集中式安全管理

许多组织都面临与环境的可见性和集中管理相关的挑战。随着运营范围的扩大，除非仔细考虑安全设计，否则这些挑战可能会更加复杂。缺乏知识，加之监管和安全流程管理分散且不均衡，会导致您的环境易受攻击。

AWS 提供了一些工具帮助您解决 IT 管理和监管方面一些最具挑战性的要求，还提供了一些工具来支持按设计保护数据的方法。

AWS Control Tower 提供设置和管理新的安全的多账户 AWS 环境的最简单方法。它会自动设置一个登录区，这是一个基于最佳实践蓝图的多账户环境，并使用您可从预先打包的列表中选择的防护机制提供监管。防护机制实施监管规则以实现安全性、合规性和运营。AWS Control Tower 使用 AWS IAM Identity Center（IAM Identity Center）默认目录提供身份管理，并使用 IAM Identity Center 和 IAM 支持跨账户审计。它还集中了来自 CloudTrail 的日志和存储在 Amazon S3 中的 AWS Config 日志。

AWS Security Hub 是另一个支持集中化的服务，可以提高组织的可见性。Security Hub 会集中来自各个 AWS 账户和服务的安全性与合规性发现结果并确定其优先级，如 Amazon GuardDuty 和 Amazon Inspector，还可以与第三方合作伙伴的安全软件集成，帮助您分析安全趋势并确定最高优先级的安全问题。

Amazon GuardDuty 是一种智能威胁检测服务，可以帮助客户更准确、更轻松地监控和保护他们的 AWS 账户、工作负载以及 Amazon S3 中存储的数据。GuardDuty 分析来自多个来源跨您的各个 AWS 账户的数十亿个事件，包括 AWS CloudTrail 管理事件、CloudTrail Amazon S3 数据事件、Amazon Virtual Private Cloud 流日志和 DNS 日志。例如，它能够检测异常 API 调用、发往已知恶意 IP 地址的可疑出站通信或将 DNS 查询用作传输机制可能造成的数据被盗。GuardDuty 能够利用机器学习驱动的威胁情报以及第三方安全合作伙伴提供更准确的发现结果。

Amazon Inspector 是一项自动安全评估服务，有助于提高在 Amazon EC2 实例上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的风险、漏洞或者相较于最佳实践的偏差。执行评估后，Amazon Inspector 会生成按严重程度确定优先级的安全检验详细列表。

借助 Amazon CloudWatch Events，您可以设置 AWS 账户以将事件发送到其他 AWS 账户，还可以接收其他账户或组织的事件。通过在发生安全事件时根据需要及时采取纠正措施（例如，通过调用 Lambda 函数或对 Amazon EC2 实例运行命令），该机制对于实现跨账户事件响应场景非常有用。

图 5 – 使用 AWS Security Hub 和 Amazon CloudWatch Events 采取措施

AWS Organizations 可帮助您集中管理和控制复杂的环境。它使您能够在多账户环境中控制访问、合规性和安全性。AWS Organizations 支持服务控制策略（SCP），这些策略定义可以用于组织内的特定账户或组织部门（OU）的 AWS 服务操作。

AWS Systems Manager 让您能够查看和控制 AWS 上的基础设施。您可以从一个统一控制台查看来自多个 AWS 服务的操作数据，并可以跨这些服务自动执行操作任务。您可以获取有关最近的 API 活动、资源配置更改、操作警报、软件清单和补丁合规性状态的信息。使用与其他 AWS 服务的集成，您还可以根据您的运营需求对资源采取行动，以帮助您的环境处于合规状态。

例如，通过将 Amazon Inspector 与 AWS Systems Manager 集成，可以简化和自动化安全评估，因为您可以在 Amazon EC2 实例启动时，使用 Amazon Elastic Compute Cloud Systems Manager 自动安装 Amazon Inspector 代理。您还可以使用 Amazon EC2 System Manager 和 Lambda 函数对 Amazon Inspector 发现结果执行自动修复。