本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Well-Architected Framework Security Pillar 的操作最佳實務
合規套件提供一般用途的合規架構,旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供 Amazon Web Services Well-Architected Framework Security Pillar 與 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定 AWS 資源,並與一或多個支柱的設計原則相關。一個 Well-Architected Framework 類別可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
| 控制 ID | 控制描述 | AWS 組態規則 | 指引 |
|---|---|---|---|
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | AWS Organizations AWS 帳戶 內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保所有具有主控台密碼的 AWS Identity and Access Management (IAM) 使用者MFA都已啟用 ,以管理對 AWS 雲端資源的存取。 會在登入憑證之外MFA新增額外的保護層。透過MFA要求 使用者,您可以減少遭入侵帳戶的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者啟用多重要素驗證 (MFA)。 在登入憑證之外MFA新增額外的保護層。MFA 要求 使用者減少遭盜用帳戶的事件。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用以角色為基礎的 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保MFA為根使用者啟用硬體,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。為登入憑證MFA新增額外的保護層。透過MFA要求根使用者,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保 MFA 已為根使用者啟用 ,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。為登入憑證MFA新增額外的保護層。透過MFA要求根使用者,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準,以及環境的其他詳細資訊。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 啟用此規則,以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序所需的 Amazon EC2執行個體修補程式合規。 | |
| SEC-1 | 如何安全地操作工作負載? 若要安全地操作工作負載,您必須將整體的最佳實務套用到每個安全區域。採用您在組織和工作負載層級於卓越營運中定義的要求和程序,並將其應用於所有區域。掌握 AWS 和 產業建議和威脅情報的最新資訊,可協助您發展威脅模型和控制目標。將安全程序、測試和驗證自動化可讓您擴展安全操作。 | 確保身分驗證憑證 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 不存在於 AWS Codebuild 專案環境中。請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。 | |
| SEC-2 | 如何管理人員和機器的身分? 接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 身分和登入資料會根據組織IAM密碼政策發出、管理和驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇設定IAM密碼政策AWS 的 RequireUppercaseCharacters (基本安全最佳實務值: true) RequireLowercaseCharacters 、(AWS 基本安全最佳實務值: true)、 RequireSymbols (AWS 基本安全最佳實務值: true)、 RequireNumbers (AWS 基本安全最佳實務值: true)、 MinimumPasswordLength (AWS 基本安全最佳實務值: 14)、 PasswordReusePrevention (AWS 基本安全最佳實務值: 24) 和AWS MaxPasswordAge (基本安全最佳實務值: 90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 確保MFA為根使用者啟用硬體,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。為登入憑證MFA新增額外的保護層。透過MFA要求根使用者,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| SEC-2 | 如何管理人員和機器的身分? 接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 確保 MFA 已為根使用者啟用 ,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。為登入憑證MFA新增額外的保護層。透過MFA要求根使用者,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| SEC-2 | 如何管理人員和機器的身分? 接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者啟用多重要素驗證 (MFA)。 在登入憑證之外MFA新增額外的保護層。MFA 要求 使用者減少遭盜用帳戶的事件。 | |
| SEC-2 | 如何管理人員和機器的身分? 接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 確保所有具有主控台密碼的 AWS Identity and Access Management (IAM) 使用者MFA都已啟用 ,以管理對 AWS 雲端資源的存取。 會在登入憑證之外MFA新增額外的保護層。透過MFA要求 使用者,您可以減少遭入侵帳戶的事件,並防止未經授權的使用者存取敏感資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取許可和授權結合,確保IAM群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM角色或IAM群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 確保IAM動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用IAM的密碼和存取金鑰,來協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config Default: 90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 秘密已啟用輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 秘密已成功根據輪換排程輪換。定期輪換密碼可縮短密碼處於作用中的時間,並可能降低密碼洩露時所造成的業務影響。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 此規則可確保 AWS Secrets Manager 秘密已啟用定期輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。預設值為 90 天。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 如果 AWS Secrets Manager 中存在未使用的登入資料,您應該停用和/或移除登入資料,因為這可能會違反最低權限的原則。此規則可讓您將值設定為 unusedForDays (組態預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 為了協助保護靜態資料,請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-2 | 如何管理人員和機器的身分? 在接近操作安全 AWS 工作負載時,您需要管理兩種類型的身分。了解管理和授予存取權所需的身分類型,可協助您確保正確的身分能夠在適當條件下存取正確的資源。人類身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些是您組織的成員,或是與您合作的外部使用者,以及從 Web 瀏覽器、用戶端應用程式或互動式命令列工具與您的 AWS 資源互動的使用者。機器身分:您的服務應用程式、操作工具和工作負載需要 身分才能對 AWS 服務提出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2執行個體或 AWS Lambda 函數。您也可以為需要存取的外部單位管理機器身分。此外,您可能也有 以外的機器 AWS 需要存取您的 AWS 環境。 | 系統會針對授權的裝置、使用者和程序稽核登入資料,確保依組織政策指定輪換IAM存取金鑰。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保已啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法,以協助保護 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。使用 IMDSv2,可以實作控制項來限制執行個體中繼資料的變更。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | EC2 執行個體描述檔會將 IAM角色傳遞至 EC2執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,請確保指定非根使用者來存取您的 Amazon Elastic Container Service (Amazon ECS) 任務定義。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,Amazon Elastic Container Service (Amazon ECS) 任務定義不應啟用提升權限。當此參數為 true 時,容器在主機容器執行個體上會有更高的權限 (類似超級使用者)。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 啟用對 Amazon Elastic Container Service (ECS) 容器的唯讀存取權,可協助遵守最低權限的主體。此選項可以減少攻擊媒介,因為除非具有明確的讀寫許可,否則無法修改容器執行個體的檔案系統。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 為了協助實作最低權限原則,請確定已為您的 Amazon Elastic File System (Amazon EFS) 啟用使用者強制執行。啟用時,Amazon IDs會將NFS用戶端的使用者和群組EFS取代為所有檔案系統操作存取點上設定的身分,並僅授予此強制執行使用者身分的存取權。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 存取許可和授權可以透過啟用 Amazon EMR叢集的 Kerberos 來管理和納入最低權限和職責分離原則。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在 領域中,Kerberos 伺服器稱為金鑰分發中心 (KDC)。其為主體提供驗證的方法。透過發出身分KDC驗證票證進行身分驗證。會在其領域中KDC維護主體的資料庫、其密碼,以及有關每個主體的其他管理資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取許可和授權結合,確保IAM群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM角色或IAM群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 確保IAM動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt, kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取許可和授權結合,確保IAM群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用以角色為基礎的 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| SEC-3 | 如何管理人員和機器的許可? 管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用IAM的密碼和存取金鑰,來協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config Default: 90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 建立通用控制以限制對組織中所有身分的存取。例如,您可以限制對特定 AWS 區域的存取,或防止您的操作員刪除常見的資源,例如用於中央安全團隊IAM的角色 | AWS Organizations AWS 帳戶 內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保複DMS寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS複寫執行個體可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 透過確保EBS快照不可公開還原來管理對 AWS 雲端的存取。 EBS磁碟區快照可能包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2執行個體可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private AWS Cloud (Amazon ) 內,以管理對雲端的存取VPC。 Amazon Virtual Private Cloud Amazon 內的 OpenSearch Service 網域VPC可在 Amazon 內的 OpenSearch Service 與其他服務之間進行安全通訊,VPC而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon OpenSearch Service 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon 內的 Amazon OpenSearch Service 網域VPC可讓 Amazon OpenSearch Service 與 Amazon 內的其他服務之間進行安全通訊,VPC而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon EMR叢集主節點無法公開存取,藉此管理對 AWS Cloud 的存取。Amazon EMR叢集主節點可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon Virtual Private Cloud (AmazonEC2) 內部署 Amazon Elastic Compute Cloud (Amazon VPC) 執行個體,以在執行個體與 amazon 內的其他 服務之間啟用安全通訊VPC,而不需要網際網路閘道、NAT裝置或VPN連線。所有流量都會安全地保留在 AWS 雲端內。由於其邏輯隔離,與使用公有端點的網域相比,位於 Amazon 內的網域VPC具有額外的安全層。將 Amazon EC2執行個體指派給 AmazonVPC,以正確管理存取。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon 內的函數和其他 服務之間進行安全通訊VPC。使用此組態時,不需要網際網路閘道、NAT裝置或VPN連線。所有流量都會安全地保留在 AWS 雲端內。由於其邏輯隔離,與使用公有端點的網域相比,位於 Amazon 內的網域VPC具有額外的安全層。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可以包含敏感資訊,且此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可以包含敏感資訊和原則,且此類帳戶需要存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組態預設值:True)、 blockPublicPolicy (組態預設值:True)、 blockPublicAcls (組態預設值:True) 和 restrictPublicBuckets 參數 (組態預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理對 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果 AWS Secrets Manager 中存在未使用的登入資料,您應該停用和/或移除登入資料,因為這可能會違反最低權限的原則。此規則可讓您將值設定為 unusedForDays (組態預設值:90)。實際值應反映貴組織的政策。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的SSM文件。公有SSM文件可能會公開您的帳戶、資源和內部程序的相關資訊。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在已啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,其主要網路介面會獲指派公有 IP 地址。 | |
| SEC-3 | 如何管理人員和機器的許可? 持續監控強調顯示公開和跨帳戶存取的調查結果。僅針對需要此類型存取的資源減少其公開存取和跨帳戶存取。 | 如果您使用公有 IP 地址設定網路介面,則這些網路介面的相關資源可從網際網路存取。 EC2 資源不應公開存取,因為這可能會允許意外存取您的應用程式或伺服器。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | API Gateway 記錄會顯示存取 的使用者詳細檢視,API以及存取 的方式API。此洞察功能可讓您掌握使用者活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 請確定您的 Amazon OpenSearch Service 網域已啟用稽核記錄。稽核記錄可讓您追蹤 OpenSearch 網域上的使用者活動,包括身分驗證成功和失敗、請求 OpenSearch、索引變更和傳入的搜尋查詢。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供 內API通話活動的詳細資訊 AWS 帳戶。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體中物件 AWS 帳戶 的資訊、IP 地址和事件時間。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並串流至 Amazon CloudWatch Logs 以進行保留和回應。 OpenSearch 服務錯誤日誌可協助安全性和存取稽核,並可協助診斷可用性問題。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Elastic Load Balancing 活動是環境內的通訊中心點。確保已啟用ELB記錄。收集的資料提供有關傳送至 之請求的詳細資訊ELB。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS CloudTrail 會記錄 AWS Management Console 動作和API呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、呼叫的來源 IP 地址,以及呼叫的發生時間。如果啟用 MULTI_REGION_CLOUD_TRAIL,ENABLED CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 會在新區域中建立相同的線索。因此,您會收到包含新區域API活動的日誌檔案,而不需採取任何動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了協助您在環境中記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 記錄。使用 Amazon RDS記錄,您可以擷取連線、中斷連線、查詢或查詢資料表等事件。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | VPC 流程日誌提供往返 Amazon Virtual Private Cloud (Amazon ) 中網路介面之 IP 流量的詳細資訊記錄VPC。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了協助您在 環境中記錄和監控,請在區域和全域 Web 上啟用 AWS WAF (V2) 記錄ACLs。 AWS WAF 記錄提供 Web 分析流量的詳細資訊ACL。日誌會記錄從您的 AWS 資源收到請求的時間 AWS WAF、請求的相關資訊,以及每個請求相符規則的動作。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 此規則透過檢查是否啟用多個設定 AWS CloudTrail,協助確保使用 AWS 建議的 安全最佳實務。其中包括使用日誌加密、日誌驗證,以及在 AWS CloudTrail 多個區域中啟用。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (組態預設:TRUE) 和 loggingEnabled (組態預設:) 設定值TRUE。實際值應反映貴組織的政策。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這些包括惡意IPs和機器學習的清單,以識別您 AWS 雲端環境中的意外、未經授權的和惡意活動。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果,並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer 和 AWS Firewall Manager,以及 AWS 合作夥伴解決方案。 | |
| SEC-4 | 如何偵測和調查安全事件? 從日誌和指標中擷取並分析事件,以獲得可見性。請針對安全事件和潛在威脅採取行動,以協助保護工作負載。 | 當指標違反指定數量的評估期間閾值時,Amazon CloudWatch 警示會發出警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (組態預設值:True) insufficientDataAction、必要 (組態預設值:True)、 okActionRequired (組態預設值:False) 的值。實際值應反映您環境的警示動作。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private AWS Cloud (Amazon ) 內,以管理對雲端的存取VPC。 Amazon Virtual Private Cloud Amazon 內的 OpenSearch Service 網域VPC可在 Amazon 內的 OpenSearch Service 與其他服務之間進行安全通訊,VPC而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon OpenSearch Service 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 中,以管理對 Cloud 的存取。 Amazon Virtual Private Cloud Amazon 內的 Amazon OpenSearch Service 網域VPC可讓 Amazon OpenSearch Service 與 Amazon 內其他服務之間的安全通訊VPC,而不需要網際網路閘道、NAT裝置或VPN連線。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon Virtual Private Cloud (AmazonEC2) 內部署 Amazon Elastic Compute Cloud (Amazon VPC) 執行個體,以啟用執行個體與 amazon 內其他服務之間的安全通訊VPC,而不需要網際網路閘道、NAT裝置或VPN連線。所有流量都會安全地保留在 AWS 雲端內。由於其邏輯隔離,與使用公有端點的網域相比,位於 Amazon 中的網域VPC具有額外的安全層。將 Amazon EC2執行個體指派給 AmazonVPC,以正確管理存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon 內的函數和其他 服務之間進行安全通訊VPC。使用此組態時,不需要網際網路閘道、NAT裝置或VPN連線。所有流量都會安全地保留在 AWS 雲端內。由於其邏輯隔離,與使用公有端點的網域相比,位於 Amazon 中的網域VPC具有額外的安全層。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 增強型VPC路由會強制叢集COPY和資料儲存庫之間的所有 和UNLOAD流量通過您的 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等VPC功能來保護網路流量。您也可以使用VPC流程日誌來監控網路流量。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS WAF 已在 Elastic Load Balancer (ELB) 上啟用,以協助保護 Web 應用程式。WAF 有助於保護您的 Web 應用程式或APIs防止常見的 Web 漏洞。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (WebACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web 相關聯ACL,以保護 Web 免受惡意攻擊 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保複DMS寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS複寫執行個體可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保EBS快照不可公開還原來管理對 AWS 雲端的存取。 EBS磁碟區快照可能包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 此規則會檢查您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體是否有多個 ENIs。擁有多個 ENIs 可能會導致雙主目錄執行個體,這表示具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2執行個體可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon EMR叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR叢集主節點可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon EC2路由表沒有無限制的網際網路閘道路由。移除或限制 Amazon 內工作負載對網際網路的存取,VPCs可以減少您環境內的意外存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可以包含敏感資訊,且此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可以包含敏感資訊和原則,且此類帳戶需要存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供 AWS 輸入和輸出網路流量的狀態篩選,協助管理網路存取。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組態預設值:True)、 blockPublicPolicy (組態預設值:True)、 blockPublicAcls (組態預設值:True) 和 restrictPublicBuckets 參數 (組態預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理對 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的SSM文件。公有SSM文件可能會公開您的帳戶、資源和內部程序的相關資訊。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在已啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,其主要網路介面會獲指派公有 IP 地址。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選給 AWS 資源,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 如果您使用公有 IP 地址設定網路介面,則這些網路介面的相關資源可從網際網路存取。 EC2 資源不應公開存取,因為這可能會允許意外存取您的應用程式或伺服器。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理 AWS 對雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選擇性地設定 blockedPort1 - blockedPort5 個參數 (組態預設值:20,21,3389,3306,4333)。實際值應反映貴組織的政策。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | 透過確保 Amazon Elastic Compute Cloud (AmazonEC2) 安全群組上限制常見的連接埠,來管理 AWS 對雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保您的 AWS WAF 具有不是空白的規則。沒有條件的規則可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保您的 AWS WAF 具有不是空白的規則群組。空白規則群組可能會導致非預期的行為。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | ACL 連接至 的 AWS WAF Web 可包含規則和規則群組的集合,以檢查和控制 Web 請求。如果 Web ACL 是空的,則 Web 流量會傳遞,而不會被 偵測到或對其採取動作WAF。 | |
| SEC-5 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保使用 Amazon Virtual Private Cloud (VPC) 網路存取控制清單。監控未使用的網路存取控制清單,可協助您的環境進行準確的清查和管理。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這些包括惡意IPs和機器學習的清單,以識別您 AWS 雲端環境中的意外、未經授權的和惡意活動。 | |
| SEC-5 | 如何保護網路資源? 任何具有某種形式網路連線 (無論是網際網路還是私有網路) 的工作負載,都需要多層防禦來協助防範外部和內部網路型威脅。 | VPC 流程日誌提供往返 Amazon Virtual Private Cloud (Amazon ) 中網路介面之 IP 流量的詳細資訊記錄VPC。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。日誌檔案驗證有助於判斷日誌檔案在 CloudTrail 交付後是否遭到修改、刪除或保持不變。此功能使用業界標準演算法建置:SHA-256 用於雜湊,SHA-256 搭配 RSA用於數位簽署。這使得在運算上無法修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則透過檢查是否啟用多個設定 AWS CloudTrail,協助確保使用 AWS 建議的 安全最佳實務。其中包括使用日誌加密、日誌驗證,以及在 AWS CloudTrail 多個區域中啟用。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統的最佳實務。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon 內的函數和其他 服務之間進行安全通訊VPC。使用此組態時,不需要網際網路閘道、NAT裝置或VPN連線。所有流量都會安全地保留在 AWS 雲端內。由於其邏輯隔離,與使用公有端點的網域相比,位於 Amazon 中的網域VPC具有額外的安全層。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | Amazon Elastic Container Repository (ECR) 映像掃描可協助識別容器映像中的軟體漏洞。在ECR儲存庫上啟用映像掃描會新增一層驗證,以確保所存放映像的完整性和安全性。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 監控是維護 Amazon Elastic Container Service (ECS) 和您的 AWS 解決方案可靠性、可用性和效能的重要部分。Container Insights 還提供診斷資訊,例如容器重新啟動故障,協助您快速隔離和解決這些故障。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 系統會自動為您的 AWS Fargate 任務部署安全更新和修補程式。如果發現影響 AWS Fargate 平台版本的安全問題,請 AWS 修補平台版本。為了協助管理執行 AWS Fargate 的 Amazon Elastic Container Service (ECS) 任務,請更新您的服務獨立任務以使用最新的平台版本。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。它也可讓您選擇性地設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30),以及 automatedSnapshotRetention期間 (預設值為 1)。實際值應反映貴組織的政策。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保已啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法,以協助保護 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。使用 IMDSv2,可以實作控制項來限制執行個體中繼資料的變更。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則會檢查您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體是否有多個 ENIs。擁有多個 ENIs 可能會導致雙主目錄執行個體,這表示具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2執行個體可以包含敏感資訊,且此類帳戶需要存取控制。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | EC2 執行個體描述檔會將 IAM角色傳遞至 EC2執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保安全群組連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 ENI。此規則有助於監控清查中未使用的安全群組並管理您的環境。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 根據您的組織標準,檢查 Amazon 執行個體是否已停止超過允許的天數,藉此啟用此規則,以協助 Amazon Elastic Compute Cloud (Amazon EC2) EC2執行個體的基準組態。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 此規則可確保連接至 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體的 Amazon Elastic Block Store 磁碟區在執行個體終止時標記為刪除。如果 Amazon EBS磁碟區在連接至 的執行個體終止時未刪除,則可能會違反功能最少的概念。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準,以及環境的其他詳細資訊。 | |
| SEC-6 | 如何保護運算資源? 工作負載中的運算資源需要多層防禦,以協助防範外部和內部威脅。運算資源包括EC2執行個體、容器、 AWS Lambda 函數、資料庫服務、IoT 裝置等。 | 啟用此規則,以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2執行個體修補程式合規。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定已針對API閘道階段的快取啟用加密。由於可以擷取 API方法的敏感資料,因此請啟用靜態加密,以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確保為您的 AWS CodeBuild 成品啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確定已為存放在 Amazon S3 中的 AWS CodeBuild 日誌啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保在 AWS Key Management Service (CMKs) 中未排定刪除必要的客戶主金鑰 ()AWS KMS。因為刪除金鑰有時為必要,而這個規則可協助檢查所有排程要刪除的金鑰,以防無意中排程刪除金鑰。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於可能存在敏感資料,並協助保護靜態資料,請確保為您的 AWS CloudTrail 線索啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態敏感資料,請確定已為您的 Amazon CloudWatch Log Groups 啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 () 加密CMK。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定已為您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保為您的 Amazon Elastic File System () 啟用加密EFS。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 因為敏感資料可以存在,並協助保護靜態資料,所以請確定已為您的 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 因為敏感資料可能存在,並協助保護靜態資料,所以請確定已為您的 Amazon OpenSearch Service 網域啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 由於敏感資料可能存在,並有助於保護靜態資料,因此請確保為您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 請確定您的 Amazon Relational Database Service (Amazon RDS) 快照已啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定已為您的 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密。由於 Amazon RDS執行個體中可能存在靜態敏感資料,請啟用靜態加密,以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (組態預設值 :TRUE) 和 loggingEnabled (組態預設值:) 設定值TRUE。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定已為您的 Amazon Redshift 叢集啟用使用 AWS Key Management Service (AWS KMS) 的加密。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已為您的 SageMaker 端點啟用使用 AWS Key Management Service (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料,請啟用靜態加密,以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已為您的 SageMaker 筆記本啟用使用 AWS Key Management Service (AWS KMS) 的加密。由於 SageMaker 筆記本中可能存在靜態敏感資料,請啟用靜態加密,以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確保已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 為了協助保護靜態資料,請確定您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service () 進行加密AWS KMS。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | AWS Organizations AWS 帳戶 內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組態預設值:True)、 blockPublicPolicy (組態預設值:True)、 blockPublicAcls (組態預設值:True) 和 restrictPublicBuckets 參數 (組態預設值:True)。實際值應反映貴組織的政策。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-8 | 如何保護靜態資料? 實作多重控制來保護靜態資料,以降低未經授權存取或處理不當的風險。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 X509 憑證由 發出,以確保網路完整性受到保護 AWS ACM。這些憑證必須有效且未過期。此規則需要 daysToExpiration (AWS 基本安全最佳實務值:90) 的值。實際值應反映貴組織的政策。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有SSL/TLS憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有SSL/TLS憑證。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確定您的 Elastic Load Balancer (ELB) 已設定為捨棄 http 標頭。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為了協助保護傳輸中的資料,請確定 Application Load Balancer 會自動將未加密的HTTP請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 Amazon API Gateway RESTAPI階段已使用SSL憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 node-to-node已啟用 Amazon OpenSearch Service 的加密。 Node-to-node加密會啟用 TLS Amazon Virtual Private Cloud (Amazon VPC) 內所有通訊的 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保 node-to-node已啟用 Amazon OpenSearch Service 的加密。 Node-to-node加密會啟用 TLS Amazon Virtual Private Cloud (Amazon VPC) 內所有通訊的 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 由於敏感資料可能存在,並協助保護傳輸中的資料,因此請確保 HTTPS 已啟用 Amazon OpenSearch Service 網域的連線。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保您的 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線至SQL用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 為了協助保護傳輸中的資料,請確保您的 Amazon Simple Storage Service (Amazon S3) 儲存貯體需要請求才能使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | 確保您的 Elastic Load Balancer (ELBs) 已設定 SSL或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | VPC 流程日誌提供往返 Amazon Virtual Private Cloud (Amazon ) 中網路介面之 IP 流量的詳細資訊記錄VPC。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| SEC-9 | 如何保護傳輸中的資料? 實作多重控制來保護傳輸中的資料,以降低未經授權存取或遺失的風險。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意IPs和機器學習的清單,用於識別您 AWS 雲端環境中的意外、未經授權和惡意活動。 |
範本
範本可在以下位置取得 GitHub:運作最佳實務的 AWS Well-Architected Security Pillar
