本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Well-Architec AWS ted 的架構安全性支柱的營運最佳實務
一致性套件提供一般用途的合規性架構,可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供 Amazon Web 服務 Well-Architected 的架構安全支柱和 AWS 受管 Config 規則之間的範例對應。每個 Config 規則都適用於特定 AWS 資源,並與支柱的一個或多個設計原則相關。一個 Well-Architected Framework 類別可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
|---|---|---|---|
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過確保為所有擁有主控台密碼的 MFA AWS Identity and Access Management (IAM) 使用者啟用此功能,以管理 AWS 雲端中資源的存取權。MFA在登錄憑據之上添加了一層額外的保護。透過要求使MFA用者,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者啟用多因素驗證 (MFA)。MFA在登錄憑據之上添加了一層額外的保護。透過要求MFA使用者來減少遭到入侵帳戶的事件。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過檢查 root 使用者是否沒有附加到其 AWS Identity and Access Management (IAM) 角色的存取權,可以控制對系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過確保針對 root 使用者啟用硬體MFA來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。這會為登入認證MFA增加額外的保護層。通過要MFA求 root 用戶,您可以減少受到入侵的事件 AWS 帳戶。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保MFA針對 root 使用者啟用,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。這會為登入認證MFA增加額外的保護層。通過要MFA求 root 用戶,您可以減少受到入侵的事件 AWS 帳戶。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 透過使用 AWS Systems Manager 管理 Amazon 彈性運算雲端 (AmazonEC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本,以及環境的其他詳細資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則可協助識別和記錄 Amazon 彈性運算雲端 (AmazonEC2) 弱點。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否修補合規性。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握最新的產業建議 AWS 和威脅情報,協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保驗證憑證 AWS _ ACCESS _ KEY _ID 和 AWS _ _ _ _ SECRET _ ACCESS _ KEY 不存在於 AWS Codebuild 專案環境中。請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 身分識別和認證會根據組織IAM密碼原則發出、管理和驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全最佳實踐標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全性最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全性最佳作法值:true)、 RequireSymbols (AWS 基礎安全性最佳作法值:true)、 RequireNumbers (AWS 基礎安全性最佳做法值:true)、(基礎安全性最佳實務值:14)、 MinimumPasswordLength (AWS 基礎安全性最佳實務值:24) 和 PasswordReusePrevention (AWS 基礎安全性最佳實務值:90) MaxPasswordAge AWS IAM密碼策略。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保針對 root 使用者啟用硬體MFA來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。這會為登入認證MFA增加額外的保護層。通過要MFA求 root 用戶,您可以減少受到入侵的事件 AWS 帳戶。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保MFA針對 root 使用者啟用,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。這會為登入認證MFA增加額外的保護層。通過要MFA求 root 用戶,您可以減少受到入侵的事件 AWS 帳戶。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者啟用多因素驗證 (MFA)。MFA在登錄憑據之上添加了一層額外的保護。透過要求MFA使用者來減少遭到入侵帳戶的事件。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保為所有擁有主控台密碼的 MFA AWS Identity and Access Management (IAM) 使用者啟用此功能,以管理 AWS 雲端中資源的存取權。MFA在登錄憑據之上添加了一層額外的保護。透過要求使MFA用者,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可確保IAM群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權合併在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保 I AWS dentity and Access Management (IAM) 使用者、IAM角色或IAM群組沒有內嵌原則來控制對系統和資產的存取。 AWS 建議使用受管理的政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併,限制原則不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 確保IAM動作僅限於那些需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可以透過檢查指定時間段內未使用的IAM密碼和存取金鑰來協助您取得存取權限和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡(Config 默認值:90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 密碼已啟用循環。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 密碼已根據循環排程成功輪替。定期輪換密碼可縮短密碼處於作用中的時間,並可能降低密碼洩露時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 此規則可確保「 AWS Secrets Manager」密碼已啟用定期輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。預設值為 90 天。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 如果 AWS Secrets Manager 中存在未使用的認證,您應該停用和/或移除認證,因為這可能會違反最低權限原則。此規則可讓您將值設定為 unusedForDays (組 Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用使用 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 處理作業安全 AWS 工作負載時,您需要管理兩種身分識別類型。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分識別:您的管理員、開發人員、操作員和使用者需要身分才能存取您的 AWS 環境和應用程式。這些是組織的成員,或與您共同作業的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。機器識別:您的服務應用程式、作業工具和工作負載需要身分識別才能向 AWS 服務發出要求,例如讀取資料。這些身分識別包括在您 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有其他電腦需 AWS 要存取您的 AWS 環境。 | 透過確保按照組織策略的指定輪替IAM存取金鑰,會針對授權的裝置、使用者和程序稽核認證。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法,以協助保護 Amazon 彈性運算雲端 (AmazonEC2) 執行個體中繼資料的存取和控制。此方IMDSv2法使用工作階段型控制項。透過IMDSv2,您可以實作控制項以限制執行個體中繼資料的變更。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | EC2執行個體設定檔會將IAM角色傳遞給EC2執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 若要協助實作最低權限原則,請確保指派非根使用者存取 Amazon 彈性容器服務 (AmazonECS) 任務定義。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,Amazon 彈性容器服務 (AmazonECS) 任務定義不應啟用提升的權限。當此參數為 true 時,容器在主機容器執行個體上會有更高的權限 (類似超級使用者)。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 啟用 Amazon 彈性容器服務 (ECS) 容器的唯讀存取權可協助遵守最低權限的主體。此選項可以減少攻擊媒介,因為除非具有明確的讀寫許可,否則無法修改容器執行個體的檔案系統。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,請確保已為 Amazon 彈性檔案系統 (AmazonEFS) 啟用使用者強制執行。啟用後,Amazon 會以針對所有檔案系統操作在存EFS取點上設定的身分來取代用NFS戶端的使用者和群組,並且僅授IDs與此強制使用者身分的存取權。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 透過啟用適用於 Amazon 叢集的 Kerberos,可以管理存取許可和授權,並以最低權限和職責分離的原則整合。EMRKerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在範圍內,Kerberos 伺服器稱為金鑰發佈中心 () KDC。其為主體提供驗證的方法。通過發出KDC驗證票證進行身份驗證。會在其範圍內KDC維護主體的資料庫、其密碼,以及每個主體的其他管理資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可確保IAM群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權合併在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保 I AWS dentity and Access Management (IAM) 使用者、IAM角色或IAM群組沒有內嵌原則來控制對系統和資產的存取。 AWS 建議使用受管理的政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併,限制原則不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保IAM動作僅限於那些需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合在一起,從而限制原則在所有 AWS 金鑰管理服務金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全性最佳實踐值:KMS:解密,公里:)。ReEncryptFrom實際值應反映貴組織的政策 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可確保IAM群組至少有一位使用者,協助您將最低權限和職責分離的原則與存取權限和授權合併在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併,限制原則不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 透過檢查 root 使用者是否沒有附加到其 AWS Identity and Access Management (IAM) 角色的存取權,可以控制對系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可以透過檢查指定時間段內未使用的IAM密碼和存取金鑰來協助您取得存取權限和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡(Config 默認值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 建立通用控制以限制對組織中所有身分的存取。例如,您可以限制對特定 AWS 區域的存取權,或防止操作員刪除常用資源,例如用於中央安全團隊的IAM角色 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保DMS複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS複寫執行個體可以包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保EBS快照不可公開還原,以管理對 AWS 雲端的存取。EBS磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon 彈性運算 AWS 雲端 (AmazonEC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(AmazonVPC)中來管理對雲的訪問。 AWS Amazon 中的 OpenSearch 服務網域VPC可讓 Amazon 內的 OpenSearch 服務與其他服務之間的安全通訊,VPC而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(AmazonVPC)中來管理對雲的訪問。 AWS Amazon 中的 Amazon OpenSearch 服務域VPC可以在 Amazon 內部的 Amazon OpenSearch 服務與其他服務之間進行安全通信,VPC而無需互聯網閘道,NAT設備或VPN連接。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon 虛擬私有雲 (AmazonEC2) 中部署 Amazon 彈性運算雲端 (AmazonVPC) 執行個體,以便在 Amazon 內的執行個體與其他服務之間進行安全通訊VPC,而不需要網際網路閘道、NAT裝置或VPN連線。所有流量都安全地保留在 AWS 雲中。由於其邏輯隔離,與使用公VPC有端點的網域相比,位於 Amazon 內的網域具有額外的安全層。將 Amazon EC2 實例分配給 Amazon VPC 以正確管理訪問。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon Virtual Private Cloud (AmazonVPC) 中部署 AWS Lambda 函數,以便在 Amazon 內的函數與其他服務之間進行安全通訊VPC。透過此設定,就不需要網際網路閘道、NAT裝置或VPN連線。所有流量都安全地保留在 AWS 雲中。由於其邏輯隔離,與使用公VPC有端點的網域相比,位於 Amazon 內的網域具有額外的安全層。若要正確管理存取, AWS Lambda 函數應指派給VPC. | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon 關聯式資料庫服務 (AmazonRDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon 資RDS料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon 關聯式資料庫服務 (AmazonRDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon 資RDS料庫執行個體可能包含敏感資訊和原則,此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果 AWS Secrets Manager 中存在未使用的認證,您應該停用和/或移除認證,因為這可能會違反最低權限原則。此規則可讓您將值設定為 unusedForDays (組 Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的SSM文件。公開SSM文件可能會公開有關您的帳戶、資源和內部程序的資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon 彈性運算雲端 (EC2) 執行個體,會將公用 IP 地址指派給其主要網路界面。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2資源不應公開存取,因為這可能會允許非預期存取您的應用程式或伺服器。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | API閘道記錄會顯示存取的使用者API及其存取方式的詳細檢視API。此洞察功能可讓您掌握使用者活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保您的 Amazon OpenSearch 服務網域上已啟用稽核記錄。稽核記錄可讓您追蹤 OpenSearch 網域上的使用者活動,包括驗證成功與失敗、要 OpenSearch求、索引變更以及傳入的搜尋查詢。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。 AWS CloudTrail 數據包含提供您的API呼叫活動的詳細信息 AWS 帳戶。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體中物件的資訊、IP 地址和事件時間。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Elastic Load Balancing 活動是環境內的通訊中心點。確定已啟用ELB記錄功能。收集的資料會提供有關傳送至的請求的詳細資訊ELB。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS CloudTrail 記錄 AWS 管理主控台的動作和API呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用 MULTI _ _ _ REGION CLOUD TRAIL _ENABLED,則會將所有 AWS 區域的日誌檔傳遞到 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。因此,您將會收到包含新區域API活動的記錄檔,而不會採取任何動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了協助您在環境中進行記錄和監控,請確定已啟用 Amazon Relational Database Service (AmazonRDS) 記錄。使用 Amazon RDS 記錄,您可以擷取事件,例如連線、中斷連線、查詢或查詢的表格。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | VPC流程日誌提供有關進出 Amazon 虛擬私人雲端 (AmazonVPC) 網路界面之 IP 流量的詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 若要協助您在環境中進行記錄和監控,請在地區和全球網路上啟用 AWS WAF (V2) 記錄ACLs。 AWS WAF記錄提供有關您的 Web 分析流量的詳細資訊ACL。記錄會記錄從您的 AWS 資源 AWS WAF接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 此規則可檢查啟用多個設定 AWS CloudTrail,以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證,以及 AWS CloudTrail 在多個區域中啟用。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 (組態預設值:TRUE) 和 clusterDbEncrypted loggingEnabled (組 Config 預設值:TRUE) 設定值。實際值應反映貴組織的政策。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意IPs和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS Security Hub 有助於監控未經授權的人員,連接,設備和軟件。 AWS Security Hub 彙總、組織和優先處理來自多個服務的安全性警示或發現項目。 AWS 一些這樣的服務是 Amazon Security Hub,Amazon Inspector,Amazon Macie, AWS Identity and Access Management(IAM)訪問分析器和 AWS Firewall Manager 器和 AWS 合作夥伴解決方案。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 當指標違反指定數量評估期間的閾值時,Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值:True)、 insufficientDataAction必要 (Config 預設值:True)、 okActionRequired (Config 預設值:False) 的值。實際值應反映您環境的警示動作。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(AmazonVPC)中來管理對雲的訪問。 AWS Amazon 中的 OpenSearch 服務網域VPC可讓 Amazon 內的 OpenSearch 服務與其他服務之間的安全通訊,VPC而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(AmazonVPC)中來管理對雲的訪問。 AWS Amazon 中的 Amazon OpenSearch 服務域VPC可以在 Amazon 內部的 Amazon OpenSearch 服務與其他服務之間進行安全通信,VPC而無需互聯網閘道,NAT設備或VPN連接。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon 虛擬私有雲 (AmazonEC2) 中部署 Amazon 彈性運算雲端 (AmazonVPC) 執行個體,以便在 Amazon 內的執行個體與其他服務之間進行安全通訊VPC,而不需要網際網路閘道、NAT裝置或VPN連線。所有流量都安全地保留在 AWS 雲中。由於其邏輯隔離,與使用公VPC有端點的網域相比,位於 Amazon 內的網域具有額外的安全層。將 Amazon EC2 實例分配給 Amazon VPC 以正確管理訪問。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon Virtual Private Cloud (AmazonVPC) 中部署 AWS Lambda 函數,以便在 Amazon 內的函數與其他服務之間進行安全通訊VPC。透過此設定,就不需要網際網路閘道、NAT裝置或VPN連線。所有流量都安全地保留在 AWS 雲中。由於其邏輯隔離,與使用公VPC有端點的網域相比,位於 Amazon 內的網域具有額外的安全層。若要正確管理存取, AWS Lambda 函數應指派給VPC. | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 增強型VPC路由會強制叢集COPY和資料儲存庫之間的所有UNLOAD流量和流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等VPC功能來保護網路流量的安全。您也可以使用VPC流量記錄來監控網路流量。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS WAF在彈性負載平衡器 (ELB) 上啟用,以協助保護 Web 應用程式。A WAF 有助於保護您的 Web 應用程序或APIs防止常見的 Web 漏洞利用。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | AWS WAF可讓您設定一組規則 (稱為 Web 存取控制清單 (WebACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API 閘道階段與WAF網路相關聯,ACL以保護其免受惡意攻擊 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保DMS複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS複寫執行個體可以包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保EBS快照不可公開還原,以管理對 AWS 雲端的存取。EBS磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 此規則會檢查您的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體是否有多個執行個體ENIs。擁有多個ENIs可能會導致雙重主目錄執行個體,表示具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon 彈性運算 AWS 雲端 (AmazonEC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon EC2 路由表沒有通往網際網路閘道的不受限制路由。移除或限制 Amazon 內工作負載對網際網路的存取VPCs可能會減少環境中意外的存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon 關聯式資料庫服務 (AmazonRDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon 資RDS料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon 關聯式資料庫服務 (AmazonRDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon 資RDS料庫執行個體可能包含敏感資訊和原則,此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon 彈性運算雲端 (AmazonEC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選,協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的SSM文件。公開SSM文件可能會公開有關您的帳戶、資源和內部程序的資訊。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon 彈性運算雲端 (EC2) 執行個體,會將公用 IP 地址指派給其主要網路界面。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon 彈性運算雲端 (AmazonEC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選,協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2資源不應公開存取,因為這可能會允許非預期存取您的應用程式或伺服器。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 彈性運算 AWS 雲端 (AmazonEC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則允許您選擇性地設置 blockedPort 1-blockedPort 5 個參數(Config 默認值:20,21,3389,3306,4333)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon 彈性運算 AWS 雲端 (AmazonEC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保您 AWS WAF的規則不是空的。沒有條件的規則可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確定您 AWS WAF的規則群組不是空的。空白規則群組可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | ACL連接到的 Web AWS WAF 可以包含用於檢查和控制 Web 請求的規則和規則群組集合。如果 Web ACL 為空,則 Web 流量會通過,而不會被偵測到或採取行動WAF。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保 Amazon Virtual Private Cloud (VPC) 網路存取控制清單正在使用中。監控未使用的網路存取控制清單,可協助您的環境進行準確的清查和管理。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意IPs和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | VPC流程日誌提供有關進出 Amazon 虛擬私人雲端 (AmazonVPC) 網路界面之 IP 流量的詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全性修補程式和錯誤修正。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能使用業界標準演算法建置:SHA-256 用於雜湊,SHA-256 用RSA於數位簽署。這使得在計算上不可行修改,刪除或偽造 CloudTrail 日誌文件而不進行檢測。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可檢查啟用多個設定 AWS CloudTrail,以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證,以及 AWS CloudTrail 在多個區域中啟用。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統的最佳實務。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Virtual Private Cloud (AmazonVPC) 中部署 AWS Lambda 函數,以便在 Amazon 內的函數與其他服務之間進行安全通訊VPC。透過此設定,就不需要網際網路閘道、NAT裝置或VPN連線。所有流量都安全地保留在 AWS 雲中。由於其邏輯隔離,與使用公VPC有端點的網域相比,位於 Amazon 內的網域具有額外的安全層。若要正確管理存取, AWS Lambda 函數應指派給VPC. | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | Amazon 彈性容器儲存庫 (ECR) 影像掃描有助於識別容器映像中的軟體弱點。在儲存ECR庫上啟用影像掃描可增加一層驗證,以確保儲存影像的完整性和安全性。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 監控是維護 Amazon 彈性容器服務 (ECS) 和 AWS 解決方案的可靠性、可用性和效能的重要組成部分。Container Insights 還提供診斷資訊,例如容器重新啟動故障,協助您快速隔離和解決這些故障。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 系統會針對您的 AWS Fargate 工作自動部署安全性更新和修補程式。如果發現影響 AWS Fargate 平台版本的安全性問題,請 AWS 修補平台版本。若要協助管理執行 AWS Fargate 的 Amazon 彈性容器服務 (ECS) 任務的修補程式,請更新您的服務獨立任務以使用最新的平台版本。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。它也可讓您選擇性地設定 preferredMaintenanceWindow (預設值為「星期六:16:00-星期六:16:30」) 和「 automatedSnapshotRetention期間」(預設值為 1)。實際值應反映貴組織的政策。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法,以協助保護 Amazon 彈性運算雲端 (AmazonEC2) 執行個體中繼資料的存取和控制。此方IMDSv2法使用工作階段型控制項。透過IMDSv2,您可以實作控制項以限制執行個體中繼資料的變更。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則會檢查您的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體是否有多個執行個體ENIs。擁有多個ENIs可能會導致雙重主目錄執行個體,表示具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保 Amazon 彈性運算 AWS 雲端 (AmazonEC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | EC2執行個體設定檔會將IAM角色傳遞給EC2執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 透過使用 AWS Systems Manager 管理 Amazon 彈性運算雲端 (AmazonEC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本,以及環境的其他詳細資料。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保將安全群組連接至 Amazon 彈性運算雲端 (AmazonEC2) 執行個體或ENI. 此規則有助於監控清查中未使用的安全群組並管理您的環境。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 啟用此規則可根據組織的標準,檢查 Amazon 執行個體是否停止超過允許的天數,以協助進EC2行 Amazon 彈性運算雲端 (AmazonEC2) 執行個體的基準組態。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保在執行個體終止時,連接到 Amazon 彈性運算雲端 (AmazonEC2) 執行個體的 Amazon 彈性區塊存放區磁碟區會被標記為要刪除。如果 Amazon EBS 磁碟區在連接的執行個體終止時未刪除,則可能違反最少功能的概念。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 啟用此規則可協助識別和記錄 Amazon 彈性運算雲端 (AmazonEC2) 弱點。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否修補合規性。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態資料,請確定已啟用API閘道階段快取的加密功能。由於可以為API方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確定已啟用 AWS Backup 復原點的加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態敏感資料,請確定已為 AWS CodeBuild 成品啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確保已為 Amazon S3 中存放的 AWS CodeBuild 日誌啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為協助保護靜態資料,請確定金鑰管理服務 (CMKs) 中未排程刪除必要的客戶主金 AWS 鑰 (AWS KMS)。因為刪除金鑰有時為必要,而這個規則可協助檢查所有排程要刪除的金鑰,以防無意中排程刪除金鑰。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確保已為 Amazon CloudWatch 日誌群組啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表會使用 AWS 擁有的客戶主金鑰 () CMK 加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保您的 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區已啟用加密。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Elastic File System 啟用加密功能 (EFS)。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區已啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保您的 Amazon 關聯式資料庫服務 (AmazonRDS) 快照已啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已為 Amazon 關聯式資料庫服務 (AmazonRDS) 執行個體啟用加密。由於敏感資料可能存在於 Amazon RDS 執行個體中,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 (組態預設值:TRUE) 和 clusterDbEncrypted loggingEnabled (組 Config 預設值:TRUE) 設定值。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保 Amazon Redshift 叢集已啟用 AWS 金鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保您的 SageMaker 端點已啟用 AWS 金鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定您的 SageMaker 筆記型電腦已啟用 AWS 金鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中,因此請啟用靜態加密以協助保護資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用使用 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保 Amazon 簡單通知服務 (AmazonSNS) 主題需要使用 AWS 金鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 在 Organ AWS izations AWS 帳戶 內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 X509 憑證由核發,以確保網路完整性受到保護。 AWS ACM這些憑證必須有效且未過期。此規則需要值 daysToExpiration (AWS 基礎安全性最佳作法值:90)。實際值應反映貴組織的政策。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公用和私有SSL/TLS憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公用和私有SSL/TLS憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保您的彈性負載平衡器(ELB)配置為刪除 http 標頭。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的HTTP要求重新導向至HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Amazon API 閘道RESTAPI階段已設定SSL憑證,以允許後端系統對來自API閘道的請求進行驗證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (AmazonVPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (AmazonVPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於敏感資料可以存在並協助保護傳輸中的資料,因HTTPS此請確保已啟用連線至 Amazon Ser OpenSearch vice 網域的功能。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保您的 Amazon Redshift 叢集需要TLS/SSL加密才能連接到SQL用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體需要使用安全通訊端層 (SSL) 的請求。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保您的彈性負載平衡器 (ELBs) 設定了SSL或HTTPS偵聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | VPC流程日誌提供有關進出 Amazon 虛擬私人雲端 (AmazonVPC) 網路界面之 IP 流量的詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意IPs和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 |
範本
該模板可用於 GitHub:AWS Well-Architected 的安全支柱的操作最佳實踐
