SEC06-BP05 自动保护计算
自动执行保护计算的操作,减少人工干预的需要。使用自动扫描检测计算资源中是否可能存在问题,并通过自动程序化响应或实例集管理操作进行修复。 在您的 CI/CD 流程中融入自动化功能,以最新的依赖项来部署值得信赖的工作负载。
期望结果:由自动化系统对计算资源进行所有扫描和修补。您可以使用自动验证来检查软件映像和依赖项是否来自可信来源,以及是否被篡改。自动检查工作负载是否有最新的依赖项,并对工作负载进行签名,以便在 AWS 计算环境中建立信任。 一旦检测到不合规的资源,就会启动自动修复措施。
常见反模式:
-
遵循不可变基础设施的做法,但没有制定紧急修补或更换生产系统的解决方案。
-
使用自动化技术来修复配置错误的资源,但没有手动覆盖机制。 在某些情况下,您可能需要调整要求,并且在进行这些更改之前需要暂停自动化操作。
建立此最佳实践的好处:自动化操作可以降低未经授权访问和使用计算资源的风险。 这有助于防止错误配置对生产环境产生影响,检测错误配置,并在发生错误配置时对其进行修复。 自动化操作还有助于检测未经授权的访问和使用计算资源的情况,从而缩短响应时间。 这反过来又能够缩小问题的总体影响范围。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
您可以应用安全性支柱实践中描述的自动化操作来保护计算资源。SEC06-BP01 执行漏洞管理描述了如何在 CI/CD 管道中使用 Amazon Inspector
自动化操作在部署值得信赖的工作负载方面也发挥着作用,如《SEC06-BP02 从强化映像预置计算》和《SEC06-BP04 验证软件完整性》中所述。 您可以使用 EC2 Image Builder
除了这些预防性控制措施之外,您还可以在计算资源的检测性控制中运用自动化。 例如,AWS Security Hub
实施步骤
-
利用 EC2 Image Builder 自动创建安全、合规且经过强化的 AMI。 您可以在基础 AWS 和 APN 合作伙伴映像中融入符合互联网安全中心(CIS,Center for Internet Security)基准或安全技术实施指南(STIG,Security Technical Implementation Guide)标准的控制措施,从而生成自己的映像。
-
自动执行配置管理。使用配置管理服务或工具,在计算资源中自动实施和验证安全配置。
-
使用 AWS Config
自动执行配置管理 -
使用 AWS Security Hub
自动管理安全性和合规性态势
-
-
自动修补或替换 Amazon Elastic Compute Cloud(Amazon EC2)实例。AWSSystems Manager Patch Manager 使用安全相关的更新和其它类型的更新自动执行修补托管实例的流程。您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。
-
自动扫描计算资源以便查找通用漏洞披露(CVE,Common Vulnerabilities and Exposures),并在构建管道中嵌入安全扫描解决方案。
-
考虑使用 Amazon GuardDuty 自动检测恶意软件和威胁,以便保护计算资源。在 AWS 环境中调用 AWS Lambda 函数时,GuardDuty 还可以识别出潜在问题。
-
考虑采用 AWS 合作伙伴解决方案。AWS合作伙伴提供业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云端和本地环境中部署全面的安全架构,进而实现无缝效果更好的体验。
资源
相关最佳实践:
相关文档:
相关视频: