提供給使用 AWS 的使用者,提供簡單的關鍵技巧來追蹤 AWS 帳戶安全。
下列總共有 15 條提示,提供您如何適當地使用雲端服務,並引導您進入 AWS。
- 執行 MFA (Enforcing MFA): AWS config 規則(通過第二層認證對其進行保護)
- Yubikeys: 一鍵式進行身份驗證,AWS 僅允許一個 MFA 密鑰帳戶。
- AWS Config rule: 警告您的用戶未啟用 MFA。
- 流量基準 (Traffic baseline): Amazon VPC 流程日誌
- 檢測惡意流量,藉由 CloudWatch 這項工具去分析日誌。
- 檢測惡意流量,藉由 CloudWatch 這項工具去分析日誌。
- 超過90天 (Beyond 90 days): AWS CloudTrail
- 檢測歸咎點
- 告知您誰再執行與再什麼位置做了些甚麼
- 如何收集 90 天以上日誌資料 ?
- 確保所有的帳戶進行數據收集
- 確保沒有人篡改日誌
- 確保日誌已加密
- 威脅檢測 (Threat detection): Amazon Detective & Amazon GuardDuty(使用該服務僅需按下一個按鈕)
- Amazon GuardDuty: 使用 ML 檢測入侵
- Amazon Detective: 分析 CloudTrail 日誌, 並監控 VPC 日誌
- 探索訪問 (Exploring access): AWS CloudTrail 和 Amazon Athena
- 捕獲事件數據
- 獲得實踐經驗,當你不想違反現有學習計畫。
- 每個歷史記錄中,都可以創建 Amazon Athena 表並進行查詢
- 獨立工作負載 (Isolate workloads): AWS accounts
- 透過標籤將帳戶劃分為不同的工作負載
- AWS Control Tower: 可以在多帳戶 AWS 環境策略中,設置並管理 AWS 帳戶。
- 強化 EC2 實例 (Harden EC2 instances): Amazon EC2 Marketplace
- 選擇第三方有關 Amazon EC2 AMI 的方法來強化 Amazon EC2 實例
- 不用擔心 Amazon EC2 的需求不符合您的期待
- 金鑰對最終防線 (Ditch key pairs): AWS System Manager Session Manager
- 允許不使用任何金鑰來連接您的實例
- 追蹤歷史記錄
- 最小特權原則 (Principle of least privilege): IAM polices
- 教程僅專注於便利性而不是安全性
- 教程僅專注於便利性而不是安全性
- 鎖定區域和服務 (Lock regions and service): SCP 服務控制策略 (Service Control Policies)
- 建議使用 AWS 提供的 SCP
- 使用 SCP 鎖定對未使用區域和服務的訪問
- 可信度的IPS: AWS WAF
- 防護於Amazon EC2 或網路應用程序前端
- 過濾掉大量異常流量的侵擾
- 清除帳戶 (Clearing an account): aws-nuke
- 刪除 AWS 帳號中所有內容的破壞性工具
- 立即停止訪問帳戶中的所有服務
- 保持合規性 (Start compliance): AWS Config 一致性套件
- 持續保有合規性
- 符合該樣本套件: PCI DSS, FED ramp, HIPPA 安全, CSI
- 避免數據意外洩漏 (Avoid data unintended leaks): IAM Access Analyzer
- 識別並共享資源至外部實體
- 並非共享所有內容
- 最終例行性計畫 (Where to go next): AWS Well-Architected Tool (安全支柱)
- 提供高達 57 項確認清單
- 持續改善您的 AWS 帳戶的安全性
- 節省成本,優化架構
