SEC06-BP05 自動化運算保護 - 安全支柱
實作指引資源

SEC06-BP05 自動化運算保護

自動化運算保護操作以減少人工介入的需求。使用自動化掃描偵測運算資源內的潛在問題,並透過自動化的程式化回應或機群管理操作進行修復。 將自動化納入您的 CI/CD 程序,以部署具有 up-to-date相依性的可靠工作負載。

預期成果:自動化系統會執行運算資源的所有掃描和修補工作。您可以使用自動驗證來檢查軟體映像和相依性是否來自信任來源,以及是否遭到竄改。工作負載會自動檢查 up-to-date相依性,並簽署以在運算環境中建立可信度 AWS 。 偵測到不合規資源時,系統會啟動自動補救措施。 

常見的反模式:

  • 遵循不可變的基礎設施實務,但未備妥解決方案來因應緊急修補或取代實際執行系統。

  • 使用自動化方式修復設定錯誤的資源,但未設置手動覆寫機制。 可能會發生需要調整需求的情況,且您可能需要暫停自動化程序,直到完成這些變更為止。

建立此最佳實務的優勢:自動化可降低未經授權存取和使用您的運算資源的風險。 它有助於防止錯誤的組態進入實際執行環境,並且在發生組態錯誤時偵測到該錯誤並加以修復。 自動化還可協助偵測未經授權存取和使用運算資源的情況,進而縮短您回應的時間。 如此還能進一步縮小問題的整體影響範圍。

未建立此最佳實務時的曝險等級:

實作指引

您可以套用「安全支柱」實務中所述的自動化方式,以保護您的運算資源。SEC06-BP01 執行漏洞管理說明如何在 CI/CD 管道和 中使用 Amazon Inspector,以持續掃描執行期環境是否有已知的常見漏洞和暴險 (CVEs)。 您可以透過自動化執行手冊,使用 AWS Systems Manager 套用修補程式或從全新映像重新部署,讓您的運算機群隨時擁有最新的軟體和程式庫。 使用這些技術可減少對手動程序和互動式存取運算資源的需求。 請參閱 SEC06-BP03 減少手動管理和互動式存取以進一步了解。

自動化在部署值得信任的工作負載方面也扮演了重要角色,如 SEC06-BP02 佈建從強化影像運算SEC06-BP04 驗證軟體完整性所述。 您可以使用 EC2 Image Builder AWS CodeArtifactAWS SignerAmazon Elastic Container Registry (ECR) 等服務來下載、驗證、建構和存放強化且核准的映像和程式碼相依性。  除了 Inspector 之外,這些都可以在您的 CI/CD 程序中扮演角色,因此您的工作負載只有在確認其相依性是 up-to-date來自可信任來源時,才能進行生產。 您的工作負載也會經過簽署,因此 AWS 運算環境,例如 AWS LambdaAmazon Elastic Kubernetes Service (EKS) 可以在允許執行之前驗證其尚未遭到竄改。

除了這些預防性控制之外,您還可以在偵測控制中針對運算資源使用自動化。 例如, AWS Security Hub提供 NIST 800-53 修訂版 5 標準,其中包含檢查,例如 【EC2.8】 EC2執行個體,應使用執行個體中繼資料服務第 2 版 (IMDSv2)。 IMDSv2 使用工作階段身分驗證技術,封鎖包含 X-Forwarded-For HTTP 標頭的請求,以及 1 TTL的網路,以停止來自外部來源的流量,以擷取EC2執行個體的相關資訊。Security Hub 中的此檢查可以偵測EC2執行個體何時使用IMDSv1並啟動自動修復。進一步了解 SEC04-BP04 中的自動偵測和修復 啟動不合規資源的修復

實作步驟

  1. AMIs 使用 EC2 Image Builder 自動化建立安全、合規和強化。 您可以產生包含來自 Center for Internet Security (CIS) Benchmarks 或 Security Technical Implementation Guide (STIG) 標準之控制項的映像,這些標準來自基礎映像 AWS 和APN合作夥伴映像。

  2. 自動化組態管理。藉由使用組態管理服務或工具,在您的運算資源中自動強制執行和驗證安全組態。 

    1. 使用 AWS Config 自動化組態管理

    2. 使用 AWS Security Hub 自動化安全和合規狀態管理

  3. 自動化修補或取代 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。 AWS Systems Manager Patch Manager 會使用安全相關和其他類型的更新,自動修補受管執行個體的程序。您可以使用修補程式管理員以套用適用於作業系統和應用程式的修補程式。

    1. AWS Systems Manager 修補程式管理員

  4. 自動掃描運算資源是否有常見漏洞和暴露 (CVEs),並在建置管道中嵌入安全掃描解決方案。

    1. Amazon Inspector

    2. ECR 映像掃描

  5. 考慮使用 Amazon GuardDuty 進行自動惡意軟體和威脅偵測,以保護運算資源。 GuardDuty 也可以在您的 AWS 環境中調用AWS Lambda函數時識別潛在問題。 

    1. Amazon GuardDuty

  6. 考慮 AWS 合作夥伴解決方案。 AWS 合作夥伴提供與內部部署環境中現有控制項等效、相同或整合的業界領先產品。這些產品可補充現有的 AWS 服務,讓您在雲端和內部部署環境中部署全方位的安全架構,以及擁有更流暢的體驗。

    1. 基礎設施安全性

資源

相關的最佳實務:

相關文件:

相關影片: