本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security OU – Security Tooling 帳戶
我們希望聽到您的意見。請進行簡短的問卷 |
Security Tooling 帳戶專用於操作安全和隱私權基礎服務 AWS 帳戶、監控和自動化安全和隱私權提醒和回應。如需此帳戶的詳細資訊,請參閱AWS 安全參考架構 (AWS SRA)。下圖說明在 AWS Security Tooling 帳戶中設定的安全和隱私權服務。
本節提供有關此帳戶中下列項目的更多詳細資訊:
AWS CloudTrail
AWS CloudTrail 可協助您稽核 中的整體 API 活動 AWS 帳戶。在所有 中啟用 CloudTrail AWS 帳戶 AWS 區域 以及儲存、處理或傳輸個人資料,可協助您追蹤此資料的使用和披露。AWS 安全參考架構建議啟用組織線索,這是記錄組織中所有帳戶所有事件的單一線索。不過,啟用此組織追蹤會將多區域日誌資料彙總到 Log Archive 帳戶中的單一 Amazon Simple Storage Service (Amazon S3) 儲存貯體。對於處理個人資料的帳戶,這可能會帶來一些額外的設計考量。日誌記錄可能包含一些對個人資料的參考。為了滿足您的資料駐留和資料傳輸需求,您可能需要重新考慮將跨區域日誌資料彙總到 S3 儲存貯體所在的單一區域。您的組織可能會考慮應該在組織追蹤中包含或排除哪些區域工作負載。對於您決定從組織追蹤中排除的工作負載,您可以考慮設定區域特定的追蹤來遮罩個人資料。如需遮蔽個人資料的詳細資訊,請參閱本指南的 Amazon Data Firehose一節。最後,您的組織可能會結合組織追蹤和區域追蹤,這些追蹤會彙總到集中式 Log Archive 帳戶。
如需設定單一區域追蹤的詳細資訊,請參閱使用 AWS Command Line Interface (AWS CLI) 或 主控台的指示。當您建立組織追蹤時,您可以使用 中的選擇加入設定AWS Control Tower,也可以直接在 CloudTrail 主控台中建立追蹤。
如需整體方法以及如何管理日誌和資料傳輸需求的集中化的詳細資訊,請參閱本指南中的 集中式日誌儲存一節。無論您選擇何種組態,根據 AWS SRA,您可能想要將 Security Tooling 帳戶中的線索管理與 Log Archive 帳戶中的日誌儲存區分開。此設計可協助您為需要管理日誌和需要使用日誌資料的人員建立最低權限的存取政策。
AWS Config
AWS Config 提供 中資源的詳細檢視 AWS 帳戶 及其設定方式。它可協助您識別資源如何相互關聯,以及其組態如何隨著時間而改變。如需如何在安全內容中使用此服務的詳細資訊,請參閱AWS 安全參考架構。
在 中 AWS Config,您可以部署一致性套件,這些套件是一組 AWS Config 規則和修補動作。一致性套件提供一般用途的架構,其設計旨在透過使用受管或自訂 AWS Config 規則來啟用隱私權、安全性、營運和成本最佳化控管檢查。您可以使用此工具作為一組較大型自動化工具的一部分,來追蹤 AWS 資源組態是否符合您自己的控制架構需求。
NIST 隱私權架構 v1.0 一致性套件的操作最佳實務符合 NIST 隱私權架構中的許多隱私權相關控制項。每個 AWS Config 規則都適用於特定 AWS 資源類型,且與一或多個 NIST 隱私權架構控制項相關。您可以使用此一致性套件來追蹤帳戶中資源的隱私權相關持續合規。以下是此一致性套件中包含的一些規則:
-
no-unrestricted-route-to-igw– 此規則透過持續監控 VPC 路由表,以找出預設0.0.0.0/0或::/0輸出路由至網際網路閘道,協助防止資料平面上的資料洩漏。這可協助您限制可傳送網際網路繫結流量的位置,尤其是在已知有惡意 CIDR 範圍的情況下。 -
encrypted-volumes– 此規則會檢查連接至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否加密。如果您的組織有與使用 AWS Key Management Service (AWS KMS) 金鑰來保護個人資料相關的特定控制要求,您可以將特定金鑰 IDs 指定為規則的一部分,以檢查磁碟區是否使用特定 AWS KMS 金鑰加密。 -
restricted-common-ports– 此規則會檢查 Amazon EC2 安全群組是否允許指定連接埠不受限制的 TCP 流量。安全群組可以透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,來協助您管理網路存取。在 資源上封鎖從0.0.0.0/0到 TCP 3389 和 TCP 21 等常見連接埠的傳入流量,可協助您限制遠端存取。
AWS Config 可用於主動 AWS 和被動的 資源合規檢查。除了考量一致性套件中的規則之外,您還可以將這些規則納入偵測和主動評估模式。這有助於在軟體開發生命週期中稍早實作隱私權檢查,因為應用程式開發人員可以開始整合部署前檢查。例如,它們可以在 AWS CloudFormation 範本中包含勾點,以檢查範本中宣告的資源,以及所有已啟用主動模式的隱私權相關 AWS Config 規則。如需詳細資訊,請參閱「AWS Config 規則現在支援主動合規
Amazon GuardDuty
AWS 提供多種服務,可用於存放或處理個人資料,例如 Amazon S3、Amazon Relational Database Service (Amazon RDS) 或 Amazon EC2 搭配 Kubernetes。Amazon GuardDuty 結合了智慧可見性和持續監控,以偵測可能與意外揭露個人資料相關的指標。如需如何在安全內容中使用此服務的詳細資訊,請參閱AWS 安全參考架構。
使用 GuardDuty,您可以在整個攻擊生命週期中識別潛在的惡意隱私權相關活動。例如,GuardDuty 可以提醒您有關黑名單網站、異常網路連接埠流量或流量磁碟區、DNS 外傳、非預期的 EC2 執行個體啟動和異常 ISP 發起人的連線。您也可以設定 GuardDuty 來停止來自您信任 IP 清單的信任 IP 地址提醒,以及來自您威脅清單的已知惡意 IP 地址提醒。
如 AWS SRA 中建議,您可以為 AWS 帳戶 組織中的所有 啟用 GuardDuty,並將 Security Tooling 帳戶設定為 GuardDuty 委派管理員。GuardDuty 會將整個組織的調查結果彙總到此單一帳戶。如需詳細資訊,請參閱使用 管理 GuardDuty 帳戶 AWS Organizations。您也可以考慮在事件回應程序中識別所有與隱私權相關的利益相關者,從偵測和分析到遏制和消除,並讓他們參與任何可能涉及資料洩露的事件。
IAM Access Analyzer
許多客戶希望持續確保與預先核准和預期的第三方處理器適當共享個人資料,而不是其他實體。資料周邊
透過 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer),組織可以定義信任 AWS 帳戶 區域,並設定該信任區域的違規提醒。IAM Access Analyzer 會分析 IAM 政策,以協助識別和解決對潛在敏感資源的意外公有或跨帳戶存取。IAM Access Analyzer 使用數學邏輯和推論,為可從 外部存取的資源產生全面的調查結果 AWS 帳戶。最後,為了回應和修復過度寬鬆的 IAM 政策,您可以使用 IAM Access Analyzer 根據 IAM 最佳實務驗證現有政策並提供建議。IAM Access Analyzer 可以根據 IAM 主體先前的存取活動產生最低權限的 IAM 政策。它分析 CloudTrail 日誌並產生政策,僅授予繼續執行這些任務所需的許可。
如需如何在安全內容中使用 IAM Access Analyzer 的詳細資訊,請參閱AWS 安全參考架構。
Amazon Macie
Amazon Macie 是一種服務,使用機器學習和模式比對來探索敏感資料、提供資料安全風險的可見性,並協助您自動化對這些風險的保護。Macie 在偵測到潛在政策違規或 Amazon S3 儲存貯體的安全性或隱私權問題時,會產生調查結果。Macie 是另一個工具,組織可以使用它來實作自動化,以支援合規工作。如需如何在安全內容中使用此服務的詳細資訊,請參閱AWS 安全參考架構。
Macie 可以偵測大量且不斷增長的敏感資料類型清單,包括個人識別資訊 (PII),例如名稱、地址和其他可識別屬性。您甚至可以建立自訂資料識別符,以定義可反映組織個人資料定義的偵測條件。
當您的組織為包含個人資料的 Amazon S3 儲存貯體定義預防性控制時,您可以使用 Macie 作為驗證機制,以持續保證您個人資料的居住地及其保護方式。若要開始,請啟用 Macie 並設定自動敏感資料探索。Macie 會持續分析所有 S3 儲存貯體中的物件,包括帳戶和 AWS 區域。Macie 會產生並維護互動式熱度圖,描述個人資料存放位置。自動化的敏感資料探索功能旨在降低成本,並將手動設定探索任務的需求降至最低。您可以在自動化敏感資料探索功能的基礎上建置,並使用 Macie 自動偵測現有儲存貯體中的新儲存貯體或新資料,然後根據指派的資料分類標籤驗證資料。設定此架構,以及時通知適當的開發和隱私權團隊有關分類錯誤或未分類的儲存貯體。
您可以使用 為組織中的每個帳戶啟用 Macie AWS Organizations。如需詳細資訊,請參閱在 Amazon Macie 中整合和設定組織。
