本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS SRA 最佳實務檢查清單
| |
| --- |
| 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua),以影響 AWS 安全參考架構 (AWS SRA) 的未來。 |
本節會將本指南中詳述的 AWS SRA 最佳實務分割成檢查清單,供您在建置安全架構版本時遵循 AWS。使用此清單做為參考點,而不是用來取代檢閱指南。檢查清單會依 分組 AWS 服務。如果您想要根據 AWS SRA 最佳實務檢查清單以程式設計方式驗證現有 AWS 環境,您可以使用 [SRA Verify](https://github.com/awslabs/sra-verify)。
SRA Verify 是一種安全評估工具,可協助您評估組織跨多個 AWS 帳戶 和 區域的 AWS SRA 一致性。它透過提供根據 AWS SRA 指引驗證實作的自動檢查,直接映射到 AWS SRA 建議。此工具可協助您驗證您的安全服務是否已根據參考架構正確設定。它提供詳細的調查結果和可行的修補步驟,以協助確保您的 AWS 環境遵循安全最佳實務。SRA Verify 旨在組織稽核 (安全工具) 帳戶中的 AWS CodeBuild 中執行。您也可以在本機執行它,或使用 SRA Verify 程式庫將其擴展。
**注意**
SRA Verify 包含多項服務的檢查,但可能不會包含 AWS SRA 每個考量的檢查。如需詳細資訊,請參閱 [AWS SRA 程式庫](about-sra-library.md)中的指南。
## AWS Organizations
+ AWS Organizations 已啟用[所有 功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#feature-set-all)。
+ [服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) SCPs) 用於定義 IAM 主體的存取控制準則。
+ [資源控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) RCPs) 用於定義 AWS 資源的存取控制準則。
+ [宣告政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)用於集中宣告和強制執行整個組織中指定 AWS 服務 所需的組態。
+ 建立三個基礎 OUs(安全性、基礎設施和工作負載),以將提供基礎服務的成員帳戶分組。
+ [安全工具帳戶](security-tooling.md)是在安全 OU 下建立。此帳戶提供 AWS 安全服務和其他第三方安全工具的集中式管理。
+ [Log Archive 帳戶](log-archive.md)是在安全 OU 下建立。此帳戶提供 AWS 服務 和應用程式日誌的嚴格控制中央日誌儲存庫。
+ [網路帳戶](network.md)是在基礎設施 OU 下建立。此帳戶會管理應用程式與更廣泛的網際網路之間的閘道。它將網路服務、組態和操作與個別應用程式工作負載、安全性和其他基礎設施隔離。
+ [共用服務帳戶](shared-services.md)是在基礎設施 OU 下建立。此帳戶支援多個應用程式和團隊用來交付其結果的服務。
+ [應用程式帳戶](application.md)是在工作負載 OU 下建立。此帳戶託管主要基礎設施和服務,以執行和維護企業應用程式。本指南提供了一個表示法,但在現實世界中,應用程式、開發環境和其他安全考量將隔離多個 OUs 和成員帳戶。
+ 已設定所有成員帳戶的帳單、操作和安全性的替代聯絡資訊。
## AWS CloudTrail
+ 已設定組織線索,可啟用管理帳戶和組織中所有成員帳戶中的 CloudTrail AWS 管理事件交付。
+ 組織線索設定為多區域線索。
+ 組織線索已設定為從全域資源擷取事件。
+ 用於擷取特定資料事件的其他線索會視需要設定,以監控敏感 AWS 資源活動。
+ 安全工具帳戶設定為組織追蹤的委派管理員。
+ 組織線索已設定為為所有新成員帳戶自動啟用。
+ 組織線索設定為將日誌發佈至在 Log Archive 帳戶中託管的集中式 S3 儲存貯體。
+ 組織追蹤已啟用日誌檔案驗證,以驗證日誌檔案的完整性。
+ 組織追蹤與 CloudWatch Logs 整合,以保留日誌。
+ 使用客戶受管金鑰來加密組織追蹤。
+ 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體會使用客戶受管金鑰加密。
+ 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體已設定為 S3 物件鎖定,以實現不可變性。
+ 對於日誌存檔帳戶中用於日誌儲存庫的中央 S3 儲存貯體,已啟用版本控制。
+ 用於 Log Archive 帳戶中日誌儲存庫的中央 S3 儲存貯體具有定義的[資源政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html#organizational-trail-prepare-confused-deputy),只能透過資源 Amazon Resource Name (ARN) 依組織追蹤限制物件上傳。
## AWS Security Hub CSPM
+ 所有成員帳戶和管理帳戶都已啟用 Security Hub CSPM。
+ AWS Config 已啟用所有成員帳戶作為 Security Hub CSPM 的先決條件。
+ Security Tooling 帳戶設定為 Security Hub CSPM 的委派管理員。
+ Amazon GuardDuty 和 Amazon Detective 具有與 Security Hub CSPM 相同的委派管理員帳戶,以實現順暢的服務整合。
+ 中央組態用於跨多個 和 設定和管理 Security Hub CSPM AWS 帳戶 AWS 區域。
+ 所有 OU 和成員帳戶都由 Security Hub CSPM 的委派管理員指定為*集中管理*。
+ 所有新成員帳戶都會自動啟用 Security Hub CSPM。
+ Security Hub CSPM 會自動啟用以設定新標準。
+ 來自所有區域的 Security Hub CSPM 調查結果會彙總到單一主區域。
+ 來自所有成員帳戶的 Security Hub CSPM 調查結果會在 Security Tooling 帳戶中彙總。
+ Security Hub CSPM 中的[AWS 基礎最佳實務](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) (FSBP) 標準已啟用所有成員帳戶。
+ Security Hub CSPM 中的 [CIS AWS Foundation Benchmark](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html) 標準已啟用所有成員帳戶。
+ 其他 Security Hub CSPM 標準會依適用情況啟用。
+ Security Hub CSPM 自動化規則用於充實具有資源內容的問題清單。
+ Security Hub CSPM 自動化回應和修復功能用於建立自訂 EventBridge 規則,以對特定調查結果採取自動動作。
## AWS Config
+ 所有成員帳戶和管理帳戶都會啟用 AWS Config 記錄器。
+ 已為所有區域啟用 AWS Config 記錄器。
+ AWS Config 交付管道 S3 儲存貯體集中在 Log Archive 帳戶中。
+ AWS Config 委派管理員帳戶已設定為安全工具帳戶。
+ AWS Config 已設定組織彙整工具。彙總工具包含所有區域。
+ AWS Config 一致性套件會從委派管理員帳戶統一部署到所有成員帳戶。
+ AWS Config 規則調查結果會自動傳送至 Security Hub CSPM。
## Amazon GuardDuty
+ 已為所有成員帳戶和管理帳戶啟用 GuardDuty 偵測器。
+ 已為所有區域啟用 GuardDuty 偵測器。
+ GuardDuty 偵測器會自動為所有新成員帳戶啟用。
+ GuardDuty 委派管理設定為安全工具帳戶。
+ GuardDuty 基礎資料來源已啟用,例如 CloudTrail 管理事件、VPC 流程日誌和 Route 53 Resolver DNS 查詢日誌。
+ GuardDuty S3 保護已啟用。
+ 已啟用 EBS 磁碟區的 GuardDuty 惡意軟體防護。
+ S3 的 GuardDuty 惡意軟體防護已啟用。
+ GuardDuty RDS 保護已啟用。
+ GuardDuty Lambda 保護已啟用。
+ GuardDuty EKS 保護已啟用。
+ GuardDuty EKS 執行期監控已啟用。
+ GuardDuty 延伸威脅偵測已啟用。
+ GuardDuty 調查結果會匯出至 Log Archive 帳戶中的中央 S3 儲存貯體以進行保留。
## IAM
+ 不會使用 IAM 使用者。
+ 強制執行成員帳戶的根存取權的集中管理。
+ 管理帳戶的集中式特殊權限根使用者任務會從委派管理員強制執行。
+ 集中式根存取管理會委派給 Security Tooling 帳戶。
+ 所有成員帳戶根登入資料都會移除。
+ 所有成員和管理 AWS 帳戶 密碼政策都根據組織的安全標準設定。
+ IAM 存取顧問用於檢閱 IAM 群組、使用者、角色和政策的上次使用資訊。
+ 許可界限用於限制 IAM 角色的最大可能許可。
## IAM Access Analyzer
+ 已為所有成員帳戶和管理帳戶啟用 IAM Access Analyzer。
+ IAM Access Analyzer 委派管理員設定為安全工具帳戶。
+ IAM Access Analyzer 外部存取分析器是以每個區域中的信任組織區域進行設定。
+ IAM Access Analyzer 外部存取分析器是以每個區域中的信任帳戶區域進行設定。
+ IAM Access Analyzer 內部存取分析器是以每個區域中的信任組織區域進行設定。
+ IAM Access Analyzer 內部存取分析器是以每個區域中的信任帳戶區域設定。
+ 為目前帳戶建立 IAM Access Analyzer 未使用的存取分析器。
+ 為目前組織建立 IAM Access Analyzer 未使用的存取分析器。
## Amazon Detective
+ 為所有成員帳戶啟用 Detective。
+ Detective 會自動為所有新成員帳戶啟用。
+ 所有 區域都已啟用 Detective。
+ Detective 委派管理員設定為安全工具帳戶。
+ Detective、GuardDuty 和 Security Hub CSPM 委派管理員設定為相同的安全工具帳戶。
+ Detective 與 Security Lake 整合,用於儲存和分析原始日誌。
+ Detective 與 GuardDuty 整合以擷取問題清單。
+ Detective 正在擷取 Amazon EKS 稽核日誌進行分析。
+ Detective 正在擷取 Security Hub CSPM 日誌進行分析。
## AWS Firewall Manager
+ 已設定 Firewall Manager 安全政策。
+ Firewall Manager 委派管理員設定為安全工具帳戶。
+ AWS Config 已啟用 做為先決條件。
+ 每個 OU、帳戶和區域設定多個 Firewall Manager 管理員的限制範圍。
+ 已定義 Firewall Manager AWS WAF 安全政策。
+ 已定義 Firewall Manager AWS WAF 集中式記錄政策。
+ 已定義 Firewall Manager Shield Advanced 安全政策。
+ 已定義 Firewall Manager 安全群組安全政策。
## Amazon Inspector
+ Amazon Inspector 已為所有成員帳戶啟用。
+ Amazon Inspector 會自動為任何新的成員帳戶啟用。
+ Amazon Inspector 委派管理員設定為安全工具帳戶。
+ Amazon Inspector EC2 漏洞掃描已啟用。
+ Amazon Inspector ECR 映像漏洞掃描已啟用。
+ Amazon Inspector Lambda 函數和層漏洞掃描已啟用。
+ Amazon Inspector Lambda 程式碼掃描已啟用。
+ Amazon Inspector 程式碼安全掃描已啟用。
## Amazon Macie
+ Macie 已針對適用的成員帳戶啟用。
+ Macie 會自動為適用的新成員帳戶啟用。
+ Macie 委派管理員設定為安全工具帳戶。
+ Macie 調查結果會匯出至日誌封存帳戶中的中央 S3 儲存貯體。
+ 存放 Macie 調查結果的 S3 儲存貯體會使用客戶受管金鑰加密。
+ Macie 政策和分類政策會發佈至 Security Hub CSPM。
## Amazon Security Lake
+ Security Lake 組織組態已啟用。
+ Security Lake 委派管理員設定為 Security Tooling 帳戶。
+ 新成員帳戶已啟用 Security Lake 組織組態。
+ 安全工具帳戶設定為資料存取訂閱者,以執行日誌分析。
+ Security Tooling 帳戶設定為資料查詢訂閱者,以進行日誌分析。
+ 已啟用所有或指定作用中成員帳戶中 Security Lake 的 CloudTrail 管理日誌來源。
+ 已啟用所有或指定作用中成員帳戶中 Security Lake 的 VPC 流量日誌來源。
+ 在所有或指定的作用中成員帳戶中,Security Lake 都會啟用 Route 53 日誌來源。
+ S3 日誌來源的 CloudTrail 資料事件已啟用所有或指定作用中成員帳戶中的 Security Lake。
+ 已啟用所有或指定作用中成員帳戶中 Security Lake 的 Lambda 執行日誌來源。
+ Amazon EKS 稽核日誌來源已啟用所有或指定作用中成員帳戶中的 Security Lake。
+ 在所有或指定的作用中成員帳戶中,Security Hub 調查結果日誌來源已啟用 Security Lake。
+ 在所有或指定的作用中成員帳戶中,Security Lake 都會啟用 AWS WAF 日誌來源。
+ 委派管理員帳戶中的 Security Lake SQS 佇列會使用客戶受管金鑰加密。
+ 委派管理員帳戶中的 Security Lake SQS 無效字母佇列會使用客戶受管金鑰加密。
+ Security Lake S3 儲存貯體使用客戶受管金鑰加密。
+ Security Lake S3 儲存貯體具有資源政策,僅限制 Security Lake 的直接存取。
## AWS WAF
+ 所有 CloudFront 分佈都與 相關聯 AWS WAF。
+ 所有與 相關聯的 Amazon API Gateway REST APIs AWS WAF。
+ 所有 Application Load Balancer 都與 相關聯 AWS WAF。
+ All AWS AppSync GraphQL APIs 會與 建立關聯 AWS WAF。
+ 所有與 相關聯的 Amazon Cognito 使用者集區 AWS WAF。
+ 所有 AWS App Runner 服務都與 相關聯 AWS WAF。
+ 所有 AWS Verified Access 執行個體都會與 建立關聯 AWS WAF。
+ 所有 AWS Amplify 應用程式都與 相關聯 AWS WAF。
+ AWS WAF 記錄已啟用。
+ AWS WAF 日誌會集中在 Log Archive 帳戶中的 S3 儲存貯體中。
## AWS Shield Advanced
+ Shield Advanced 訂閱已啟用,並針對具有公開資源的所有應用程式帳戶設定為自動續約。
+ Shield Advanced 已針對所有 CloudFront 分佈設定。
+ Shield Advanced 已針對所有 Application Load Balancer 設定。
+ Shield Advanced 已針對所有 Network Load Balancer 設定。
+ Shield Advanced 已針對所有 Route 53 託管區域設定。
+ Shield Advanced 已針對所有彈性 IP 地址設定。
+ Shield Advanced 已針對所有 Global Accelerator 設定。
+ CloudWatch 警示會針對受 Shield Advanced 保護的 CloudFront 和 Route 53 資源進行設定。
+ 已設定 Shield Response Team (SRT) 存取。
+ Shield Advanced 主動參與已啟用。
+ 已設定 Shield Advanced 主動參與聯絡人。
+ Shield Advanced 受保護的資源已設定自訂 AWS WAF 規則。
+ Shield Advanced 受保護的資源已啟用自動應用程式層 DDoS 緩解。
## AWS 安全事件回應
+ AWS 已針對整個 AWS 組織啟用安全事件回應。
+ AWS 安全事件回應委派管理員設定為安全工具帳戶。
+ 主動回應和警示分類工作流程已啟用。
+ AWS 客戶事件回應團隊 (CIRT) 遏制動作已獲得授權。
## AWS Audit Manager
+ 所有成員帳戶都已啟用 Audit Manager。
+ Audit Manager 會自動為新成員帳戶啟用。
+ Audit Manager 委派管理員設定為安全工具帳戶。
+ AWS Config 已啟用 做為 Audit Manager 的先決條件。
+ 客戶受管金鑰用於儲存在 Audit Manager 中的資料。
+ 已設定預設評估報告目的地。