雲端團隊範例：變更 VPC 組態

雲端團隊負責對具有常見趨勢的安全性發現項目進行分類和修復，例如變更可能不適合您的使用案例的 AWS 預設設定。這些發現項目往往會影響許多 AWS 帳戶 或資源，例如 VPC 組態，或包含應在整個環境中設置的限制。在大多數情況下，雲團隊會進行手動的一次性更改，例如添加或更新策略。

在您的組織使用 AWS 環境一段時間之後，您可能會發現一組反模式正在開發。反模式是一個經常使用的解決方案，其中解決方案是適得其反的，效果不佳，或不是替代方案有效的重複性問題。作為這些反模式的替代方案，您的組織可以使用更有效的環境限制，例如 AWS Organizations 服務控制政策 (SCP) 或 IAM 身分中心許可集。SCP 和許可集可為資源類型提供其他限制，例如防止使用者設定公用 Amazon Simple Storage Service (Amazon S3) 儲存貯體。雖然限制每個可能的安全性組態可能很誘人，但是 SCP 和權限集有原則大小限制。我們建議採用平衡的預防和偵探控制方法。

以下是雲端團隊可能負責的 AWS Security Hub 基礎安全性最佳做法 (FSBP) 標準中的一些控制項：

在此範例中，雲端團隊正在處理 FSBP 控制 EC2.2 的發現。此控制項的文件建議不要使用預設安全性群組，因為它允許透過預設的輸入和輸出規則進行廣泛存取。由於無法刪除預設安全性群組，因此建議您變更規則設定以限制輸入和輸出流量。為了有效解決此問題，雲端團隊應該使用已建立的機制來修改所有 VPC 的安全性群組規則，因為每個 VPC 都有此預設安全性群組。在大多數情況下，雲端團隊會使用AWS Control Tower自訂或基礎結構即程式碼 (IaC) 工具 (例如HashiCorp Terraform或) 來管理 VPC 組態。AWS CloudFormation