本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# SALZ:默认设置
您的 AWS Managed Services (AMS) 网络采用标准化方式配置,大多数服务均采用默认设置。
本节介绍 AMS 用于安全、访问、监控、日志记录、连续性以及修补和管理的默认设置。
有关基础架构成本的示例,请参阅[基本组件](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components)。
中提供了防火墙规则 [设置您的防火墙](setup-firewall.md)
# 端点安全 (EPS)
您在 AMS Advanced 环境中配置的资源自动包括安装端点安全 (EPS) 监控客户端。此过程可确保全天候监控和支持 AMS Advanced 管理的资源。此外,AMS Advanced 会监控所有代理活动,如果检测到任何安全事件,就会创建事件。
**注意**
安全事件作为事件处理;有关更多信息,请参阅[事件响应](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
端点安全提供反恶意软件保护,具体而言,支持以下操作:
+ EC2 向 EPS 注册的实例
+ EC2 从 EPS 取消注册的实例
+ EC2 实例实时反恶意软件保护
+ EPS 代理启动的心跳
+ EPS 恢复隔离的文件
+ EPS 事件通知
+ 每股收益报告
AMS Advanced 使用趋势科技实现端点安全 (EPS)。这些是默认 EPS 设置。要了解有关趋势科技的更多信息,请参阅趋势科技[趋势科技服务器深度安全防护系统帮助中心](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true);请注意,非亚马逊链接可能会更改,恕不另行通知。
以下章节介绍了 AMS 高级多账户着陆区 (MALZ) 的默认设置;有关非默认 AMS 多账户着陆区 EPS 设置,[请参阅 AMS 高级多账户](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings)着陆区 EPS 非默认设置。
**注意**
你可以自备 EPS,请参阅 [AMS 自带 EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)。
## 常规 EPS 设置
端点安全常规网络设置。
**每股收益默认值**
| 设置 | Default |
| --- | --- |
| 防火墙端口(实例的安全组) | EPS 趋势科技服务器深度安全防护系统管理中心代理 (DSMs) 必须打开端口 4120 Agent/Relay 才能与管理中心通信,为管理中心控制台打开端口 4119。EPS 中继必须打开端口 4122 Manager/Agent 才能与中继通信。不应为客户实例的入站通信打开特定的端口,因为代理会启动所有请求。 |
| 沟通方向 | 客户端/设备已启动 |
| 心跳间隔 | 十分钟 |
| 警报前错过的心跳次数 | 二 |
| 服务器时间之间允许的最大偏差(差) | 无限制 |
| 对处于非活动状态(已注册但未联机)的虚拟机引发脱机错误 | 否 |
| 默认策略 | 基本政策(下文将介绍) |
| 使用相同主机名激活多台计算机 | 被允许 |
| 已发出待定更新的警报 | 七天后 |
| 更新日程安排 | AMS 的目标是趋势科技趋势科技服务器深度安全防护系统管理中心 (DSM) /趋势科技服务器深度安全防护系统客户端 (DSA) 软件更新的每月发布周期。但是,AMS 不维护更新的 SLA。在部署期间,AMS 开发团队在整个舰队范围内执行更新。 DSA/DSA 更新记录在趋势科技 DSM 系统事件中,AMS 默认在本地保留这些事件 13 周。有关供应商文档,请参阅趋势科技趋势科技服务器深度安全防护[系统帮助中心中的系统事件](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html)。日志还会导出到亚马逊 CloudWatch的日志组/ aws/ams/eps/var/log/DSM .log。 |
| 更新源代码 | 趋势科技更新服务器 (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| 删除事件或日志数据 | 事件和日志将在七天后从 DSM 数据库中删除。 |
| 代理软件版本已保留 | 最多五个 |
| 最新规则更新已保存 | 最多十个 |
| 日志存储 | 默认情况下,日志文件安全地存储在 Amazon S3 中,但您也可以将其存档到 Amazon Glacier,以帮助满足审计和合规要求。 |
## 基本政策
端点安全基础策略默认设置。
**每股收益基本政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/eps-defaults.html)
## 反恶意软件
端点安全防恶意软件设置。
**EPS 防恶意软件默认值**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/eps-defaults.html)
# 安全组
在 AWS 中 VPCs,AWS 安全组充当虚拟防火墙,控制一个或多个堆栈(一个或一组实例)的流量。堆栈启动时,它会与一个或多个安全组相关联,这些安全组决定了允许哪些流量到达堆栈:
+ 对于公有子网中的堆栈,默认安全组接受来自所有位置(互联网)的 HTTP (80) 和 HTTPS (443) 流量。这些堆栈还接受来自您的公司网络和 AWS 堡垒的内部 SSH 和 RDP 流量。然后,这些堆栈可以通过任何端口导出到互联网。它们还可以输出到您的私有子网和公有子网中的其他堆栈。
+ 私有子网中的堆栈可以输出到私有子网中的任何其他堆栈,并且堆栈中的实例可以通过任何协议相互完全通信。
**重要**
私有子网上堆栈的默认安全组允许私有子网中的所有堆栈与该私有子网中的其他堆栈通信。如果要限制私有子网内堆栈之间的通信,则必须创建描述限制的新安全组。例如,如果您想限制与数据库服务器的通信,使该私有子网中的堆栈只能通过特定端口从特定的应用程序服务器进行通信,请请求特殊的安全组。本节将介绍如何执行此操作。
## 默认安全组
------
#### [ MALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “SentinelDefaultSecurityGroupPrivateOnly-vpc-id”,其中是 *ID* AMS 多账户着陆区账户中的 VPC ID。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnly
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/about-security-groups.html)
------
#### [ SALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*”,其中*ID*是唯一标识符。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “mc-initial-garden--” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/about-security-groups.html)
------
## 创建、更改或删除安全组
您可以请求自定义安全组。如果默认安全组不能满足您的应用程序或组织的需求,则可以修改或创建新的安全组。此类申请将被视为需要批准,并将由AMS运营团队进行审查。
要在堆栈之外创建安全组 VPCs,请使用`Deployment | Advanced stack components | Security group | Create (review required)`更改类型 (ct-1oxx2g2d7hc90) 提交 RFC。
要修改活动目录 (AD) 安全组,请使用以下更改类型:
+ 添加用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 将用户添加到群组 [ct-24pi85mjtza8k] 提交 RFC
+ 要移除用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 从群组中移除用户 [ct-2019s9y3nfml4] 提交 RFC
**注意**
使用 “需要审核” 时 CTs,AMS 建议您使用 “尽快**安排**” 选项(在控制台中选择 “尽快”,在 **AP** I/CLI 中将开始和结束时间留空),因为这些选项 CTs 要求 AMS 操作员检查 RFC,并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs,请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准,RFC 将被自动拒绝。
## 查找安全组
要查找附加到堆栈或实例的安全组,请使用 EC2 控制台。找到堆栈或实例后,您可以看到与其关联的所有安全组。
有关在命令行中查找安全组并筛选输出的方法,请参阅[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。
# EC2 IAM 实例配置文件
实例配置文件是 IAM 角色的容器,您可以使用该容器在 EC2 实例启动时将角色信息传递给实例。
------
#### [ MALZ ]
有两个 AMS 默认实例配置文件`customer-mc-ec2-instance-profile`和`customer-mc-ec2-instance-profile-s3`。这些实例配置文件提供下表中所述的权限。
**政策描述**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
#### [ SALZ ]
有一个 AMS 默认实例配置文件`customer-mc-ec2-instance-profile`,用于授予 IAM 实例策略中的权限`customer_ec2_instance_profile_policy`。此实例配置文件提供下表中所述的权限。该配置文件向在实例上运行的应用程序授予权限,而不是向登录实例的用户授予权限。
策略通常包含多个语句,其中每个语句授予对不同资源集的权限或在特定条件下授予权限。
顺时针 = CloudWatch。ARN = 亚马逊资源名称。\$1 = 通配符(任意)。
**EC2 默认 IAM 实例配置文件权限**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
如果您不熟悉 Amazon IAM 政策,请参阅 [IAM 政策概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)了解重要信息。
**注意**
策略通常包含多个语句,其中每个语句授予对不同资源集的权限或在特定条件下授予权限。
# 监控指标默认值
下表显示了监控的内容和默认警报阈值。您可以通过变更管理变更请求 (RFC) 更改默认值。
**注意**
CloudWatch 2016 年 11 月 1 日推出了延长指标保留期。有关更多信息,请参阅[CloudWatch 限制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html)。
**来自基线监控的警报**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/monitoring-default-metrics.html)
# 默认日志保留和轮换
本节介绍 AMS 日志管理默认值;有关更多信息,请参阅[日志管理](https://docs.aws.amazon.com/managedservices/latest/userguide/log-mgmt.html)。
+ 轮换 = 实例内部的日志周转
+ 保留期 = 我们在亚马逊日志和亚马逊简单存储服务 (S3) Simple Service 中保存 CloudWatch 日志的时间段
日志会根据需要保留在 CloudWatch 日志中(您可以对此进行配置),并保留在 S3 中。它们不会过期或被删除,并且受服务持久性的限制。有关 S3 持久性的详细信息,请参阅 [Amazon S3 中的数据保护](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
您可以请求更改所有日志的日志保留期,但 AWS CloudTrail 日志除外,出于审计和安全考虑,这些日志会无限期保存。
日志轮换是在实例内部配置的。默认情况下,如果操作系统和安全日志的容量超过 100MB,则每小时轮换一次,这样做是为了确保您在实例中不会出现磁盘不足的情况。
实例内部的日志代理将在线日志上传到 Lo CloudWatch gs,日志从那里存档到 S3。
日志以生成的原始格式存储在 CloudWatch Logs 和 S3 中,没有预处理。
# 连续性管理默认值
本节介绍 AMS 连续性管理默认值;有关 AMS 备份的更多信息,请参阅 AMS 用户指南连续性管理章节。
Backup 配置是在入职时完成的。这些是默认(推荐)备份设置。
# VPC 标签和默认值
有关 AMS 备份的最新信息,请参阅[连续性管理](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html)。
**重要**
默认情况下, EC2 堆栈备份处于禁用状态(Backup = False)。您可以在创建实例时启用 EC2 实例备份,方法是在通过 RFC(CT ct-14027q0sjyt1h)请求 EC2 堆栈`Key: Backup, Value: True`时添加标签。如果要在创建实例后添加标签,请使用管理 \$1 高级堆栈组件 \$1 实例堆栈 \$1 更新 CT (ct-38s4s4tm4ic4u) 提交 RFC。 EC2
# EC2 实例标签和默认值
**EC2 堆栈备份标签**指定堆栈是否需要附加 EBS 卷的快照。
标签 ` Key: Backup`
标签 ` Value: True, False`
默认情况下,值`False`为备份标签不存在,并且堆栈没有定时备份。
`Key: Backup`将标签更改为`Value: True`以启用备份,然后按照使用 VPC 备份标签设置的时间表完成备份。
**注意**
标签值的大小写(仅限 Value)不敏感,因此 True/true 或 False/false 全部可以接受。
# RDS 实例备份和默认值
Amazon 关系数据库 (RDS) Service 的默认值在堆栈模板中定义:
` Backup: Yes`
` Backup Window: 22:00-23:00 (RDS local time zone)`
` Retention Period: 7 (7 snapshots stored)`
# 修补默认值
本节介绍了 AMS 修补默认值;有关 AMS 修补的更多信息,请参阅 AMS 用户指南补丁管理章节。
AMS 版本每月修补 AMIs 一次;所有新的堆栈请求都应使用最新的 AMS AMI 进行配置。
**重要**
AMS Patch Orchestrator 是一种基于标签的补丁,它使用 AWS Systems Manager (SSM) 功能来允许您标记实例或为您设置 AMS 标签,并使用基准和您配置的窗口对这些实例进行修补。要了解更多信息,请参阅 [Patch Orchestrator:基于标签的修补](https://docs.aws.amazon.com/managedservices/latest/userguide/patch-orchestrator.html)模型。
AMS 标准、基于账户、补丁:对于每个拥有接收就地补丁的堆栈的账户,都会在 “补丁星期二” 之后不久发出即将发布的适用补丁的通知。该通知包含所有堆栈和适用补丁的列表以及建议的补丁窗口。对于关键补丁,窗口设置的时间不超过提前 10 天,标准修补的时间不超过提前 14 天。如果您不回复通知,则不会进行修补。如果您想排除某些补丁,请回复通知或提交服务请求。如果您在回复时同意修补,但没有特别要求不同的时间表,则会按照您收到的通知中所述应用补丁。
**注意**
补丁服务通知是发送给账户联系人的电子邮件,其中包含指向 AWS Support 控制台的链接。您可以通过 AWS Support 控制台或 AMS 服务请求页面进行回复,在该页面中,通知显示为服务通知。
在 AMS 标准修补过程中,AMS 会执行以下操作:
1. 在建议的补丁窗口到来前 14 天,您会收到一条修补服务通知。修补服务通知通过电子邮件发送到您在账户中存档的联系人电子邮件地址。
1. 根据修补 EC2 通知中提供的堆栈列表识别堆栈中所有可访问的实例。在本例中,“可访问” 是指处于 “正在运行” EC2 状态且运行命令代理已完全 EC2 运行的实例。
1. AMS 执行修补的方式可以确保有足够数量的 EC2 实例同时运行(通过`healthy-host-threshold`设置进行配置),从而使堆栈保持正常运行。
1. 所有 EC2 实例的修补操作完成后,AMS 会将 RFC 更新为修补状态:成功、部分成功或失败。对于除 Success 之外的任何状态,系统都会创建一张工单,供操作员跟进修补结果并采取任何纠正措施。