本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 雲端團隊範例:變更 VPC 組態 雲端團隊負責分類和修復具有常見趨勢的安全性調查結果,例如變更可能不適合您的使用案例的 AWS 預設設定。這些調查結果往往會影響許多 AWS 帳戶 或 資源,例如 VPC 組態,或包含應放置在整個環境中的限制。在大多數情況下,雲端團隊會手動進行一次性變更,例如新增或更新政策。 組織使用 AWS 環境一段時間後,您可能會發現一組反模式正在開發中。*反模式*是經常性問題的常用解決方案,其解決方案具有反生產力、無效或效果不如替代方案。作為這些反模式的替代方案,您的組織可以使用更有效的全環境限制,例如 AWS Organizations 服務控制政策 (SCPs) 或 IAM Identity Center 許可集。SCPs和許可集可以為資源類型提供額外的限制,例如防止使用者設定公有 Amazon Simple Storage Service (Amazon S3) 儲存貯體。雖然限制每個可能的安全組態可能會很有吸引力,但 SCPs 和許可集有政策大小限制。我們建議採取平衡方法來進行預防性和偵測性控制。 以下是雲端團隊可能負責 AWS Security Hub CSPM [之基礎安全最佳實務 (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 標準的一些控制: + [【EC2.2】 VPC 預設安全群組不應允許傳入和傳出流量](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [【Config.1】 AWS Config 應啟用](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) 在此範例中,雲端團隊正在解決 FSBP 控制 EC2.2 的問題清單。此控制項[的文件](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2)建議不要使用預設安全群組,因為它允許透過預設傳入和傳出規則進行廣泛存取。由於無法刪除預設安全群組,因此建議變更規則設定以限制傳入和傳出流量。為了有效地解決此問題,雲端團隊應使用已建立的機制來修改所有 VPCs的安全群組規則,因為每個 VPC 都有此預設安全群組。在大多數情況下,雲端團隊會使用[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)自訂或基礎設施即程式碼 (IaC) 工具來管理 VPC 組態,例如 [https://www.terraform.io/](https://www.terraform.io/)或 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)。