安全性 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全性

您可以使用以下安全类别检查。

注意

如果为您的 Amazon Web Services 账户 启用 Security Hub,则可以在 Trusted Advisor 控制台中查看检查结果。有关信息,请参阅 在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件

您可以查看 Amazon 基础安全最佳实践安全标准中的所有控件,但具有 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外。有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon基础安全最佳实践控件

带有 Ubuntu LTS 的 Amazon EC2 实例已终止标准支持

说明

如果版本接近标准支持或已达到标准支持的终止日期,则此检查会提醒您。采取行动非常重要,要么迁移到下一个LTS,要么升级到Ubuntu Pro。支持终止后,您的 18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后,你的 Ubuntu 18.04 LTS 部署可以在 2028 年之前获得扩展安全维护 (ESM)。仍未修补的安全漏洞会使您的系统受到黑客攻击,并有可能出现重大漏洞。

检查 ID

c1dfprch15

提醒条件

红色:亚马逊 EC2 实例的 Ubuntu 版本已达到标准支持的终止(Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.4 LTS、18.04.5 LTS 和 18.04.6 LTS)。

黄色:亚马逊 EC2 实例的 Ubuntu 版本将在不到 6 个月的时间内结束标准支持(Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.4 LTS、20.04.5 LTS 和 20.04.6 LTS)。

绿色:所有 Amazon EC2 实例均合规。

Recommended Action(建议的操作)

要将 Ubuntu 18.04 LTS 实例升级到支持的 LTS 版本,请按照本文中提到的步骤进行操作。要将 Ubuntu 18.04 LTS 实例升级到 Ubuntu Pro,请访问Amazon License Manager控制台并按照用户指南中提到的步骤进行操作。Amazon License Manager你也可以参阅 Ubuntu 博客,其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。

其他资源

有关定价的信息,请联系Amazon Web Services Support

报告列
  • 状态

  • 区域

  • Ubuntu Lts 版本

  • Support 的预计终止日期

  • 实例 ID

  • 支持周期

  • 上次更新时间

Amazon EFS 客户端未使用 data-in-transit 加密

说明

检查 Amazon EFS 文件系统是否使用 data-in-transit 加密方式挂载。 Amazon建议客户对所有数据流使用 data-in-transit 加密,以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户使用 “-o tls” 挂载设置,使用 Amazon EFS 挂载帮助程序使用 TLS v1.2 对传输中的数据进行加密。

检查 ID

c1dfpnchv1

提醒条件

黄色:您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit 加密功能的推荐挂载设置。

绿色:您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit 加密功能的挂载设置。

Recommended Action(建议的操作)

要利用 Amazon EFS 上的 data-in-transit 加密功能,我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。

注意

某些 Linux 发行版不包含默认支持 TLS 功能的 stunnel 版本。如果您使用的是不支持的 Linux 发行版(请参阅此处支持的发行版),那么我们建议您在使用推荐的装载设置重新安装之前对其进行升级。

其他资源
报告列
  • 状态

  • 区域

  • EFS 文件系统 ID

  • 连接未加密的可用区

  • 上次更新时间

Amazon Route 53 不匹配直接指向 S3 存储桶的 CNAME 记录

说明

使用直接指向 Amazon S3 存储桶主机名的别名记录检查 Amazon Route 53 托管区域,如果您的别名记录与您的 S3 存储桶名称不匹配,则会发出警报。

检查 ID

c1ng44jvbm

提醒条件

红色:Amazon Route 53 托管区域的别名记录表明 S3 存储桶主机名不匹配。

绿色:在您的 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。

Recommended Action(建议的操作)

将别名记录指向 S3 存储桶主机名时,必须确保您配置的任何别名记录或别名记录都存在匹配的存储桶。通过这样做,您可以避免CNAME记录被欺骗的风险。您还可以防止任何未经授权的Amazon用户使用您的域名托管错误或恶意的网络内容。

为避免将别名记录直接指向 S3 存储桶主机名,请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront

有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息,请参阅使用别名记录自定义 Amazon S3 网址

其他资源
报告列
  • 状态

  • 托管区域 ID

  • 托管区域 ARN

  • 匹配 CNAME 记录

  • 别名记录不匹配

  • 上次更新时间

Amazon S3 存储桶权限

说明

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限,或允许访问任何经过身份验证的 Amazon 用户的存储桶。

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

检查 ID

Pfx0RwqBli

提醒条件
  • 黄色:对于所有人任何经过身份验证的 Amazon 用户,桶 ACL 允许“列出”访问权限。

  • 黄色:存储桶策略允许任何种类的开放访问。

  • 黄色:存储桶策略具有授予公有访问权限的语句。Block public and cross-account access to buckets that have public policies(阻止对具有公有策略的存储桶进行公有和跨账户存取)设置已打开,并且已限制为只有在删除公有语句之后,才允许该账户的授权用户访问。

  • 黄色:Trusted Advisor 无权检查策略,或出于其他原因无法评估策略。

  • 红色:对于所有人任何经过身份验证的 Amazon 用户,桶 ACL 允许“上传”和“删除”访问权限。

Recommended Action(建议的操作)

如果存储桶允许开放访问,请确定是否确实需要开放访问。如果不需要,请更新存储桶权限,以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限

其他资源

管理对 Amazon S3 资源的访问权限

报告列
  • 状态

  • 区域名称

  • 区域 API 参数

  • 存储桶名称

  • ACL 允许列表

  • ACL 允许上载/删除

  • 策略允许访问

ELB 侦听器安全

说明

检查负载均衡器的监听器不使用推荐的安全配置进行加密通信。 Amazon建议使用安全协议(HTTPS 或 SSL)、 up-to-date 安全策略以及安全的密码和协议。

当您为前端连接(客户端到负载均衡器)使用安全协议时,客户端和负载均衡器之间的请求将被加密,从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 Amazon 安全最佳实践。新配置可用时,会发布预定义策略的新版本。

检查 ID

a2sEc6ILx

提醒条件
  • 黄色:负载均衡器的任何侦听器均未使用安全协议(HTTPS 或 SSL)。

  • 黄色:负载均衡器侦听器使用了过时的预定义 SSL 安全策略。

  • 黄色:负载均衡器侦听器使用了不推荐的密码或协议。

  • 红色:负载均衡器侦听器使用了不安全的密码或协议。

Recommended Action(建议的操作)

如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息,请参阅 Elastic Load Balancing 的侦听器配置

其他资源
报告列
  • 状态

  • 区域

  • 负载均衡器名称

  • 负载均衡器端口

  • Reason

ELB 安全组

说明

检查配置了缺失安全组,或者允许访问未针对负载均衡器配置的端口的安全组的负载均衡器。

如果删除与某个负载均衡器关联的安全组,则负载均衡器将无法按预期工作。如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。

检查 ID

xSqX82fQu

提醒条件
  • 黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。

  • 红色:与负载均衡器关联的安全组不存在。

Recommended Action(建议的操作)

配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器VPC 中的负载均衡器的安全组

如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组

其他资源
报告列
  • 状态

  • 区域

  • 负载均衡器名称

  • 安全组 ID

  • Reason

IAM 密码策略

说明

检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 Amazon 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。

检查 ID

Yw2K9puPzl

提醒条件
  • 黄色:密码策略已启用,但至少有一项内容要求未启用。

  • 红色:未启用密码策略。

Recommended Action(建议的操作)

如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅为 IAM 用户设置账户密码策略

其他资源

管理密码

报告列
  • 密码策略

  • 大写

  • 小写

  • 数字

  • 非字母数字

安全组 – 不受限制的特定端口

说明

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问会增加恶意活动(黑客 denial-of-service 攻击、攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

注意

此检查不包括客户管理的前缀列表授予对 0.0.0.0/0 的访问权限并用作带有安全组的源的用例。

检查 ID

HCP4007jGY

提醒条件
  • 绿色:访问端口 80、25、443 或 465 不受限制。

  • 红色:访问端口 20、21、1433、1434、3306、3389、4333、5432 或 5500 不受限制。

  • 黄色:访问任何其他端口不受限制。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

其他资源
报告列
  • 状态

  • 区域

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

安全组 – 不受限制的访问

说明

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问会增加恶意活动(黑客 denial-of-service 攻击、攻击、数据丢失)的机会。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。Amazon Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可能会安全地被忽略或被排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题

注意

此检查不包括客户管理的前缀列表授予对 0.0.0.0/0 的访问权限并用作带有安全组的源的用例。

检查 ID

1iG5NDGVre

提醒条件

红色:安全组规则有一个后缀为 /0 的源 IP 地址,该后缀可用于 25、80 或 443 以外的端口。

Recommended Action(建议的操作)

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。

其他资源
报告列
  • 状态

  • 区域

  • 安全组名称

  • 安全组 ID

  • 协议

  • 起始端口

  • 终止端口

  • IP 范围