安全性 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

安全性

您可以使用以下安全类别检查。

注意

如果为您的 Amazon Web Services 账户 启用 Security Hub,则可以在 Trusted Advisor 控制台中查看检查结果。有关信息,请参阅 在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件

您可以查看 Amazon 基础安全最佳实践安全标准中的所有控件,但具有 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外。有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon基础安全最佳实践控件

使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例

说明

检查过去 24 小时内运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例的 SQL Server 版本。如果该版本的支持接近或已经终止,则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年延伸支持。支持终止后,该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。

注意

此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。当前,您无法从此检查中排除资源。

检查 ID

Qsdfp3A4L3

Amazon S3 存储桶权限

说明

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限,或允许访问任何经过身份验证的 Amazon 用户的存储桶。

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

检查 ID

Pfx0RwqBli

ELB 侦听器安全

说明

检查负载平衡器与未使用推荐的安全配置进行加密通信的侦听器。Amazon 建议使用安全协议(HTTPS 或 SSL)、最新的安全策略以及安全的密码和协议。

当您为前端连接(客户端到负载均衡器)使用安全协议时,客户端和负载均衡器之间的请求将被加密,从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 Amazon 安全最佳实践。新配置可用时,会发布预定义策略的新版本。

检查 ID

a2sEc6ILx

ELB 安全组

说明

检查配置了缺失安全组,或者允许访问未针对负载均衡器配置的端口的安全组的负载均衡器。

如果删除与某个负载均衡器关联的安全组,则负载均衡器将无法按预期工作。如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。

检查 ID

xSqX82fQu

IAM 密码策略

说明

检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 Amazon 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。

检查 ID

Yw2K9puPzl

安全组 – 不受限制的特定端口

说明

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问增加了恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

检查 ID

HCP4007jGY

安全组 – 不受限制的访问

说明

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问增加了恶意活动(黑客攻击、拒绝服务攻击、数据丢失)的机会。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

检查 ID

1iG5NDGVre