SEC08-BP03 自動化靜態資料保護
使用自動化來驗證和強制執行靜態資料控制措施。 使用自動掃描來偵測資料儲存解決方案的錯誤組態,並盡可能透過自動化的程式化回應執行補救措施。 將自動化納入 CI/CD 程序中,在部署到實際執行環境之前先偵測是否有資料儲存組態錯誤的情形。
預期成果:自動化系統會掃描和監控資料儲存位置,找出是否有控制措施組態錯誤、未經授權存取及意外使用的情況。 偵測到設定錯誤的儲存位置就會啟動自動化補救措施。 自動化程序會建立資料備份,並將不可變的副本儲存在原始環境之外。
常見的反模式:
-
未考慮在受支援的情況下,啟用預設加密設定的選項。
-
制定自動備份和復原策略時,未考慮安全事件還有操作事件。
-
未強制執行儲存服務的公開存取設定。
-
未監控和稽核保護靜態資料的控制措施。
建立此最佳實務的優勢:自動化有助於防止發生資料儲存位置設定錯誤的風險。此方式有助於防止錯誤組態進入您的實際執行環境。此最佳實務也有助於偵測並修正錯誤組態 (如發生)。
未建立此最佳實務時的風險暴露等級:中
實作指引
自動化是保護靜態資料的整體實務中反覆出現的「主題」。SEC01-BP06 自動部署標準安全控制措施說明了如何使用基礎設施即程式碼 (IaC) 範本 (例如使用 AWS CloudFormation
您可以在 CI/CD 管道中使用 AWS CloudFormation Guard 内的規則檢查您在 IaC 範本中定義的設定是否有組態錯誤。 您可以透過 AWS Config
將自動化納入您的許可管理策略中,也是整體自動化資料防護措施的一環。SEC03-BP02 授予最低權限存取權和 SEC03-BP04 持續減少許可中說明了如何設定最低權限存取權政策,這些政策會受到 AWS Identity and Access Management Access Analyzer
自動化也會在偵測到敏感資料儲存於未經授權的位置時,發揮重要的作用。SEC07-BP03 自動識別和分類說明了 Amazon Macie
遵循 REL09 備份資料中的實務,制定自動化資料備份和復原策略。資料備份和復原對於操作事件,以及從安全事件中復原來說都相當重要。
實作步驟
-
在 IaC 範本中擷取資料儲存組態。 使用自動化檢查在 CI/CD 管道中偵測組態錯誤。
-
您可以將 <ulink type="marketing" url="cloudformation">&CFN;</ulink> 用於 IaC 範本,並且將 CloudFormation Guard 用於檢查範本是否有組態錯誤。
-
使用 AWS Config
採取主動評估模式,執行規則。在建立資源之前,使用此設定作為 CI/CD 管道中的步驟來檢查資源是否合規。
-
-
監控資源是否有資料儲存組態錯誤。
-
設定 AWS Config
來監控資料儲存資源是否有控制組態方面的變更,並在偵測到組態錯誤時產生警示,以調用修復動作。 -
如需有關自動化補救措施的詳細指引,請參閱 SEC04-BP04 針對不合規資源實施補救措施。
-
-
透過自動化持續監控並減少資料存取許可。
-
IAM Access Analyzer
可持續執行,並在有可能減少許可時產生警示。
-
-
監控並警示異常資料存取行為。
-
GuardDuty
會監看 EBS 磁碟區、S3 儲存貯體及 RDS 資料庫等資料儲存資源中,是否存在已知的威脅特徵和偏離基準存取行為。
-
-
監控並在敏感資料儲存於非預期位置時發出警示。
-
使用 Amazon Macie
持續掃描您的 S3 儲存貯體是否有敏感資料。
-
-
自動保護和加密資料備份。
-
AWS Backup 是受管服務,會在 AWS 上建立各種資料來源的加密和安全備份。 彈性災難復原
可讓您透過以秒為單位測量的復原點目標 (RPO),複製完整的伺服器工作負載並維持持續的資料保護。 您可以設定讓兩種服務搭配運作,以自動建立資料備份並將其複製到容錯移轉位置。 這樣做有助於在受到操作或安全事件影響時,保持資料的可用性。
-
資源
相關的最佳實務:
相關文件:
相關範例:
相關工具:
