本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全 OU — 安全工具账户
我们很乐意听取你的意见。请通过简短的调查 |
Security Tooling 账户专门用于运营安全和隐私基础服务 AWS 账户、监控以及自动发送安全和隐私警报和响应。有关此账户的更多信息,请参阅AWS 安全参考架构 (AWS SRA)。下图说明了在 AWS 安全工具账户中配置的安全和隐私服务。
本节提供有关此账户中以下内容的更多详细信息:
AWS CloudTrail
AWS CloudTrail可帮助您审核您的整体 API 活动 AWS 账户。启用 CloudTrail 所有 AWS 账户 存储、处理或传输个人数据可以帮助您跟踪这些数据的使用和披露情况。 AWS 区域 AWS 安全参考架构建议启用组织跟踪,这是记录组织中所有账户所有事件的单一跟踪。但是,启用此组织跟踪会将多区域日志数据聚合到日志存档账户中的单个 Amazon Simple Storage Service (Amazon S3) 存储桶中。对于处理个人数据的帐户,这可能会带来一些额外的设计注意事项。日志记录可能包含一些对个人数据的引用。为了满足您的数据驻留和数据传输要求,您可能需要重新考虑将跨区域日志数据聚合到 S3 存储桶所在的单个区域中。您的组织可能会考虑应将哪些区域工作负载包括在组织跟踪中或排除在外。对于您决定从组织跟踪中排除的工作负载,您可以考虑配置一个特定于区域的跟踪来掩盖个人数据。有关屏蔽个人数据的更多信息,请参阅本指南的Amazon Data Firehose部分。最终,您的组织可能会将组织跟踪和区域跟踪组合到集中的日志存档帐户中。
有关配置单区域跟踪的更多信息,请参阅 AWS Command Line Interface (AWS CLI) 或控制台的使用说明。创建组织跟踪时,可以在中使用选择加入设置 AWS Control Tower,也可以直接在CloudTrail 控制台中创建跟踪。
有关总体方法以及如何管理日志集中化和数据传输要求的更多信息,请参阅本指南中的集中式日志存储部分。根据 AWS SRA的说法,无论您选择哪种配置,您都可能希望将安全工具帐户中的跟踪管理与日志存档帐户中的日志存储分开。此设计可帮助您为需要管理日志的人员和需要使用日志数据的用户创建最低权限访问策略。
AWS Config
AWS Config提供了您的资源 AWS 账户 及其配置方式的详细视图。它可以帮助您确定资源之间的关系以及它们的配置如何随着时间的推移而发生变化。有关如何在安全环境中使用此服务的更多信息,请参阅AWS 安全参考架构。
在中 AWS Config,您可以部署一致性包,这是一组 AWS Config 规则和补救措施。Conformance Packs 提供了一个通用框架,旨在使用托管或自定义规则来实现隐私、安全、运营和成本优化治理检查。 AWS Config 您可以将此工具用作更大的自动化工具集的一部分,以跟踪您的 AWS 资源配置是否符合您自己的控制框架要求。
NIST 隐私框架操作最佳实践 v1.0 一致性包与 NIST 隐私框架中的许多与隐私相关的控件保持一致。每 AWS Config 条规则都适用于特定的 AWS 资源类型,并且与一个或多个 NIST 隐私框架控件有关。您可以使用此一致性包来跟踪账户中各个资源的隐私相关持续合规性。以下是此一致性包中包含的一些规则:
-
no-unrestricted-route-to-igw— 此规则通过持续监控 VPC 路由表中是否存在通往 Intern::/0et 网关的默认路由0.0.0.0/0或出口路由,帮助防止数据平面上的数据泄露。这可以帮助您限制互联网流量可以发送到何处,尤其是在已知存在恶意的 CIDR 范围的情况下。 -
encrypted-volumes— 此规则检查附加到亚马逊弹性计算云 (Amazon EBS) 实例的亚马逊弹性区块存储 (Amazon EBS) 卷是否已加 EC2密。如果您的组织对使用 AWS Key Management Service (AWS KMS) 密钥保护个人数据有特定的控制要求,则可以在规则中指定特定密钥 IDs ,以检查卷是否使用特定 AWS KMS 密钥加密。 -
restricted-common-ports— 此规则检查 Amazon EC2 安全组是否允许不受限制的 TCP 流量流向指定端口。安全组可以对资源的入口和出口网络流量进行状态过滤,从而帮助您管理网络访问。 AWS 在您的资源上阻止来自常0.0.0.0/0用端口(例如 TCP 3389 和 TCP 21)的入口流量有助于限制远程访问。
AWS Config 可用于对您的 AWS
资源进行主动和被动合规性检查。除了考虑一致性包中的规则外,您还可以将这些规则合并到侦测和主动评估模式中。这有助于在软件开发生命周期的早期实施隐私检查,因为应用程序开发人员可以开始采用部署前检查。例如,他们可以在 AWS CloudFormation 模板中加入钩子,根据启用主动模式的所有隐私相关 AWS Config 规则检查模板中声明的资源。有关更多信息,请参阅AWS Config Rules No w Support 支持主动合规
Amazon GuardDuty
AWS 提供多种可用于存储或处理个人数据的服务,例如亚马逊 S3、亚马逊关系数据库服务 (Amazon RDS) 或 EC2 带有 Kubernetes 的亚马逊。Amazon GuardDuty 将智能可视性与持续监控相结合,以检测可能与意外泄露个人数据相关的指标。有关如何在安全环境中使用此服务的更多信息,请参阅AWS 安全参考架构。
借 GuardDuty助,您可以识别整个攻击生命周期中与隐私相关的潜在恶意活动。例如, GuardDuty 可以提醒您注意黑名单网站的连接、异常的网络端口流量或流量、DNS 泄露、 EC2 实例意外启动以及异常的 ISP 呼叫者。您还可以配置 GuardDuty 为停止来自您自己的可信 IP 列表的可信 IP 地址的警报,并对自己的威胁列表中的已知恶意 IP 地址发出警报。
按照 AWS SRA 中的建议,您可以 GuardDuty 为组织 AWS 账户 中的所有人启用,并将安全工具帐户配置为 GuardDuty 授权管理员。 GuardDuty将整个组织的调查结果汇总到这个单一账户中。有关更多信息,请参阅使用管理 GuardDuty 账户 AWS Organizations。您还可以考虑在事件响应过程中(从检测和分析到遏制和消除)中识别所有与隐私相关的利益相关者,并让他们参与任何可能涉及数据泄露的事件。
IAM Access Analyzer
许多客户希望持续确保与预先批准和预期的第三方处理者适当共享个人数据,而不是其他实体。数据边界
借助 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer),组织可以定义信任 AWS 账户 区域并配置针对该信任区域的违规警报。IAM Access Analyzer 会分析 IAM 策略,以帮助识别和解决对潜在敏感资源的意外公开或跨账户访问问题。IAM Access Analyzer 使用数学逻辑和推理来生成可以从外部 AWS 账户访问的资源的全面发现。最后,为了响应和修复过于宽松的 IAM 策略,您可以使用 IAM Access Analyzer 根据 IAM 最佳实践验证现有策略并提供建议。IAM Access Analyzer 可以根据 IAM 委托人先前的访问活动生成权限最低的 IAM 策略。它会分析 CloudTrail 日志并生成一个策略,该策略仅授予继续执行这些任务所需的权限。
有关如何在安全环境中使用 IAM Access Analyzer 的更多信息,请参阅AWS 安全参考架构。
Amazon Macie
Amazon Macie 是一项使用机器学习和模式匹配来发现敏感数据的服务,提供对数据安全风险的可见性,并帮助您自动防范这些风险。当 Macie 检测到潜在的违反政策或您的 Amazon S3 存储桶的安全或隐私问题时,它会生成调查结果。Macie 是组织可以用来实现自动化的另一种工具,以支持合规工作。有关如何在安全环境中使用此服务的更多信息,请参阅AWS 安全参考架构。
Macie 可以检测大量且不断增长的敏感数据类型,包括个人身份信息 (PII),例如姓名、地址和其他可识别属性。您甚至可以创建自定义数据标识符,以定义反映组织对个人数据的定义的检测标准。
当您的组织为包含个人数据的 Amazon S3 存储桶定义预防性控制措施时,您可以使用 Macie 作为验证机制,持续保证您的个人数据存放在何处以及如何受到保护。首先,启用 Macie 并配置自动发现敏感数据。Macie 会持续分析您所有 S3 存储桶中的对象,跨账户和。 AWS 区域 Macie 生成并维护交互式热图,描述个人数据所在的位置。自动敏感数据发现功能旨在降低成本并最大限度地减少手动配置发现任务的需求。您可以在自动敏感数据发现功能的基础上再接再厉,使用 Macie 自动检测新存储桶或现有存储桶中的新数据,然后根据分配的数据分类标签验证数据。配置此架构,以便及时将错误分类或未分类的存储桶通知相应的开发和隐私团队。
您可以使用为组织中的每个帐户启用 Macie。 AWS Organizations有关更多信息,请参阅在 Amazon Macie 中集成和配置组织。
