本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Well-Architec AWS ted 的架構安全性支柱的營運最佳實務
一致性套件提供一般用途的合規性架構,可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供 Amazon Web 服務 Well-Architected 的架構安全支柱和 AWS 受管 Config 規則之間的範例對應。每個 Config 規則都適用於特定 AWS 資源,並與支柱的一個或多個設計原則相關。一個 Well-Architected Framework 類別可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
|---|---|---|---|
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA,以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權,可以控制對系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過確保針對 root 使用者啟用硬體 MFA,來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保針對根使用者啟用 MFA,以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本,以及環境的其他詳細資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 請確定驗證認證 AW_ACCESS_KEY_ID 和 AWS_Secret_KEY 在程式碼建置專案環境中不存在。 AWS 請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保針對 root 使用者啟用硬體 MFA,來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保針對根使用者啟用 MFA,以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA,以管理 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可確保 IAM 群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權結合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可以透過檢查指定時段未使用的 IAM 密碼和存取金鑰來協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡(Config 默認值:90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 密碼已啟用循環功能。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 密碼已根據循環排程成功輪替。定期輪換密碼可縮短密碼處於作用中的時間,並可能降低密碼洩露時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保「 AWS Secrets Manager」密碼已啟用定期輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。預設值為 90 天。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 如果 AWS Secrets Manager 中存在未使用的認證,您應該停用和/或移除認證,因為這可能會違反最低權限原則。此規則可讓您將值設定為 unusedForDays (組 Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保按照組織政策的指定輪替 IAM 存取金鑰,以針對授權的裝置、使用者和程序稽核登入資料。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制以限制執行個體中繼資料的變更。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,請確保已指定非根使用者來存取 Amazon Elastic Container Service (Amazon ECS) 任務定義。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 若要協助實作最低權限原則,則 Amazon Elastic Container Service (Amazon ECS) 任務定義不應啟用提升的權限。當此參數為 true 時,容器在主機容器執行個體上會有更高的權限 (類似超級使用者)。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 啟用 Amazon Elastic Container Service (ECS) 容器的唯讀存取權,可協助遵守最低權限原則。此選項可以減少攻擊媒介,因為除非具有明確的讀寫許可,否則無法修改容器執行個體的檔案系統。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,請確保已為 Amazon Elastic File System (Amazon EFS) 啟用使用者強制執行。啟用後,Amazon EFS 會將 NFS 用戶端的使用者和群組 ID 取代為所有檔案系統操作之存取點上設定的身分,並且僅授予對此強制使用者身分的存取權。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可確保 IAM 群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權結合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起,從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全性最佳實踐值:KMS:解密,公里:)。ReEncryptFrom實際值應反映貴組織的政策 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可確保 IAM 群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權結合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權,可以控制對系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可以透過檢查指定時段未使用的 IAM 密碼和存取金鑰來協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡(Config 默認值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 建立通用控制以限制對組織中所有身分的存取。例如,您可以限制對特定 AWS 區域的存取權,或防止操作員刪除常用資源,例如用於中央安全團隊的 IAM 角色 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 DMS 複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 EBS 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊,無需網際網路閘道、NAT 裝置或 VPN 連線。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數,以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果 AWS Secrets Manager 中存在未使用的認證,您應該停用和/或移除認證,因為這可能會違反最低權限原則。此規則可讓您將值設定為 unusedForDays (組 Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保您的 Amazon OpenSearch 服務網域上已啟用稽核記錄。稽核記錄可讓您追蹤 OpenSearch 網域上的使用者活動,包括驗證成功與失敗、要 OpenSearch求、索引變更以及傳入的搜尋查詢。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶. | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 若要協助您在環境中進行記錄和監控,請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供有關 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 此規則可檢查啟用多個設定 AWS CloudTrail,以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證,以及 AWS CloudTrail 在多個區域中啟用。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則要求為 clusterDbEncrypted (Config 默認值:TRUE)和 loggingEnabled(Config 默認值:TRUE)設置一個值。實際值應反映貴組織的政策。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS Security Hub 有助於監控未經授權的人員,連接,設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub,Amazon Inspector,Amazon Macie, AWS Identity and Access Management (IAM) 訪問分析器, AWS Firewall Manager 器和 AWS 合作夥伴解決方案。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 當指標違反指定數量評估期間的閾值時,Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值:True)、 insufficientDataAction必要 (Config 預設值:True)、 okActionRequired (Config 預設值:False) 的值。實際值應反映您環境的警示動作。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊,無需網際網路閘道、NAT 裝置或 VPN 連線。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數,以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 DMS 複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 EBS 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 此規則會檢查您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體是否擁有多個 ENI。擁有多個 ENI 可能會導致雙主目錄執行個體,也就是具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保無法公開存取亞馬遜彈性運算雲端 (Amazon EC2) 執行個體來管理對雲端的存取。 AWS Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選,協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選,協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保您的 AWS WAF 的規則不是空的。沒有條件的規則可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確定 AWS WAF 的規則群組不是空的。空白規則群組可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 連接至 AWS WAF 的 Web ACL 可以包含規則和規則群組的集合,以檢查和控制 Web 要求。如果 Web ACL 為空白,Web 流量會在不被 WAF 所偵測或採取行動的情況下通過。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保正在使用 Amazon Virtual Private Cloud (VPC) 網路存取控制清單。監控未使用的網路存取控制清單,可協助您的環境進行準確的清查和管理。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改,刪除或偽造 CloudTrail 日誌文件而不進行檢測。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可檢查啟用多個設定 AWS CloudTrail,以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證,以及 AWS CloudTrail 在多個區域中啟用。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。保持安裝最新的修補程式是保護系統的最佳實務。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數,以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | Amazon Elastic Container Repository (ECR) 映像掃描功能有助於識別容器映像中的軟體漏洞。在 ECR 儲存庫上啟用映像掃描功能,可為儲存影像的完整性和安全性新增一層驗證。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 監控是維護 Amazon 彈性容器服務 (ECS) 和 AWS 解決方案的可靠性、可用性和效能的重要組成部分。Container Insights 還提供診斷資訊,例如容器重新啟動故障,協助您快速隔離和解決這些故障。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 系統會針對您的 AWS Fargate 工作自動部署安全性更新和修補程式。如果發現影響 AWS Fargate 平台版本的安全性問題,請 AWS 修補平台版本。若要協助對執行 AWS Fargate 的 Amazon 彈性容器服務 (ECS) 任務進行修補管理,請更新您的服務獨立任務以使用最新的平台版本。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。它也可讓您選擇性地設定 preferredMaintenanceWindow (預設值為「星期六:16:00-星期六:16:30」) 和「 automatedSnapshotRetention期間」(預設值為 1)。實際值應反映貴組織的政策。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制以限制執行個體中繼資料的變更。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則會檢查您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體是否擁有多個 ENI。擁有多個 ENI 可能會導致雙主目錄執行個體,也就是具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 透過確保無法公開存取亞馬遜彈性運算雲端 (Amazon EC2) 執行個體來管理對雲端的存取。 AWS Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本,以及環境的其他詳細資料。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保安全群組連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 ENI。此規則有助於監控清查中未使用的安全群組並管理您的環境。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 啟用此規則可根據組織的標準,檢查 Amazon EC2 執行個體的停止時間是否超過允許的天數,以協助設定 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的基準組態。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保在執行個體終止時,連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未加以刪除,則可能會違反最少功能的概念。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確定已啟用 AWS Backup 復原點的加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態敏感資料,請確定已為 AWS CodeBuild 成品啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確保已為 Amazon S3 中存放的 AWS CodeBuild 日誌啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態資料,請確定金鑰管理服務 (AWS KMS) 中未排程刪除必要的客戶主金 AWS 鑰 (CMK)。由於有時需要刪除金鑰,因此這個規則可協助檢查所有排定要刪除的金鑰,以防無意中排定金鑰。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為協助保護靜態敏感資料,請確保已為 Amazon CloudWatch 日誌群組啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表格會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能靜態存在敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能靜態存在敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能靜態存在敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則要求為 clusterDbEncrypted (Config 默認值:TRUE)和 loggingEnabled(Config 默認值:TRUE)設置一個值。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料,因此請啟用加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中,因此請啟用靜態加密以協助保護資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了保護靜態資料,請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆地從意外的使用者動作和應用程式失敗中復原。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 AWS ACM 頒發 X509 憑證,以確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要值 daysToExpiration (AWS 基礎安全性最佳作法值:90)。實際值應反映貴組織的政策。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於敏感資料可以存在並協助保護傳輸中的資料,因此請確保啟用 HTTPS 以連線至 Amazon OpenSearch 服務網域。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 |
範本
該模板可在以下位置獲得 GitHub:AWS Well-Architected 的安全支柱的操作最佳實踐
