安全性 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

安全性

您可以使用以下安全类别检查。

注意

如果为您的 Amazon Web Services 账户 启用 Security Hub,则可以在 Trusted Advisor 控制台中查看检查结果。有关信息,请参阅 在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件

您可以查看 Amazon 基础安全最佳实践安全标准中的所有控件,但具有 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外。有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon基础安全最佳实践控件

Amazon S3 存储桶权限

描述

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限,或允许访问任何经过身份验证的 Amazon 用户的存储桶。

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

检查 ID

Pfx0RwqBli

提醒条件
  • 黄色:对于 Everyone(所有人)或 Any Authenticated Amazon User(任何经过身份验证的 Amazon 用户),存储桶 ACL 都允许“列出”访问权限。

  • 黄色:存储桶策略允许任何种类的开放访问。

  • 黄色:存储桶策略具有授予公有访问权限的语句。Block public and cross-account access to buckets that have public policies(阻止对具有公有策略的存储桶进行公有和跨账户存取)设置已打开,并且已限制为只有在删除公有语句之后,才允许该账户的授权用户访问。

  • 黄色:Trusted Advisor 无权检查策略,或出于其他原因无法评估策略。

  • 红色:对于 Everyone(所有人)或 Any Authenticated Amazon User(任何经过身份验证的 Amazon 用户),存储桶 ACL 都允许上传和删除访问权限。

Recommended Action(建议的操作)

如果存储桶允许开放访问,请确定是否确实需要开放访问。如果不需要,请更新存储桶权限,以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限

其他资源

管理对 Amazon S3 资源的访问权限

报告列
  • 状态

  • 区域名称

  • 区域 API 参数

  • 存储桶名称

  • ACL 允许列表

  • ACL 允许上载/删除

  • 策略允许访问

ELB 侦听器安全

描述

检查负载平衡器与未使用推荐的安全配置进行加密通信的侦听器。Amazon 建议使用安全协议(HTTPS 或 SSL)、最新的安全策略以及安全的密码和协议。

当您为前端连接(客户端到负载均衡器)使用安全协议时,客户端和负载均衡器之间的请求将被加密,从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 Amazon 安全最佳实践。新配置可用时,会发布预定义策略的新版本。

检查 ID

a2sEc6ILx

提醒条件
  • 黄色:负载均衡器的任何侦听器均未使用安全协议(HTTPS 或 SSL)。

  • 黄色:负载均衡器侦听器使用了过时的预定义 SSL 安全策略。

  • 黄色:负载均衡器侦听器使用了不推荐的密码或协议。

  • 红色:负载均衡器侦听器使用了不安全的密码或协议。

Recommended Action(建议的操作)

如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息,请参阅 Elastic Load Balancing 的侦听器配置

其他资源
报告列
  • 状态

  • 区域

  • 负载均衡器名称

  • 负载均衡器端口

  • Reason

ELB 安全组

描述

检查配置了缺失安全组,或者允许访问未针对负载均衡器配置的端口的安全组的负载均衡器。

如果删除与某个负载均衡器关联的安全组,则负载均衡器将无法按预期工作。如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。

检查 ID

xSqX82fQu

提醒条件
  • 黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。

  • 红色:与负载均衡器关联的安全组不存在。

Recommended Action(建议的操作)

配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器VPC 中的负载均衡器的安全组

如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组

其他资源
报告列
  • 状态

  • 区域

  • 负载均衡器名称

  • 安全组 ID

  • Reason

IAM 密码策略

描述

检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 Amazon 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。

检查 ID

Yw2K9puPzl

提醒条件
  • 黄色:密码策略已启用,但至少有一项内容要求未启用。

  • 红色:未启用密码策略。

Recommended Action(建议的操作)

如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅为 IAM 用户设置账户密码策略

其他资源

管理密码

报告列
  • 密码策略

  • 大写

  • 小写

  • 数字

  • 非字母数字

安全组 – 不受限制的特定端口

描述

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问增加了恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

检查 ID

HCP4007jGY

提醒条件
  • 绿色:访问端口 80、25、443 或 465 不受限制。

  • 红色:访问端口 20、21、1433、1434、3306、3389、4333、5432 或 5500 不受限制。

  • 黄色:访问任何其他端口不受限制。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

其他资源
报告列
  • 状态

  • 区域

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

安全组 – 不受限制的访问

描述

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问增加了恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

检查 ID

1iG5NDGVre

提醒条件

红色:安全组规则有一个后缀为 /0 的源 IP 地址,该后缀可用于 25、80 或 443 以外的端口。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

其他资源
报告列
  • 状态

  • 区域

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

  • IP 范围