# SEC 6 如何保护计算资源?
工作负载内的计算资源需要采用多层防御,才有助于免受内部和外部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。
**Topics**
+ [SEC06-BP01 执行漏洞管理](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 缩小攻击面](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 实施托管服务](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 自动保护计算](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 帮助人员远程执行操作](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 验证软件完整性](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 执行漏洞管理
频繁扫描和修补您的代码、依赖项和基础设施中的漏洞,以帮助防御新的威胁。
从计算基础设施的配置开始,您可以使用 AWS CloudFormation 自动创建和更新资源。通过 CloudFormation,您可以使用 AWS 示例或者自行编写,创建以 YAML 或 JSON 格式编写的模板。这样您便可以创建默认安全的基础设施模板,通过 [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)进行验证,从而节省时间并减少配置错误的风险。您可以使用持续交付来构建基础设施并部署应用程序,例如,使用 [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)来自动进行构建、测试和发布。
您负责自己 AWS 资源的补丁管理,包括 Amazon Elastic Compute Cloud(Amazon EC2)实例、亚马逊云机器镜像(AMI)以及众多其他计算资源。对于 Amazon EC2 实例,AWS Systems Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。(在 Windows Server 上,应用程序支持仅限于 Microsoft 应用程序的更新。) 您可以使用 Patch Manager 在 Windows 实例上安装服务包,以及在 Linux 实例上执行次要版本升级。您可以按操作系统类型修补 Amazon EC2 实例集或本地服务器和虚拟机队列。这包括 Windows Server、Amazon Linux、Amazon Linux 2、CentOS、Debian Server、Oracle Linux、Red Hat Enterprise Linux(RHEL)、SUSE Linux Enterprise Server(SLES)和 Ubuntu Server 的受支持版本。您可以扫描实例以单独查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 配置 Amazon Inspector:Amazon Inspector 测试 Amazon Elastic Compute Cloud(Amazon EC2)实例的网络可访问性,以及在这些实例上运行应用程序的安全状态。Amazon Inspector 评估应用程序的风险、漏洞以及相较于最佳实践的偏差。
+ [什么是 Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ 扫描源代码:扫描库和依赖项,以确定是否有漏洞。
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP:源代码分析工具](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 缩小攻击面
通过强化操作系统,并尽量减少所使用的组件、库和外部可用的服务,缩小暴露在意外访问下的危险。首先减少未使用的组件,无论它们是操作系统程序包、应用程序(适用于基于 Amazon Elastic Compute Cloud(Amazon EC2)的工作负载)还是您代码中的外部软件模块(适用于所有工作负载)。您可以找到许多面向常见的操作系统和服务器软件的强化和安全配置指南。例如,您可以从 [互联网安全中心](https://www.cisecurity.org/) 开始并进行迭代。
在 Amazon EC2 中,您可以创建自己的亚马逊云机器镜像(AMI)并进行修补和强化,以帮助您满足企业的特定安全要求。您应用到 AMI 上的补丁和其他安全控制措施在其创建时生效,它们并非动态的,除非您在启动之后进行了修改,例如,使用 AWS Systems Manager 进行修改。
您可以使用 EC2 Image Builder 简化构建安全 AMI 的过程。EC2 Image Builder 可大幅减少创建和维护黄金镜像所需的工作,无需编写和维护自动化过程。在有软件更新可用时,Image Builder 自动生成新的镜像,无需用户手动迭代镜像工作版本。通过 EC2 Image Builder,您可以使用 AWS 提供的测试和自己的测试,在将镜像部署到生产环境中之前轻松地验证镜像的功能和安全性。您还可以应用 AWS 提供的安全设置来进一步保护自己的镜像,满足内部安全标准。例如,您可以使用 AWS 提供的模板,生成符合安全技术实施指南(STIG,Security Technical Implementation Guide)标准的镜像。
使用第三方静态代码分析工具,您可以确定常见的安全问题,例如未检查的函数输入边界,以及适用的通用漏披露(CVE,Common Vulnerabilities and Exposures)。您可以对所支持的语言使用 [Amazon CodeGuru](https://aws.amazon.com/codeguru/) 。您还可以使用第三方依赖关系检查工具,确定代码链接的库是否是最新版本、它们是否不含 CVE,并确保您拥有符合您软件政策要求的许可条件。
使用 Amazon Inspector,您可以针对 CVE,对您的实例执行配置评估、根据安全基准执行评估以及实现缺陷通知自动化。Amazon Inspector 在生产实例或构建管道中运行,它会在发现结果时通知开发人员和工程师。您可以通过编程方式访问调查结果,并将您的团队引导至待办事项和错误跟踪系统。 [EC2 Image Builder](https://aws.amazon.com/image-builder/) 可通过自动化修补、AWS 提供的安全策略实施和其他自定义来维护服务器映像 (AMI)。当使用容器时,在您的构建管道中对您的映像存储库定期实施 [ECR 映像扫描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) ,以便在您的容器中查找 CVE。
尽管 Amazon Inspector 和其他工具能够有效地确定配置和存在的任何 CVE,但也需要使用其他方法在应用程序级别测试您的工作负载。 [模糊](https://owasp.org/www-community/Fuzzing) 是一种众所周知的查错方法,可自动将格式不正确的数据注入到您应用程序的输入字段和其他区域来查错。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 强化操作系统:配置操作系统以符合最佳实践。
+ [保护 Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [保护 Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ 强化容器化资源:配置容器化资源以符合安全最佳实践。
+ 实施 AWS Lambda 最佳实践。
+ [AWS Lambda 最佳实践](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 实施托管服务
实施用于托管资源的服务,例如 Amazon Relational Database Service(Amazon RDS)、AWS Lambda 和 Amazon Elastic Container Service(Amazon ECS),以便在责任共担模式中减少安全维护任务。例如,Amazon RDS 可帮助您设置、操作和扩展关系数据库,并自动执行管理任务,例如硬件预置、数据库设置、修补和备份。这意味着您将有更多的空闲时间,因此可以专注于通过 AWS Well-Architected Framework 中所述的其他方法来保护您的应用程序。使用 Lambda,无需使用预置或托管服务器即可运行代码,因此您只需在代码级别专注于连接、调用和安全性,而不是基础设施或操作系统级别。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 探索可用的服务:探索、测试和实施管理资源的服务,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
## 资源
**相关文档:**
+ [AWS 网站 ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:AWS Certificate Manager 请求公有证书 ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 自动保护计算
自动执行计算保护机制,包括管理漏洞、缩小攻击面和管理资源。此自动化将帮助您投入时间以保护工作负载的其他方面,并降低人为犯错的风险。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 自动管理配置:使用配置管理服务或工具自动实施安全配置并对其进行验证。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [实验室:自动部署 VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ 自动修补 Amazon Elastic Compute Cloud(Amazon EC2)实例:AWS Systems Manager Patch Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ 实施入侵检测和预防:实施入侵检测和预防工具,以监控并停止实例上的恶意活动。
+ 考虑使用 AWS Partner 解决方案:AWS 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云和本地部署环境中部署全面的安全架构,进而实现更无缝的体验。
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 资源
**相关文档:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 帮助人员远程执行操作
移除交互式访问功能可降低人为错误的风险以及手动配置或管理的可能性。例如,通过更改管理工作流,使用基础设施即代码部署 Amazon Elastic Compute Cloud(Amazon EC2)实例,然后使用 AWS Systems Manager 等工具管理 Amazon EC2 实例,而不是允许直接访问或通过堡垒主机进行访问。AWS Systems Manager 可以使用 [自动化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [工作流](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)、[文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (行动手册)和 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)等功能自动执行多种维护和部署任务。AWS CloudFormation 堆栈从管道进行构建,并能够自动执行您的基础设施部署和管理任务,而无需直接使用 AWS 管理控制台或 API。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 替换控制台访问:用 AWS Systems Manager Run Command 替换实例的控制台访问(SSH 或 RDP),以自动管理任务。
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 验证软件完整性
实施一些机制(例如代码签名),以确保工作负载中使用的软件、代码和库来自可信的来源且未被篡改。例如,您应验证二进制文件和脚本的代码签名证书以确认作者,并确保证书自作者创建以来未被篡改。[AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 通过集中管理代码签名生命周期,包括签名证书以及公有和私有密钥,帮助确保代码的可信度和完整性。您可以了解如何对 [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/)使用代码签名的高级模式和最佳实践。此外,通过将您下载的软件的校验和与提供商提供的校验和进行对比,可帮助确保它未被篡改。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 调查机制:代码签名是一种可用来验证软件完整性的机制。
+ [NIST:代码签名的安全注意事项](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## 资源
**相关文档:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [新增 – 代码签名,用于 AWS Lambda 的可信度和完整性控制措施](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)