记录并集中管理架构图 - AWS 安全事件响应 用户指南

记录并集中管理架构图

为了快速准确地响应安全事件,您需要了解系统和网络的架构方式。了解这些内部架构模式不仅对事件响应至关重要,而且对于验证遵循最佳实践构建这些模式的应用程序之间的一致性也同样重要。您还应确保本文档保持最新,并根据新的架构模式定期更新。您应建立文档和内部存储库,详细说明以下项目:

  • AWS 账户结构:需要了解:

    • 您有多少个 AWS 账户?

    • 这些 AWS 账户是如何组织的?

    • AWS 账户的业务负责人是谁?

    • 您是否使用服务控制策略(SCP)? 如果是,通过 SCP 实施了哪些组织护栏?

    • 您是否限制了可使用的区域和服务?

    • 业务部门和环境(开发/测试/生产)之间存在哪些差异?

  • AWS 服务模式

    • 您使用了哪些 AWS 服务?

    • 使用最广泛的 AWS 服务有哪些?

  • 架构模式

    • 您使用了哪些云架构?

  • AWS 身份验证模式

    • 您的开发人员通常如何向 AWS 进行身份验证?

    • 您使用的是 IAM 角色还是用户(或两者兼而有之)? 您的 AWS 身份验证是否连接到身份提供者(IdP)?

    • 如何将 IAM 角色或用户映射到员工或系统?

    • 当某人不再获得授权时,如何撤销其访问权限?

  • AWS 授权模式

    • 您的开发人员使用了哪些 IAM 策略?

    • 您是否使用了基于资源的策略?

  • 日志记录和监控

    • 您使用了哪些日志源?它们存储在何处?

    • 您是否聚合 AWS CloudTrail 日志? 如果是,它们存储在何处?

    • 如何查询 CloudTrail 日志?

    • 您是否启用了 Amazon GuardDuty?

    • 如何访问 GuardDuty 调查发现(例如控制台、工单系统、SIEM)?

    • 调查发现或事件是否聚合在 SIEM 中?

    • 是否会自动创建工单?

    • 进行日志调查分析时,使用了哪些工具?

  • 网络拓扑

    • 网络上的设备、端点和连接在物理上或逻辑上是如何排列的?

    • 您的网络如何与 AWS 连接?

    • 不同环境之间的网络流量是如何过滤的?

  • 外部基础设施

    • 面向外部的应用程序是如何部署的?

    • 哪些 AWS 资源可以公开访问?

    • 哪些 AWS 账户包含面向外部的基础设施?

    • 部署了哪些 DDoS 或外部过滤措施?

记录内部技术图表和流程能够减轻事件响应分析师的工作负担,帮助他们快速获得必要的机构知识以响应安全事件。全面记录内部技术流程不仅可以简化安全调查,还可以根据流程的合理性和评估进行调整。