网络安全分析器中的重要概念 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器
调查发现引用

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

网络安全分析器中的重要概念

注意

AWS Shield 网络安全分析器目前为公开预览版,可能会发生变化。

资源

处理应用程序流量的计算、网络和安全资源:

  • 计算:Amazon Elastic Compute Cloud 实例

  • 网络:应用程序负载均衡器、Amazon API Gateways、Amazon CloudFront 分配、VPC 子网和 VPC 弹性网络接口(ENI)

  • 安全:AWS WAF web ACL、VPC 安全组和 VPC 网络访问控制列表(NACL)

调查发现

有关网络安全服务缺失或配置错误的警报,严重性级别为“无”、“信息性”、“低”、“中”、“高”或“严重”。网络安全分析器通过评估每种资源的配置设置和威胁情报来生成调查发现。

严重性

根据 AWS 最佳实践和威胁情报,衡量资源面临潜在安全事件的漏洞。严重性评估需同时考虑潜在漏洞和现有保护措施。资源的严重性级别与其最严重的调查发现相匹配,如果没有调查发现,则显示为“无”。

网络拓扑

网络的可视化呈现,展示资源连接、互联网暴露情况和基于标签的关系。使用拓扑视图,以调查资源及其调查发现。

了解网络安全分析器调查发现

注意

AWS Shield 网络安全分析器目前为公开预览版,可能会发生变化。

网络安全分析器会为其分析的每种资源生成具体的调查发现。这些调查发现可帮助您识别安全问题并采取适当措施。下表按资源类型列出所有可能的调查发现。

按资源类型划分的网络安全分析器调查发现
资源类型 调查结果说明
应用程序负载均衡器

  • 藏于 CloudFront 分配背后,但也暴露在互联网上

  • 缺少针对机器人程序的保护

  • 存在 DDoS 活动

  • 缺少防火墙保护

  • 存在配置错误的防火墙

  • 存在未配置的防火墙

  • 无法抵御请求泛滥的攻击

  • 无法防范 web 漏洞
Amazon API Gateway

  • 缺少针对机器人程序的保护

  • 缺少防火墙保护

  • 存在配置错误的防火墙

  • 存在未配置的防火墙

  • 无法抵御请求泛滥的攻击

  • 无法防范 web 漏洞
Amazon CloudFront

  • 缺少针对机器人程序的保护

  • 存在 DDoS 活动

  • 缺少防火墙保护

  • 存在配置错误的防火墙

  • 存在未配置的防火墙

  • 无法抵御请求泛滥的攻击

  • 无法防范 web 漏洞
Amazon Elastic Compute Cloud(EC2)实例

  • 允许通过所有端口从所有 IP 范围进行入站访问

  • 允许通过远程桌面协议端口(端口 3389)从所有 IP 范围进行入站访问

  • 允许通过 SSH 端口(端口 22)从所有 IP 范围进行入站访问

  • 允许通过所有端口从所有 IP 范围进行出站访问

  • 藏于没有防火墙保护的应用程序负载均衡器背后

  • 藏于应用程序负载均衡器背后,而该负载均衡器藏于 CloudFront 分配背后,但也暴露在互联网上

  • 藏于没有防火墙保护的 CloudFront 分配背后

  • 缺少针对机器人程序的保护

  • 无法抵御请求泛滥的攻击

  • 藏于配置错误的防火墙背后

  • 藏于未配置的防火墙背后

  • 藏于无法防范 web 漏洞的资源背后
VPC 安全组

  • 允许通过所有端口从所有 IP 范围进行入站访问

  • 允许通过远程桌面协议端口(端口 3389)从所有 IP 范围进行入站访问

  • 允许通过 SSH 端口(端口 22)从所有 IP 范围进行入站访问

  • 允许通过所有端口从所有 IP 范围进行出站访问
VPC 网络访问控制列表(NACL)

  • 允许通过所有端口从所有 IP 范围进行入站访问

  • 允许通过远程桌面协议端口(端口 3389)从所有 IP 范围进行入站访问

  • 允许通过 SSH 端口(端口 22)从所有 IP 范围进行入站访问

  • 允许通过所有端口从所有 IP 范围进行出站访问
AWS WAF Web ACL

  • 存在机器人活动

  • 缺少针对机器人程序的保护

  • 配置错误

  • 未关联任何资源

  • 未配置以抵御请求泛滥攻击

  • 没有规则

  • 未配置以防范 web 漏洞