安全性 OU — 安全性工具帳戶 - AWS 規定指引
安全服務的委派管理員AWS CloudTrailAWS Security HubAmazon GuardDutyAWS ConfigAmazon Security LakeAmazon MacieAWS IAM Access AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWS ArtifactAWS KMSAWS 私有 CAAmazon Inspector在所有 AWS 帳戶中部署常見的安全服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全性 OU — 安全性工具帳戶

通過進行簡短的調查來影響 AWS 安全參考架構(AWS SRA)的 future。

下圖說明安全工具帳戶中設定的 AWS 安全服務。

安全工具帳戶的安全性服務

安全工具帳戶專門用於操作安全服務、監控 AWS 帳戶以及自動化安全警示和回應。安全目標包括以下內容:

  • 提供具有受控存取權限的專屬帳戶,以管理安全護欄、監控和回應的存取權限。

  • 維護適當的集中式安全基礎架構,以監控安全性作業資料並維持可追溯 偵測、調查和回應是安全生命週期的重要組成部分,可用來支援品質程序、法律或法規遵循義務,以及威脅識別和回應工作。

  • 進一步支援 defense-in-depth 組織策略,方法是對適當的安全性設定和作業 (例如加密金鑰和安全群組設定) 保持另一層控制權。這是安全操作員工作的帳戶。只讀/稽核角色可檢視整個 AWS 組織的資訊是典型的,而寫入/修改角色的數量有限、嚴格控制、監控和記錄。

設計考量

  • AWS Control Tower 預設會將安全 OU 下的帳戶命名為稽核帳戶。您可以在 AWS Control Tower 設定期間重新命名帳戶。

  • 擁有一個以上的資訊安全工具帳戶可能是適當的。例如,監視和回應安全性事件通常會指派給專屬團隊。網絡安全可能保證自己的帳戶和角色與雲基礎架構或網絡團隊合作。這種分裂保留了分離集中式安全飛地的目標,並進一步強調職責分離,最小特權和團隊任務的潛在簡單性。如果您使用 AWS Control Tower,則會限制在安全 OU 下建立其他 AWS 帳戶。

安全服務的委派管理員

安全工具帳戶可作為安全服務的管理員帳戶,這些服務在整個 AWS 帳戶的管理員/成員結構中進行管理。如前所述,這是透過 AWS Organizations 委派的管理員功能來處理。目前支援委派管理員的 AWS SRA 服務包括 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS IAM 存取分析器、Amazon Macie、AWS Security Hub、Amazon Detective、AWS Audit Manager 員、Amazon Inspector 員 CloudTrail、AWS 和 AWS Systems Manager。您的安全團隊會管理這些服務的安全性功能,並監控任何特定於安全性的事件或發現項目。

IAM 身分中心支援委派給成員帳戶的管理。AWS SRA 使用共用服務帳戶做為 IAM 身分中心的委派管理員帳戶,如共用服務帳戶的 IAM 身分中心部分稍後所述。

AWS CloudTrail

AWS CloudTrail 是一項服務,可支援 AWS 帳戶中活動的管理、合規和稽核。您可以使用 CloudTrail記錄、持續監控和保留與 AWS 基礎設施中動作相關的帳戶活動。 CloudTrail 與 AWS Organizations 整合,此整合可用於建立單一追蹤,以記錄 AWS 組織中所有帳戶的所有事件。這類線索稱為組織線索。您只能從組織的管理帳戶內或從委派的管理員帳戶建立及管理組織追蹤。建立組織追蹤時,會在屬於您 AWS 組織的每個 AWS 帳戶中建立具有您指定名稱的追蹤。AWS 組織中所有帳戶 (包括管理帳戶) 的追蹤日誌活動,並將日誌存放在單一 S3 儲存貯體中。由於此 S3 儲存貯體的敏感度,您應該遵循本指南稍後的 Amazon S3 作為中央日誌存放區一節中概述的最佳實務來保護它。AWS 組織中的所有帳戶都可以在追蹤清單中看到組織追蹤。不過,成員 AWS 帳戶只能檢視此追蹤。根據預設,當您在 CloudTrail 主控台中建立組織追蹤時,追蹤為多區域追蹤。如需其他安全最佳實務,請參閱 AWS CloudTrail 文件

在 AWS SRA 中,安全工具帳戶是用於管理的委派管理 CloudTrail員帳戶。用於存放組織追蹤日誌的對應 S3 儲存貯體會在日誌存檔帳戶中建立。這是為了分隔 CloudTrail日誌權限的管理和使用。如需如何建立或更新 S3 儲存貯體以存放組織追蹤的日誌檔的詳細資訊,請參閱 AWS CloudTrail 文件。

注意

您可以從管理和委派的系統管理員帳戶建立和管理組織追蹤。不過,最佳作法是限制管理帳戶的存取權,並在可用的情況下使用委派的管理員功能。

設計考量事項

  • 如果成員帳戶需要存取自己帳戶的 CloudTrail 日誌檔,您可以選擇性地從中央 S3 儲存貯體共用組織的 CloudTrail 日誌檔。不過,如果成員帳戶需要本機記 CloudWatch 錄群組作為其帳戶的 CloudTrail 記錄檔,或者想要設定記錄管理和資料事件 (唯讀、唯讀、管理事件、資料事件) 與組織追蹤不同,他們可以使用適當的控制項建立本機追蹤。本機帳戶特定追蹤會產生額外費用。

AWS Security Hub

AWS Security Hub 為您提供 AWS 安全狀態的全面檢視,並協助您根據安全產業標準和最佳實務來檢查環境。Security Hub 會從 AWS 整合服務、支援的第三方產品以及您可能使用的其他自訂安全產品收集安全資料。它可協助您持續監控和分析安全趨勢,並識別最高優先級的安全問題。除了擷取的來源之外,Security Hub 還會產生自己的發現項目,這些發現項目由對應至一或多個安全性標準的安全性控制項表示。這些標準包括 AWS 基礎安全最佳實務 (FSBP)、網際網路安全中心 (CIS) AWS 基礎基準測試 v1.20 和 1.4.0 版、美國國家標準與技術研究所 (NIST) SP 800-53 第 5 版、支付卡產業資料安全標準 (PCI DSS) 和服務管理標準。如需目前安全性標準的清單,以及特定安全性控制的詳細資訊,請參閱 Security Hub 文件中的 Security Hub 標準參考資料。

Security Hub 與 AWS Organizations 整合,以簡化 AWS 組織中所有現有和 future 帳戶的安全狀態管理。您可以使用委派的系統管理員帳戶 (在本例中為安全性工具) 中的 Security Hub 中央組態功能,指定如何在跨區域的組織帳戶和組織單位 (OU) 中設定 Security Hub 服務、安全性標準和安全性控制。您可以透過幾個步驟,從一個主要區域 (稱為「地區」) 設定這些設定。如果您不使用中央設定,則必須在每個帳戶和區域中分別設定 Security Hub。委派的系統管理員可以將帳戶和 OU 指定為自我管理,成員可以在每個區域中分別設定設定,或以集中管理方式進行設定,委派的系統管理員可以跨區域設定成員帳戶或 OU。您可以將組織中的所有帳戶和 OU 指定為集中管理、全部自行管理或兩者的組合。這樣可簡化一致組態的強制執行作業,同時提供針對每個 OU 和帳戶修改設定的彈性。

Security Hub 委派的系統管理員帳戶也可以檢視發現項目、檢視深入解析,並控制所有成員帳戶的詳細資料。您還可以在委派管理員帳戶中指定聚總區域,以便在帳戶與連結的區域中集中搜尋結果。您的發現項目會在彙總器區域和所有其他區域之間持續且雙向同步。

Security Hub 支援與多個 AWS 服務的整合。Amazon GuardDuty,AWS Config,Amazon Macie,AWS IAM 訪問分析器,AWS Firewall Manager 器,Amazon Inspector 和 AWS 系統管理器修補程序管理器可以將調查結果提供給 Security Hub。Security Hub 使用稱為 AWS 安全尋找格式 (ASFF) 的標準格式來處理發現項目。Security Hub 會將整合式產品的發現項目建立關聯,以排定最重要的優先順序。您可以豐富 Security Hub 發現項目的中繼資料,以協助更有效地對安全性發現項目進行情境化、排定優先順序,以及採取行動。此擴充功能會將資源標籤、新的 AWS 應用程式標籤和帳戶名稱資訊新增至每個擷取到 Security Hub 的發現項目。這可協助您微調自動化規則的發現項目、搜尋或篩選發現項目和深入解析,以及依應用程式評估安全狀態狀態。此外,您可以使用自動化規則自動更新發現項目。當 Security Hub 嵌入發現項目時,它可以套用各種規則動作,例如隱藏發現項目、變更其嚴重性,以及將附註新增至發現項目。當發現項目符合您指定的準則 (例如與發現項目相關聯的資源或帳號 ID 或其標題) 時,這些規則動作便會生效。您可以使用自動化規則來更新 ASFF 中的選取搜尋結果欄位。規則適用於新的和更新的發現。

在調查安全事件期間,您可以從 Security Hub 導航到 Amazon Detective 以調查 Amazon GuardDuty 發現。Security Hub 建議對齊委派的系統管理員帳戶,以便更順暢地整合服務,例如 Detective (它們存在的位置)。例如,如果您未對齊 Detective 和 Security Hub 之間的管理員帳戶,則從發現項目導覽至 Detective 將無法運作。如需完整清單,請參閱安全中心文件中的 AWS 服務與安全中心整合概觀。

您可以將 Security Hub 與 Amazon VPC 的網路存取分析器功能搭配使用,以協助持續監控 AWS 網路組態的合規性。這可協助您封鎖不必要的網路存取,並協助防止您的重要資源遭到外部存取。如需進一步的架構和實作詳細資訊,請參閱 AWS 部落格文章使用 Amazon VPC 網路存取分析器和 AWS Security Hub 持續驗證網路合規

除了監控功能之外,Security Hub 還支援與 Amazon 整合, EventBridge 以自動修復特定發現項目。您可以定義收到搜尋結果時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。如需其他討論和範例,請參閱 AWS 部落格文章:使用 AWS Security Hub 進行自動回應和修復,以及如何部署適用於安全中心的 AWS 解決方案自動回應和補救

Security Hub 使用服務連結的 AWS Config 規則來執行控制項的大部分安全檢查。若要支援這些控制,必須在啟用 Security Hub 的每個 AWS 區域中的所有帳戶 (包括管理員 (或委派管理員) 帳戶和成員帳戶啟用 AWS Config

設計考量

  • 如果符合性標準 (例如 PCI-DSS) 已存在於安全性中樞中,則完全受管理的安全中樞服務是最簡單的操作方式。不過,如果您想要組合自己的合規或安全標準 (可能包括安全性、操作或成本最佳化檢查),AWS Config 一致性套件可提供簡化的自訂程序。如需 AWS Config 和一致性套件的詳細資訊,請參閱 AWS Config 一節。)

  • Security Hub 的常見使用案例包括:

    • 作為儀表板,可讓應用程式擁有者瞭解其 AWS 資源的安全和合規狀態

    • 作為安全操作、事件回應人員和威脅獵人所使用的安全發現結果的中央檢視,用於分類 AWS 帳戶和區域的 AWS 安全和合規結果並採取行動

    • 將 AWS 帳戶和區域的安全和合規發現彙總並路由到集中式安全資訊和事件管理 (SIEM) 或其他安全協調系統

    如需有關這些使用案例的其他指引,包括如何設定,請參閱部落格文章三種週期性 Security Hub 使用模式以及如何部署它們

實作範例

AWS SRA 程式碼程式庫提供 Security Hub 的範例實作。其中包括自動啟用服務、委派管理給成員帳戶 (安全工具),以及為 AWS 組織中所有現有和 future 帳戶啟用 Security Hub 的設定。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護您的 AWS 帳戶和工作負載。您必須始終為監控和稽核目的擷取和存放適當的日誌,但 Amazon 會直接從 AWS CloudTrail、Amazon VPC 流程日誌和 AWS DNS 日誌中 GuardDuty 提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改收集和存放日誌的方式。 GuardDuty權限是以服務連結角色的形式管理,您可以隨時停用 GuardDuty來撤銷這些角色。這樣可讓您輕鬆啟用服務,而不需要複雜的組態,並消除 IAM 許可修改或 S3 儲存貯體政策變更會影響服務運作的風險。

除了提供基礎資料來源之外,還 GuardDuty 提供選用功能來識別安全性發現項目。其中包括 EKS 保護、RDS 防護、S3 防護、惡意軟體防護和 Lambda 保護。對於新的偵測器,除了必須手動啟用的 EKS 防護以外,這些選用功能預設為啟用。

  • 使用 GuardDuty S3 保護除了預設 CloudTrail 管理事件之 CloudTrail外,還可以 GuardDuty 監控 Amazon S3 資料事件。監控資料事件可 GuardDuty 讓您監控物件層級 API 操作,瞭解 S3 儲存貯體中資料的潛在安全風險。

  • GuardDuty 惡意軟體防護透過在連接的 Amazon 彈性區塊存放區 (Amazon EBS) 磁碟區上啟動無代理程式掃描,偵測 Amazon EC2 執行個體或容器工作負載上是否存在惡意軟體。

  • GuardDuty RDS 保護旨在分析和監控 Amazon Aurora 資料庫的存取活動,而不會影響資料庫效能。

  • GuardDuty EKS 保護包括 EKS 稽核記錄監控和 EKS 執行階段監控。透過 EKS 稽核日誌監控功能, GuardDuty 可監控 Amazon EKS 叢集中的 Kubernetes 稽核日誌,並對其進行分析是否有潛在的惡意和可疑活動。EKS 執行階段監控使用 GuardDuty安全代理程式 (這是 Amazon EKS 附加元件) 來提供個別 Amazon EKS 工作負載的執行階段可見性。 GuardDuty 安全代理程式可協助識別 Amazon EKS 叢集中可能受到危害的特定容器。它還可以偵測將權限從個別容器提升到基礎 Amazon EC2 主機或更廣泛的 AWS 環境的嘗試。

GuardDuty 可透過 AWS Organization 在所有帳戶中啟用,而 GuardDuty 委派管理員帳戶 (在本例中為 Security Tools 帳戶) 中的適當安全團隊可檢視和執行所有發現項目。 

啟用 AWS Security Hub 後, GuardDuty 發現項目會自動流向 Security Hub。啟用 Amazon Detective 後, GuardDuty 調查結果會包含在 Detective 記錄擷取程序中。 GuardDuty 和 Detective 支援跨服務使用者工作流程,其中 GuardDuty提供來自主控台的連結,可將您從選取的發現項目重新導向至「Detective」頁面,其中包含一組精選的視覺效果,以便調查該發現項目 例如,您也可以 GuardDuty 與 Amazon 整合 EventBridge 以自動化最佳實務 GuardDuty,例如自動回應新 GuardDuty 發現項目

實作範例

AWS SRA 程式碼程式庫提供 Amazon GuardDuty 的範例實作。其中包括加密的 S3 儲存貯體組態、委派管理,以及 AWS 組織中所有現有和 future 帳戶的 GuardDuty 啟用功能。

AWS Config

AWS Config 是一項服務,可讓您評估、稽核和評估 AWS 帳戶中受支援 AWS 資源的組態。AWS Config 會持續監控和記錄 AWS 資源組態,並根據所需的組態自動評估記錄的組態。您也可以將 AWS Config 與其他服務整合,以完成自動化稽核和監控管道的繁重工作。例如,AWS Config 可以在 AWS 秘密管理員中監控個別機密的變更。 

您可以使用 AWS AWS Config 規則評估 AWS 資源的組態設定。AWS Config 提供可自訂、預先定義規則的程式庫,稱為受管規則,您也可以撰寫自己的自訂規則。您可以在主動模式 (資源部署之前) 或偵測模式 (部署資源之後) 執行 AWS Config 規則。當發生組態變更、定期排程或兩者同時發生時,即可評估資源。

致性套件是 AWS Config 規則和修復動作的集合,可部署為帳戶和區域中的單一實體,或跨 AWS Organizations 中的組織部署。一致性套件是透過撰寫包含 AWS Config 受管或自訂規則和修復動作清單的 YAML 範本所建立。若要開始評估 AWS 環境,請使用其中一個範例一致性套件範本。 

AWS Config 與 AWS Security Hub 整合,可將 AWS Config 受管和自訂規則評估的結果作為調查結果傳送到 Security Hub。 

AWS Config 規則可與 AWS Systems Manager 搭配使用,以有效地修復不合規的資源。您可以使用 AWS Systems Manager 總管在 AWS 區域的 AWS 帳戶中收集 AWS Config 規則的合規狀態,然後使用 Systems Manager 自動化文件 (手冊) 來解決不合規的 AWS Config 規則。如需實作詳細資訊,請參閱部落格文章使用 AWS Systems Manager Automation 手冊修復不合規的 AWS Config 規則

AWS Config 彙總器會收集 AWS Organizations 中多個帳戶、區域和組織的組態和合規資料。彙總儀表板會顯示彙總資源的組態資料。庫存和合規儀表板提供有關 AWS 帳戶、AWS 區域或 AWS 組織內部 AWS 資源組態和合規狀態的基本和最新資訊。它們可讓您視覺化和評估 AWS 資源庫存,而無需撰寫 AWS Config 進階查詢。您可以取得重要的見解,例如依資源的合規摘要、具有不合規資源的前 10 名帳戶、依類型比較執行和停止 EC2 執行個體,以及按磁碟區類型和大小劃分的 EBS 磁碟區。

如果您使用 AWS Control Tower 管理 AWS 組織,它會部署一組 AWS Config 規則做為偵探護欄 (分類為強制性、強烈建議或選修)。這些防護可協助您管理 AWS 組織中各個帳戶的資源並監控合規。這些 AWS Config 規則會自動使用值為的aws-control-tower標籤managed-by-control-tower

AWS 組織和包含您要保護之資源的 AWS 區域中的每個成員帳戶都必須啟用 AWS Config。您可以集中管理 AWS 組織內所有帳戶的 AWS Config 規則 (例如建立、更新和刪除)。從 AWS Config 委派的管理員帳戶,您可以在所有帳戶部署一組通用的 AWS Config 規則,並指定不應在其中建立 AWS Config 規則的帳戶。AWS Config 委派的管理員帳戶也可以彙總所有成員帳戶的資源組態和合規資料,以提供單一檢視。透過確保 AWS 組織中的成員帳戶無法修改基礎 AWS Config 規則,使用委派管理員帳戶中的 API 強制執行管理。

設計考量

  • AWS Config 會將組態和合規變更通知串流至 Amazon EventBridge。這表示您可以使用中的原生篩選功能 EventBridge 來篩選 AWS Config 事件,以便將特定類型的通知路由到特定目標。例如,您可以傳送特定規則或資源類型的符合性通知至特定電子郵件地址,或將組態變更通知路由傳送至外部 IT 服務管理 (ITSM) 或組態管理資料庫 (CMDB) 工具。如需詳細資訊,請參閱部落格文章 AWS Config 最佳實務。 

  • 除了使用 AWS Config 主動規則評估之外,您還可以使用 AWS CloudFormation Guard,這是一種 policy-as-code 評估工具,可主動檢查資源組態合規性。AWS CloudFormation Guard 命令列界面 (CLI) 為您提供宣告式、網域特定語言 (DSL),您可以使用這些語言以程式碼形式表示政策。此外,您還可以使用 AWS CLI 命令來驗證 JSON 格式或 YAML 格式的結構化資料,例如 CloudFormation 變更集、以 JSON 為基礎的地形設定檔或 Kubernetes 組態。您可以在本機執行評估,方法是使用 AWS CloudFormation Guard CLI 做為撰寫程序的一部分,或在部署管道中執行評估。如果您有 AWS Cloud Development Kit (AWS CDK) 應用程式,則可以使用 cdk-nag 主動檢查最佳實務。

實作範例

AWS SRA 程式碼程式碼程式庫提供範例實作,可將 AWS Config 一致性套件部署到 AWS 組織內的所有 AWS 帳戶和區域。AWS Config 彙總器模組可協助您設定 AWS Config 彙總工具,方法是將管理委派給組織管理帳戶內的成員帳戶 (安全工具),然後在委派的管理員帳戶中為 AWS 組織中的所有現有和 future 帳戶設定 AWS Config 彙總器。您可以使用 AWS 組態 Control Tower 管理帳戶模組在組織管理帳戶中啟用 AWS Config,AWS Control Tower 不會啟用此功能。

Amazon Security Lake

Amazon 安全湖是一種全受管的安全性資料湖服務。您可以使用 Security Lake 自動集中來自 AWS 環境、軟體即服務 (SaaS) 供應商、內部部署和第三方來源的安全資料。Security Lake 可協助您建置標準化資料來源,以簡化分析工具在安全性資料上的使用,讓您更全面地瞭解整個組織的安全性狀態。資料湖由 Amazon Simple Storage Service (Amazon S3) 貯體提供支援,您可以保留資料的擁有權。安全湖會自動收集 AWS 服務的日誌,包括 AWS CloudTrail、Amazon VPC、Amazon Route 53、Amazon S3、AWS Lambda 和 Amazon EKS 稽核日誌。

AWS SRA 建議您使用日誌存檔帳戶做為安全湖的委派管理員帳戶。如需有關設定委派管理員帳戶的詳細資訊,請參閱安全 OU — 日誌存檔帳戶一節中的 Amazon Security Lake。想要存取 Security Lake 資料,或需要能夠使用自訂擷取、轉換和載入 (ETL) 功能將非原生記錄檔寫入 Security Lake 值區的安全性團隊,應在安全工具帳戶內運作。

Security Lake 可以收集來自不同雲端供應商的記錄、第三方解決方案的記錄檔或其他自訂記錄。我們建議您使用安全工具帳戶來執行 ETL 函數,將記錄檔轉換為開放網路安全結構描述架構 (OCSF) 格式,並以 Apache Parquet 格式輸出檔案。Security Lake 建立具有適當許可的安全工具帳戶和 AWS Lambda 函數或 AWS Glue 爬取器支援的自訂來源的適當許可的跨帳戶角色,將資料寫入安全湖的 S3 儲存貯體。

Security Lake 系統管理員應設定使用安全性工具帳戶的安全性團隊,並需要存取 Security Lake 以訂閱者身分收集的記錄檔。安全湖支援兩種類型的使用者存取:

  • 資料存取 — 訂閱者可以直接存取安全湖的 Amazon S3 物件。安全湖管理的基礎設施和權限。當您將安全工具帳戶設定為 Security Lake 資料存取訂閱者時,系統會透過 Amazon Simple Queue Service (Amazon SQS) 通知該帳戶有新物件的安全湖儲存貯體中有新物件,而安全湖則會建立存取這些新物件的許可。

  • 查詢存取 — 訂閱者可以使用 Amazon Athena 等服務,從 S3 儲存貯體中的 AWS Lake Formation 表查詢來源資料。使用 AWS Lake Formation 可自動設定跨帳戶存取以進行查詢存取。當您將安全性工具帳戶設定為 Security Lake 查詢存取訂閱者時,該帳戶會獲得 Security Lake 帳戶中記錄的唯讀存取權。使用此訂閱者類型時,會透過 AWS AWS Resource Access Manager (AWS RAM),從安全湖日誌存檔帳戶與安全工具帳戶共用 Athena 和 AWS Glue 表格。若要啟用此功能,您必須將跨帳戶資料共用設定更新為第 3 版。

如需有關建立訂閱者的詳細資訊,請參閱 Security Lake 文件中的訂閱者管理

如需擷取自訂來源的最佳做法,請參閱 Security Lake 說明文件中的從自訂來源收集資料

您可以使用 Amazon QuickSight OpenSearch,AmazonAmazon SageMaker 針對存放在安全湖中的安全數據設置分析。

設計考量事項

如果應用程式小組需要查詢 Security Lake 資料的存取權以符合業務需求,Security Lake 管理員應該將該應用程式帳戶設定為訂閱者。

Amazon Macie

Amazon Macie 是全受管的資料安全和資料隱私權服務,使用機器學習和模式比對來探索並協助保護 AWS 中的敏感資料。您需要識別工作負載正在處理的資料類型和分類,以確保強制執行適當的控制項。您可以使用 Macie 以兩種方式自動化敏感資料的探索和報告:執行自動化敏感資料探索,以及建立和執行敏感資料探索工作。透過自動化的敏感資料探索功能,Macie 會每天評估您的 S3 儲存貯體庫存,並使用取樣技術從儲存貯體中識別和選取具代表性的 S3 物件。然後,Macie 會擷取並分析選取的物件,檢查它們是否有敏感資料。敏感資料探索工作可提供更深入、更具針對性的分析 使用此選項,您可以定義分析的廣度和深度,包括要分析的 S3 儲存貯體、取樣深度,以及從 S3 物件屬性衍生的自訂準則。如果 Macie 偵測到值區的安全性或隱私權存在潛在問題,就會為您建立原則搜尋結果。默認情況下,所有 Macie 的新客戶都會啟用自動數據發現,現有的 Macie 客戶只需點擊一下即可啟用它。

Macie 已透過 AWS Organizations 在所有帳戶中啟用。在委派管理員帳戶中具有適當權限的主參與者 (在此情況下為 Security Tools 帳戶) 可以在任何帳戶中啟用或暫停 Macie、為成員帳戶所擁有的值區建立敏感資料探索工作,以及檢視所有成員帳戶的所有策略發現項目。只有建立敏感發現項目工作的帳戶才能檢視敏感資料發現項目。如需詳細資訊,請參閱 Macie 文件中的在 Amazon Macie 中管理多個帳戶

Macie 發現項目流向 AWS Security Hub 進行審查和分析。Macie 還與 Amazon 整合,以促 EventBridge 進對發現結果的自動回應,例如警示、安全資訊摘要和事件管理 (SIEM) 系統的摘要,以及自動化修復。

設計考量

  • 如果 S3 物件使用您管理的 AWS Key Management Service (AWS KMS) 金鑰加密,您可以將以金鑰使用者身分的 Macie 服務連結角色新增至該 KMS 金鑰,以便讓 Macie 掃描資料。

  • Macie 針對掃描 Amazon S3 中的對象進行了優化。因此,可以將任何 Mac 支援的物件類型 (永久或暫時) 放置在 Amazon S3 中,都可以掃描是否有敏感資料。這表示可以將來自其他來源的資料 (例如 Amazon 關聯式資料庫服務 (Amazon RDS) 或 Amazon Aurora 資料庫的定期快照匯出、匯出的 Amazon DynamoDB 表格,或從原生或第三方應用程式擷取的文字檔案) 移至 Amazon S3 並由 Macie 進行評估。

實作範例

AWS SRA 程式碼程式庫提供 Amazon Mac ie 的範例實作。其中包括將管理委派給成員帳戶,以及在 AWS 組織中所有現有和 future 帳戶的委派管理員帳戶中設定 Macie。Macie 也設定為將發現項目傳送到使用 AWS KMS 中的客戶受管金鑰加密的中央 S3 儲存貯體。

AWS IAM Access Analyzer

當您加速 AWS 雲端採用過程並持續創新時,保持對精細存取 (許可) 的嚴格控制、控制存取擴散,以及確保有效使用許可是至關重要的。過多和未使用的存取會帶來安全性挑戰,並使企業更難執行最低權限原則。此原則是重要的安全架構支柱,其中涉及持續調整 IAM 許可的大小,以平衡安全需求與操作和應用程式開發需求。這項工作涉及多個利益相關者角色,包括中央安全和 Cloud Center of Excellence (CCoE) 團隊,以及去中心化的開發團隊。

AWS IAM Access Analyzer 提供各種工具,可有效率地設定精細的許可、驗證預定的許可,以及移除未使用的存取權限,以協助您符合企業安全標準。它可讓您透過儀表板AWS Security Hub 查看外部和未使用的存取發現項目。此外,它還支援 Amazon EventBridge 進行基於事件的自訂通知和修復工作流程。

IAM 存取分析器外部發現項目功能可協助您識別 AWS 組織和帳戶中與外部實體共用的資源,例如 Amazon S3 儲存貯體或 IAM 角色。您選擇的 AWS 組織或帳戶稱為信任區域。分析器使用自動推理來分析信任區域內的所有支援資源,並針對可以從信任區域外存取資源的主體產生發現項目。這些發現項目有助於識別與外部實體共用的資源,並協助您在部署資源權限之前預覽政策對資源的公用和跨帳戶存取的影響。

IAM 存取分析器發現結果也可協助您識別 AWS 組織和帳戶中授予的未使用存取權,包括:

  • 未使用的 IAM 角色 — 在指定的使用期間內沒有存取活動的角色。

  • 未使用的 IAM 使用者、登入資料和存取金鑰 — 屬於 IAM 使用者且用於存取 AWS 服務和資源的登入資料。

  • 未使用的 IAM 政策和許可 — 指定使用時段內角色未使用的服務層級和動作層級許可。IAM Access Analyzer 會使用附加至角色的身分型政策來判斷這些角色可存取的服務和動作。分析器會檢閱所有服務層級權限的未使用權限。

您可以使用 IAM Access Analyzer 產生的發現項目,根據組織的政策和安全標準,瞭解並修復任何非預期或未使用的存取。修正之後,這些發現項目會在下次執行分析器時標示為已解決。如果發現項目是故意的,您可以將其標記為存檔在 IAM Access Analyzer 中,並排定其他帶來更大安全風險的發現項目的優先順序。此外,您可以設定封存規則,以自動封存特定的發現項目。例如,您可以建立封存規則,以針對您定期授予存取權的特定 Amazon S3 儲存貯體,自動封存任何調查結果。

身為建置工具,您可以使用 IAM Access Analyzer 在開發和部署 (CI/CD) 程序中,儘早執行自動化 IAM 政策檢查,以符合公司的安全標準。您可以將 IAM 存取分析器自訂政策檢查和政策審查與 AWS 整合, CloudFormation 以自動執行政策審查,做為開發團隊 CI/CD 管道的一部分。其中包含:

  • IAM 政策驗證 — IAM 存取分析器會根據 IAM 政策文法AWS 最佳實務來驗證您的政策。您可以檢視原則驗證檢查的發現項目,包括安全性警告、錯誤、一般警告和原則的建議。目前有超過 100 項政策驗證檢查可供使用,而且可以使用 AWS Command Line Interface (AWS CLI) (AWS CLI) 和 API 自動執行。

  • IAM 自訂政策檢查 — IAM Access Analyzer 自訂政策檢查會根據您指定的安全標準驗證您的政策。自訂原則檢查使用自動推理來提供更高等級的保證,以符合您的企業安全標準。自訂原則檢查的類型包括:

    • 對照參考原則進行檢查:當您編輯原則時,您可以將其與參考原則 (例如現有版本的原則) 進行比較,以檢查更新是否授與新存取權。CheckNoNewAccessAPI 會比較兩個原則 (更新的原則和參考原則),以判斷更新的原則是否引入新的參考原則存取權,並傳回通過或失敗回應。

    • 根據 IAM 動作清單進行檢查:您可以使用 CheckAccessNotGrantedAPI 來確保政策不會授予對安全標準中定義的關鍵動作清單的存取權。此 API 採用政策和最多 100 個 IAM 動作的清單,以檢查政策是否允許至少其中一個動作,並傳回通過或失敗回應。

安全團隊和其他 IAM 政策作者可以使用 IAM 存取分析器編寫符合 IAM 政策文法和安全標準的政策。手動編寫適當大小的原則可能容易出錯且耗時。IAM 存取分析器政策產生功能可協助根據主體的存取活動編寫 IAM 政策。IAM Access Analyzer 會檢閱支援服務的 AWS 日 CloudTrail 誌,並產生政策範本,其中包含主體在指定日期範圍內使用的許可。然後,您可以使用此範本建立具有精細權限的原則,以僅授與必要的權限。

  • 您必須為帳戶啟用 CloudTrail 追蹤,才能根據存取活動產生政策。

  • IAM 存取分析器不會在產生的政策中識別資料事件 (例如 Amazon S3 資料事件) 的動作層級活動。

  • iam:PassRole動作不會由產生的原則追蹤 CloudTrail ,也不會包含在產生的原則中。

存取分析器是透過 AWS Organizations 中委派的管理員功能,在安全工具帳戶中部署。委派的管理員具有以 AWS 組織做為信任區域建立和管理分析器的許可。

設計考量事項

  • 若要取得帳戶範圍的發現項目 (其中帳戶做為受信任界限),您可以在每個成員帳戶中建立帳戶範圍的分析器。這可以作為帳戶管道的一部分來完成。帳戶範圍的發現項目會在成員帳戶層級流入 Security Hub。從那裡,他們流向 Security Hub 委派的管理員帳戶(安全工具)。

實作範例

AWS Firewall Manager

AWS Firewall Manager 可簡化 AWS WAF、AWS Shield 進階、Amazon VPC 安全群組、AWS Network Firewall,以及跨多個帳戶和資源的 Route 53 解析器 DNS 防火牆的管理和維護工作,協助保護您的網路。使用 Firewall Manager 員,您只能設定 AWS WAF 防火牆規則、防 Shield 進階保護、Amazon VPC 安全群組、AWS Network Firewall 防火牆和 DNS 防火牆規則群組關聯一次。此服務自動在帳號和資源中套用規則和防護,甚至在您新增資源時也可套用。

當您想要保護整個 AWS 組織而非少數特定帳戶和資源,或是經常新增要保護的新資源時,Firewall Manager 員特別有用。Firewall Manager 會使用安全性原則,讓您定義一組組態,包括必須部署的相關規則、防護和動作,以及要包含或排除的帳號和資源 (以標記表示)。您可以建立精細且靈活的組態,同時仍可將控制擴展到大量帳戶和 VPC。即使在建立新帳號和資源時,這些策略仍會自動且一致地強制執行您設定的規則。所有帳戶都會透過 AWS Organizations Organization 啟用 Firewall Manager 員,而在 Firewall Manager 員委派的管理員帳戶 (本例中為安全工具帳戶) 中的適當安全團隊執行組態和管理。 

您必須為包含要保護之資源的每個 AWS 區域啟用 AWS Config。如果您不想為所有資源啟用 AWS Config,則必須針對與您使用的 Firewall Manager 員政策類型相關聯的資源啟用此功能。當您同時使用 AWS Security Hub 和 Firewall Manager 員時,Firewall Manager 員會自動將您的發現項目傳送到 Security Hub。Firewall Manager 員會針對不合規的資源及其偵測到的攻擊建立發現項目,並將發現項目傳送至 Security Hub。當您為 AWS WAF 設定 Firewall Manager 員政策時,可以針對所有範圍內的帳戶集中啟用 Web 存取控制清單 (Web ACL) 的記錄,並將日誌集中在單一帳戶下。 

設計考量事項

  • AWS 組織中個別成員帳戶的客戶經理可以根據其特定需求,在 Firewall Manager 員受管服務中設定其他控制項 (例如 AWS WAF 規則和 Amazon VPC 安全群組)。

實作範例

AWS SRA 程式碼程式庫提供 AWS Firewall Manager 的範例實作。其中示範委派管理 (安全性工具)、部署允許的安全性群組上限、設定安全性群組原則,以及設定多個 WAF 原則。

Amazon EventBridge

Amazon EventBridge 是一種無伺服器事件匯流排服務,可讓您輕鬆地將應用程式與來自各種來源的資料連接起來。它經常用於安全自動化。您可以設定路由規則,決定要將資料傳送到何處,以建置對所有資料來源即時反應的應用程式架構。除了在每個帳戶中使用預設事件匯流排外,您還可以建立自訂事件匯流排來接收自訂應用程式的事件匯流排。您可以在安全工具帳戶中建立事件匯流排,以接收來自 AWS 組織中其他帳戶的安全特定事件。例如,透過將 AWS Config 規則和 Security Hub 與連結 GuardDuty EventBridge,您可以建立靈活的自動化管道,以路由安全資料、提出警示以及管理解決問題的動作。 

設計考量

  • EventBridge 能夠將事件路由到數個不同的目標。自動化安全動作的一個寶貴模式是將特定事件連接到個別 AWS Lambda 回應者,這些回應者會採取適當的動作。例如,在某些情況下,您可能想要用 EventBridge 來將公用 S3 儲存貯體尋找路由至 Lambda 回應程式,以修正儲存貯體政策並移除公開許可。這些回應者可以整合到您的調查教戰手冊和手冊中,以協調回應活動。

  • 成功的安全性作業團隊的最佳作法是將安全事件和發現項目的流程整合至通知與工作流程系統,例如票務系統、錯誤/問題系統或其他安全性資訊與事件管理 (SIEM) 系統。這會將工作流程從電子郵件和靜態報表中移除,並協助您路由、升級和管理事件或發現項目。中的彈性路由能力 EventBridge 是此整合的強大推動者。

Amazon Detective

Amazon Detective tor 可讓安全分析師直接分析、調查並快速識別安全發現結果或可疑活動的根本原因,藉此支援您的回應式安全控制策略。Detective 會從 AWS CloudTrail 日誌和 Amazon VPC 流程日誌中自動擷取以時間為基礎的事件,例如登入嘗試、API 呼叫和網路流量。您可以使用「Detective」存取長達一年的歷史事件資料。Detective 會使用獨立的日誌串流和 Amazon VPC 流程 CloudTrail 日誌來消耗這些事件。Detective ess 使用機器學習和視覺化來建立一個統一的互動式檢視,檢視資源的行為,以及資源隨著時間的推移之間的互動,這稱為為圖。您可以瀏覽行為圖表,以檢查不同的動作,例如失敗的登入嘗試或可疑的 API 呼叫。

Detective 與 Amazon 安全湖整合,讓安全分析師能夠查詢和擷取儲存在安全湖中的日誌。您可以使用此整合來取得儲存在 Security Lake 中的 AWS CloudTrail 日誌和 Amazon VPC 流程日誌的其他資訊,同時在 Detective ess 中進行安全調查。

Detective 也會擷取 Amazon 偵測到的發現項目 GuardDuty,包括GuardDuty 執行階段監控偵測到的威脅。當帳戶啟用 Detective 時,它會成為行為圖形的管理員帳戶。在您嘗試啟用 Detective 之前,請確定您的帳號已註冊至少 48 小時。 GuardDuty如果您不符合此需求,則無法啟用 Detective。

Detective 會自動將與單一安全性入侵事件相關的多個發現項目分組為尋找群組。威脅參與者通常會執行一系列動作,導致多個安全發現項目散佈在時間和資源之間。因此,尋找群組應該是涉及多個實體和發現項目之調查的起點。Detective ess 還使用生成 AI 來提供尋找群組摘要,該 AI 會自動分析尋找群組,並以自然語言提供深入解析,以協助您加速安全性調查。

Detective 與 AWS Organizations 整合。組織管理帳戶會委派成員帳戶為 Detective 管理員帳戶。在 AWS SRA 中,這是安全工具帳戶。Detective 管理員帳戶能夠自動啟用組織中所有目前的成員帳戶作為偵探成員帳戶,並在新增成員帳戶到 AWS 組織時新增成員帳戶。Detective 管理員帳戶也可以邀請目前不在 AWS 組織中但位於相同區域的成員帳戶,將其資料提交至主要帳戶的行為圖表。當成員帳戶接受邀請並啟用時,Detective 會開始擷取成員帳戶的資料,並將其擷取到該行為圖表中。

設計考量事項

  • 您可以導覽至 Detective 從 GuardDuty 和 AWS Security Hub 主控台尋找設定檔。這些連結有助於簡化調查程序。您的帳戶必須是 Detective 和您要從中樞紐的服務 (GuardDuty 或安全中心) 的系統管理帳戶。如果服務的主要帳戶相同,則整合連結可順暢運作。

AWS Audit Manager

AWS Audit Manager 可協助您持續稽核 AWS 用量,以簡化管理稽核和遵循法規和產業標準的方式。它可讓您從手動收集、檢閱和管理證據轉變為可自動收集證據的解決方案、提供追蹤稽核證據來源的簡單方法、啟用團隊合作,以及協助管理證據安全性和完整性。進行稽核時,Audit Manager 可協助您管理控制項的利益相關者檢閱。

透過 Audit Manager,您可以針對預先建立的架構進行稽核,例如網際網路安全中心 (CIS) 基準測試、CIS AWS 基準測試、系統和組織控制項 2 (SOC 2),以及支付卡產業資料安全標準 (PCI DSS)。此外,您還可以根據內部稽核的特定要求,建立具有標準或自訂控制項的自訂架構。

Audit Manager 會收集四種類型的證據。自動執行三種證據類型:AWS Config 和 AWS Security Hub 的合規檢查證據、AWS 的管理事件證據 CloudTrail,以及來自 AWS service-to-service API 呼叫的組態證據。如需無法自動化的證據,Audit Manager 可讓您上傳手動證據。

注意

Audit Manager 協助收集與驗證符合特定合規標準和法規相關的證據。但是,它不會評估您的合規性。因此,透過 Audit Manager 收集的證據可能不包含稽核所需之作業流程的詳細資訊。Audit Manager 不是法律顧問或合規專家的替代品。我們建議您使用第三方評估機構的服務,該評估機構已獲得您評估的合規性架構認證。

Audit Manager 評估可以針對 AWS 組織中的多個帳戶執行。Audit Manager 員會在 AWS Organizations 中收集證據,並將其合併到委派的管理員帳戶中。此稽核功能主要由合規和內部稽核團隊使用,而且只需要 AWS 帳戶的讀取存取權。

設計考量

  • Audit Manager 可補充安全中心和 AWS Config 等其他 AWS 安全服務,協助實作風險管理架構。Audit Manager 提供獨立的風險保證功能,而安全中心可協助您監督風險,而 AWS Config 一致性套件則可協助您管理風險。熟悉內部稽核師協會 (IIA) 所開發的三線模型稽核專業人員應注意,這種 AWS 服務組合可協助您涵蓋三道防線。如需詳細資訊,請參閱 AWS 雲端操作和遷移部落格上的第二部分部落格系列

  • 為了讓 Audit Manager 員收集 Security Hub 證據,這兩個服務的委派管理員帳戶必須是相同的 AWS 帳戶。因此,在 AWS SRA 中,安全工具帳戶是稽核管理員的委派管理員。

AWS Artifact

AWS Artifact 託管在安全工具帳戶中,以將合規成品管理功能與 AWS 組織管理帳戶分開。這種責任分離很重要,因為除非絕對必要,否則我們建議您避免使用 AWS 組織管理帳戶進行部署。而是將部署傳遞給成員帳戶。由於稽核成品管理可以從成員帳戶完成,且此功能與安全和合規團隊緊密配合,因此安全工具帳戶會被指定為 AWS Artifact 的管理員帳戶。您可以使用 AWS Artifact 報告下載 AWS 安全和合規文件,例如 AWS ISO 認證、支付卡產業 (PCI) 以及系統和組織控制 (SOC) 報告。

AWS Artifact 不支援委派管理功能。相反地,您可以將此功能限制為只有與您稽核和合規團隊相關的 Security Tools 帳戶中的 IAM 角色,以便他們可以視需要下載、檢閱這些報告,並將這些報告提供給外部稽核人員。您還可以透過 IAM 政策限制特定 IAM 角色,使其只能存取特定的 AWS Artifact 報告。如需 IAM 政策範例,請參閱 AWS Artifact 文件

設計考量事項

  • 如果您選擇擁有專屬的 AWS 帳戶供稽核和合規團隊使用,則可以在安全稽核帳戶中託管 AWS Artifact,該帳戶與安全工具帳戶不同。AWS Artifact 報告提供證據,證明組織正在遵循文件化的程序或符合特定要求。稽核成品會在整個系統開發生命週期中收集並封存,並可用作內部或外部稽核與評估中的證據。

AWS KMS

AWS Key Management Service (AWS KMS) 可協助您建立和管理密碼編譯金鑰,並控制其在 AWS 服務和應用程式中的使用。AWS KMS 是一種安全且彈性的服務,使用硬體安全模組來保護加密金鑰。它遵循關鍵材料的業界標準生命週期流程,例如金鑰的儲存、旋轉和存取控制。AWS KMS 可透過加密和簽署金鑰協助保護您的資料,並可透過 AWS 加密開發套件同時用於伺服器端加密和用戶端加密。為了保護和靈活性,AWS KMS 支援三種類型的金鑰:客戶受管金鑰、AWS 受管金鑰和 AWS 擁有的金鑰。客戶受管金鑰是您建立、擁有和管理的 AWS 帳戶中的 AWS KMS 金鑰。AWS 受管金鑰是您帳戶中的 AWS KMS 金鑰,由與 AWS KAWS KMS 整合的 AWS 服務代表您建立、管理和使用。AWS 擁有的金鑰是 AWS 服務擁有和管理的 AWS KMS 金鑰集合,可在多個 AWS 帳戶中使用。如需有關使用 KMS 金鑰的詳細資訊,請參閱 AWS KMS 文件AWS KMS 加密詳細資訊。

其中一個部署選項是將 KMS 金鑰管理的責任集中到單一帳戶,同時透過使用金鑰和 IAM 政策的組合,委派依應用程式資源在應用程式帳戶中使用金鑰的能力。這種方法安全且易於管理,但由於 AWS KMS 節流限制、帳戶服務限制,以及安全團隊遭受操作金鑰管理任務所淹沒,您可能會遇到各種障礙。另一個部署選項是使用分散式模型,讓 AWS KMS 可以存放在多個帳戶中,並允許負責特定帳戶中基礎設施和工作負載的人員管理自己的金鑰。此模型可讓您的工作負載團隊對加密金鑰的使用有更多控制、彈性和敏捷性。它也有助於避免 API 限制、將影響範圍限制為僅一個 AWS 帳戶,以及簡化報告、稽核和其他合規相關任務。在去中心化模型中,部署和強制執行護欄非常重要,以便以相同的方式管理分散金鑰,並且會根據既定的最佳實務和政策稽核 KMS 金鑰的使用情況。如需詳細資訊,請參閱白皮書 AWS Key Management Service 最佳實務。AWS SRA 建議使用分散式金鑰管理模型,其中 KMS 金鑰位於本機使用的帳戶內。我們建議您避免在一個帳戶中針對所有加密功能使用單一金鑰。您可以根據功能和資料保護要求建立金鑰,並強制執行最低權限原則。在某些情況下,加密權限會與解密權限分開,管理員可以管理生命週期功能,但無法使用他們所管理的金鑰來加密或解密資料。 

在安全工具帳戶中,AWS KMS 可用來管理集中式安全服務的加密,例如 AWS CloudTrail 組織管理的 AWS 組織追蹤。

AWS 私有 CA

AWS Private Certificate Authority(AWS 私有 CA) 是受管私有 CA 服務,可協助您針對 EC2 執行個體、容器、IoT 裝置和現場部署資源,安全地管理私有終端實體 TLS 憑證的生命週期。它允許加密 TLS 通信到正在運行的應用程序。使用時 AWS 私有 CA,您可以建立自己的 CA 階層 (根 CA,透過從屬 CA 到終端實體憑證),並使用它發行憑證以驗證內部使用者、電腦、應用程式、服務、伺服器和其他裝置,以及簽署電腦程式碼。私有 CA 發行的憑證只能在您的 AWS 組織內受信任,而不會在網際網路上受信任。

公開金鑰基礎結構 (PKI) 或安全性團隊可負責管理所有 PKI 基礎結構。這包括管理和建立私有 CA。但是,必須有允許工作負載團隊自行提供憑證需求的佈建。AWS SRA 描述了一個集中式 CA 階層,其中根 CA 託管在安全工具帳戶中。這可讓安全團隊強制執行嚴格的安全性控制,因為根 CA 是整個 PKI 的基礎。不過,透過使用 AWS 資源存取管理員 (AWS RAM) 將 CA 分享給應用程式帳戶,從私有 CA 建立私有憑證會委派給應用程式開發團隊。AWS RAM 會管理跨帳戶共用所需的許可。如此一來,每個帳戶都不需要私有 CA,並提供更符合成本效益的部署方式。如需有關工作流程和實作的詳細資訊,請參閱如何使用 AWS RAM 共用 AWS 私有 CA 跨帳戶的部落格文章。

注意

ACM 也可協助您佈建、管理和部署與 AWS 服務搭配使用的公有 TLS 憑證。為了支援此功能,ACM 必須位於將使用公有憑證的 AWS 帳戶中。這將在本指南後面的「應用程式帳戶」一節中討論。

設計考量

  • 使用時 AWS 私有 CA,您可以建立最多五個層級的憑證授權單位階層。您也可以建立多個階層,每個階層都具有自己的根。階 AWS 私有 CA 層應遵循組織的 PKI 設計。不過,請記住,增加 CA 階層會增加憑證路徑中的憑證數目,進而增加最終實體憑證的驗證時間。定義良好的 CA 階層提供的好處包括適用於每個 CA 的精細安全性控制、將從屬 CA 委派給不同的應用程式,這會導致管理工作的分割、使用有限可撤銷信任的 CA、定義不同有效期間的能力,以及強制執行路徑限制的能力。理想情況下,您的根 CA 和從屬 CA 位於單獨的 AWS 帳戶中。如需使用規劃 CA 階層的詳細資訊 AWS 私有 CA,請參閱AWS 私有 CA 文件和部落格文章如何保護汽車業和製造業的企業規模 AWS 私有 CA 階層

  • AWS 私有 CA 可與您現有的 CA 階層整合,讓您將 ACM 的自動化和原生 AWS 整合功能與您目前使用的現有信任根結合使用。您可以在內部部署的父 CA AWS 私有 CA 支援中建立從屬 CA。如需有關實作的詳細資訊,請參閱 AWS 私有 CA 文件中的安裝由外部父項 CA 簽署的從屬 CA 憑證

Amazon Inspector

Amazon Inspector 是一種自動化弱點管理服務,可自動探索和掃描 Amazon EC2 執行個體、Amazon 容器登錄檔 (Amazon ECR) 中的容器映像,以及 AWS Lambda 函數,找出已知的軟體漏洞和意外的網路暴露。

Amazon Inspector 會在您對資源進行變更時自動掃描資源,持續在資源的整個生命週期中評估您的環境。啟動重新掃描資源的事件包括在 EC2 執行個體上安裝新套件、安裝修補程式,以及發佈影響資源的新常見弱點和曝光 (CVE) 報告。Amazon Inspector 支援 EC2 執行個體中作業系統的網際網路安全中心 (CIS) 效能標竿評估。

Amazon Inspector 與開發人員工具 (例如 Jenkins) 整 TeamCity 合,以及容器映像評估。您可以評估容器映像是否存在持續整合和持續交付 (CI/CD) 工具中的軟體弱點,並將安全性推送至軟體開發生命週期的較早階段。評估發現項目可在 CI/CD 工具的儀表板中找到,因此您可以執行自動化動作來回應關鍵安全問題,例如封鎖的組建或映像檔推送至容器登錄。如果您擁有有效的 AWS 帳戶,則可以從 CI/CD 工具市集安裝 Amazon Inspector 外掛程式,並在建置管道中新增 Amazon Inspector 掃描,而無需啟動 Amazon Inspector 服務。此功能可搭配託管在 AWS、現場部署或混合雲的任何位置使用 CI/CD 工具,因此您可以在所有開發管道上持續使用單一解決方案。啟用 Amazon Inspector 後,它會自動探索所有 EC2 執行個體、Amazon ECR 和 CI/CD 工具中的容器映像,以及大規模的 AWS Lambda 函數,並持續監控它們是否有已知的漏洞。

Amazon Inspector 的網路連接性發現可評估 EC2 執行個體透過虛擬閘道往返 VPC 邊緣的可存取性,例如網際網路閘道、VPC 對等連線或虛擬私有網路 (VPN)。這些規則有助於自動監控 AWS 網路,並透過管理不當的安全群組、存取控制清單 (ACL)、網際網路閘道等識別 EC2 執行個體的網路存取可能設定錯誤的位置。如需詳細資訊,請參閱 Amazon Inspector 文件

當 Amazon Inspector 識別弱點或開放網路路徑時,就會產生可供您調查的發現。此發現項目包含有關此弱點的完整詳細資訊,包括風險評分、受影響的資源和修正建議。風險評分是專為您的環境量身打造的,是透過將 up-to-date CVE 資訊與時間和環境因素 (例如網路可存取性和可利用性資訊) 建立關聯來計算,以提供內容相關的搜尋結果。

若要掃描弱點,必須使用 AWS Systems Manager 代理程式 (SSM 代理程式) 在 AWS Systems Manager 中理 EC2 執行個體。EC2 執行個體的網路連線能力或 Amazon ECR 或 Lambda 函數中容器映像的漏洞掃描不需要代理程式。

Amazon Inspector 與 AWS Organizations 整合,並支援委派管理。在 AWS SRA 中,安全工具帳戶會成為 Amazon Inspector 的委派管理員帳戶。Amazon Inspector 委派的管理員帳戶可以管理 AWS 組織成員的發現項目資料和特定設定。這包括檢視所有成員帳戶的彙總發現項目詳細資訊、啟用或停用成員帳戶的掃描,以及檢閱 AWS 組織內掃描的資源。

設計考量

  • 當兩項服務都啟用時,Amazon Inspector 會自動與 AWS Security Hub 整合。您可以使用此整合將所有發現項目從 Amazon Inspector 傳送到 Security Hub,然後將這些發現項目納入其對安全狀態的分析中。

  • Amazon Inspector 會自動將發現項目、資源涵蓋範圍變更和個別資源初始掃描的事件匯出到 Amazon EventBridge,並選擇性地將事件匯出到 Amazon Simple Storage Service (Amazon S3) 儲存貯體。若要將使用中發現項目匯出到 S3 儲存貯體,您需要 Amazon Inspector 可用來加密發現項目的 AWS KMS 金鑰,以及具有允許 Amazon Inspector 上傳物件許可的 S3 儲存貯體。 EventBridge 整合可讓您以近乎即時的方式監控和處理發現項目,作為現有安全性與合規性工作流程的一部分。 EventBridge 事件會發佈到 Amazon Inspector 委派的管理員帳戶,以及它們來源的成員帳戶。

實作範例

AWS SRA 程式碼程式庫提供 Amazon Inspector 的範例實作。它示範委派管理 (安全工具),並針對 AWS 組織中的所有現有和 future 帳戶設定 Amazon Inspector。

在所有 AWS 帳戶中部署常見的安全服務

本參考前面的 < 在 AWS 組織中套用安全服務 > 一節,強調了保護 AWS 帳戶的安全服務,並指出其中許多服務也可以在 AWS Organizations Organization 中設定和管理。其中一些服務應部署在所有帳戶中,您會在 AWS SRA 中看到這些服務。這樣可以實現一組一致的防護,並在整個 AWS 組織中提供集中式監控、管理和控管。 

Security Hub、AWS Config GuardDuty、存取分析器和 AWS CloudTrail 組織追蹤都會顯示在所有帳戶中。前三個支援先前在 [管理帳戶、受信任的存取] 和 [委派系統管理員] 區段中討論的委派系統管理員功能。 CloudTrail 目前使用不同的聚合機制。

AWS SRA GitHub程式碼儲存庫提供範例實作 GuardDuty,讓您在所有帳戶 (包括 AWS CloudTrail 組織管理帳戶) 中啟用 Security Hub、AWS Config、Firewall Manager 員和組織追蹤。

設計考量

  • 特定帳戶設定可能需要額外的安全性服務。例如,管理 S3 儲存貯體 (應用程式和日誌存檔帳戶) 的帳戶也應包含 Amazon Macie,並考慮在這些常見安全服務中開啟 CloudTrail S3 資料事件記錄。Macie 支援透過集中式設定和監控的委派管理。) 另一個範例是 Amazon Inspector,僅適用於託管 EC2 執行個體或 Amazon ECR 映像檔的帳戶。

  • 除了本節先前描述的服務之外,AWS SRA 還包括兩個以安全為重點的服務:Amazon Detective 和 AWS Audit Manager 員,支援 AWS Organizations 整合和委派的管理員功能。但是,這些服務並不包含在帳戶基準的建議服務中,因為我們已經看到這些服務最適合在下列情況中使用:

    • 您擁有執行這些功能的專屬團隊或資源群組。安全分析師團隊最好利用 Detective,Audit Manager 對您的內部審計或合規團隊有所幫助。

    • 您想要在專案開始時專注於核心工具集 (例如 GuardDuty 和 Security Hub),然後使用提供額外功能的服務在這些工具上進行建置。