保护基础设施的安全控制建议 - AWS 规范性指导
CloudFront 默认根对象扫描应用程序代码创建网络层仅使用授权端口公众可以访问 Systems Manager 文档对 Lambda 函数的公开访问权限更新默认安全组扫描漏洞和网络暴露设置 AWS WAF针对 DDo S 攻击的高级防护控制网络流量

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护基础设施的安全控制建议

基础设施保护是任何安全计划的关键部分。它包括可帮助您保护网络和计算资源的控制方法。基础设施保护的示例包括信任边界、 defense-in-depth方法、安全加固、补丁管理以及操作系统身份验证和授权。有关更多信息,请参阅 Well-Architecte AWS d Framework 中的基础设施保护。本节中的安全控制措施可以帮助您实施基础设施保护的最佳实践。

为 CloudFront分布指定默认根对象

Amazon 通过全球数据中心网络交付您的网页内容,从而降低延迟并提高性能,从而 CloudFront加快网络内容的分发。如果您不定义默认根对象,对分配的根请求则传递到源服务器。如果您使用的是亚马逊简单存储服务 (Amazon S3) Simple Service 来源,则该请求可能会返回您的 S3 存储桶中的内容列表或来源的私有内容列表。指定默认根对象可以帮助您避免暴露分配的内容。

有关更多信息,请参阅以下资源:

扫描应用程序代码以识别常见的安全问题

Well AWS -Architected Framework 建议您扫描库和依赖项以查找问题和缺陷。您可以使用许多源代码分析工具来扫描源代码。例如,Amazon CodeGuru 可以在以下位置扫描常见安全问题 Java 或 Python 应用程序并提供补救建议。

有关更多信息,请参阅以下资源:

使用专用网 VPCs 和子网创建网络层

Well- AWS Architected Framework 建议您将具有相同敏感度要求的组件分组为多个层。这样可以最大限度地减少未经授权访问的潜在影响范围。例如,应将不需要互联网访问的数据库集群放置在其 VPC 的私有子网中,以确保没有进出互联网的路由。

AWS 提供了许多服务,可以帮助您测试和确定公众可访问性。例如,Reachability Analyzer 是一种配置分析工具,可帮助您测试中源资源和目标资源之间的连接。 VPCs此外,网络访问分析器可以帮助您识别对资源的意外网络访问。

有关更多信息,请参阅以下资源:

将传入流量限制为仅限授权的端口

不受限制的访问(例如来自0.0.0.0/0源 IP 地址的流量)会增加恶意活动的风险,例如黑客攻击、 denial-of-service (DoS) 攻击和数据丢失。安全组对流向资源的入口和出口网络流量提供状态过滤。 AWS 任何安全组都不应允许对知名端口(例如 SSH 和)进行不受限制的入口访问 Windows 远程桌面协议 (RDP)。对于入站流量,在您的安全组中,仅允许授权端口上的 TCP 或 UDP 连接。要连接到亚马逊弹性计算云 (Amazon EC2) 实例,请使用会话管理器运行命令,而不是直接访问 SSH 或 RDP。

有关更多信息,请参阅以下资源:

阻止公众访问 Systems Manager 文档

除非您的用例要求开启公开共享,否则 AWS Systems Manager 最佳做法建议您屏蔽 Systems Manager 文档的公开共享。公开共享可能会提供对文档的意外访问权限。公开 Systems Manager 文档可能会暴露有关您的帐户、资源和内部流程的重要敏感信息。

 有关更多信息,请参阅以下资源:

阻止公众访问 Lambda 函数

AWS Lambda 是一项计算服务,可帮助您运行代码,无需预置或管理服务器。Lambda 函数不应公开访问,因为这可能会允许对函数代码进行意外访问。

我们建议您为 Lambda 函数配置基于资源的策略,以拒绝来自账户外部的访问。您可以通过移除权限或在允许访问的语句中添加AWS:SourceAccount条件来实现此目的。您可以通过 Lambda API 或 () 更新 Lambda 函数的基于资源的策略。 AWS Command Line Interface AWS CLI

我们还建议您启用 [Lambda.1] Lambda 函数策略,以禁止公共访问控制。 AWS Security Hub此控件可验证 Lambda 函数的基于资源的策略是否禁止公共访问。

有关更多信息,请参阅以下资源:

限制默认安全组中的入站和出站流量

如果您在配置资源时未关联自定义安全组,则该 AWS 资源将与 VPC 的默认安全组关联。该安全组的默认规则允许来自分配给该安全组的所有资源的所有入站流量,并且允许所有出站 IPv6 流量 IPv4 和流量。这可能会允许资源出现意外流量。

AWS 建议您不要使用默认安全组。相反,可以为特定资源或资源组创建自定义安全组。

由于无法删除默认安全组,因此我们建议您更改默认安全组规则以限制入站和出站流量。配置安全组规则时,请遵循最低权限原则。

我们还建议您启用 [EC2.2] VPC 默认安全组不应允许 Security Hub 中的入站或出站流量控制。此控件用于验证 VPC 的默认安全组是否拒绝入站和出站流量。

有关更多信息,请参阅以下资源:

扫描软件漏洞和意外网络泄露

我们建议您在所有账户中启用 Amazon Inspector。Amazon Inspec tor 是一项漏洞管理服务,可持续扫描您的亚马逊 EC2 实例、亚马逊弹性容器注册表 (Amazon ECR) Elastic Registry 容器映像和 Lambda 函数,以查找软件漏洞和意外网络泄露。它还支持对 Amazon EC2 实例进行深入检查。当 Amazon Inspector 发现漏洞或开放的网络路径时,它会生成一个可供您调查的发现。如果您的账户中同时设置了 Amazon Inspector 和 Security Hub,则亚马逊检查员会自动将安全调查结果发送到 Security Hub 进行集中管理。

有关更多信息,请参阅以下资源:

设置 AWS WAF

AWS WAF是一种 Web 应用程序防火墙,可帮助您监控和阻止转发到受保护的 Web 应用程序资源(例如 Amazon API Gat APIs eway、Amazon CloudFront 分配或应用程序负载均衡器)的 HTTP 或 HTTPS 请求。根据您指定的标准,服务会使用请求的内容、HTTP 403 状态代码(禁止)或自定义响应来响应请求。 AWS WAF 可以帮助保护 Web 应用程序或 APIs 防范可能影响可用性、危及安全性或消耗过多资源的常见 Web 漏洞。考虑 AWS WAF 在您的中进行设置, AWS 账户 并结合使用 AWS 托管规则、自定义规则和合作伙伴集成,以帮助保护您的应用程序免受应用程序层(第 7 层)攻击。

有关更多信息,请参阅以下资源:

配置针对 DDo S 攻击的高级防护

AWS Shield为网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)的 AWS 资源提供保护,抵御分布式拒绝服务 (DDoS) 攻击。此服务有两个选项可供选择: AWS Shield Standard 和 AWS Shield Advanced。Shield Standard 可自动保护支持的 AWS 资源,无需额外付费。

我们建议您订阅 Shield Advanced,它为受保护的资源提供扩展的 DDo S 攻击保护。根据您的架构和配置选择,您从 Shield Advanced 获得的保护会有所不同。考虑为需要以下任何一项的应用程序实施 Shield Advanced 保护:

  • 保证应用程序用户的可用性。

  • 如果应用程序受到 DDo S 攻击的影响,可以快速联系 DDo S 缓解专家。

  • AWS 意识到应用程序可能受到 DDo S 攻击的影响,并收到来自 AWS 的攻击通知并上报给您的安全或运营团队。

  • 云成本的可预测性,包括 DDo S 攻击何时影响您的使用 AWS 服务。

有关更多信息,请参阅以下资源:

使用一种 defense-in-depth方法来控制网络流量

AWS Network Firewall 是一项针对虚拟私有云 (VPCs) 中的状态托管网络防火墙以及入侵检测和防御服务 ()。 AWS 云它可以帮助你在 VPC 的外围部署基本的网络保护。这包括过滤进出互联网网关、NAT 网关或通过 VPN 的流量,或 AWS Direct Connect。Network Firewall 包含有助于防范常见网络威胁的功能。Network Firewall 中的状态防火墙可以整合来自流量流的上下文(例如连接和协议)来强制执行策略。

有关更多信息,请参阅以下资源: