AWS SRA 最佳實務檢查清單 - AWS 方案指引
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMIAM Access AnalyzerAmazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS 安全事件回應AWS Audit Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS SRA 最佳實務檢查清單

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

本節會將本指南中詳述的 AWS SRA 最佳實務分割成檢查清單,供您在建置安全架構版本時遵循 AWS。使用此清單做為參考點,而不是用來取代檢閱指南。檢查清單會依 分組 AWS 服務。如果您想要根據 AWS SRA 最佳實務檢查清單以程式設計方式驗證現有 AWS 環境,您可以使用 SRA Verify

SRA Verify 是一種安全評估工具,可協助您評估組織跨多個 AWS 帳戶 和 區域的 AWS SRA 一致性。它透過提供根據 AWS SRA 指引驗證實作的自動檢查,直接映射到 AWS SRA 建議。此工具可協助您驗證您的安全服務是否已根據參考架構正確設定。它提供詳細的調查結果和可行的修補步驟,以協助確保您的 AWS 環境遵循安全最佳實務。SRA Verify 旨在組織稽核 (安全工具) 帳戶中的 AWS CodeBuild 中執行。您也可以在本機執行它,或使用 SRA Verify 程式庫將其擴展。

注意

SRA Verify 包含多項服務的檢查,但可能不會包含 AWS SRA 每個考量的檢查。如需詳細資訊,請參閱 AWS SRA 程式庫中的指南。

AWS Organizations

  • AWS Organizations 已啟用所有 功能

  • 服務控制政策 SCPs) 用於定義 IAM 主體的存取控制準則。

  • 資源控制政策 RCPs) 用於定義 AWS 資源的存取控制準則。

  • 宣告政策用於集中宣告和強制執行整個組織中指定 AWS 服務 所需的組態。

  • 建立三個基礎 OUs(安全性、基礎設施和工作負載),以將提供基礎服務的成員帳戶分組。

  • 安全工具帳戶是在安全 OU 下建立。此帳戶提供 AWS 安全服務和其他第三方安全工具的集中式管理。

  • Log Archive 帳戶是在安全 OU 下建立。此帳戶提供 AWS 服務 和應用程式日誌的嚴格控制中央日誌儲存庫。

  • 網路帳戶是在基礎設施 OU 下建立。此帳戶會管理應用程式與更廣泛的網際網路之間的閘道。它將網路服務、組態和操作與個別應用程式工作負載、安全性和其他基礎設施隔離。

  • 共用服務帳戶是在基礎設施 OU 下建立。此帳戶支援多個應用程式和團隊用來交付其結果的服務。

  • 應用程式帳戶是在工作負載 OU 下建立。此帳戶託管主要基礎設施和服務,以執行和維護企業應用程式。本指南提供了一個表示法,但在現實世界中,應用程式、開發環境和其他安全考量將隔離多個 OUs 和成員帳戶。

  • 已設定所有成員帳戶的帳單、操作和安全性的替代聯絡資訊。

AWS CloudTrail

  • 已設定組織線索,可啟用管理帳戶和組織中所有成員帳戶中的 CloudTrail AWS 管理事件交付。

  • 組織線索設定為多區域線索。

  • 組織線索已設定為從全域資源擷取事件。

  • 用於擷取特定資料事件的其他線索會視需要設定,以監控敏感 AWS 資源活動。

  • 安全工具帳戶設定為組織追蹤的委派管理員。

  • 組織線索已設定為為所有新成員帳戶自動啟用。

  • 組織線索設定為將日誌發佈至在 Log Archive 帳戶中託管的集中式 S3 儲存貯體。

  • 組織追蹤已啟用日誌檔案驗證,以驗證日誌檔案的完整性。

  • 組織追蹤與 CloudWatch Logs 整合,以保留日誌。

  • 使用客戶受管金鑰來加密組織追蹤。

  • 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體會使用客戶受管金鑰加密。

  • 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體已設定為 S3 物件鎖定,以實現不可變性。

  • 對於日誌存檔帳戶中用於日誌儲存庫的中央 S3 儲存貯體,已啟用版本控制。

  • 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體具有定義的資源政策,只能透過資源 Amazon Resource Name (ARN) 依組織追蹤限制物件上傳。

AWS Security Hub CSPM

  • 所有成員帳戶和管理帳戶都已啟用 Security Hub CSPM。

  • AWS Config 已啟用所有成員帳戶作為 Security Hub CSPM 的先決條件。

  • Security Tooling 帳戶設定為 Security Hub CSPM 的委派管理員。

  • Amazon GuardDuty 和 Amazon Detective 具有與 Security Hub CSPM 相同的委派管理員帳戶,以實現順暢的服務整合。

  • 中央組態用於跨多個 和 設定和管理 Security Hub CSPM AWS 帳戶 AWS 區域。

  • 所有 OU 和成員帳戶都由 Security Hub CSPM 的委派管理員指定為集中管理

  • 所有新成員帳戶都會自動啟用 Security Hub CSPM。

  • Security Hub CSPM 會自動啟用以設定新標準。

  • 來自所有區域的 Security Hub CSPM 調查結果會彙總到單一主區域。

  • 來自所有成員帳戶的 Security Hub CSPM 調查結果會在 Security Tooling 帳戶中彙總。

  • Security Hub CSPM 中的AWS 基礎最佳實務 (FSBP) 標準已啟用所有成員帳戶。

  • Security Hub CSPM 中的 CIS AWS Foundation Benchmark 標準已啟用所有成員帳戶。

  • 其他 Security Hub CSPM 標準會依適用情況啟用。

  • Security Hub CSPM 自動化規則用於充實具有資源內容的問題清單。

  • Security Hub CSPM 自動化回應和修復功能用於建立自訂 EventBridge 規則,以對特定調查結果採取自動動作。

AWS Config

  • 所有成員帳戶和管理帳戶都會啟用 AWS Config 記錄器。

  • 已為所有區域啟用 AWS Config 記錄器。

  • AWS Config 交付管道 S3 儲存貯體集中在 Log Archive 帳戶中。

  • AWS Config 委派管理員帳戶已設定為安全工具帳戶。

  • AWS Config 已設定組織彙整工具。彙總工具包含所有區域。

  • AWS Config 一致性套件會從委派管理員帳戶統一部署到所有成員帳戶。

  • AWS Config 規則調查結果會自動傳送至 Security Hub CSPM。

Amazon GuardDuty

  • 已為所有成員帳戶和管理帳戶啟用 GuardDuty 偵測器。

  • 已為所有區域啟用 GuardDuty 偵測器。

  • GuardDuty 偵測器會自動為所有新成員帳戶啟用。

  • GuardDuty 委派管理設定為安全工具帳戶。

  • GuardDuty 基礎資料來源已啟用,例如 CloudTrail 管理事件、VPC 流程日誌和 Route 53 Resolver DNS 查詢日誌。

  • GuardDuty S3 保護已啟用。

  • 已啟用 EBS 磁碟區的 GuardDuty 惡意軟體防護。

  • S3 的 GuardDuty 惡意軟體防護已啟用。

  • GuardDuty RDS 保護已啟用。

  • GuardDuty Lambda 保護已啟用。

  • GuardDuty EKS 保護已啟用。

  • GuardDuty EKS 執行期監控已啟用。

  • GuardDuty 延伸威脅偵測已啟用。

  • GuardDuty 調查結果會匯出至 Log Archive 帳戶中的中央 S3 儲存貯體以進行保留。

IAM

  • 不會使用 IAM 使用者。

  • 強制執行成員帳戶的根存取權的集中管理。

  • 管理帳戶的集中式特殊權限根使用者任務會從委派管理員強制執行。

  • 集中式根存取管理會委派給 Security Tooling 帳戶。

  • 所有成員帳戶根登入資料都會移除。

  • 所有成員和管理 AWS 帳戶 密碼政策都根據組織的安全標準設定。 

  • IAM 存取顧問用於檢閱 IAM 群組、使用者、角色和政策的上次使用資訊。

  • 許可界限用於限制 IAM 角色的最大可能許可。

IAM Access Analyzer

  • 已為所有成員帳戶和管理帳戶啟用 IAM Access Analyzer。

  • IAM Access Analyzer 委派管理員設定為安全工具帳戶。

  • IAM Access Analyzer 外部存取分析器是以每個區域中的信任組織區域進行設定。

  • IAM Access Analyzer 外部存取分析器是以每個區域中的信任帳戶區域進行設定。

  • IAM Access Analyzer 內部存取分析器是以每個區域中的信任組織區域進行設定。

  • IAM Access Analyzer 內部存取分析器是以每個區域中的信任帳戶區域設定。

  • 為目前帳戶建立 IAM Access Analyzer 未使用的存取分析器。

  • 為目前組織建立 IAM Access Analyzer 未使用的存取分析器。

Amazon Detective

  • 為所有成員帳戶啟用 Detective。

  • Detective 會自動為所有新成員帳戶啟用。

  • 所有 區域都已啟用 Detective。

  • Detective 委派管理員設定為安全工具帳戶。

  • Detective、GuardDuty 和 Security Hub CSPM 委派管理員設定為相同的安全工具帳戶。

  • Detective 與 Security Lake 整合,用於儲存和分析原始日誌。

  • Detective 與 GuardDuty 整合以擷取問題清單。

  • Detective 正在擷取 Amazon EKS 稽核日誌進行分析。

  • Detective 正在擷取 Security Hub CSPM 日誌進行分析。

AWS Firewall Manager

  • 已設定 Firewall Manager 安全政策。

  • Firewall Manager 委派管理員設定為安全工具帳戶。

  • AWS Config 已啟用 做為先決條件。

  • 每個 OU、帳戶和區域設定多個 Firewall Manager 管理員的限制範圍。

  • 已定義 Firewall Manager AWS WAF 安全政策。

  • 已定義 Firewall Manager AWS WAF 集中式記錄政策。

  • 已定義 Firewall Manager Shield Advanced 安全政策。

  • 已定義 Firewall Manager 安全群組安全政策。

Amazon Inspector

  • Amazon Inspector 已為所有成員帳戶啟用。

  • Amazon Inspector 會自動為任何新的成員帳戶啟用。

  • Amazon Inspector 委派管理員設定為安全工具帳戶。

  • Amazon Inspector EC2 漏洞掃描已啟用。

  • Amazon Inspector ECR 映像漏洞掃描已啟用。

  • Amazon Inspector Lambda 函數和層漏洞掃描已啟用。

  • Amazon Inspector Lambda 程式碼掃描已啟用。

  • Amazon Inspector 程式碼安全掃描已啟用。

Amazon Macie

  • Macie 已針對適用的成員帳戶啟用。

  • Macie 會自動為適用的新成員帳戶啟用。

  • Macie 委派管理員設定為安全工具帳戶。

  • Macie 調查結果會匯出至日誌封存帳戶中的中央 S3 儲存貯體。

  • 存放 Macie 調查結果的 S3 儲存貯體會使用客戶受管金鑰加密。

  • Macie 政策和分類政策會發佈至 Security Hub CSPM。

Amazon Security Lake

  • Security Lake 組織組態已啟用。

  • Security Lake 委派管理員設定為 Security Tooling 帳戶。

  • 新成員帳戶已啟用 Security Lake 組織組態。

  • 安全工具帳戶設定為資料存取訂閱者,以執行日誌分析。

  • Security Tooling 帳戶設定為資料查詢訂閱者,以進行日誌分析。

  • 已啟用所有或指定作用中成員帳戶中 Security Lake 的 CloudTrail 管理日誌來源。

  • 已啟用所有或指定作用中成員帳戶中 Security Lake 的 VPC 流量日誌來源。

  • 在所有或指定的作用中成員帳戶中,Security Lake 都會啟用 Route 53 日誌來源。

  • S3 日誌來源的 CloudTrail 資料事件已啟用所有或指定作用中成員帳戶中的 Security Lake。

  • 已啟用所有或指定作用中成員帳戶中 Security Lake 的 Lambda 執行日誌來源。

  • Amazon EKS 稽核日誌來源已啟用所有或指定作用中成員帳戶中的 Security Lake。

  • 在所有或指定的作用中成員帳戶中,Security Hub 調查結果日誌來源已啟用 Security Lake。

  • 在所有或指定的作用中成員帳戶中,Security Lake 都會啟用 AWS WAF 日誌來源。

  • 委派管理員帳戶中的 Security Lake SQS 佇列會使用客戶受管金鑰加密。

  • 委派管理員帳戶中的 Security Lake SQS 無效字母佇列會使用客戶受管金鑰加密。

  • Security Lake S3 儲存貯體使用客戶受管金鑰加密。

  • Security Lake S3 儲存貯體具有資源政策,僅限制 Security Lake 的直接存取。

AWS WAF

  • 所有 CloudFront 分佈都與 相關聯 AWS WAF。

  • 所有與 相關聯的 Amazon API Gateway REST APIs AWS WAF。

  • 所有 Application Load Balancer 都與 相關聯 AWS WAF。

  • All AWS AppSync GraphQL APIs 會與 建立關聯 AWS WAF。

  • 所有與 相關聯的 Amazon Cognito 使用者集區 AWS WAF。

  • 所有 AWS App Runner 服務都與 相關聯 AWS WAF。

  • 所有 AWS Verified Access 執行個體都會與 建立關聯 AWS WAF。

  • 所有 AWS Amplify 應用程式都與 相關聯 AWS WAF。

  • AWS WAF 記錄已啟用。

  • AWS WAF 日誌會集中在 Log Archive 帳戶中的 S3 儲存貯體中。

AWS Shield Advanced

  • Shield Advanced 訂閱已啟用,並針對具有公開資源的所有應用程式帳戶設定為自動續約。

  • Shield Advanced 已針對所有 CloudFront 分佈設定。

  • Shield Advanced 已針對所有 Application Load Balancer 設定。

  • Shield Advanced 已針對所有 Network Load Balancer 設定。

  • Shield Advanced 已針對所有 Route 53 託管區域設定。

  • Shield Advanced 已針對所有彈性 IP 地址設定。

  • Shield Advanced 已針對所有 Global Accelerator 設定。

  • CloudWatch 警示會針對受 Shield Advanced 保護的 CloudFront 和 Route 53 資源進行設定。

  • 已設定 Shield Response Team (SRT) 存取。

  • Shield Advanced 主動參與已啟用。

  • 已設定 Shield Advanced 主動參與聯絡人。

  • Shield Advanced 受保護的資源已設定自訂 AWS WAF 規則。

  • Shield Advanced 受保護的資源已啟用自動應用程式層 DDoS 緩解。

AWS 安全事件回應

  • AWS 已針對整個 AWS 組織啟用安全事件回應。

  • AWS 安全事件回應委派管理員設定為安全工具帳戶。

  • 主動回應和警示分類工作流程已啟用。

  • AWS 客戶事件回應團隊 (CIRT) 遏制動作已獲得授權。

AWS Audit Manager

  • 所有成員帳戶都已啟用 Audit Manager。

  • Audit Manager 會自動為新成員帳戶啟用。

  • Audit Manager 委派管理員設定為安全工具帳戶。

  • AWS Config 已啟用 做為 Audit Manager 的先決條件。

  • 客戶受管金鑰用於儲存在 Audit Manager 中的資料。

  • 已設定預設評估報告目的地。