AWS SRA 最佳实践清单 - AWS 规范性指导
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMIAM 访问分析器Amazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS 安全事件响应AWS Audit Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS SRA 最佳实践清单

通过进行简短的调查来影响 AWS 安全参考架构 (AWS SRA) 的未来。

本节将本指南中详细介绍的 AWS SRA 最佳实践提炼成一份清单,您可以在构建安全架构版本时遵循该清单。 AWS使用此列表作为参考点,而不是作为阅读指南的替代品。清单按以下顺序分组 AWS 服务。如果您想根据 AWS SRA 最佳实践清单以编程方式验证现有 AWS 环境,则可以使用 S RA Verify。

SRA Verify 是一款安全评估工具,可帮助您评估组织在多个地区与 AWS SRA 的一致 AWS 账户 性。它通过提供自动检查,根据 AWS SRA指南验证您的实施情况,从而直接映射到 AWS SRA建议。该工具可帮助您验证您的安全服务是否根据参考架构进行了正确配置。 它提供了详细的调查结果和可行的补救步骤,以帮助确保您的 AWS 环境遵循安全最佳实践。SRA Verify 旨在 AWS CodeBuild 在组织审计(安全工具)账户中运行。您也可以在本地运行它或使用 SRA Verify 库对其进行扩展。

注意

SRA Verify 包含多项服务的支票,但可能不包含针对 AWS SRA 所有考虑因素的支票。有关更多信息,请查看 AWS SRA 库中的指南。

AWS Organizations

  • AWS Organizations 已启用所有功能

  • 服务控制策略 (SCPs) 用于定义 IAM 委托人的访问控制指南。

  • 资源控制策略 (RCPs) 用于定义 AWS 资源的访问控制准则。

  • 声明性策略用于在整个组织中大规模地集中声明和强制执行您所需的配置。 AWS 服务

  • 为提供基础 OUs 服务的群组成员账户创建了三个基础账户(安全、基础设施和工作负载)。

  • 安全工具帐户是在安全 OU 下创建的。此账户提供对 AWS 安全服务和其他第三方安全工具的集中管理。

  • 日志存档帐户是在安全 OU 下创建的。此帐户提供了一个严格控制的中央日志存储库 AWS 服务 和应用程序日志。

  • 网络账户是在基础设施 OU 下创建的。此帐户管理您的应用程序和更广泛的互联网之间的网关。它将网络服务、配置和操作与单个应用程序工作负载、安全和其他基础设施隔离开来。

  • 共享服务帐户在基础架构 OU 下创建。此账户支持多个应用程序和团队用来交付成果的服务。

  • 应用程序帐户是在工作负载 OU 下创建的。此账户托管运行和维护企业应用程序的主要基础设施和服务。本指南提供了一种表示方式,但在现实世界中,会有多个账户 OUs 和成员账户,按应用程序、开发环境和其他安全考虑因素进行隔离。

  • 为所有成员账户配置账单、运营和安全的备用联系信息。

AWS CloudTrail

  • 配置了组织跟踪,允许在 CloudTrail 管理账户和 AWS 组织中的所有成员账户中交付管理事件。

  • 组织跟踪配置为多区域跟踪。

  • 组织跟踪配置为从全球资源中捕获事件。

  • 根据需要配置用于捕获特定数据事件的其他跟踪,以监控敏感 AWS 资源活动。

  • 安全工具账户被设置为组织跟踪的委托管理员。

  • 组织跟踪配置为自动为所有新成员账户启用。

  • 组织跟踪配置为将日志发布到托管在日志存档账户中的集中式 S3 存储桶。

  • 组织跟踪启用了日志文件验证,以验证日志文件的完整性。

  • 组织跟踪与 CloudWatch 日志集成以保留日志。

  • 使用客户托管密钥对组织跟踪进行加密。

  • 用于日志存档账户中日志存储库的中央 S3 存储桶使用客户托管密钥进行加密。

  • 日志存档账户中用于日志存储库的中央 S3 存储桶配置了 S3 对象锁以实现不可变性。

  • 已为用于日志存档账户中日志存储库的中央 S3 存储桶启用版本控制。

  • 用于日志存档账户中日志存储库的中央 S3 存储桶定义了资源策略,该策略仅通过资源 Amazon 资源名称 (ARN) 的组织跟踪限制对象上传。

AWS Security Hub CSPM

  • Security Hub CSPM 已为所有成员账户和管理账户启用。

  • AWS Config 作为 Security Hub CSPM 的先决条件,已为所有成员账户启用。

  • 安全工具账户设置为 Security Hub CSPM 的委托管理员。

  • Amazon GuardDuty 和 Amazon Detective 拥有与 Security Hub CSPM 相同的委托管理员账户,可实现顺畅的服务集成。

  • 中央配置用于跨多个 AWS 账户 和设置和管理 Security Hub CSPM。 AWS 区域

  • 所有 OU 和成员账户均由 Security Hub CSPM 的授权管理员指定为集中管理

  • 系统会自动为所有新成员账户启用 Security Hub CSPM。

  • Security Hub CSPM 会自动启用,用于配置新标准。

  • 来自所有区域的 Security Hub CSPM 调查结果汇总到一个主区域。

  • 来自所有成员账户的 Security Hub CSPM 调查结果汇总到安全工具账户中。

  • Security Hub CSPM 中的AWS 基础最佳实践 (FSBP) 标准已适用于所有成员账户。

  • Security Hub CSPM 中的 CI S AWS 基金会基准测试标准已适用于所有成员账户。

  • 如果适用,其他 Security Hub CSPM 标准也已启用。

  • Security Hub CSPM 自动化规则用于通过资源上下文丰富调查结果。

  • Security Hub CSPM 自动响应和补救功能用于创建自定义 EventBridge 规则,以便针对特定发现自动采取措施。

AWS Config

  • 所有成员账户和管理账户都启用了 AWS Config 录制器。

  • 所有区域都启用了 AWS Config 录制器。

  • 传 AWS Config 送通道 S3 存储桶集中在日志存档账户中。

  • AWS Config 委托管理员帐户设置为安全工具帐户。

  • AWS Config 已设置组织聚合器。聚合器包括所有区域。

  • AWS Config 一致性包将统一部署到委派管理员账户中的所有成员账户。

  • AWS Config 规则发现结果会自动发送到 Security Hub CSPM。

Amazon GuardDuty

  • GuardDuty 检测器已为所有成员账户和管理账户启用。

  • GuardDuty 所有区域都启用了探测器。

  • GuardDuty 检测器会自动为所有新成员帐户启用。

  • GuardDuty 委托管理设置为安全工具帐户。

  • GuardDuty CloudTrail 管理事件、VPC 流日志和 Route 53 Resolver DNS 查询日志等基础数据源已启用。

  • GuardDuty S3 保护已启用。

  • GuardDuty 已启用 EBS 卷的恶意软件防护。

  • GuardDuty S3 的恶意软件防护已启用。

  • GuardDuty RDS 保护已启用。

  • GuardDuty Lambda 保护已启用。

  • GuardDuty EKS 保护已启用。

  • GuardDuty EKS 运行时监控已启用。

  • GuardDuty 已启用扩展威胁检测。

  • GuardDuty 结果将导出到日志存档帐户中的中央 S3 存储桶中进行保留。

IAM

  • 不使用 IAM 用户。

  • 强制对成员账户的 root 访问权限进行集中管理。

  • 管理账户的集中特权 root 用户任务由授权管理员强制执行。

  • 集中式根访问权限管理委托给安全工具账户。

  • 所有成员账户根凭证均已删除。

  • 所有成员和管理 AWS 账户 密码策略均根据组织的安全标准进行设置。 

  • IAM 访问顾问用于查看 IAM 群组、用户、角色和策略上次使用的信息。

  • 权限边界用于限制 IAM 角色的最大可能权限。

IAM 访问分析器

  • IAM Access Analyzer 已为所有成员账户和管理账户启用。

  • IAM Access Analyzer 委派的管理员设置为安全工具账户。

  • IAM Access Analyzer 外部访问分析器在每个区域都配置了组织信任区域。

  • IAM Access Analyzer 外部访问分析器配置了每个区域的账户信任区域。

  • IAM Access Analyzer 内部访问分析器配置了每个区域的组织信任区域。

  • IAM Access Analyzer 内部访问分析器配置了每个区域的账户信任区域。

  • 已为当前账户创建了 IAM 访问分析器未使用的访问分析器。

  • 创建了当前组织的 IAM Access Analyzer 未使用的访问分析器。

Amazon Detective

  • Detective 已为所有成员账户启用。

  • Detective 会自动为所有新成员账户启用。

  • 所有区域都启用了 Detective。

  • Detective 委派的管理员设置为安全工具帐户。

  • Detective GuardDuty、和 Security Hub CSPM 授权管理员设置为相同的安全工具帐户。

  • Detective 与 Security Lake 集成,用于存储和分析原始日志。

  • Detective 集成 GuardDuty 在一起以获取发现。

  • Detective 正在摄取 Amazon EKS 审计日志进行分析。

  • Detective 正在摄取 Security Hub CSPM 日志进行分析。

AWS Firewall Manager

  • Firewall Manager 安全策略已设置。

  • Firewall Manager 授权的管理员设置为安全工具帐户。

  • AWS Config 已作为先决条件启用。

  • 为每个 OU、账户和区域设置了多个 Firewall Manager 管理员,其范围受限。

  • Firewall Manager AWS WAF 安全策略已定义。

  • 定义了 Firew AWS WAF all Manager 集中记录策略。

  • Firewall Manager Shield 高级安全策略已定义。

  • 已定义 Firewall Manager 安全组安全策略。

Amazon Inspector

  • 所有成员账户均已启用 Amazon Inspector。

  • 任何新成员账户都会自动启用 Amazon Inspector。

  • Amazon Inspector 委派的管理员设置为安全工具账户。

  • Amazon Inspector EC2 漏洞扫描已启用。

  • Amazon Inspector ECR 图像漏洞扫描已启用。

  • Amazon Inspector Lambda 功能和层漏洞扫描已启用。

  • Amazon Inspector Lambda 代码扫描已启用。

  • Amazon Inspector 代码安全扫描已启用。

Amazon Macie

  • 适用的成员账户已启用 Macie。

  • 适用的新成员账户会自动启用 Macie。

  • Macie 委派的管理员设置为安全工具帐户。

  • Macie 的调查结果将导出到日志存档账户中的中央 S3 存储桶中。

  • 存储 Macie 调查结果的 S3 存储桶使用客户托管密钥进行加密。

  • Macie 策略和分类策略已发布到 Security Hub CSPM。

Amazon Security Lake

  • Security Lake 组织配置已启用。

  • Security Lake 委派的管理员设置为安全工具帐户。

  • 已为新成员账户启用 Security Lake 组织配置。

  • Security Tooling 账户设置为数据访问订阅者,用于对日志进行分析。

  • Security Tooling 帐户设置为数据查询订阅者,用于对日志进行分析。

  • 在所有或指定的活跃成员账户中,已为 Security Lake 启用 CloudTrail 管理日志源。

  • 在所有或指定的活跃成员账户中,已为安全湖启用了 VPC 流日志源。

  • 已在所有或指定活跃成员账户中为 Security Lake 启用了 Route 53 日志源。

  • CloudTrail S3 日志源的数据事件已在所有或指定的活跃成员账户中启用 Security Lake。

  • 已在所有或指定的活跃成员账户中为安全湖启用了 Lambda 执行日志源。

  • 在所有或指定的活跃成员账户中,已为安全湖启用了 Amazon EKS 审核日志源。

  • 在所有或指定的活跃成员账户中,Security Lake 已启用 Security Hub 发现日志源。

  • 在所有或指定的活跃成员账户中,Security Lake 已启用 AWS WAF 日志源。

  • 委派管理员账户中的 Security Lake SQS 队列使用客户托管密钥进行加密。

  • 委派管理员账户中的 Security Lake SQS 死信队列使用客户托管密钥进行加密。

  • Security Lake S3 存储桶使用客户托管密钥进行加密。

  • Security Lake S3 存储桶的资源策略仅限制 Security Lake 的直接访问。

AWS WAF

  • 所有 CloudFront 分布都与相关联 AWS WAF。

  • 所有 Amazon API Gateway REST APIs 都与之关联 AWS WAF。

  • 所有应用程序负载均衡器都与关联。 AWS WAF

  • 所有 AWS AppSync GraphQL APIs 都与之关联。 AWS WAF

  • 所有 Amazon Cognito 用户池都与之关联。 AWS WAF

  • 所有 AWS App Runner 服务都与相关联 AWS WAF。

  • 所有 AWS Verified Access 实例都与关联 AWS WAF。

  • 所有 AWS Amplify 应用程序都与关联 AWS WAF。

  • AWS WAF 日志记录已启用。

  • AWS WAF 日志集中在日志存档账户的 S3 存储桶中。

AWS Shield Advanced

  • 对于拥有面向公众的资源的所有应用程序帐户,Shield Advanced 订阅已启用,并设置为自动续订。

  • Shield Advanced 已针对所有 CloudFront 发行版进行了配置。

  • 为所有应用程序负载均衡器配置了 Shield Advanced。

  • 为所有网络负载均衡器配置了 Shield Advanced。

  • 为所有 Route 53 托管区域配置了 Shield Advanced。

  • 为所有弹性 IP 地址配置了 Shield Advanced。

  • 所有全球加速器都配置了 Shield Advanced。

  • CloudWatch 警报是为 CloudFront 受 Shield Advanced 保护的 Route 53 资源配置的。

  • Shield 响应小组 (SRT) 访问权限已配置。

  • Shield 高级主动交战已启用。

  • Shield 高级主动交互联系人已配置。

  • Shield 高级受保护资源已配置自定义 AWS WAF 规则。

  • Shield Advanced 受保护的资源已启用自动应用层 DDo S 缓解措施。

AWS 安全事件响应

  • AWS 已为整个 AWS 组织启用安全事件响应。

  • AWS 安全事件响应授权管理员设置为安全工具帐户。

  • 主动响应和警报分类工作流程已启用。

  • AWS 客户事件响应小组 (CIRT) 的遏制行动已获得授权。

AWS Audit Manager

  • 所有成员账户都启用了 Audit Manager。

  • Audit Manager 会自动为新成员账户启用。

  • Audit Manager 委派的管理员设置为安全工具帐户。

  • AWS Config 已作为 Audit Manager 的先决条件启用。

  • 客户管理的密钥用于存储在 Audit Manager 中的数据。

  • 已配置默认评估报告目标。