网络安全分析器中的重要概念

注意

Amazon Shield 网络安全控制器处于公开预览版中，可能会发生变化。

资源

处理应用程序流量的计算、网络和安全资源：

计算：Amazon Elastic Compute Cloud 实例
联网 — 应用程序负载均衡器、Amazon API 网关、亚马逊 CloudFront 分配、VPC 子网和 VPC 弹性网络接口 () ENIs
安全 — Amazon WAF 网络 ACLs、VPC 安全组和 VPC 网络访问控制列表 (NACLs)

结果

有关网络安全服务缺失或配置错误的警报，严重性级别为“无”、“信息性”、“低”、“中”、“高”或“严重”。网络安全分析器通过评估每种资源的配置设置和威胁情报来生成调查发现。

严重性

根据 Amazon 最佳实践和威胁情报，衡量资源对潜在安全事件的脆弱性。严重性评估需同时考虑潜在漏洞和现有保护措施。资源的严重性级别与其最严重的调查发现相匹配，如果没有调查发现，则显示为“无”。

网络拓扑

网络的可视化呈现，展示资源连接、互联网暴露情况和基于标签的关系。使用拓扑视图，以调查资源及其调查发现。

了解网络安全分析器调查发现

注意

Amazon Shield 网络安全控制器处于公开预览版中，可能会发生变化。

网络安全分析器会为其分析的每种资源生成具体的调查发现。这些调查发现可帮助您识别安全问题并采取适当措施。下表按资源类型列出所有可能的调查发现。

按资源类型划分的网络安全分析器调查发现
资源类型	调查结果说明
应用程序负载均衡器	CloudFront Origin 也可以在没有 CloudFront 保护的情况下通过互联网访问 Amazon WAF 缺少机器人和抓取器规则 DDo检测到 S 活动资源未连接防火墙进行保护 Amazon WAF 缺少所有规则-没有保护，可能配置错误 Amazon WAF 缺少关键 Amazon 托管规则（IP 信誉、常用规则或输入错误）
Amazon API Gateway	Amazon WAF 缺少机器人和抓取器规则资源未连接防火墙进行保护 Amazon WAF 缺少所有规则-没有保护，可能配置错误 Amazon WAF 缺少关键 Amazon 托管规则（IP 信誉、常用规则或输入错误）
Amazon CloudFront	Amazon WAF 缺少机器人和抓取器规则 DDo检测到 S 活动资源未连接防火墙进行保护 Amazon WAF 缺少所有规则-没有保护，可能配置错误 Amazon WAF 缺少关键 Amazon 托管规则（IP 信誉、常用规则或输入错误）
Amazon 弹性计算云 (EC2) 实例	允许所有端口不受限制的入站访问 (0.0.0.0/0) 允许对 RDP 端口 3389 进行不受限制的入站访问 (0.0.0.0/0) 允许对 SSH 端口 22 进行不受限制的入站访问 (0.0.0.0/0) 允许对所有端口进行不受限制的出站访问 (0.0.0.0/0) 资源未连接防火墙进行保护 CloudFront Origin 也可以在没有 CloudFront 保护的情况下通过互联网访问资源未连接防火墙进行保护 Amazon WAF 缺少机器人和抓取器规则 Amazon WAF 缺少所有规则-没有保护，可能配置错误 Amazon WAF 缺少关键 Amazon 托管规则（IP 信誉、常用规则或输入错误）
VPC 安全组	允许所有端口不受限制的入站访问 (0.0.0.0/0) 允许对 RDP 端口 3389 进行不受限制的入站访问 (0.0.0.0/0) 允许对 SSH 端口 22 进行不受限制的入站访问 (0.0.0.0/0) 允许对所有端口进行不受限制的出站访问 (0.0.0.0/0)
VPC 网络访问控制列表（NACL）	允许所有端口不受限制的入站访问 (0.0.0.0/0) 允许对 RDP 端口 3389 进行不受限制的入站访问 (0.0.0.0/0) 允许对 SSH 端口 22 进行不受限制的入站访问 (0.0.0.0/0) 允许对所有端口进行不受限制的出站访问 (0.0.0.0/0)
Amazon WAF Web ACL	检测到机器人活动 Amazon WAF 缺少机器人和抓取器规则 Amazon WAF WebACL 未与任何资源关联 Amazon WAF 缺少所有规则-没有保护，可能配置错误 Amazon WAF 缺少关键 Amazon 托管规则（IP 信誉、常用规则或输入错误）

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用案例

设置您的账户