云团队示例：更改 VPC 配置

云团队负责对具有共同趋势的安全发现进行分类和修复，例如对可能不适合您的用例的 AWS 默认设置的更改。这些发现往往会影响许多 AWS 账户 资源，例如 VPC 配置，或者它们包含应在整个环境中施加的限制。在大多数情况下，云团队会手动进行一次性更改，例如添加或更新策略。

在您的组织使用 AWS 环境一段时间后，您可能会发现一组反模式正在形成。反模式是经常使用的解决方案，用于解决反复出现的问题，在这种问题中，该解决方案适得其反、无效或不如替代方案有效。作为这些反模式的替代方案，您的组织可以使用更有效的环境范围限制，例如 AWS Organizations 服务控制策略 (SCP) 或 IAM Identity Center 权限集。SCP 和权限集可以为资源类型提供额外的限制，例如阻止用户配置公共的亚马逊简单存储服务 (Amazon S3) Service 存储桶。尽管限制所有可能的安全配置可能很诱人，但是 SCP 和权限集存在策略大小限制。我们建议采取平衡的方法进行预防和侦查控制。

以下是云团队可能负责 AWS Security Hub 的基础安全最佳实践 (FSBP) 标准中的一些控制措施：

• [EC2.2] VPC 默认安全组不应允许入站和出站流量

• [EC2.6] 应在所有 VPC 中启用 VPC 流量记录

• [EC2.23] Amazon EC2 传输网关不应自动接受 VPC 连接请求

• [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

• AWS Config 应启用 [Config.1]

在此示例中，云团队正在解决FSBP控制EC2.2的发现。此控件的文档建议不要使用默认安全组，因为它允许通过默认的入站和出站规则进行广泛访问。由于无法删除默认安全组，因此建议更改规则设置以限制入站和出站流量。为了有效地解决此问题，云团队应使用已建立的机制来修改所有 VPC 的安全组规则，因为每个 VPC 都有此默认安全组。在大多数情况下，云团队使用AWS Control Tower自定义项或基础设施即代码 (IaC) 工具（例如HashiCorp Terraform或）来管理 VPC 配置。AWS CloudFormation