保護基礎設施的安全控制建議 - AWS 方案指引
CloudFront 預設根物件掃描應用程式程式碼建立網路層僅使用授權連接埠公開存取 Systems Manager 文件公開存取 Lambda 函數更新預設安全群組掃描漏洞和網路暴露設定 AWS WAF進階的 DDoS 攻擊防護控制網路流量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

保護基礎設施的安全控制建議

基礎設施保護是任何安全計畫的關鍵部分。它包含控制方法,可協助您保護網路和運算資源。基礎設施保護的範例包括信任界限、defense-in-depth方法、安全強化、修補程式管理,以及作業系統身分驗證和授權。如需詳細資訊,請參閱 AWS Well-Architected Framework 中的基礎設施保護。本節中的安全控制可協助您實作基礎設施保護的最佳實務。

指定 CloudFront 分佈的預設根物件

Amazon CloudFront 透過全球資料中心網路提供 Web 內容,進而降低延遲並改善效能,進而加速 Web 內容的分佈。如果您不定義預設根物件,則分佈根的請求會通過您的原始伺服器。如果您使用的是 Amazon Simple Storage Service (Amazon S3) 原始伺服器,則請求可能會傳回 S3 儲存貯體中的內容清單,或原始伺服器私有內容清單。指定預設根物件可協助您避免公開分佈的內容。

如需詳細資訊,請參閱下列資源:

掃描應用程式程式碼以識別常見的安全問題

AWS Well-Architected Framework 建議您掃描程式庫和相依性是否有問題和瑕疵。您可以使用許多原始程式碼分析工具來掃描原始程式碼。例如,Amazon CodeGuru 可以掃描 Java或 Python 應用程式中常見的安全問題,並提供修補建議。

如需詳細資訊,請參閱下列資源:

使用專用 VPCs和子網路建立網路層

AWS Well-Architected Framework 建議您將共用敏感需求的元件分組為層。這可將未經授權的存取的潛在影響範圍降至最低。例如,不需要網際網路存取的資料庫叢集應放置在其 VPC 的私有子網路中,以確保沒有往返網際網路的路由。

AWS 提供許多 服務,可協助您測試和識別公有可及性。例如, Reachability Analyzer 是一種組態分析工具,可協助您測試 VPCs中來源和目的地資源之間的連線。此外,Network Access Analyzer 可協助您識別對資源的意外網路存取。

如需詳細資訊,請參閱下列資源:

將傳入流量限制為僅授權的連接埠

不受限制的存取,例如來自0.0.0.0/0來源 IP 地址的流量,會增加惡意活動的風險,例如駭客入侵、denial-of-service(DoS) 攻擊和資料遺失。安全群組提供輸入和輸出網路流量至 AWS 資源的狀態篩選。任何安全群組都不應允許無限制的傳入存取已知的連接埠,例如 SSH 和Windows遠端桌面通訊協定 (RDP)。對於傳入流量,在您的安全群組中,僅允許授權連接埠上的 TCP 或 UDP 連線。若要連線至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,請使用 Session ManagerRun Command,而非直接存取 SSH 或 RDP。

如需詳細資訊,請參閱下列資源:

封鎖對 Systems Manager 文件的公開存取

除非您的使用案例需要開啟公有共用, AWS Systems Manager 否則最佳實務建議您封鎖 Systems Manager 文件的公有共用。公開共用可能會提供文件的意外存取。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴和敏感資訊。

 如需詳細資訊,請參閱下列資源:

封鎖對 Lambda 函數的公開存取

AWS Lambda 是一項運算服務,可協助您執行程式碼,無需佈建或管理伺服器。Lambda 函數不應公開存取,因為這可能會允許對函數程式碼的意外存取。

我們建議您為 Lambda 函數設定資源型政策,以拒絕從帳戶外部存取。您可以透過移除許可或將AWS:SourceAccount條件新增至允許存取的 陳述式來達成此目的。您可以透過 Lambda API 或 AWS Command Line Interface () 更新 Lambda 函數的資源型政策AWS CLI。

我們也建議您啟用 【Lambda.1】 Lambda 函數政策應禁止 中的公開存取控制。 AWS Security Hub此控制項會驗證 Lambda 函數的資源型政策是否禁止公開存取。

如需詳細資訊,請參閱下列資源:

在預設安全群組中限制傳入和傳出流量

如果您在佈建 AWS 資源時未建立自訂安全群組的關聯,則資源會與 VPC 的預設安全群組相關聯。此安全群組的預設規則允許來自指派給此安全群組之所有資源的所有傳入流量,且允許所有傳出 IPv4 和 IPv6 流量。這可能會允許對資源的意外流量。

AWS 建議您不要使用預設安全群組。反之,為特定資源或資源群組建立自訂安全群組。

由於無法刪除預設安全群組,建議您變更預設安全群組規則,以限制傳入和傳出流量。設定安全群組規則時,請遵循最低權限原則。

我們也建議您啟用 【EC2.2】 VPC 預設安全群組,不應允許 Security Hub 中的傳入或傳出流量控制。此控制項會驗證 VPC 的預設安全群組是否拒絕傳入和傳出流量。

如需詳細資訊,請參閱下列資源:

掃描軟體漏洞和意外的網路暴露

建議您在所有帳戶中啟用 Amazon Inspector。Amazon Inspector 是一種漏洞管理服務,會持續掃描您的 Amazon EC2 執行個體、Amazon Elastic Container Registry (Amazon ECR) 容器映像,以及 Lambda 函數是否有軟體漏洞和意外的網路暴露。它也支援 Amazon EC2 執行個體的深度檢查。當 Amazon Inspector 識別漏洞或開放式網路路徑時,會產生您可以調查的問題清單。如果您的帳戶中同時設定了 Amazon Inspector 和 Security Hub,則 Amazon Inspector 會自動將安全調查結果傳送至 Security Hub 以進行集中式管理。

如需詳細資訊,請參閱下列資源:

設定 AWS WAF

AWS WAF 是 Web 應用程式防火牆,可協助您監控和封鎖轉送至受保護 Web 應用程式資源的 HTTP 或 HTTPS 請求,例如 Amazon API Gateway APIs、Amazon CloudFront 分佈或 Application Load Balancer。服務會根據您指定的條件,使用請求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應來回應請求。 AWS WAF 可協助保護 Web 應用程式或 APIs 免受可能影響可用性、危及安全性或耗用過多資源的常見 Web 入侵。請考慮在 AWS WAF 中設定 AWS 帳戶 ,並使用受 AWS 管規則、自訂規則和合作夥伴整合的組合,以協助保護您的應用程式免受應用程式層 (第 7 層) 攻擊。

如需詳細資訊,請參閱下列資源:

設定進階的 DDoS 攻擊防護

AWS Shield 針對網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) 上的 AWS 資源,提供防範分散式阻斷服務 (DDoS) 攻擊的保護。此服務有兩種選項: AWS Shield Standard 和 AWS Shield Advanced。Shield Standard 會自動保護支援 AWS 的資源,無需額外費用。

我們建議您訂閱 Shield Advanced,它為受保護的資源提供擴展的 DDoS 攻擊保護。您從 Shield Advanced 收到的保護會因您的架構和組態選擇而有所不同。考慮為需要下列任何一項的應用程式實作 Shield Advanced 保護:

  • 保證應用程式使用者的可用性。

  • 如果應用程式受到 DDoS 攻擊影響,快速存取 DDoS 緩解專家。

  • AWS 知道應用程式可能受到 DDoS 攻擊的影響,以及 AWS 攻擊的通知,並呈報至您的安全或營運團隊。

  • 雲端成本的可預測性,包括 DDoS 攻擊影響您使用 的時間 AWS 服務。

如需詳細資訊,請參閱下列資源:

使用defense-in-depth方法來控制網路流量

AWS Network Firewall 是一種具狀態、受管的網路防火牆和入侵偵測和預防服務,適用於 中的虛擬私有雲端 (VPCs) AWS 雲端。它可協助您在 VPC 周邊部署必要的網路保護。這包括篩選進出網際網路閘道、NAT 閘道或透過 VPN 或 的流量 AWS Direct Connect。Network Firewall 包含有助於防止常見網路威脅的功能。Network Firewall 中的具狀態防火牆可以整合流量的內容,例如連線和通訊協定,以強制執行政策。

如需詳細資訊,請參閱下列資源: