AWS 架构完善的框架安全支柱的运营最佳实践 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 架构完善的框架安全支柱的运营最佳实践

合规性包提供通用合规性框架,该框架旨在使您能使用托管或自定义 AWS Config 规则和 AWS Config 补救操作来创建安全、运营或成本优化治理检查。作为示例模板,合规性包的设计目的不是为了充分确保符合特定的监管或合规性标准。您有责任自行评估您对服务的使用是否符合适用的法律和法规要求。

下面提供了 Amazon Web Service 的架 Well-Architected 的框架安全支柱和 AWS 托管 Config 规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并与支柱的一个或多个设计原则相关。一个 Well-Architected 框架类别可以与多个 Config 规则相关联。有关这些映射的详细信息和指南,请参阅下表。

此合规性包通过了 AWS 安全保证服务 LLC (AWS SAS) 验证,该 LLC 是一个由支付卡行业合格安全评估员 (QSA)、HITRUST 认证通用安全框架从业员 (CCSFP) 和合规专业人员组成的团队,他们通过了各种行业框架. AWS SAS 专业人员设计了此一致性包,使客户能够与架构良好的框架安全支柱设计原则的子集保持一致。

AWS 区域: 除中东(巴林)以外的所有支持的 AWS 区域

控制 ID 控制说明 AWS Config 规则 指南
SEC-1 您如何安全地操作您的工作负载? 要安全地运行工作负载,您必须将总体最佳实践应用于安全的每个领域。在组织和工作负载级别,采纳您在卓越运营方面定义的要求和流程,并将其应用于所有领域。了解 AWS 和行业建议以及威胁情报的最新信息,可帮助您改进威胁模型和控制目标。通过自动化安全流程、测试和验证,您可以扩展安全操作。

AWS AWS Organizations 中的 AWS 账户集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致,从而可能暴露资源和敏感数据。
SEC-1 您如何安全地操作您的工作负载? 要安全地运行工作负载,您必须将总体最佳实践应用于安全的每个领域。在组织和工作负载级别,采纳您在卓越运营方面定义的要求和流程,并将其应用于所有领域。了解 AWS 和行业建议以及威胁情报的最新信息,可帮助您改进威胁模型和控制目标。通过自动化安全流程、测试和验证,您可以扩展安全操作。

codebuild-project-envvar-awscred-check

确保 AWS 代码构建项目环境中不存在 AWS_ACCESS_KEY_ID 和 AWS_SECRET_KEY。不要以明文形式存储这些变量。将这些变量以明文方式存储会导致意外的数据暴露和未经授权的访问。
SEC-1 您如何安全地操作您的工作负载? 要安全地运行工作负载,您必须将总体最佳实践应用于安全的每个领域。在组织和工作负载级别,采纳您在卓越运营方面定义的要求和流程,并将其应用于所有领域。了解 AWS 和行业建议以及威胁情报的最新信息,可帮助您改进威胁模型和控制目标。通过自动化安全流程、测试和验证,您可以扩展安全操作。

iam-root-access-key-check

通过检查根用户是否没有附加到其 AWS Identity and Access Management (IAM) 角色的访问密钥,可以控制对系统和资产的访问。确保已删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助整合最少功能的原则。
SEC-1 您如何安全地操作您的工作负载? 要安全地运行工作负载,您必须将总体最佳实践应用于安全的每个领域。在组织和工作负载级别,采纳您在卓越运营方面定义的要求和流程,并将其应用于所有领域。了解 AWS 和行业建议以及威胁情报的最新信息,可帮助您改进威胁模型和控制目标。通过自动化安全流程、测试和验证,您可以扩展安全操作。

通过确保为根用户启用硬件 MFA,管理对 AWS 云中资源的访问。根用户是账户中权限最高的用 AWS。MFA 为用户名和密码之上增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少 AWS 账户遭到破坏的事件。
SEC-1 您如何安全地操作您的工作负载? 要安全地运行工作负载,您必须将总体最佳实践应用于安全的每个领域。在组织和工作负载级别,采纳您在卓越运营方面定义的要求和流程,并将其应用于所有领域。了解 AWS 和行业建议以及威胁情报的最新信息,可帮助您改进威胁模型和控制目标。通过自动化安全流程、测试和验证,您可以扩展安全操作。

通过确保根用户启用 MFA,管理对 AWS 云中资源的访问。根用户是账户中权限最高的用 AWS。MFA 为用户名和密码之上增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少 AWS 账户遭到破坏的事件。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

access-keys-rotated

通过确保根据组织策略轮换 IAM 访问密钥,对授权设备、用户和流程进行证书审核。安全最佳实践是定期更改访问密钥。它缩短了访问密钥处于活动状态的时间,并减少了密钥被泄露时的业务影响。此规则需要访问密钥轮换值(Config 默认值:90)。实际值应反映组织的策略。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以根据最小权限和职责分离原则来管理和合并访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,被称为密钥分发中心 (Kerberos 服务器)。它为委托人提供了一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证来执行此操作。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。它们满足或超过 NIST SP 800-63 和互联网安全中心 (CIS) AWS 基础基准测试中关于密码强度的要求。此规则允许您选择性地设置要求(AWS 基础安全最佳实践值:true)、要求较低(AWS 基础安全最佳实践值:true)、要求数据(AWS 基础安全最佳实践值:true)、Reserumbols(AWS 基础安全最佳实践值:true)、RefreRequireNumbers(AWS 基础数据编号)安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映组织的策略。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可确保 IAM 用户至少是一个组的成员,从而帮助您限制访问权限和授权。允许用户完成任务所需的更多权限可能违反最小权限和职责分离的原则。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

iam-root-access-key-check

通过检查根用户是否没有附加到其 AWS Identity and Access Management (IAM) 角色的访问密钥,可以控制对系统和资产的访问。确保已删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助整合最少功能的原则。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

通过确保为根用户启用硬件 MFA,管理对 AWS 云中资源的访问。根用户是账户中权限最高的用 AWS。MFA 为用户名和密码之上增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少 AWS 账户遭到破坏的事件。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

通过确保根用户启用 MFA,管理对 AWS 云中资源的访问。根用户是账户中权限最高的用 AWS。MFA 为用户名和密码之上增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少 AWS 账户遭到破坏的事件。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别了这些未使用的凭据,则应禁用和/或删除凭据,因为这可能违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge 间(Config 默认值:90)。实际值应反映组织的策略。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

mfa-enabled-for-iam-console-access

通过确保为拥有控制台密码的所有 AWS 身份和访问管理 (IAM) 用户启用 MFA,管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

secretsmanager-rotation-enabled-check

此规则可确保 AWS Secrets Manager 机密已启用轮换功能。定期旋转机密可以缩短机密处于活动状态的时间,并且在秘密被泄露时可能会降低业务影响。
SEC-2 如何管理人员和计算机的身份验证? 验证需要验证某人(一个人)或某些东西(一台机器)的身份。这包括您的 AWS 账户的管理员以及您的工作负载的其他操作员和最终用户。计算机访问是指一个组件与另一个组件(例如,调用 API 的应用程序)进行身份验证。这既包括组织内部的计算机,也包括需要访问权限的外部方。了解类型(人员/机器)以及与组织的关系(内部/外部)将决定身份验证(用户名/密码,加上 MFA、密钥/密钥、API 密钥)以及身份应存储的位置(根用户、IAM、API Gateway、Amazon Cognito、IDP 联合)。

secretsmanager-scheduled-rotation-success-check

此规则可确保 AWS Secrets Manager 密码已根据轮换计划成功旋转。定期轮换机密可以缩短机密处于活动状态的时间,并可能降低其泄露的业务影响。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

elb-deletion-protection-enabled

此规则可确 Elastic Load Balancing 了删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以根据最小权限和职责分离原则来管理和合并访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,被称为密钥分发中心 (Kerberos 服务器)。它为委托人提供了一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证来执行此操作。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 可以通过确保 IAM 组至少有一个 IAM 用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。根据 IAM 用户的关联权限或工作职能将其置于组中是纳入最小权限的一种方法。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

iam-NON-COMPLIANT

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问。AWS 建议使用托管策略而不是内联策略。托管策略允许重用性、版本控制和回滚以及委派权限管理。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您将最小权限和职责分离原则与访问权限和授权相结合,从而限制策略包含 “效果”:“Allow"(其中在 “Resource”: “*” 上方包含 “Resource”: “*”。 允许用户拥有超过完成任务所需的更多权限可能违反最小权限和职责分离的原则。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色,用于控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份接收或保留过多权限的机会。
SEC-3 如何管理人员和计算机的授权? 授权是您授予人员或计算机访问您的工作负载的权限或权限。权限控制某人或某人有权访问的内容,包括您的 AWS 账户、管理、内部组件、API、最终用户等。

rds-实例deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致应用程序的可用性丧失。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种洞察使用户活动的可见性。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据可提供 AWS 账户中 API 调用活动的详细信息。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助解决不可否认问题。您可以识别调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail 记录内容中查看。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloud-trail-encryption-enabled

由于敏感数据可能存在,并且为了帮助保护静态数据,请确保您的 AWS CloudTrail 跟踪启用了加密功能。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloud-trail-log-file-validation-enabled

利用 AWS CloudTrail 日志文件验证检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。此功能是使用行业标准算法构建的:SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测到任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

启用了云跟踪,并启用了云跟踪

此规则通过检查是否启用了多个设置,有助于确保 AWS CloudTrail 使用推荐的安全最佳实践。其中包括使用日志加密、日志验证以及在多个区域启用 AWS CloudTrail。
SEC-4 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cloudwatch-alarm-action-check

在指标超过阈值达到指定数量的评估期时,Amazon CloudWatch 将警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 “alarmActionRequired”(Config 默认值:True)、“需要 insufficientDataActionRequired”(Config 默认值:True)、“okActionRequired(Config 默认值:False)的值。实际值应反映您环境的警报操作。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

cw-loggroup-retention-retention-check

确保为日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。由于缺乏可用的过去事件日志数据,因此难以重建和识别潜在的恶意事件。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

elb-logging-enabled

Elastic Load Balancing 活动是环境中通信的中心点。确认 ELB 日志记录已启用。收集到的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,用于标识您 AWS Cloud 环境中意外的、未经授权的恶意活动。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

支持多区域 CloudFormation

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了多区域云跟踪功能,则 CloudTrail 会将日志文件从所有 AWS 区域传送到您的 S3 存储桶。此外,当 AWS 启动一个新区域时,CloudTrail 将在新区域中创建相同跟踪。因此,您将收到包含新区域 API 活动的日志文件,而无需执行任何操作。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

要帮助您在环境中进行日志记录和监控,请确保 Amazon Relational Database Service (Amazon RDS) 日志记录处于启用状态。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

redshift-cluster-configuration-check

为了保护静态数据,确保为 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
SEC-SEC 您如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种方法来监视网络是否存在潜在网络安全事件。对 Amazon S3 存储桶提出的各种请求,将详细地记录对此事件进行监控。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
SEC-SEC 如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

AWS Security Hub 可帮助监控未经授权的人员、连接、设备和软件。AWS Security Hub 会聚合、组织多个 AWS 服务的安全警报或调查结果,并优先排序。此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器、AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SEC-SEC 如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
SEC-SEC 如何检测和调查安全事件? 捕获和分析日志和指标中的事件,以获得可见性。针对安全事件和潜在威胁采取措施,帮助保护您的工作负载。

为了帮助您在环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用 AWS WAF (V2) 日志记录。AWS WAF 日志记录提供有关 Web ACL 对流量进行分析的详细信息。日志记录 AWS WAF 从 AWS 资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

确保在弹性负载均衡器 (ELB) 上启用了 AWS WAF,以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 攻击可能会影响环境中的可用性、损害安全性或消耗过多的资源。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

dms-replication-not-public

通过确保 DMS 复制实例不能公开访问,管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,此类帐户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可以包含敏感信息,此类帐户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例不能公开访问,管理 AWS Cloud 的访问。Amazon EC2 实例可以包含敏感信息,此类账户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

ec2-security-group-attached-to-eni

此规则可确保将安全组附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中未使用的安全组以及环境的管理。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

elasticsearch-in-vpc-only

确保 Amazon Elastic search Service (Amazon ES ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中的域。Amazon VPC 中的 Amazon ES 域可以在 Amazon ES 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不能公开访问,管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,此类账户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon VPC) 实例,以在 Amazon VPC 中的实例和其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

internet-gateway-authorized-vpc-only

通过确保互联网网关仅连接到授权的 Amazon Virtual Private Cloud (Amazon) 中的 Internet) 来管理对 AWS Cloud 中资源的访问。互联网网关允许进出 Amazon VPC 的双向互联网访问,这可能导致对 Amazon VPC 资源的未经授权访问。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

通过确保 AWS Lambda 函数不能公开访问,管理对 AWS 云中资源的访问。公众获取资源可能会导致资源的减少。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 功能,可在 Amazon VPC 中的功能和其他服务之间实现安全的通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问,应将 AWS Lambda 函数分配给 VPC。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的实例,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,此类账户需要原则和访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的实例,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,此类账户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公共集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,此类账户需要访问控制。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制,管理对 AWS Cloud 中资源的访问。不限制对可信源端口的访问可能会导致系统的可用性、完整性和机密性受到攻击。此规则允许您选择设置阻止端口 1-阻止端口 5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映组织的策略。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不能公开访问,从中管理 AWS 云中对资源的访问。此规则通过防止公共访问来帮助保护敏感数据不受未经授权的远程用户攻击。此规则允许您选择设置 ignorePublicAcls(Config 默认值:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映组织的策略。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SEC-SEC 您如何保护您的网络资源? 任何具有某种形式的网络连接的工作负载(无论是互联网还是专用网络)都需要多层防御,以帮助防御基于外部和内部网络的威胁。™

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制,管理对 AWS Cloud 中资源的访问。不限制端口访问可信源可能会导致系统的可用性、完整性和机密性受到攻击。通过限制来自 Internet 的访问权限 (0.0.0.0/0) 可以控制对内部系统的远程访问。
SEC-SEC 您如何保护您的计算资源? 工作负载中的计算资源需要多层防御,以帮助防御外部和内部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。

电子邮件 2 检查

确保启用实例元数据服务版本 2 (IMDSv2) 方法,以帮助保护 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。IMDSv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控件来限制对实例元数据的更改。
SEC-SEC 您如何保护您的计算资源? 工作负载中的计算资源需要多层防御,以帮助防御外部和内部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。

ec2-instance-managed-by-systems-manager

利用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以获得组织内的软件平台和应用程序的清单。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁程序级别、服务名称和类型、软件安装、应用程序名称、发布者和版本以及有关您环境的其他详细信息。
SEC-SEC 您如何保护您的计算资源? 工作负载中的计算资源需要多层防御,以帮助防御外部和内部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联帮助清单组织中的软件平台和应用程序。AWS Systems Manager 会为您的托管实例分配配置状态,并允许您设置操作系统修补程序级别、软件安装、应用程序配置以及环境的其他详细信息的基准。
SEC-SEC 您如何保护您的计算资源? 工作负载中的计算资源需要多层防御,以帮助防御外部和内部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。

ec2-managedinstance-patch-compliance-status-check

启用此规则有助于识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查 AWS Systems Manager 中的 Amazon EC2 实例补丁程序是否符合组织™ 的策略和程序的要求。
SEC-SEC 您如何对数据进行分类? 分类提供了一种基于严重程度和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制。

cw-loggroup-retention-retention-check

确保为日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。由于缺乏可用的过去事件日志数据,因此难以重建和识别潜在的恶意事件。
SEC-SEC 您如何对数据进行分类? 分类提供了一种基于严重程度和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制。

Amazon GuardDuty 通过按严重程度(低、中和高)对调查结果进行分类,帮助您了解事件的影响。您可以使用这些分类来确定修正策略和优先级。此规则允许您根据组织策略的要求,为非存档查找结果选择性地设置 DadaysLowSev Sev(Config 默认值:30)、DaySev(Config 默认值:7)和 DayShev(Config 默认值:1)。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保为 API Gateway 阶段™ 缓存启用了加密。由于可以为 API 方法捕获敏感数据,因此启用静态加密以帮助保护这些数据。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

cloud-trail-encryption-enabled

由于敏感数据可能存在,并且为了帮助保护静态数据,请确保您的 AWS CloudTrail 跟踪启用了加密功能。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组已启用加密功能。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

cmk-backing-key-rotation-enabled

启用密钥轮换以确保在到达加密期限后,将轮换密密钥。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

dms-replication-not-public

通过确保 DMS 复制实例不能公开访问,管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,此类帐户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

dynamodb-table-encrypted-kms

确保已为您的 Amazon DynamoDB 表启用加密功能。由于敏感数据可能存在于这些表中静态,因此启用静态加密以帮助保护这些数据。默认情况下,将使用 AWS 拥有的客户主密钥 (CMK) 对 DynamoDB 表进行加密。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可以包含敏感信息,此类帐户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能存在于这些卷中静态,因此启用静态加密以帮助保护这些数据。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例不能公开访问,管理 AWS Cloud 的访问。Amazon EC2 实例可以包含敏感信息,此类账户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

efs-encrypted-check

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用了加密功能。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密功能。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

elasticsearch-in-vpc-only

确保 Amazon Elastic search Service (Amazon ES ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中的域。Amazon VPC 中的 Amazon ES 域可以在 Amazon ES 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不能公开访问,管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,此类账户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

encrypted-volumes

由于感知数据可以存在并且为了保护静态数据,因此确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon VPC) 实例,以在 Amazon VPC 中的实例和其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保 AWS KMS 中未计划在 AWS Key Management Service KMS 中删除必要的客户主密钥 (CMK)。由于有时需要删除密钥,因此此此规则可以帮助检查计划删除的所有密钥,以防无意中安排密钥。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

通过确保 AWS Lambda 函数不能公开访问,管理对 AWS 云中资源的访问。公众获取资源可能会导致资源的减少。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 功能,可在 Amazon VPC 中的功能和其他服务之间实现安全的通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问,应将 AWS Lambda 函数分配给 VPC。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的实例,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,此类账户需要原则和访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

rds-snapshot-encrypted

确保已为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于敏感数据可以处于静态状态,因此启用静态加密以帮助保护这些数据。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的实例,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,此类账户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

rds-storage-encrypted

为了帮助保护静态数据,请确保为 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能存在于 Amazon RDS 实例中静态,因此启用静态加密以帮助保护这些数据。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

redshift-cluster-configuration-check

为了保护静态数据,确保为 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公共集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,此类账户需要访问控制。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不能公开访问,从中管理 AWS 云中对资源的访问。此规则通过防止公共访问来帮助保护敏感数据不受未经授权的远程用户攻击。此规则允许您选择设置 ignorePublicAcls(Config 默认值:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映组织的策略。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-bucket-default-lock-enabled

默认情况下,确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了锁定。由于敏感数据可以在 S3 存储桶中静态存在,因此强制实施静态对象锁定以帮助保护这些数据。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-bucket-public-read-prohibited

只允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,从而管理 AWS Cloud 中资源的访问。对访问的管理应与数据的分类保持一致。
-SEC 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-bucket-public-write-prohibited

只允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,从而管理 AWS Cloud 中资源的访问。对访问的管理应与数据的分类保持一致。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-bucket-server-side-encryption-enabled

为帮助保护静态数据,确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密功能。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助将对象的多个变量保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制可帮助您轻松的从无意用户操作和应用程序故障中恢复数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

s3-default-encryption-kms

确保为 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

为帮助保护静态数据,请确保为 SageMaker 终端节点启用 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可能存在于 SageMaker 终端节点中的静态数据,因此启用静态加密以帮助保护这些数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

为了帮助保护静态数据,请确保为 SageMaker 笔记本电脑启用 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可能存在于 SageMaker 笔记本中静态,因此启用静态加密以帮助保护这些数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
SEC-8 您如何保护静态数据? 通过实施多种控制来保护静态数据,降低未经授权访问或处理不当的风险。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可能存在于已发布邮件中静态,因此启用静态加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性得到保护。这些证书必须有效且未过期。此规则需要 daysToExpiration 值(AWS 基础安全最佳实践值:90)。实际值应反映组织的策略。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

确保启用节点到节点到节点加密。利用节点到节点加密,将能够为 Amazon 虚拟私有云 (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用 AWS Certificate Manager 管理、配置和部署带有 AWS 服务和内部资源的公共和私有 SSL/TLS 证书。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

redshift-require-tls-ssl

确保您的 Amazon Redshift Storage Storage 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
SEC 您如何在传输过程中保护您的数据? 通过实施多种控制来保护传输中的数据,以降低未经授权访问或丢失的风险。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保 Simple Storage Service (Amazon S3) 桶需要请求使用安全套接字层 (SSL) 的请求。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。

Template

该模板在 GitHub 上提供:AWS Well-Architected 的安全支柱的运营最佳实践