安全性 - Amazon Web Services 支持
Amazon S3 存储桶权限ELB 侦听器安全Classic Load Balancer 安全组IAM 密码策略安全组 – 不受限制的特定端口安全组 – 不受限制的访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全性

您可以使用以下安全类别检查。

注意

如果您为启用了 Security Hub Amazon Web Services 账户,则可以在 Trusted Advisor 控制台中查看您的发现。有关信息,请参阅在中查看 Amazon Security Hub 控件 Amazon Trusted Advisor

您可以查看 Amazon 基础安全最佳实践安全标准中的所有控件,但类别为 “恢复” > “弹性” 的控件除外。有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon 基础安全最佳实践控件

Amazon S3 存储桶权限

描述

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 Amazon

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

检查 ID

Pfx0RwqBli

警报标准

  • 黄色:对于所有人任何经过身份验证的 Amazon 用户,桶 ACL 允许“列出”访问权限。

  • 黄色:存储桶策略允许任何种类的开放访问。

  • 黄色:存储桶策略具有授予公有访问权限的语句。Block public and cross-account access to buckets that have public policies(阻止对具有公有策略的存储桶进行公有和跨账户存取)设置已打开,并且已限制为只有在删除公有语句之后,才允许该账户的授权用户访问。

  • 红色: Trusted Advisor 无权检查策略或 ACL,或者由于其他原因无法评估策略或 ACL。

  • 红色:对于所有人任何经过身份验证的 Amazon 用户,桶 ACL 允许“上传”和“删除”访问权限。

  • 绿色:根据 ACL and/or 存储桶策略,所有 Amazon S3 均符合要求。

推荐操作

如果存储桶允许开放访问,请确定是否确实需要开放访问。例如,要托管静态网站,您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问。如果可能,请更新存储桶权限以限制所有者或特定用户的访问权限。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限

其他资源

管理对 Amazon S3 资源的访问权限

为您的 Amazon S3 存储桶配置阻止公开访问设置

报告列

  • 状态

  • 区域名称

  • 区域 API 参数

  • 存储桶名称

  • ACL 允许列表

  • ACL 允许上载/删除

  • 策略允许访问

ELB 侦听器安全

描述

检查带有侦听器的经典负载均衡器,这些负载均衡器不使用推荐的安全配置进行加密通信。 Amazon 建议您使用安全协议(HTTPS 或 SSL)、 up-to-date安全策略以及安全的密码和协议。当您使用安全协议进行前端连接(客户端到负载均衡器)时,您的客户端和负载均衡器之间的请求会被加密。这创造了一个更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 Amazon 安全最佳实践。新配置可用时,会发布预定义策略的新版本。

检查 ID

a2sEc6ILx

提醒条件

  • 红色:负载均衡器没有配置安全协议 (HTTPS) 的侦听器。

  • 黄色:负载均衡器 HTTPS 侦听器配置了包含弱密码的安全策略。

  • 黄色:负载均衡器 HTTPS 侦听器未配置推荐的安全策略。

  • 绿色:负载均衡器至少有一个 HTTPS 侦听器,并且所有 HTTPS 侦听器都配置了推荐的策略。

Recommended Action(建议的操作)

如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息,请参阅 Elastic Load Balancing 的侦听器配置

其他资源
报告列

  • 状态

  • Region

  • 负载均衡器名称

  • 负载均衡器端口

  • Reason

Classic Load Balancer 安全组

描述

检查是否配置了安全组的负载均衡器,该安全组允许访问未为负载均衡器配置的端口。

如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。

检查 ID

xSqX82fQu

提醒条件

  • 黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。

  • 绿色:与负载均衡器关联的 Amazon VPC 安全组的入站规则不允许访问负载均衡器侦听器配置中未定义的端口。

Recommended Action(建议的操作)

配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器VPC 中的负载均衡器的安全组

如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组

其他资源
报告列

  • 状态

  • Region

  • 负载均衡器名称

  • 安全组 IDs

  • Reason

IAM 密码策略

描述

检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 Amazon 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。

检查 ID

Yw2K9puPzl

提醒条件

  • 绿色:密码策略已启用,并启用推荐内容要求。

  • 黄色:密码策略已启用,但至少有一项内容要求未启用。

Recommended Action(建议的操作)

如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅为 IAM 用户设置账户密码策略

要访问 Amazon Web Services Management Console,IAM 用户需要密码。作为最佳实践, Amazon 强烈建议您使用联合身份验证,而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 Amazon Web Services Management Console。使用 IAM Identity Center 创建用户或联合用户,然后在账户中担任 IAM 角色。

要了解有关身份提供商和联合身份验证的更多信息,请参阅 IAM 用户指南中的身份提供商和联合。要了解有关 IAM 身份中心的更多信息,请参阅 IAM 身份中心用户指南

其他资源

管理密码

报告列

  • 密码策略

  • 大写

  • 小写

  • 数字

  • 非字母数字

安全组 – 不受限制的特定端口

描述

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。

注意

此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 Amazon Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

注意

此检查报告根据标准标记的资源以及评估的资源总数,包括OK资源。资源表仅列出已标记的资源。

检查 ID

HCP4007jGY

提醒条件

  • 绿色:安全组在端口 80、25、443 或 465 上提供不受限制的访问。

  • 红色:安全组附加到资源,可以不受限制地访问端口 20、21、22、1433、1434、3306、3389、4333、5432 或 5500。

  • 黄色:安全组提供对任何其他端口的无限制访问。

  • 黄色:安全组未附加到任何资源,并且提供不受限制的访问权限。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

查看并删除未使用的安全组。您可以使用 Amazon Firewall Manager 大规模集中配置和管理安全组。有关更多信息 Amazon Web Services 账户,请参阅Amazon Firewall Manager 文档

考虑使用 Systems Manager 会话管理器对 SSH(端口 22)和 RDP(端口 3389)访问实例。 EC2 使用会话管理器,您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。

其他资源
报告列

  • 状态

  • Region

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

  • 关联

安全组 – 不受限制的访问

描述

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。

注意

此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 Amazon Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

注意

此检查报告根据标准标记的资源以及评估的资源总数,包括OK资源。资源表仅列出已标记的资源。

检查 ID

1iG5NDGVre

提醒条件

  • 绿色:安全组规则的源 IP 地址的端口 25、80 或 443 的后缀为 /0。

  • 黄色:安全组规则的源 IP 地址的端口 25、80 或 443 以外的端口后缀为 /0,并且安全组已附加到资源。

  • 红色:安全组规则的源 IP 地址的端口 25、80 或 443 以外的端口后缀为 /0,并且安全组未连接到资源。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

查看并删除未使用的安全组。您可以使用 Amazon Firewall Manager 大规模集中配置和管理安全组。有关更多信息 Amazon Web Services 账户,请参阅Amazon Firewall Manager 文档

考虑使用 Systems Manager 会话管理器对 SSH(端口 22)和 RDP(端口 3389)访问实例。 EC2 使用会话管理器,您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。

其他资源
报告列

  • 状态

  • Region

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

  • IP 范围

  • 关联