量的保护:AWS 提供了使用 AWS CloudFormation 自动部署一组 AWS WAF 规则的解决方案,旨在筛选常见的基于 Web 的攻击。用户可以从预配置的保护功能中进行选择,这些功能定义 AWS WAF Web 访问控制列表(Web ACL)中包含的规则。
+ [AWS WAF 安全自动化](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ 考虑使用 AWS Partner 解决方案:AWS 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云和本地部署环境中部署全面的安全架构,进而实现更无缝的体验。
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护 ](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 实施检查和保护
检查和筛选每层的流量。您可以使用 [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)检测 VPC 配置中可能存在的意外访问。您可以指定网络访问需求,然后确定不能满足这些要求的潜在网络路径。对于通过基于 HTTP 的协议处理的组件,Web 应用程序防火墙可帮助防止常见的攻击。 [AWS WAF](https://aws.amazon.com/waf) 是一个 Web 应用程序防火墙,可监控和拦截与转发到 Amazon API Gateway API、Amazon CloudFront 或 Application Load Balancer 的可配置规则匹配的 HTTP(s) 请求。要开始使用 AWS WAF,您可以将 [AWS 托管式规则](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) 与您自己的规则结合使用,也可以使用现有的 [合作伙伴集成](https://aws.amazon.com/waf/partners/)。
要管理 AWS WAF、AWS Shield Advanced 保护以及跨 AWS Organizations 的 Amazon VPC 安全组,您可以使用 AWS Firewall Manager。它允许您跨账户和应用程序集中配置和管理防火墙规则,从而更轻松地扩展常见规则的实施。通过使用 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)或 [能够自动拦截向](https://aws.amazon.com/solutions/aws-waf-security-automations/) 您的 Web 应用程序发送非必要请求的解决方案,它还使您能够快速响应攻击。Firewall Manager 也可以与 [AWS Network Firewall](https://aws.amazon.com/network-firewall/)结合使用。AWS Network Firewall 是一种托管服务,使用规则引擎为您提供对有状态和无状态网络流量的精细控制。它支持 [与 Suricata 兼容的](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) 开源入侵防御系统(IPS,Intrusion Prevention System)规范,以便使用规则来保护您的工作负载。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 配置 Amazon GuardDuty:GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户 和工作负载。启用 GuardDuty 并配置自动化警报。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [实验室:自动部署检测性控制](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ 配置虚拟私有云(VPC)流日志:VPC 流日志功能使您能够进一步捕获有关传入和传出 VPC 中网络接口的 IP 流量信息。流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon Simple Storage Service(Amazon S3)。创建流日志后,您可以在选定目标中检索和查看其数据。
+ 考虑使用 VPC 流量径向:流量镜像是一项 Amazon VPC 功能,您可以用它从 Amazon Elastic Compute Cloud(Amazon EC2)实例的弹性网络接口复制网络流量,然后将其发送到带外安全和监控设备,以进行内容检查、威胁监控和故障排除。
+ [VPC 流量镜像](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 如何保护计算资源?
工作负载内的计算资源需要采用多层防御,才有助于免受内部和外部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。
**Topics**
+ [SEC06-BP01 执行漏洞管理](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 缩小攻击面](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 实施托管服务](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 自动保护计算](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 帮助人员远程执行操作](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 验证软件完整性](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 执行漏洞管理
频繁扫描和修补您的代码、依赖项和基础设施中的漏洞,以帮助防御新的威胁。
从计算基础设施的配置开始,您可以使用 AWS CloudFormation 自动创建和更新资源。通过 CloudFormation,您可以使用 AWS 示例或者自行编写,创建以 YAML 或 JSON 格式编写的模板。这样您便可以创建默认安全的基础设施模板,通过 [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)进行验证,从而节省时间并减少配置错误的风险。您可以使用持续交付来构建基础设施并部署应用程序,例如,使用 [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)来自动进行构建、测试和发布。
您负责自己 AWS 资源的补丁管理,包括 Amazon Elastic Compute Cloud(Amazon EC2)实例、亚马逊云机器镜像(AMI)以及众多其他计算资源。对于 Amazon EC2 实例,AWS Systems Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。(在 Windows Server 上,应用程序支持仅限于 Microsoft 应用程序的更新。) 您可以使用 Patch Manager 在 Windows 实例上安装服务包,以及在 Linux 实例上执行次要版本升级。您可以按操作系统类型修补 Amazon EC2 实例集或本地服务器和虚拟机队列。这包括 Windows Server、Amazon Linux、Amazon Linux 2、CentOS、Debian Server、Oracle Linux、Red Hat Enterprise Linux(RHEL)、SUSE Linux Enterprise Server(SLES)和 Ubuntu Server 的受支持版本。您可以扫描实例以单独查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 配置 Amazon Inspector:Amazon Inspector 测试 Amazon Elastic Compute Cloud(Amazon EC2)实例的网络可访问性,以及在这些实例上运行应用程序的安全状态。Amazon Inspector 评估应用程序的风险、漏洞以及相较于最佳实践的偏差。
+ [什么是 Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ 扫描源代码:扫描库和依赖项,以确定是否有漏洞。
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP:源代码分析工具](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 缩小攻击面
通过强化操作系统,并尽量减少所使用的组件、库和外部可用的服务,缩小暴露在意外访问下的危险。首先减少未使用的组件,无论它们是操作系统程序包、应用程序(适用于基于 Amazon Elastic Compute Cloud(Amazon EC2)的工作负载)还是您代码中的外部软件模块(适用于所有工作负载)。您可以找到许多面向常见的操作系统和服务器软件的强化和安全配置指南。例如,您可以从 [互联网安全中心](https://www.cisecurity.org/) 开始并进行迭代。
在 Amazon EC2 中,您可以创建自己的亚马逊云机器镜像(AMI)并进行修补和强化,以帮助您满足企业的特定安全要求。您应用到 AMI 上的补丁和其他安全控制措施在其创建时生效,它们并非动态的,除非您在启动之后进行了修改,例如,使用 AWS Systems Manager 进行修改。
您可以使用 EC2 Image Builder 简化构建安全 AMI 的过程。EC2 Image Builder 可大幅减少创建和维护黄金镜像所需的工作,无需编写和维护自动化过程。在有软件更新可用时,Image Builder 自动生成新的镜像,无需用户手动迭代镜像工作版本。通过 EC2 Image Builder,您可以使用 AWS 提供的测试和自己的测试,在将镜像部署到生产环境中之前轻松地验证镜像的功能和安全性。您还可以应用 AWS 提供的安全设置来进一步保护自己的镜像,满足内部安全标准。例如,您可以使用 AWS 提供的模板,生成符合安全技术实施指南(STIG,Security Technical Implementation Guide)标准的镜像。
使用第三方静态代码分析工具,您可以确定常见的安全问题,例如未检查的函数输入边界,以及适用的通用漏披露(CVE,Common Vulnerabilities and Exposures)。您可以对所支持的语言使用 [Amazon CodeGuru](https://aws.amazon.com/codeguru/) 。您还可以使用第三方依赖关系检查工具,确定代码链接的库是否是最新版本、它们是否不含 CVE,并确保您拥有符合您软件政策要求的许可条件。
使用 Amazon Inspector,您可以针对 CVE,对您的实例执行配置评估、根据安全基准执行评估以及实现缺陷通知自动化。Amazon Inspector 在生产实例或构建管道中运行,它会在发现结果时通知开发人员和工程师。您可以通过编程方式访问调查结果,并将您的团队引导至待办事项和错误跟踪系统。 [EC2 Image Builder](https://aws.amazon.com/image-builder/) 可通过自动化修补、AWS 提供的安全策略实施和其他自定义来维护服务器映像 (AMI)。当使用容器时,在您的构建管道中对您的映像存储库定期实施 [ECR 映像扫描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) ,以便在您的容器中查找 CVE。
尽管 Amazon Inspector 和其他工具能够有效地确定配置和存在的任何 CVE,但也需要使用其他方法在应用程序级别测试您的工作负载。 [模糊](https://owasp.org/www-community/Fuzzing) 是一种众所周知的查错方法,可自动将格式不正确的数据注入到您应用程序的输入字段和其他区域来查错。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 强化操作系统:配置操作系统以符合最佳实践。
+ [保护 Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [保护 Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ 强化容器化资源:配置容器化资源以符合安全最佳实践。
+ 实施 AWS Lambda 最佳实践。
+ [AWS Lambda 最佳实践](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 实施托管服务
实施用于托管资源的服务,例如 Amazon Relational Database Service(Amazon RDS)、AWS Lambda 和 Amazon Elastic Container Service(Amazon ECS),以便在责任共担模式中减少安全维护任务。例如,Amazon RDS 可帮助您设置、操作和扩展关系数据库,并自动执行管理任务,例如硬件预置、数据库设置、修补和备份。这意味着您将有更多的空闲时间,因此可以专注于通过 AWS Well-Architected Framework 中所述的其他方法来保护您的应用程序。使用 Lambda,无需使用预置或托管服务器即可运行代码,因此您只需在代码级别专注于连接、调用和安全性,而不是基础设施或操作系统级别。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 探索可用的服务:探索、测试和实施管理资源的服务,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
## 资源
**相关文档:**
+ [AWS 网站 ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:AWS Certificate Manager 请求公有证书 ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 自动保护计算
自动执行计算保护机制,包括管理漏洞、缩小攻击面和管理资源。此自动化将帮助您投入时间以保护工作负载的其他方面,并降低人为犯错的风险。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 自动管理配置:使用配置管理服务或工具自动实施安全配置并对其进行验证。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [实验室:自动部署 VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ 自动修补 Amazon Elastic Compute Cloud(Amazon EC2)实例:AWS Systems Manager Patch Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ 实施入侵检测和预防:实施入侵检测和预防工具,以监控并停止实例上的恶意活动。
+ 考虑使用 AWS Partner 解决方案:AWS 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云和本地部署环境中部署全面的安全架构,进而实现更无缝的体验。
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 资源
**相关文档:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 帮助人员远程执行操作
移除交互式访问功能可降低人为错误的风险以及手动配置或管理的可能性。例如,通过更改管理工作流,使用基础设施即代码部署 Amazon Elastic Compute Cloud(Amazon EC2)实例,然后使用 AWS Systems Manager 等工具管理 Amazon EC2 实例,而不是允许直接访问或通过堡垒主机进行访问。AWS Systems Manager 可以使用 [自动化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [工作流](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)、[文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (行动手册)和 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)等功能自动执行多种维护和部署任务。AWS CloudFormation 堆栈从管道进行构建,并能够自动执行您的基础设施部署和管理任务,而无需直接使用 AWS 管理控制台或 API。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 替换控制台访问:用 AWS Systems Manager Run Command 替换实例的控制台访问(SSH 或 RDP),以自动管理任务。
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 验证软件完整性
实施一些机制(例如代码签名),以确保工作负载中使用的软件、代码和库来自可信的来源且未被篡改。例如,您应验证二进制文件和脚本的代码签名证书以确认作者,并确保证书自作者创建以来未被篡改。[AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 通过集中管理代码签名生命周期,包括签名证书以及公有和私有密钥,帮助确保代码的可信度和完整性。您可以了解如何对 [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/)使用代码签名的高级模式和最佳实践。此外,通过将您下载的软件的校验和与提供商提供的校验和进行对比,可帮助确保它未被篡改。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 调查机制:代码签名是一种可用来验证软件完整性的机制。
+ [NIST:代码签名的安全注意事项](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## 资源
**相关文档:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [新增 – 代码签名,用于 AWS Lambda 的可信度和完整性控制措施](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# 数据保护
**Topics**
+ [SEC 7 如何对数据进行分类?](w2aac19b7c13b5.md)
+ [SEC 8 如何保护静态数据?](w2aac19b7c13b7.md)
+ [SEC 9 如何保护传输中的数据?](w2aac19b7c13b9.md)
# SEC 7 如何对数据进行分类?
分类提供了一种基于关键性和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制措施。
**Topics**
+ [SEC07-BP01 识别工作负载内的数据](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定义数据保护控制措施](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自动识别和分类](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定义数据生命周期管理](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 识别工作负载内的数据
您需要了解您的工作负载正在处理的数据的类型和分类、相关的业务流程、数据所有者、适用的法律和合规性要求、数据的存储位置以及因此需要实施的控制措施。这可能包括用于指明数据是可公开访问、仅供内部使用(例如客户的个人可识别信息 (PII))还是受到更加严格的访问限制(例如知识产权、法律特权数据或敏感数据等等)的分类。通过谨慎管理适当的数据分级系统以及每个工作负载的保护要求级别,您可以匹配适用于数据的控制和访问或保护级别。例如,公开内容可供任何人访问,而重要内容则以受保护的方式进行加密和存储,需要授权访问密钥才能解密。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 考虑使用 Amazon Macie 发现数据:Macie 可识别敏感数据,例如个人身份信息(PII,Personally Identifiable Information)或知识产权。
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 资源
**相关文档:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 定义数据保护控制措施
根据数据分类级别保护数据。例如,使用相关建议保护分类为公共的数据,同时使用其他控制措施保护敏感数据。
通过使用资源标签、根据敏感度(可能还包括限制性条款、飞地或感兴趣的社区)划分 AWS 账户、IAM 策略、AWS Organizations SCP、AWS Key Management Service(AWS KMS)和 AWS CloudHSM,您可以定义并实施您的数据分类和加密保护策略。例如,如果您的项目具有包含极关键数据的 S3 存储桶或者处理机密数据的 Amazon Elastic Compute Cloud(Amazon EC2)实例,则可以使用 `Project=ABC` 标签对其进行标记。只有您的直属团队知道项目代码的含义,它提供了一种使用基于属性的访问控制措施的方法。您可以通过关键策略和授权定义对 AWS KMS 加密密钥的访问级别,以确保只有适当的服务可以通过安全机制访问敏感内容。如果您正在根据标签做出授权决定,您应确保在 AWS Organizations 中使用标签策略适当定义对于标签的权限。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 定义您的数据识别和分类架构:对数据执行标识和分类,用于评估您要存储的数据的潜在影响和类型,并确定谁可以访问数据。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 发现可用的 AWS 控制措施:对于您正在使用或计划使用的 AWS 服务,发现安全控制措施。许多服务在其文档中都会提供一个安全部分。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 确定 AWS 合规性资源:确定 AWS 为您提供帮助的资源。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [缺少文本](https://aws.amazon.com/compliance/)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 自动识别和分类
自动识别和分类数据可帮助您实施正确的控制措施。在这方面实现自动化而不是允许人员直接访问,可以降低人为犯错和漏洞的风险。您应使用 [Amazon Macie](https://aws.amazon.com/macie/)等工具执行评估,这些工具使用机器学习来自动发现、分类和保护 Amazon Macie 中的敏感数据。AWS 可以识别个人身份信息(PII,Personally Identifiable Information)或知识产权之类的敏感数据,并为您提供控制面板和警报,让您了解此类数据的访问或移动情况。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 使用 Amazon Simple Storage Service(Amazon S3)清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 考虑使用 Amazon Macie:Amazon Macie 使用机器学习来自动发现存储在 Amazon S3 中的数据,并对其进行分类。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 定义数据生命周期管理
您定义的生命周期策略应基于敏感度级别以及法律和组织要求。应考虑您的数据保留期限、数据销毁流程、数据访问管理、数据转换和数据共享等方面。当选择数据分类方法时,请平衡可用性与访问权限。您还应考虑多种访问级别及其细微差别,以便针对每个级别实施安全且有效的方法。始终采用深度防御方法并减少人工访问数据次数以及数据转换、删除或复制机制。例如,要求用户对应用程序执行严格身份验证,并为应用程序而不是用户授予执行远程操作的必要访问权限。此外,确保用户来自可信网络路径并要求其获取解密密钥。使用控制面板和自动报告等工具为用户提供数据信息,而不是让他们直接访问数据。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 识别数据类型:确定您正在工作负载中存储或处理的数据类型。这些数据可以是文本、图像、二进制数据库等。
## 资源
**相关文档:**
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC 8 如何保护静态数据?
通过实施多个控制措施来保护静态数据,以降低未经授权的访问或处理不当带来的风险。
**Topics**
+ [SEC08-BP01 实施安全密钥管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 强制实施静态加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 自动执行静态数据保护](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 强制实施访问控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用机制限制对数据的访问](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 实施安全密钥管理
通过定义加密方法,包括密钥存储、轮换和访问控制,有助于您防止内容被未经授权的用户访问或不必要地暴露给经过授权的用户。AWS Key Management Service(AWS KMS)可以帮助您管理加密密钥,并可 [与许多 AWS 服务集成](https://aws.amazon.com/kms/details/#integration)。该服务可以为 AWS KMS 密钥提供持久、安全和冗余的存储。您可以定义密钥别名以及密钥级策略。这些策略可以帮助您定义关键管理员以及关键用户。此外,AWS CloudHSM(HSM)是一个基于云的硬件安全模块,使您可以在 AWS 云 上轻松生成和使用自己的加密密钥。它使用经 FIPS 140-2 第 3 级验证的 HSM,帮助您满足企业、合同和监管合规性要求,以确保数据安全。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施 AWS KMS:使用 AWS KMS 可以轻松地创建和管理密钥,并控制在各种 AWS 服务和应用程序中使用加密。AWS KMS 是一项安全且具有弹性的服务,使用经过 FIPS 140-2 验证的硬件安全模块来保护您的密钥。
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考虑使用 AWS 加密开发工具包:当您的应用程序需要加密客户端数据时,使用包含 AWS KMS 集成的 AWS 加密开发工具包。
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 资源
**相关文档:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 强制实施静态加密
您应确保只以加密的方式存储数据。AWS Key Management Service(AWS KMS)与大量 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、 [Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 对 Amazon Simple Storage Service(Amazon S3)强制实施静态加密:实施 Amazon S3 存储桶默认加密。
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一项 AWS 服务,让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 为新的 EBS 卷配置默认加密:指定所有新创建的 EBS 卷要以加密形式创建,并选择使用 AWS 提供的默认密钥或您创建的密钥。
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 配置加密亚马逊云机器镜像(AMI):通过复制启用加密功能的现有 AMI,可自动加密根卷和快照。
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 配置 Amazon Relational Database Service(Amazon RDS)加密:通过启用加密选项,配置对您的 Amazon RDS 数据库集群和静态快照的加密。
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服务中配置加密:对于您使用的 AWS 服务,请确定加密功能。
+ [AWS 文档](https://docs.aws.amazon.com/)
## 资源
**相关文档:**
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 自动执行静态数据保护
利用自动化工具持续验证和实施静态数据控制措施,例如,确保只存在经过加密的存储资源。您可以 [自动确认所有 EBS 卷都已经过加密,方法是](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 还可以按照安全标准执行自动化检查,以验证多种不同的控制措施。此外,您的 AWS Config 规则可以自动 [修复不合规的资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
*静态数据* 代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时,保护静态数据可以降低未经授权访问的风险。
强制实施静态加密:您应确保只以加密的方式存储数据。AWS KMS 与很多 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS 托管 Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [EBS 卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、[Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 资源
**相关文档:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 强制实施访问控制
强制实施包含最低权限和机制的访问控制,包括备份、隔离和版本控制,以帮助保护您的静态数据。防止操作员授予对您的数据的公共访问权限。
各种控制措施,包括访问权限(使用最低权限)、备份(请参阅 [可靠性白皮书](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、分离和版本控制,都可以帮助保护您的静态数据。您应使用本白皮书中前面介绍的检测性机制(包括 CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并计划如何随着时间的推移减少可用的数据量。Amazon Glacier 文件库锁定和 Amazon S3 对象锁定这两项功能可提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。此机制符合 SEC、CFTC 和 FINRA 的图书和记录管理要求。有关更多详细信息,请参阅 [本白皮书](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 强制实施访问控制:强制实施最低权限访问控制,包括对加密密钥的访问。
+ [管理对 Amazon S3 资源的访问权限简介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 根据不同分类级别隔离数据:针对 AWS Organizations 管理的数据分类级别使用不同的 AWS 账户。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ 查看 AWS KMS 策略:查看 AWS KMS 策略中授予的访问级别。
+ [管理对 AWS KMS 资源的访问权限概览](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ 查看 Amazon S3 存储桶和对象权限:定期查看 Amazon S3 存储桶策略中授予的访问级别。最佳做法是配置不可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:云中的天作之合](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ 启用 Amazon S3 版本控制和对象锁定。
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 对象锁定来锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ 使用 Amazon S3 清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 查看 Amazon EBS 和 AMI 共享权限:共享权限允许将镜像和卷共享到您的工作负载外部的 AWS 账户。
+ [共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [共享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用机制限制对数据的访问
禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如,利用变更管理工作流程,借助工具管理 Amazon Elastic Compute Cloud(Amazon EC2)实例,而不是允许直接访问或通过堡垒主机进行访问。这可以使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)来实现,此功能将使用 [包含您的任务执行步骤的](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) 自动化文档。这些文档可以存储在源代码控制中、在运行之前接受对等审核,并接受全面测试以便最大程度降低风险(与 shell 访问相比)。企业用户可以使用一个仪表板而不是通过直接访问数据存储库来执行查询。当未使用 CI/CD 管道时,确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施可限制对数据的访问的机制:这些机制包括使用控制面板(例如 Quick),以向用户显示数据,而不是直接查询。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自动管理配置:远程执行操作,使用配置管理服务或工具自动实施安全配置并对其进行验证。避免使用堡垒主机或直接访问 EC2 实例。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上适用于 AWS CloudFormation 模板的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 如何保护传输中的数据?
通过实施多个控制措施来保护传输中的数据,以降低未经授权的访问或数据丢失所带来的风险。
**Topics**
+ [SEC09-BP01 实施安全密钥和证书管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 执行传输中加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自动检测意外数据访问](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 对网络通信进行身份验证](sec_protect_data_transit_authentication.md)
# SEC09-BP01 实施安全密钥和证书管理
安全地存储加密密钥和证书,并按照适当的时间间隔和使用严格的访问控制措施来轮换这些密钥和证书。实现这一目的的最佳方法是使用托管服务,例如 [AWS Certificate Manager(ACM)](http://aws.amazon.com/certificate-manager)。它能够让您轻松预置、管理和部署公有和私有传输层安全性 (TLS) 证书,以便与 AWS 服务和您的内部互联资源配合使用。TLS 证书用于保障网络通信的安全性、确立网站在互联网上的身份和资源在私有网络上的身份。ACM 与 Elastic Load Balancer(ELB)、AWS 分配以及 API Gateway 上的 API 等 AWS 资源集成,还负责处理自动证书续订事宜。如果您使用 ACM 来部署私有根 CA,则它可以提供要在 Amazon Elastic Compute Cloud(Amazon EC2)实例、容器等对象中使用的证书和私有密钥。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施安全密钥和证书管理:实施您定义的安全密钥和证书管理解决方案。
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ 如何在 AWS 中托管和管理整个私有证书基础设施 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 实施安全协议:使用传输层安全性协议(TLS,Transport Layer Security)或 IPsec 等支持身份验证和机密性的协议,以便减少数据篡改或丢失的风险。查看 AWS 文档,了解与您正在使用的服务相关的协议和安全性信息。
## 资源
**相关文档:**
+ [AWS 文档 ](https://docs.aws.amazon.com/)
# SEC09-BP02 执行传输中加密
根据相应的标准和建议,实施您定义的加密要求,以帮助您满足组织、法律和合规性要求。AWS 服务提供使用 TLS 的 HTTPS 端点进行通信,从而可以在与 AWS API 通信时提供传输中加密。可以使用安全组在 VPC 中审计和拦截不安全的协议,例如 HTTP。HTTP 请求也可以 [自动重定向到](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) Amazon CloudFront 中的 HTTPS 或 [应用程序负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions)。您可以完全控制计算资源,以便在整个服务中实施加密。您也可以利用 VPN 连接从外部网络连接到您的 VPC 中,以便于对流量进行加密。如果您有特殊要求,可以使用 AWS Marketplace 中提供的第三方解决方案。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施传输中加密:您定义的加密要求应基于最新的标准和最佳实践,且仅允许使用安全协议。例如,仅配置一个安全组,以允许通过 HTTPS 协议访问应用程序负载均衡器或 Amazon Elastic Compute Cloud(Amazon EC2)实例。
+ 在边缘服务中配置安全协议:使用 Amazon CloudFront 和要求的密码来配置 HTTPS。
+ [ 将 HTTPS 与 CloudFront 搭配使用 ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 将 VPN 用于外部连接:考虑使用 IPsec 虚拟专用网络(VPN)来保护点对点或网络对网络连接,以实现数据隐私性和完整性。
+ [ VPN 连接 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 在负载均衡器中配置安全协议:使用 HTTPS 侦听器来保护指向负载均衡器的连接。
+ [ 适用于应用程序负载均衡器的 HTTPS 侦听器 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 为实例配置安全协议:考虑在实例上配置 HTTPS 加密。
+ [ 教程:将 Amazon Linux 2 上的 Apache Web 服务器配置为使用 SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ 在 Amazon Relational Database Service(Amazon RDS)中配置安全协议:使用安全套接字层(SSL,Secure Socket Layer)或传输层安全性协议(TLS,Transport Layer Security)来加密与数据库实例的连接。
+ [ 使用 SSL 加密与数据库实例的连接 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ 在 Amazon Redshift 中配置安全协议:将集群配置为要求安全套接字层(SSL,Secure Socket Layer)或传输层安全性协议(TLS,Transport Layer Security)连接。
+ [ 针对连接配置安全选项 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 在其他 AWS 服务中配置安全协议:对于您使用的 AWS 服务,请确定传输中加密功能。
## 资源
**相关文档:**
+ [AWS 文档 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 自动检测意外数据访问
使用 Amazon GuardDuty 等工具自动检测可疑活动或尝试将数据移动到定义的边界之外。例如,GuardDuty 可以通过以下方法,检测异常的 Amazon Simple Storage Service(Amazon S3)读取活动: [Exfiltration:S3/AnomalousBehavior finding](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty 以外,还可以将[Amazon VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)(用于捕获网络流量信息)与 Amazon EventBridge 配合使用,以触发对已成功和被拒绝的异常连接的检测。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可以帮助评估您的 Amazon S3 存储桶中的哪些数据可供哪些人访问。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 自动检测意外数据访问:使用工具或检测机制自动检测试图将数据移出定义边界的行为;例如,检测正在将数据复制到无法识别的主机的数据库系统。
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ 考虑 Amazon Macie:Amazon Macie 是一项完全托管式数据安全和数据隐私服务,该服务使用机器学习和模式匹配发现和保护 AWS 中的敏感数据。
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 对网络通信进行身份验证
使用传输层安全性 (TLS) 或 IPsec 等支持身份验证的协议来验证通信的身份。
使用支持身份验证的网络协议,可以在双方之间建立信任。此功能将增强协议中使用的加密方法,以降低通信被篡改或拦截的风险。实施身份验证时常用的协议包括(很多 AWS 服务中使用的)传输层安全性(TLS)和( [AWS Virtual Private Network(Site-to-Site VPN)](http://aws.amazon.com/vpn)中使用的)IPsec。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施安全协议:使用 TLS 或 IPsec 等支持身份验证和机密性的安全协议,以便减少数据篡改或丢失的风险。查看 [AWS 文档,](https://docs.aws.amazon.com/) 了解与您正在使用的服务相关的协议和安全性。
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)
# 事件响应
**Topics**
+ [SEC 10 如何预测、响应事件以及从事件中恢复?](w2aac19b7c15b5.md)
# SEC 10 如何预测、响应事件以及从事件中恢复?
准备工作对于及时有效地调查、响应安全事件以及从安全事件中恢复至关重要,可以尽可能减少对组织的破坏。
**Topics**
+ [SEC10-BP01 确定关键人员和外部资源](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 制定事件管理计划](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 准备取证能力](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 自动控制功能](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 预置访问权限](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 预先部署工具](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 执行实际试用](sec_incident_response_run_game_days.md)
# SEC10-BP01 确定关键人员和外部资源
确定能够帮助您的组织响应事件的内部和外部人员、资源、以及法律义务。
当您与其他团队(例如法律顾问、领导、业务利益相关者、AWS Support 服务等)一起在云中定义您的事件响应方法时,您必须确定关键人员、利益相关者和相关联系人。为了降低依赖性并缩短响应时间,请确保为您的团队、专家安全团队和响应者开展培训,以使他们了解您使用的服务并有机会练习动手实践。
我们鼓励您寻找外部 AWS 安全合作伙伴,他们应当能够为您带来外部专业知识和不同的视角,以增强您的响应能力。您的可靠安全合作伙伴可以帮助您发现您可能并不熟悉的潜在风险或威胁。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 确定组织中的关键人员:制定联系人列表,列出组织内需要参与意外事件响应和恢复的人员。
+ 确定外部合作伙伴:根据需要联系能够帮助您响应意外事件并从中恢复的外部合作伙伴。
## 资源
**相关文档:**
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [准备和响应 AWS 环境中的安全意外事件 ](https://youtu.be/8uiO0Z5meCs)
**相关示例:**
# SEC10-BP02 制定事件管理计划
制定计划,以帮助您响应事件、在事件期间进行沟通以及从事件中恢复。例如,您可以根据您的工作负载和组织中最可能遇到的情况开始制定事件响应计划。在计划中说明如何在内部和外部进行沟通和上报。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
对于响应、缓解安全事件的潜在影响并从中恢复来说,事件管理计划是至关重要的。事件管理计划是一个结构化的过程,用于及时地确定、补救和响应安全事件。
云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时,应考虑最符合业务成果和合规性要求的响应和恢复策略,这一点非常重要。例如,如果您在 AWS 中运行在美国符合 FedRAMP 标准的工作负载,则遵守 [《NIST SP 800-61 计算机安全处理指南》会很有帮助](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)。同样,在使用欧洲 PII(Personally Identifiable Information,个人身份信息)数据运行工作负载时,请考虑如何根据 [欧盟通用数据保护条例(GDPR,General Data Protection Regulation)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en)。
在为 AWS 中运行的工作负载构建事件管理计划时,请首先使用 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/),以便构建针对事件响应的深度防御方法。在此模式中,AWS 负责管理云本身的安全,云内部的安全则由您负责。这意味着您将保留控制权,并对选择实施的安全控制机制负责。此 [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。
必须不断地迭代有效的事件管理计划,使其与您的云运营目标保持一致。在创建和改进事件管理计划时,请考虑使用下面详述的实施计划。
+ **针对事件响应进行的培训和训练:** 当与定义的基线存在偏差(例如,部署错误或配置错误)时,您可能需要做出响应并展开调查。要成功做到这一点,您必须了解可用于 AWS 环境中的安全事件响应的控制机制和功能,以及准备、培训和训练参与事件响应的云团队时要考虑的流程。
+ [行动手册](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) 和 [运行手册](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) 是有效机制,用于在训练如何应对事件时建立一致性。首先,在事件响应期间构建经常运行的过程的初始列表,并在学习或使用新过程时继续迭代。
+ 通过计划的 [实际试用](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html),将行动手册和运行手册社交化。在实际试用期间,在受控环境中模拟事件响应,帮助您的团队回顾如何进行响应,以及验证参与事件响应的团队是否熟悉工作流。审查模拟事件的结果以明确改进措施,并确定有关进一步的训练或其他工具的需求。
+ 在安全方面,人人有责。通过让通常运行工作负载的所有人员参与进来,建立事件管理流程的集体性知识。这项工作应该涵盖业务的所有方面,即运营、测试、开发、安全性、业务运营和业务部门的负责人均应参与其中。
+ **将事件管理计划归档:** 将一些工具和过程归档,而这些工具和过程用于记录、处理、传达进度,以及提供有关活动事件的通知。事件管理计划旨在确保尽快恢复正常操作、将业务影响降至最低并始终通知所有相关方。事件示例包括(但不限于)网络连接丢失或降级、进程或 API 无响应、计划的任务未执行(例如,修补失败)、应用程序数据或服务不可用、因安全事件导致计划外服务中断、凭证泄露或错误配置。
+ 确定负责解决事件的主要所有者,例如工作负载所有者。清楚地指明负责处理事件的人员以及沟通方式。当有多方(例如外部供应商)参与事件解决过程时,请考虑构建 *责任(RACI)矩阵*,详细说明参与事件解决过程的各个团队或人员的角色和职责。
RACI 矩阵详述了以下各方的职责:
+ **R:** *责任(Responsible)* 方,负责完成任务。
+ **A:** *负责(Accountable)* 方或利益相关者,负责最终裁定是否已成功完成特定任务。
+ **C:** *咨询(Consulted)* 方,将向其征求意见,通常是主题专家。
+ **I:** *告知(Informed)* 方,将告知其进度,通常仅在任务完成或有可交付结果时才告知。
+ **对事件进行分类:** 通过根据严重性和影响分数来定义事件并为其分类,可以使用结构化方法来分类和解决事件。以下建议说明了一个用于量化事件的 *影响-解决紧急矩阵* 。例如,影响小且紧急程度低的事件被视为严重性较低的事件。
+ **高(H):** 您的业务将受到重大影响。与 AWS 资源相关的应用程序的关键功能不可用。它们将被预留给对生产系统影响最大的事件。由于补救具有时效性,事件的影响会迅速扩大。
+ **中(M):** 与 AWS 资源相关的商业服务或应用程序会受到一定程度的影响,并且处于降级状态。有助于实现服务等级目标(SLO,Service Level Objective)的应用程序在服务等级协议(SLA,Service Level Agreement)限制内受到影响。系统可以在性能降低的情况下运行,而不会对财务和声誉产生很大影响。
+ **低(L):** 与 AWS 资源相关的商业服务或应用程序的非关键功能受到影响。系统可以在性能降低的情况下运行,对财务和声誉产生的影响极小。
+ **使安全控制机制标准化:** 使安全控制机制标准化的目标是实现操作结果的一致性、可追溯性和可重复性。加快实施对事件响应至关重要的关键活动的标准化,例如:
+ **身份和访问权限管理:** 建立用于控制对数据的访问以及管理人类和机器身份的权限的机制。将您自己的身份和访问权限管理扩展到云,并使用具有单点登录和基于角色的权限的联合安全性来优化访问权限管理。有关标准化访问权限管理的最佳实践建议和改进计划,请参阅《安全性支柱》白皮书的 [“身份和访问权限管理”部分](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) 。
+ **漏洞管理:** 建立机制来识别 AWS 环境中的漏洞,攻击者可能会利用这些漏洞来破坏和滥用您的系统。将预防性和检测性控制机制用作安全机制,以响应安全事件并缓解安全事件可能带来的影响。将威胁建模等流程标准化,使之成为基础设施构建和应用程序交付生命周期的一部分。
+ **配置管理:** 对于在 AWS 云 中部署资源,定义标准配置,并使其过程实现自动化。通过实施基础设施和资源预置的标准化,有助于降低因错误部署或意外的人为错误配置而带来的错误配置风险。请参阅《卓越运营支柱》白皮书的 [“设计原则”部分](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) ,以获取实施此控制机制的指南和改进计划。
+ **用于审计控制机制的日志记录和监控:** 实施一些机制来监控资源的故障、性能下降和安全问题。通过使这些控制机制标准化,还对系统中发生的活动进行审计跟踪,有助于及时对问题进行分类和补救。SEC04 [(“您如何检测和调查安全事件?”)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 下的最佳实践提供了有关实施此控制机制的指南。
+ **使用自动化:** 利用自动化,可以及时地大规模解决事件。AWS 提供了多种服务,以在事件响应策略的上下文中实施自动化。请专注于在自动化和人工干预之间找到适当的平衡。您在行动手册和运行手册中构建事件响应时,系统会自动执行可重复的步骤。使用 AWS Systems Manager Incident Manager 等 AWS 服务 [更快地解决 IT 事件](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/)。使用 [开发人员工具](https://aws.amazon.com/devops/) 提供版本控制,并自动实施 [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) 和基础设施即代码(IaC)部署,而无需人工干预。在适用的情况下,使用 Amazon GuardDuty、Amazon Inspector、AWS Security Hub CSPM、AWS Config 和 Amazon Macie 等托管服务,来自动实施检测和合规性评估。使用 Amazon DevOps Guru 等机器学习服务来优化检测功能,在异常操作模式问题出现之前检测出它们。
+ **进行根本原因分析并汲取经验教训:** 实施一些机制,以在事件后响应审查过程中记录经验教训。当事件的根本原因揭示出更大的缺陷、设计缺陷、配置错误或再次发生的可能性时,它就会被归类为问题。在这种情况下,请分析并解决问题,最大程度地减小对正常操作的中断。
## 资源
**相关文档:**
+ [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST:计算机安全事件处理指南 ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**相关视频:**
+ [在 AWS 中自动化事件响应和取证 ](https://youtu.be/f_EcwmmXkXk)
+ [ 运行手册、事件报告和事件响应 DIY 指南 ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ 准备和响应 AWS 环境中的安全事件 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**相关示例:**
+ [实验室:使用 Jupyter 的事件响应行动手册 – AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ 实验:使用 AWS 控制台和 CLI 的事件响应 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 准备取证能力
对于意外事件响应者来说,了解取证调查在什么情况下、如何适合您的响应计划非常重要。您的组织应定义要收集的证据以及收集过程中使用的工具。确定并准备适当的取证调查能力,包括外部专家、工具和自动化。您应预先做出的一个关键决定是,是否从实时系统中收集数据。如果系统断电或重新启动,某些数据(例如,易失性内存或活动网络连接的内容)将会丢失。
您的响应团队可以结合使用 AWS Systems Manager、Amazon EventBridge 和 AWS Lambda 等工具,在操作系统和 VPC 流量镜像中自动运行取证工具以捕获网络数据包,从而收集非持久化证据。使用定制取证工作站以及可供响应者访问的工具,在专用安全账户中进行其他活动,例如日志分析或分析磁盘镜像。
定期将相关日志发送到数据存储,实现高持久性和完整性。响应者应有权访问这些日志。AWS 提供了多种工具来简化日志调查,例如 Amazon Athena、Amazon OpenSearch Service(OpenSearch Service)和 Amazon CloudWatch Logs Insights。此外,使用 Amazon Simple Storage Service(Amazon S3)Object Lock 安全地保留证据。该服务遵循 WORM(一次写入多次读取,write-once-read-many)模型,防止对象在定义的时段内被删除或覆盖。由于取证调查技术需要专家培训,因此您可能需要聘请外部专家。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 确定取证能力:分析组织的取证调查能力、可用工具和外部专家。
+ [自动化事件响应和取证 ](https://youtu.be/f_EcwmmXkXk)
## 资源
**相关文档:**
+ [如何在 AWS 中自动实施取证磁盘收集](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 自动控制功能
自动控制意外事件并从意外事件中恢复,以缩短响应时间和减少对组织的影响。
当您从行动手册中创建并练习流程和工具之后,您可以将此逻辑解构到基于代码的解决方案中,很多响应者可以将此逻辑用作工具来自动进行响应,因此消除了响应者的分歧或猜测。这样可以加快响应的生命周期。下一个目标是允许此代码被警报或事件自身而不是被人类响应者调用以实现完全自动化,从而创建由事件驱动的响应。这些过程还应自动将相关数据添加到您的安全系统中。例如,涉及来自不需要的 IP 地址的流量的意外事件可以自动填充 AWS WAF 阻止列表或 Network Firewall 规则组,从而防止进一步的活动。
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*图 3:AWS WAF 自动阻止已知的恶意 IP 地址。*
使用由事件驱动的响应系统,检测性机制会触发一个响应机制,以自动修复事件。您可以使用由事件驱动的响应能力,以缩短检测机制与响应机制之间的价值实现时间。要创建这个由事件驱动的架构,您可以使用 AWS Lambda,这是一项无服务器计算服务,可运行您的代码以响应事件并为您自动管理底层计算资源。例如,假设您有一个 AWS 账户并为其启用了 AWS CloudTrail 服务。如果已禁用 AWS CloudTrail(通过 `cloudtrail:StopLogging` API 调用),则您可以使用 Amazon EventBridge 监控特定的 `cloudtrail:StopLogging` 事件,并通过调用 AWS Lambda 函数来调用 `cloudtrail:StartLogging` 以重新启动日志记录功能。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
自动控制功能。
## 资源
**相关文档:**
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [准备和响应 AWS 环境中的安全意外事件](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 预置访问权限
确保事件响应者将正确的访问权限预置到 AWS 中,以缩短调查到恢复所需的时间。
**常见反模式:**
+ 使用根账户进行事件响应。
+ 变更现有用户账户。
+ 在提供实时权限提升时直接操作 IAM 权限。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
AWS 建议尽可能减少或消除对长期有效凭证的依赖,转而使用临时凭证和 *实时* 权限提升机制。长期有效的凭证容易带来安全风险,并且会增加运营开销。对于大多数管理任务以及事件响应任务,建议您对管理访问实施 [身份联合验证](https://docs.aws.amazon.com/identity/federation/) 以及 [临时上报](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)。在此模型中,用户请求提升到更高级别的权限(例如事件响应角色),如果用户符合提升条件,则会向审批者发送请求。如果请求获得批准,用户将收到一组临时的 [AWS 凭证](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) ,可用于完成用户任务。在这些凭证过期后,用户必须提交新的提升请求。
在大多数事件响应场景中,建议使用临时权限提升。执行此操作的正确方法是使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 和 [会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) 来限定访问范围。
在一些场景中,联合身份不可用,例如:
+ 与被盗用的身份提供者(IdP)相关的中断。
+ 导致联合访问管理系统损坏的错误配置或人为错误。
+ 恶意活动,例如分布式拒绝服务(DDoS,Distributed Denial of Service)事件或导致系统不可用的活动。
在上述情况下,应配置紧急 *Break Glass* 访问,以允许调查事件并及时给予补救。我们建议您使用 [具有适当权限的 IAM 用户,](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) 来执行任务和访问 AWS 资源。请仅将根凭证用于 [需要根用户访问权限的任务](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。要确认事件响应者对 AWS 和其他相关系统是否具有正确的访问权限级别,建议预置专用的用户账户。用户账户需要特许的访问权限,并且必须受到严格的控制和监视。在构建账户时,必须使用执行必要任务所需的最少权限,并且访问级别应基于作为事件管理计划的一部分创建的行动手册。
最好使用专门构建的专用用户和角色。通过添加 IAM 策略来临时提升用户或角色的访问权限,既会导致无法清楚地了解用户在事件期间拥有哪些访问权限,又会带来无法撤销提升的权限的风险。
请务必删除尽可能多的依赖项,以确保能在尽可能多的故障场景中获得访问权限。为了支持此操作,可创建一个行动手册,验证是否在专用的安全账户中创建事件响应用户作为 AWS Identity and Access Management 用户,而不是通过任何现有的联合身份验证或单点登录(SSO)解决方案管理他们。每个响应者都必须有自己的指定账户。账户配置必须实施 [强密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 和多重身份验证(MFA)。如果事件响应行动手册仅需要对 AWS 管理控制台的访问权限,则用户不应配置访问密钥,并且应明确禁止用户创建访问密钥。可以使用 IAM 策略或服务控制策略(SCP,Service Control Policy)进行此配置,如 AWS 安全最佳实践(适用于 [AWS Organizations SCP)中所述](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。用户仅能够在其他账户中代入事件响应角色,而不应具有其他任何权限。
在事件处理期间,可能需要向其他内部或外部人员授予访问权限,以支持调查、补救或恢复活动。在这种情况下,可以使用前面提到的行动手册机制,并且必须创建一个流程,确保在事件结束后立即撤消其他任何访问权限。
要确保能正确地监控和审计对事件响应角色的使用,至关重要的一点是,为此目的创建的 IAM 用户账户不会在人员之间共享,并且不会使用 AWS 账户 根用户,除非 [特定任务要求这样做](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。如果需要根用户(例如,对特定账户的 IAM 访问权限不可用),请使用单独的流程和可用的行动手册来验证根用户密码和 MFA 令牌的可用性。
要为事件响应角色配置 IAM 策略,请考虑使用 [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 来生成基于 AWS CloudTrail 日志的策略。为此,请在非生产账户中向事件响应角色授予管理员访问权限,并运行行动手册。完成后,会创建一个策略,仅允许已执行的操作。之后,可以跨所有账户将此策略应用于所有事件响应角色。您可能希望为每个行动手册创建一个单独的 IAM 策略,以便更轻松地进行管理和审计。示例行动手册可能包括针对勒索软件、数据泄露、丢失生产访问权限和其他场景的响应计划。
使用事件响应用户账户可在 [其他 AWS 账户 中代入专用的事件响应 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。必须将这些角色配置为仅可由安全账户中的用户代入,并且信任关系必须要求调用主体已使用 MFA 进行身份验证。角色必须使用严格界定的 IAM 策略来控制访问。确保这些角色的所有 `AssumeRole` 请求都记录在 CloudTrail 中并发出提醒,并确保记录使用这些角色执行的任何操作。
强烈建议清楚地命名 IAM 用户账户和 IAM 角色,以便在 CloudTrail 日志中轻松找到他们。例如,将 IAM 账户命名为 `-BREAK-GLASS,` 并将 IAM 角色命名为 `BREAK-GLASS-ROLE`。
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 用于记录 AWS 账户中的 API 活动,并且应该用于 [配置关于使用事件响应角色的提醒。](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)。请参阅博文,了解有关配置使用根密钥时的提醒。可以修改说明以配置 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指标筛选条件,从而筛选 `AssumeRole` 事件(与事件响应 IAM 角色相关):
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
由于事件响应角色可能具有高级别的访问权限,因此,请务必将这些提醒转至广泛的群体,并及时采取适当的行动。
在事件处理期间,响应者可能需要访问不受 IAM 直接保护的系统。它们可能包括 Amazon Elastic Compute Cloud 实例、Amazon Relational Database Service 数据库或软件即服务(SaaS)平台。强烈建议不要使用 SSH 或 RDP 等本机协议,而是使用[AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 对 Amazon EC2 实例进行所有管理访问。可以使用安全且经过审计的 IAM 控制此访问。此外,还可以使用 [AWS Systems Manager Run Command 文档自动实施行动手册的部分内容,](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)这可以减少用户出错的机会并缩短恢复时间。对于访问数据库和第三方工具,我们建议将访问凭证存储在 AWS Secrets Manager 中,并向事件响应者角色授予访问权限。
最后,事件响应 IAM 用户账户的管理应该添加到您的 [合并人员、移动人员和离开人员流程中,](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) 并定期进行检查和测试,以确认只允许预期访问。
## 资源
**相关文档:**
+ [管理对 AWS 环境的临时提升的访问权限](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS 安全事件响应指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [在 AWS 中使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ 使用 MFA 配置跨账户存取 ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ 使用 IAM Access Analyzer 生成 IAM 策略 ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ 多账户环境中的 AWS Organizations 服务控制策略的最佳实践 ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ 如何在使用 AWS 账户的根访问密钥时接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ 使用 IAM 托管策略创建精细会话权限 ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**相关视频:**
+ [ 在 AWS 中自动化事件响应和取证 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [运行手册、事件报告和事件响应 DIY 指南](https://youtu.be/E1NaYN_fJUo)
+ [ 准备和响应 AWS 环境中的安全事件 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**相关示例:**
+ [ 实验室:AWS 账户设置和根用户 ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ 实验:使用 AWS 控制台和 CLI 的事件响应 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 预先部署工具
确保安全人员将适当的工具预先部署到 AWS 中,以缩短调查到恢复的时间。
要自动化安全工程和运营功能,您可以使用 AWS 提供的一整套 API 和工具。您可以完全自动执行身份管理、网络安全、数据保护和监控功能,并使用您已采用的常见软件开发方法交付这些功能。当构建安全自动化时,您的系统可以监控、审核和启动响应,您不必安排人员监控您的安全位置并对事件做出人为响应。跨 AWS 服务,自动向意外事件响应者提供可搜索的相关日志数据的有效方法是启用 [Amazon Detective](https://aws.amazon.com/detective/).
如果您的事件响应团队继续以同样的方式响应警报,警报可能会让他们应接不暇。随着时间的推移,团队对警报的敏感性可能会下降,并可能在处理正常情况时犯错或者错过异常警报。利用一些功能自动处理重复和正常的警报,并将敏感、特殊的事件交由人员来处理,这样有助于避免疲于应对警报。集成异常检测系统(例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch Anomaly Detection)可以减轻常见的基于阈值的警报负担。
您可以通过编程方式自动执行此流程中的步骤,从而改进手动流程。为事件定义修复模式之后,您可以将此模式分解为可执行的逻辑,并编写代码以执行此逻辑。随后,响应者即可执行此代码以修复问题。随着时间的推移,您可以自动化越来越多的步骤,并最终自动处理各类常见事件。
对于在您的 Amazon Elastic Compute Cloud(Amazon EC2)实例的操作系统内运行的工具,您应使用 AWS Systems Manager Run Command 执行评估,它可以使用您安装在 Amazon EC2 实例操作系统中的代理,安全地远程管理实例。它需要使用 Systems Manager 代理(SSM 代理),很多亚马逊云机器镜像(AMI,Amazon Machine Image)中都默认安装了此代理。但请注意,一旦某个实例受损,此实例上运行的工具或代理所做出的任何响应都应被视为不可信赖的响应。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 预先部署工具:确保安全人员在 AWS 中预先部署了适当的工具,以便对意外事件做出适当响应。
+ [实验:使用 AWS 管理控制台和 CLI 响应意外事件 ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ 使用 Jupyter 的意外事件响应行动手册 – AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [AWS 安全自动化 ](https://github.com/awslabs/aws-security-automation)
+ 实施资源标记:用信息标记资源(例如,正在调查的资源的代码),以便在意外事件期间确定资源。
+ [AWS 标记策略 ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## 资源
**相关文档:**
+ [AWS 意外事件响应指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [ 运行手册、事件报告和事件响应 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 执行实际试用
实际试用(也称为模拟或练习)是一些内部事件,可提供结构化机会,使您能够在逼真的场景中练习您的事件管理计划和流程。这些事件应让响应者练习在真实场景中使用的相同工具和技术,甚至应该模仿真实环境。实际试用主要涉及做好准备,并以迭代方式提高您的响应能力。有些原因能够让您发现开展实际试用活动的价值,这些原因包括:
+ 验证准备情况
+ 建立信心 – 从模拟中学习以及开展员工培训
+ 履行合规或合同义务
+ 生成资格鉴定构件
+ 敏捷 – 增量改进
+ 速度更快并且不断改进的工具
+ 优化沟通和上报
+ 适应罕见和意外的情况
由于这些原因,通过参与模拟活动而学到的东西能够让组织有效地应对压力事件。开展既逼真又有益的模拟活动可能是一项非常困难的练习。尽管对可处理常见事件的流程或自动化进行测试能够实现一些优势,但只有参与创造性的 [安全意外事件响应模拟(SIRS,Security Incident Response Simulation)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) 活动以测试您应对意外情况的能力并持续改进时,这些测试才能体现价值。
创建为您的环境、团队和工具定制的自定义模拟。找出一个问题,并围绕该问题设计您的模拟。这样的问题可以包括凭证泄露、服务器与不必要的系统通信或者导致未经授权暴露的错误配置。确定由熟悉组织的工程师创建场景,并确定另一个团队来参与其中。场景应是逼真的且具有挑战性,这样才有价值。它应包含掌握日志记录、通知、上报和执行运行手册或自动化的机会。在模拟过程中,响应者应练习他们的技术和组织技能,领导者应培养他们的意外事件管理技能。在模拟结束时,庆祝团队取得的成效,并寻找迭代、重复和扩展到深度模拟的方法。
[AWS 已创建意外事件响应运行手册模板,](https://github.com/aws-samples/aws-incident-response-playbooks) 您不仅可以使用该模板准备您的响应工作,还可以将该模板用作模拟的基础。在规划时,可以将模拟分为五个阶段。
**证据收集: **在这个阶段,团队将通过各种方式获得提醒,例如内部票证系统、来自监控工具的提醒、匿名提示甚至是公共新闻。之后,团队开始审查基础设施和应用程序日志来确定问题来源。此步骤还将涉及内部上报和意外事件领导力。在确定后,团队将继续控制意外事件
**控制意外事件: **团队确定发生了意外事件并确立了问题来源。现在,团队应采取行动来控制意外事件,例如,通过禁用已泄露的凭证、隔离计算资源或撤销角色的权限。
**解决意外事件: **现在,团队已控制意外事件,他们将努力减少应用程序或基础设施配置中任何易受攻击的漏洞。这可能包括轮换用于工作负载的所有凭证、修改访问控制列表(ACL,Access Control List)或更改网络配置。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 运行 [实际试用](https://wa.aws.amazon.com/wat.concept.gameday.en.html):运行模拟 [意外事件](https://wa.aws.amazon.com/wat.concept.incident.en.html) 响应 [事件(实际试用)](https://wa.aws.amazon.com/wat.concept.event.en.html) 来处理涉及关键人员和管理的各种威胁。
+ 记录经验教训:从运行 [实际试用](https://wa.aws.amazon.com/wat.concept.gameday.en.html) 中获得的经验教训应成为反馈循环的一部分以改进流程。
## 资源
**相关文档:**
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS 弹性灾难恢复](https://aws.amazon.com/cloudendure-disaster-recovery/)
**相关视频:**
+ [ 运行手册、事件报告和事件响应 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)