遏制
AWS 安全事件响应会与您协同遏制安全事件。您可为 AWS 安全事件响应配置服务角色,以便在账户中针对警报自动或手动执行遏制操作。您可以自行执行遏制措施,也可以通过 SSM 文档与第三方合作伙伴协同执行遏制措施。
遏制措施的核心在于决策,例如:判断是否关闭系统、从网络隔离资源、禁用访问权限或终止会话。当存在预先制定的事件遏制策略和流程时,这些决策将更易执行。AWS 安全事件响应 会提供遏制策略,告知潜在影响,并仅在您确认同意相关风险后指导您实施解决方案。
AWS 安全事件响应可代表您执行支持的遏制措施,以便加速响应,缩短威胁行为者在您环境中可能造成破坏的时间窗口。该功能可快速解决已识别的威胁,最大程度降低潜在影响,提升整体安全防护水平。根据分析的资源类型,有不同的遏制选项可供使用。支持的遏制措施包括:
-
EC2 实例遏制:
AWSSupport-ContainEC2Instance自动化遏制方案可对 EC2 实例执行可逆网络隔离。该方案会保持实例正常运行但阻断所有新网络连接,防止实例与 VPC 内外资源通信。重要
值得注意的是,修改安全组规则不会中断现有已建立的连接,仅会通过新安全组和该 SSM 文档有效阻断后续流量。如需了解更多信息,请参阅服务技术指南的源遏制部分。
-
IAM 访问遏制:
AWSSupport-ContainIAMPrincipal自动化遏制方案可对 IAM 用户或角色实施可逆访问隔离。该方案将保留 IAM 中的用户/角色配置,但会组织其与您账户内的所有资源进行通信。 -
S3 存储遏制:
AWSSupport-ContainS3Resource自动化遏制方案可对 S3 存储桶执行可逆访问控制。该方案将保留存储桶内所有对象,但会通过修改访问策略来隔离 Amazon S3 存储桶或对象。
重要
AWS 安全事件响应默认不启用遏制功能。若要执行这些遏制操作,必须先通过角色向服务授予必要权限。您可以通过如下两种方式创建这些角色:按账户单独创建,或使用 AWS CloudFormation StackSet 跨整个组织统一部署(此举会自动创建所需角色)。
AWS 安全事件响应建议根据风险承受能力,为每类主要事件制定相应的遏制策略。请明确记录决策标准,以便事件发生时参考。需考虑的标准包括:
-
资源潜在损害程度
-
证据保存与合规要求
-
服务不可用性(如网络连接、向外部提供的服务)
-
实施策略所需的时间与资源
-
策略有效性(如部分遏制与完全遏制)
-
解决方案持久性(如可逆与不可逆操作)
-
措施持续时间(如应急方案、临时方案、永久方案) 建议先行实施可降低风险的安全控制措施,为制定和实施更有效的遏制策略争取时间。
AWS 安全事件响应建议采用分阶段方案实现高效遏制,根据资源类型制定短期与长期策略。
-
遏制策略决策流程
-
AWS 安全事件响应是否能识别安全事件范围?
-
是:标记所有相关资源(用户、系统、资源)。
-
否:对已识别资源执行下一步,同时继续调查。
-
-
资源是否能被隔离?
-
是:立即隔离受影响资源。
-
否:协同系统负责人确定替代遏制方案。
-
-
所有受影响的资源是否都已与未受影响的资源隔离开来?
-
是:进入下一阶段。
-
否:继续执行隔离,完成短期遏制,防止事件升级。
-
-
-
系统备份规范
-
是否已创建受影响系统备份用于分析?
-
取证副本是否已加密并安全存储?
-
是:进入下一阶段。
-
否:立即加密取证映像并安全存储,防止意外使用、损坏或篡改。
-
-
