本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 應用程式團隊範例:建立 AWS Config 規則 以下是 Security Hub CSPM [基礎安全最佳實務 (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 安全標準中應用程式或開發團隊可能負責的一些控制: + [【CloudFront.1] CloudFront 分佈應設定預設根物件](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1) + [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) + [【CodeBuild.1] CodeBuild GitHub 或 Bitbucket 來源儲存庫 URLs應使用 OAuth](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1) + [【ECS.4】 ECS 容器應執行為非特殊權限](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4) + [【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) 在此範例中,應用程式團隊正在解決 FSBP 控制 EC2.19 的問題清單。此控制項會檢查風險最高的指定連接埠是否可以存取安全群組不受限制的傳入流量。如果安全群組中的任何規則允許從`::/0`這些連接埠傳入流量`0.0.0.0/0`,則此控制會失敗。此控制項[的文件](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19)建議刪除允許此流量的規則。 除了處理個別安全群組規則之外,這是應該產生新 AWS Config [規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)的調查結果的絕佳範例。透過使用[主動評估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes),您可以協助防止未來部署有風險的安全群組規則。主動模式會在資源部署之前對其進行評估,以防止設定錯誤的資源及其相關聯的安全調查結果。實作新服務或新功能時,應用程式團隊可以在持續整合和持續交付 (CI/CD) 管道中以主動模式執行規則,以識別不合規的資源。下圖顯示如何使用主動 AWS Config 規則來確認 AWS CloudFormation 範本中定義的基礎設施是否合規。 ![主動 AWS Config 規則會檢查 AWS CloudFormation 範本是否合規](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png) 在此範例中可以獲得另一個重要的效率。當應用程式團隊建立主動 AWS Config 規則時,他們可以在常見的程式碼儲存庫中共用它,以便其他應用程式團隊可以使用它。 與 Security Hub CSPM 控制項相關聯的每個問題清單都包含問題清單的詳細資訊,以及修復問題的說明連結。雖然雲端團隊可能會遇到需要手動、一次性修復的問題清單,但我們建議在適當的時候建置主動檢查,以盡早在開發過程中識別問題。