# 安全性
安全性支柱包括保护数据、系统和资产以利用云技术来改善安全性的能力。如需有关具体实施的说明性指导,请参阅[《安全性支柱》白皮书](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp)。
**Topics**
+ [安全基础知识](a-sec-security.md)
+ [身份与访问权限管理](a-identity-and-access-management.md)
+ [检测](a-detective-controls.md)
+ [基础设施保护](a-infrastructure-protection.md)
+ [数据保护](a-data-protection.md)
+ [事件响应](a-incident-response.md)
+ [应用程序安全性](a-appsec.md)
# 安全基础知识
**Topics**
+ [SEC 1 如何安全地操作您的工作负载?](sec-01.md)
# SEC 1 如何安全地操作您的工作负载?
为了安全地操作您的工作负载,您必须对安全性的各个方面应用总体最佳实践。采用您在组织和工作负载层面的卓越运营中定义的要求和流程,并将它们应用到各个方面。及时了解最新的 AWS、行业建议以及威胁情报信息可帮助您改进您的威胁模型和控制目标。实现安全流程、测试和验证的自动化可扩展您的安全运营。
**Topics**
+ [SEC01-BP01 通过使用账户来分隔工作负载](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 保护账户根用户和属性](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 及时了解最新的安全威胁](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 及时了解最新的安全建议](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 在管道中自动测试和验证安全控制措施](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 使用威胁模型识别威胁并确定缓解措施的优先级](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期评估和实施新的安全服务和功能](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 通过使用账户来分隔工作负载
通过采取多账户策略,在环境(如生产、开发和测试)和工作负载之间建立共同的防护机制和隔离措施。强烈建议在账户层面进行分离管理,这样可为安全性、账单和访问提供强大的隔离边界。
**期望结果:**形成一种账户结构,可将云运维、无关工作负载和环境隔离到单独的账户中,从而提高整个云基础设施的安全性。
**常见反模式:**
+ 将多个相互毫无关联,具有不同数据敏感度级别的工作负载放入同一账户中。
+ 组织单位(OU)结构界定不清。
**建立此最佳实践的好处:**
+ 即使不该访问的工作负载无意中被访问了,影响范围也会缩小。
+ 能够对访问 AWS 服务、资源和区域进行集中治理。
+ 可集中管理策略和安全服务,维护云基础设施的安全性。
+ 使账户创建和维护流程自动化。
+ 集中审计基础设施状况,从而满足法规遵从性和监管要求。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
AWS 账户 提供安全隔离边界,使不同敏感度的工作负载或资源相互分离。AWS 提供相应工具,以多账户策略来大规模管理云工作负载,从而利用此隔离边界。如要获得有关 AWS 多账户策略的概念、模式和实施的指导,请参阅[使用多个账户组织 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)。
如果您需要集中管理多个 AWS 账户,您的账户应基于组织单位(OU)层,建立层次结构。然后可以建立安全控制机制,并将其应用于 OU 和成员账户,从而为组织内的成员账户建立一致的预防性控制机制。安全控制机制是层层继承的,使您能够筛选位于 OU 层次结构较低层次的成员账户的可用权限。优秀的架构设计将能够利用这种层层继承的特性,减少设置安全策略,降低复杂性,并使每个成员账户的安全控制效果达到预期。
采用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 和 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 这两种服务,可在您的 AWS 环境中实施和管理多账户结构。AWS Organizations 使得您能够将账户建立成由一个或多个 OU 层定义的层次结构形式,每个 OU 均可包含若干成员账户。[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)(SCP)使组织管理员能够对成员账户建立精细的预防性控制,而 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) 可用于建立对成员账户的主动式和检测性控制。许多 AWS 服务[与 AWS Organizations 集成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html),以提供委派型的管理控制,并在组织内的所有成员账户中执行特定于服务的任务。
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 位于 AWS Organizations 之上,为具有[登录区](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)的多账户 AWS 环境提供了一键式最佳实践设置。登录区是 Control Tower 多账户环境的入口处。与 AWS Organizations 相比,采用 Control Tower 具有若干[好处](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/)。这三种好处可以改进账户治理状况:
+ 将强制安全防护机制集成于系统中,可自动应用于准入组织的账户。
+ 有多种防护机制可供选择,还能开启或关闭给定 OU 组的防护机制。
+ [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 可在组织内部自动部署账户,设置好预先批准的基准和配置选项。
## 实施步骤
1. **设计组织单位结构:**设计良好的组织单位结构减少了创建和维护服务控制策略及其他安全控制机制所需的管理负担。您的组织单位结构应[与您的业务需求、数据敏感度和工作负载结构看齐](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/)。
1. **为多账户环境创建登录区:**登录区提供了一致的安全性和基础设施基础,您的组织可以从中快速开发、启动和部署工作负载。您可以使用[定制的登录区或 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) 来编排您的环境。
1. **建立防护机制:**通过登录区为您的环境实施一致的安全防护机制。AWS Control Tower 提供了可部署的[必选](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html)和[可选](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html)控制机制的列表。实施 Control Tower 时会自动部署必选控制机制。查看高度推荐和可选控制机制的列表,并实施适合您需求的控制机制。
1. **限制访问新添加的区域**:对于新的 AWS 区域,诸如用户和角色之类的 IAM 资源将仅传播到您指定的区域。可以在[使用 Control Tower 时通过控制台](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)执行此操作,也可以通过调整 [AWS Organizations 中的 IAM 权限策略](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)执行此操作。
1. **考虑使用 AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**:StackSets 可帮助您通过已批准的模板将资源(包括 IAM 策略、角色和组)部署到不同的 AWS 账户 和区域中。
## 资源
**相关最佳实践:**
+ [SEC02-BP04 依赖集中式身份提供者](sec_identities_identity_provider.md)
**相关文档:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [使用 CloudFormation StackSets 跨多个 AWS 账户 和区域预置资源](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
+ [组织常见问题解答](https://aws.amazon.com/organizations/faqs/)
+ [AWS Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)
+ [AWS Organizations 多账户环境中的服务控制策略的最佳实践](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [AWS 账户管理参考指南](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html)
+ [使用多个账户组织 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)
**相关视频:**
+ [利用自动化和监管,支持大规模采用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
+ [使用 AWS Control Tower 构建和监管多个账户](https://www.youtube.com/watch?v=agpyuvRv5oo)
+ [为现有组织启用 Control Tower](https://www.youtube.com/watch?v=CwRy0t8nfgM)
**相关研讨会:**
+ [Control Tower 沉浸日](https://controltower.aws-management.tools/immersionday/)
# SEC01-BP02 保护账户根用户和属性
根用户是 AWS 账户 中权限最高的用户,对账户内的所有资源具有完全管理访问权限,在某些情况下不受安全策略的约束。禁用对根用户的编程访问,为根用户建立适当的控制机制,并避免日常使用根用户。这样有助于降低无意中暴露根凭证以及随后破坏云环境的风险。
**期望结果:**保护根用户有助于减少因滥用根用户凭证而导致意外或故意损坏的可能性。建立检测性控制机制也可以在有人使用根用户执行操作时向适当人员发出警报。
**常见反模式:**
+ 使用根用户执行各种任务,而非仅在必要时使用根用户凭证。
+ 忽略定期测试应急计划,以验证关键基础设施、流程和人员在紧急情况下的运作情况。
+ 只考虑典型的账户登录流程,而没有考虑或测试替代的账户恢复方法。
+ 因为 DNS、电子邮件服务器和电话提供商要用于账户恢复流程,就不将其作为关键安全边界的一部分进行处理。
**建立此最佳实践的好处:**保护对根用户的访问可以建立信心,使您账户中的操作受到控制和审计。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
AWS 提供许多有助于保护账户安全的工具。但由于其中一些措施默认情况下未启用,因此您必须采取直接行动来实施它们。请将这些建议视为确保 AWS 账户 安全的基本步骤。实施这些步骤时,务必建立一个持续评估和监控安全控制机制的过程,这非常重要。
当您首次创建 AWS 账户 时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的身份。该身份称为 AWS 账户 根用户。您可以使用创建账户时使用的电子邮件地址和密码,以根用户的身份登录。由于授予 AWS 根用户的访问权限较高,您必须仅将 AWS 根用户用于执行[特别需要它](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)的任务。必须严格保护根用户登录凭证,并且应始终为 AWS 账户 根用户启用多重身份验证(MFA)。
除了使用用户名、密码和多重身份验证(MFA)设备登录根用户的常规身份验证流程外,还可以使用账户恢复流程登录您的 AWS 账户 根用户,该用户可以访问与您的账户关联的电子邮件地址和电话号码。因此,保护发送恢复电子邮件的根用户电子邮件账户和保护与该账户关联的电话号码同样重要。还应考虑潜在的循环依赖关系,其中与根用户关联的电子邮件地址托管在同一 AWS 账户 的电子邮件服务器或域名服务(DNS)资源上。
使用 AWS Organizations 时,有多个 AWS 账户(均有一个根用户)。将一个账户指定为管理账户,然后可以在管理账户下面添加几层成员账户。优先保护管理账户的根用户,然后解决成员账户根用户问题。保护管理账户根用户的策略可能与保护成员账户根用户的策略不同,您可以对成员账户根用户建立预防性安全控制机制。
### 实施步骤
建议使用以下实施步骤为根用户建立控制机制。在适用情况下,建议与 [CIS AWS Foundations Benchmark 版本 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html) 交叉引用。除了这些步骤外,请参阅 [AWS 最佳实践指导](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/)以确保您的 AWS 账户 和资源安全。
**预防性控制机制**
1. 为账户设置准确的[联系信息](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。
1. 该信息用于丢失的密码恢复流程、丢失的 MFA 设备账户恢复流程,以及与您的团队进行关键的安全相关通信。
1. 使用企业域托管的电子邮件地址(最好是通讯组列表)作为根用户的电子邮件地址。使用通讯组列表而不是个人的电子邮件账户可提供额外的冗余和连续性,以便在很长一段时间内访问根账户。
1. 联系信息上所列的电话号码应该是为此目的而设置的专用安全电话的号码。电话号码不应列出或与任何人共享。
1. 不要为根用户创建访问密钥。如果存在访问密钥,请将其删除(CIS 1.4)。
1. 消除根用户的任何长期编程凭证(访问密钥和私有密钥)。
1. 如果已存在根用户访问密钥,您应将使用这些密钥的进程转换为使用 AWS Identity and Access Management(IAM)角色的临时访问密钥,然后[删除根用户访问密钥](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key)。
1. 确定是否需要为根用户存储凭证。
1. 如果您使用 AWS Organizations 创建新的成员账户,则新成员账户上根用户的初始密码将设置为一个不向您公开的随机值。如果需要,请考虑使用 AWS 组织管理账户的密码重置流程来[访问成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)。
1. 对于独立 AWS 账户 或管理 AWS 组织账户,请考虑为根用户创建并安全地存储凭证。为根用户启用 MFA。
1. 在 AWS 多账户环境中,为成员账户根用户启用预防性控制机制。
1. 考虑为成员账户启用[不允许为根用户创建根访问密钥](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys)预防性防护机制。
1. 考虑为成员账户启用[不允许以根用户身份执行操作](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions)预防性防护机制。
1. 如果需要根用户凭证,请执行以下操作:
1. 使用复杂密码。
1. 为根用户启用多重身份验证(MFA),特别是 AWS Organizations 管理(付款人)账户(CIS 1.5)。
1. 考虑使用硬件 MFA 设备以提高弹性和安全性,因为一次性使用的设备可以减少包含 MFA 代码的设备被重复用于其他用途的可能性。验证是否定期更换由电池供电的硬件 MFA 设备。(CIS 1.6)
+ 要为根用户配置 MFA,请遵循启用[虚拟 MFA](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) 或[硬件 MFA 设备](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root)的说明。
1. 考虑注册多个 MFA 设备用于备份。 [每个账户最多允许 8 个 MFA 设备](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/)。
+ 请注意,为根用户注册多个 MFA 设备将自动禁用[在 MFA 设备丢失情况下恢复账户的流程](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/)。
1. 安全地存储密码,如果以电子方式存储密码,则考虑循环依赖关系。不要以需要访问同一 AWS 账户 才能获得密码的方式存储密码。
1. 可选:考虑为根用户制定定期密码轮换计划。
+ 凭证管理最佳实践取决于您的监管和政策要求。受 MFA 保护的根用户并不依赖密码作为单重身份验证。
+ 定期[更改根用户密码](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html)可降低无意中暴露的密码被滥用的风险。
### 检测性控制
+ 创建警报以检测根凭证的使用(CIS 1.7)。[启用 Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) 将通过 [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 调查结果对根用户 API 凭证的使用进行监控和发出警报。
+ 评估并实施 [AWS Well-Architected 安全性支柱合规包 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) 中包含的检测性控制机制,或者如果使用 AWS Control Tower,则评估并实施 Control Tower 内[强烈建议的控制机制](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html)。
### 运营指南
+ 确定组织中应该有权访问根用户凭证的人员。
+ 采用双人规则,以便不会出现一个人就能够访问所有必要凭证和 MFA 来获得根用户访问权限的情况。
+ 验证组织(而不是个人)对与账户关联的电话号码和电子邮件别名(用于密码重置和 MFA 重置流程)保持控制。
+ 仅在例外情况下使用根用户(CIS 1.7)。
+ 不得使用 AWS 根用户执行日常任务,即使是管理任务也不可以。仅以根用户身份登录,以执行[需要根用户的 AWS 任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。所有其他操作都应由代入适当角色的其他用户执行。
+ 定期检查对根用户的访问是否正常,以便在出现需要使用根用户凭证的紧急情况之前对过程进行测试。
+ 定期检查与账户关联的电子邮件地址以及[备用联系人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)下列出的电子邮件地址是否有效。监控这些电子邮件收件箱,查看您可能从中收到的安全通知 abuse@amazon.com。还要确保与该账户相关的任何电话号码都有效。
+ 准备事件响应程序,以应对根账户滥用情况。请参阅 [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)以及[《安全性支柱》白皮书“事件响应”部分](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)中的最佳实践,了解有关为 AWS 账户构建事件响应策略的更多信息。
## 资源
**相关最佳实践:**
+ [SEC01-BP01 通过使用账户来分隔工作负载](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 使用强大的登录机制](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md)
+ [SEC03-BP03 建立紧急访问流程](sec_permissions_emergency_process.md)
+ [SEC10-BP05 预置访问权限](sec_incident_response_pre_provision_access.md)
**相关文档:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Amazon GuardDuty – 根凭证使用情况警报](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage)
+ [通过 CloudTrail 监控根凭证使用情况的分步指导](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7)
+ [获准与 AWS 一起使用的 MFA 令牌](https://aws.amazon.com/iam/features/mfa/)
+ 在 AWS 上实施 [Break Glass 访问](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html)
+ [AWS 账户中需要改进的十大安全项目](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/)
+ [发现我的 AWS 账户 中存在未经授权的活动时该怎么办?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/)
**相关视频:**
+ [利用自动化和监管,支持大规模采用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
+ [限制使用来自 AWS re:inforce 2022 的 AWS 根凭证](https://youtu.be/SMjvtxXOXdU?t=979) – AWS IAM 安全最佳实践
**相关示例和实验室:**
+ [实验室:AWS 账户 和根用户](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/)
# SEC01-BP03 识别并验证控制目标
根据您的合规性要求以及从威胁模型中发现的风险,获得并验证您需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 确定合规性要求:了解您的工作负载必须符合的组织、法律和合规性要求。
+ 确定 AWS 合规性资源:确定 AWS 帮助您实现合规性的资源。
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## 资源
**相关文档:**
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [AWS Security Hub CSPM:管理安全警报和自动执行合规性检查](https://youtu.be/HsWtPG_rTak)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 及时了解最新的安全威胁
通过及时了解最新的安全威胁,帮助您定义并实施适当的控制措施,识别攻击媒介。使用 AWS Managed Services 可以更轻松地接收 AWS 账户中意外或异常行为的通知。在您的安全信息流程中,使用 AWS 合作伙伴工具或第三方威胁信息源进行调查。此 [通用漏洞披露(CVE,Common Vulnerabilities and Exposures)列表 ](https://cve.mitre.org/) 包含公开披露的网络安全漏洞,可供您用于掌握最新信息。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 订阅威胁情报来源:定期查看来自多个来源、与您在工作负载中所用技术相关的威胁情报信息。
+ [通用漏洞披露列表 ](https://cve.mitre.org/)
+ 考虑使用 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 服务:如果您的工作负载可通过互联网访问,则该服务可让您近乎实时地了解情报来源。
## 资源
**相关文档:**
+ [AWS 安全性审计指导原则](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ 安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 及时了解最新的安全建议
及时了解最新的 AWS 和行业安全建议,以改善您的工作负载安全状况。[AWS 安全公告](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 包含有关安全性和隐私通知的重要信息。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 关注 AWS 更新:订阅或定期查看新建议、提示与诀窍。
+ [AWS Well-Architected 实验室](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [AWS 安全性博客](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [AWS 服务文档](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ 订阅行业新闻:定期查看来自多个来源、与您在工作负载中所用技术相关的新闻动态。
+ [示例:通用漏洞披露列表](https://cve.mitre.org/cve/?ref=wellarchitected)
## 资源
**相关文档:**
+ [安全公告](https://aws.amazon.com/security/security-bulletins/)
**相关视频:**
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 在管道中自动测试和验证安全控制措施
为安全机制建立可靠的基准和模板,并将其作为构建、管道和流程的一部分进行测试和验证。利用工具和自动化功能,持续测试并验证所有的安全控制措施。例如,对机器镜像和基础设施即代码模板等项目进行扫描,以发现安全漏洞、异常以及与每个阶段的既定基准的偏差。AWS CloudFormation Guard 可帮助您验证 CloudFormation 模板是否安全,为您节省时间并减少配置错误风险。
减少引入到生产环境中的安全性错误配置的数量至关重要 — 在构建过程中,可以执行的质量控制和可以减少的缺陷越多越好。设计持续集成和持续部署 (CI/CD) 管道,以便尽可能测试安全问题。CI/CD 管道提供了在构建和交付的每个阶段增强安全性的机会。还必须确保 CI/CD 安全工具始终是最新版本,以减轻不断变化的威胁。
跟踪对工作负载配置进行的更改,帮助您进行合规性审计、更改管理以及可能适用于您的调查。您可以使用 AWS Config 记录和评估您的 AWS 和第三方资源。这使您可以依据规则及合规包(合规包是带有补救操作的规则集合),连续审计和评估您的整体合规情况。
更改跟踪应包括计划更改,计划更改可能是组织更改控制流程(有时也称作 MACD,即移动、添加、更改、删除(Move, Add, Change, Delete))、临时更改或意外更改(如意外事件)的一部分。更改可能出现在基础设施中,但也可能涉及其他类别,如代码存储库中的更改、机器镜像和应用程序清单更改、流程和策略更改或文档更改。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 自动管理配置:使用配置管理服务或工具自动实施安全配置并对其进行验证。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [在 AWS 上设置 CI/CD 管道 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## 资源
**相关文档:**
+ [如何使用服务控制策略来设置您在 AWS Organization 中的跨账户权限防护机制](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**相关视频:**
+ [使用 AWS Organizations 管理多账户 AWS 环境](https://youtu.be/fxo67UeeN1A)
+ [架构完善的安全性最佳实践](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 使用威胁模型识别威胁并确定缓解措施的优先级
执行威胁建模,以识别并维护一个针对工作负载的潜在威胁和相关缓解措施的最新登记表。确定威胁优先级并调整安全控制缓解措施,以进行防范、检测和响应。根据您的工作负载以及不断变化的安全环境,重新审视和维护此登记表。
**在未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
**什么是威胁建模?**
根据定义,“威胁建模可识别、沟通和理解威胁及缓解措施,用于保护重要资产。” – [开放 Web 应用程序安全项目(OWASP)应用程序威胁建模](https://owasp.org/www-community/Threat_Modeling)
**为什么应该进行威胁建模?**
系统是复杂的,并且随着时间的推移会变得越来越复杂,功能越来越强大,从而提供更多商业价值,提高客户满意度和参与度。这意味着 IT 设计决策需要考虑数量不断增加的使用案例。由于复杂性和使用案例排列组合的数量过多,非结构化方法将通常无法有效地发现和减轻威胁。因此,您需要采用一种系统方法来列举对系统的潜在威胁,制定缓解措施并确定这些缓解措施的优先级,以确保贵组织利用有限资源,在改善系统的整体安全状况方面发挥巨大作用。
威胁建模旨在提供这种系统方法,目的是在设计过程的早期发现和解决问题。此时与生命周期的后期相比,缓解措施的成本和工作量相对较低。这种方法与[“左移”安全实践](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview)的行业原则相一致。最终,威胁建模将与组织的风险管理流程相互集成,并通过使用威胁驱动的方法,帮助您决定实施哪些控制措施。
**应在什么时候进行威胁建模?**
应在工作负载的生命周期中尽早开始进行威胁建模,这使您能够更灵活地处理已识别的威胁。就像软件漏洞一样,越早发现威胁,解决它们就越经济高效。威胁模型是一个动态文档,应随着工作负载的变化而不断发展。随着时间的推移(包括当发生重大变更、威胁形势发生变化或您采用新功能或服务时),重新审视您的威胁模型。
**实施步骤**
**我们如何进行威胁建模?**
可以采用许多不同的方式来进行威胁建模。就像编程语言一样,每种方式都有优点和缺点,您应该选择最适合自己的方式。一种方法是从 [Shostack 的威胁建模 4 问题框架](https://github.com/adamshostack/4QuestionFrame)开始,该框架提出开放式问题,为您的威胁建模工作提供结构:
1. **正在做什么?**
该问题旨在帮助您了解所构建的系统并达成一致意见,以及了解与安全性相关的系统细节。创建模型或图表是回答该问题的常用方法,因为这可帮助您对所构建的内容进行可视化,例如使用[数据流图](https://en.wikipedia.org/wiki/Data-flow_diagram)。写下关于系统的假设和重要细节也有助于定义范围内的内容。这使每个参与威胁建模的人员都能专注于同一件事,避免因在超出范围的主题(包括过时的系统版本)上走弯路而浪费时间。例如,如果您要构建一个 Web 应用程序,那么可能不值得花时间为浏览器客户端操作系统可信引导顺序进行威胁建模,因为您无法在设计中影响这一点。
1. **会出现什么问题?**
该问题可帮助您识别系统存在的威胁。威胁是指具有不必要影响并可能影响系统安全的意外或故意行为或事件。如果不清楚哪里可能出现问题,您就无从应对。
对于可能出现的问题,并没有一个规范的列表。创建此列表需要团队中的所有个人和参与威胁建模工作的[相关角色](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips)集思广益并展开协作。您可以通过使用识别威胁的模型(如 [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)))来帮助集思广益,该模型建议了不同的评估类别:欺骗、篡改、抵赖、信息披露、拒绝服务和权限提升。此外,您可能希望通过回顾现有的列表和研究来帮助集思广益,寻找灵感,其中包括 [OWASP Top 10](https://owasp.org/www-project-top-ten/)、[HiTrust 威胁目录](https://hitrustalliance.net/hitrust-threat-catalogue/)和贵组织自己的威胁目录。
1. **我们要怎么做?**
与前面的问题一样,我们不可能得到包含所有缓解措施的规范清单。这一步骤需要考虑的是上一步中确定的威胁、威胁行动者和要改进的领域。
安全性和合规性是[您与 AWS 的共同责任](https://aws.amazon.com/compliance/shared-responsibility-model/)。重要的是要明白,当您问“我们要怎么做?”时,您也在问“谁负责做这件事?”。了解您和 AWS 之间的责任平衡有助于将威胁建模工作的范围限定在您控制的缓解措施范围内,这些缓解措施通常是 AWS 服务配置选项和您自己的系统特定缓解措施的组合。
对于共担责任中 AWS 应承担的部分,您会发现 [AWS 服务在许多合规计划的范围内](https://aws.amazon.com/compliance/services-in-scope/)。这些计划可帮助您理解 AWS 用以维持云安全性与合规性的可靠控制机制。AWS 客户可以从 [AWS Artifact](https://aws.amazon.com/artifact/) 下载这些计划的审计报告。
无论您使用哪项 AWS 服务,客户始终要承担一部分责任,并且与这些责任相一致的缓解措施应包含在威胁模型中。对于 AWS 服务自身的安全控制缓解措施,您需要考虑跨域实施安全控制措施,包括身份和访问管理(身份验证和授权)、数据保护(静态和传输中)、基础设施安全性、日志记录和监控等域。每项 AWS 服务的文档都包含一个[专门的安全章节](https://docs.aws.amazon.com/security/),里面提供了关于安全控制机制的指导,可视为缓解措施。重要的是,需要考虑您正在编写的代码及其代码依赖关系,并思考可以设置哪些控制机制来应对这些威胁。这些控制机制可以是[输入验证](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)、[会话处理](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling)和[边界处理](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow)等内容。通常,大多数漏洞都是在自定义代码中引入,因此请重点关注这一领域。
1. **我们做得好吗?**
该问题旨在随着时间的推移,让您的团队和组织提高威胁模型的质量并加快执行威胁建模的速度。通过将实践、学习、教学和回顾相结合可以取得这些改进。要想深入了解并亲身体验,建议您和您的团队完成[“适合构建者的威胁建模方式”培训课程](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)或[研讨会](https://catalog.workshops.aws/threatmodel/en-US)。此外,如果您正在寻找如何将威胁建模集成到组织的应用程序开发生命周期中的指导,请参阅 AWS 安全博客上的[如何处理威胁建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)一文。
## 资源
**相关最佳实践:**
+ [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 及时了解最新的安全威胁](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 及时了解最新的安全建议](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP08 定期评估和实施新的安全服务和功能](sec_securely_operate_implement_services_features.md)
**相关文档:**
+ [如何处理威胁建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)(AWS 安全性博客)
+ [NIST:以数据为中心的系统威胁建模指南](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
**相关视频:**
+ [2021 AWS ANZ 峰会 - 如何处理威胁建模](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [2022 AWS ANZ 峰会 - 扩展安全性 – 优化以实现快速而安全的交付](https://www.youtube.com/watch?v=DjNPihdWHeA)
**相关培训:**
+ [适合构建者的威胁建模方式 – AWS Skill Builder 自控进度的虚拟培训](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [适合构建者的威胁建模方式 – AWS 研讨会](https://catalog.workshops.aws/threatmodel)
# SEC01-BP08 定期评估和实施新的安全服务和功能
评估并实施 AWS 和 AWS 合作伙伴提供的安全服务和功能,以改善您的工作负载安全状况。AWS 安全博客重点介绍新的 AWS 服务和功能、实施指导和常规安全指南。[AWS 的最新内容](https://aws.amazon.com/new) 是一个很好的工具,可帮助您随时了解所有新的 AWS 功能、服务和公告。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 规划定期审核:创建审核活动日历,包括遵守合规性要求、评估新的 AWS 安全功能和服务,以及及时了解行业最新动态。
+ 发现 AWS 服务和功能:发现适用于您使用的服务的安全功能,并在新功能发布时查看这些功能。
+ [AWS 安全性博客](https://aws.amazon.com/blogs/security/)
+ [AWS 安全公告 ](https://aws.amazon.com/security/security-bulletins/)
+ [AWS 服务文档 ](https://aws.amazon.com/documentation/)
+ 定义 AWS 服务上线流程:定义用于上线新 AWS 服务的流程。包括您如何评估新 AWS 服务的功能,以及针对工作负载的合规性要求。
+ 测试新的服务和功能:当有新的服务和功能发布时,在与生产环境非常相似的非生产环境中对其进行测试。
+ 实施其他防御机制:实施自动化机制来保护您的工作负载,并探索可用选项。
+ [按照 AWS Config 规则 修正不合规的 AWS 资源 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## 资源
**相关视频:**
+ [架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)
# 身份与访问权限管理
**Topics**
+ [SEC 2 如何管理人员和机器的身份验证?](sec-02.md)
+ [SEC 3 如何管理人员和机器的权限?](sec-03.md)
# SEC 2 如何管理人员和机器的身份验证?
在访问和运行安全的 AWS 工作负载时,您需要管理两种类型的身份。了解管理和授予访问权限所需的身份类型,这有助于确保正确的身份能够在正确的条件下访问正确的资源。
人员身份:您的管理员、开发人员、操作员和最终用户需要确定身份才能访问您的 AWS 环境和应用程序。这些是您的组织成员或您与之协作的外部用户,以及通过 Web 浏览器、客户端应用程序或交互式命令行工具与您的 AWS 资源交互的用户。
机器身份:您的服务应用程序、操作工具和工作负载需要一个身份来向 AWS 服务发出请求,例如,读取数据。这些身份包括在 AWS 环境中运行的机器,例如 Amazon EC2 实例或 AWS Lambda 函数。您还可以管理需要访问权限的外部各方的机器身份。此外,您可能还有需要访问您 AWS 环境的 AWS 之外的机器。
**Topics**
+ [SEC02-BP01 使用强大的登录机制](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 使用临时凭证](sec_identities_unique.md)
+ [SEC02-BP03 安全地存储和使用密钥](sec_identities_secrets.md)
+ [SEC02-BP04 依赖集中式身份提供者](sec_identities_identity_provider.md)
+ [SEC02-BP05 定期审计和轮换凭证](sec_identities_audit.md)
+ [SEC02-BP06 利用用户组和属性](sec_identities_groups_attributes.md)
# SEC02-BP01 使用强大的登录机制
当不使用多重身份验证(MFA)等机制时,登录(使用登录凭证的身份验证)可能会带来风险,特别是在登录凭证被无意泄露或很容易猜到的情况下。使用强大的登录机制,通过要求使用 MFA 和强密码策略来降低这些风险。
**期望结果:**通过为 [AWS Identity and Access Management(IAM)](https://aws.amazon.com/iam/)用户、[AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)、[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)(AWS Single Sign-On 的后继者)和第三方身份提供者使用强大的登录机制,降低意外访问 AWS 中凭证的风险。这意味着需要 MFA,强制执行强密码策略,并检测异常登录行为。
**常见反模式:**
+ 没有为您的身份执行强密码策略,包括复杂密码和 MFA。
+ 在不同的用户之间共享相同的凭证。
+ 不对可疑的登录使用检测性控制。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
人类身份可通过多种方式登录 AWS。在向 AWS 进行身份验证时,AWS 最佳做法是寻找使用联合身份验证(直接联合或使用 AWS IAM Identity Center)的集中式身份提供者进行验证。在这种情况下,您应与您的身份提供者或 Microsoft Active Directory 建立安全登录过程。
第一次开设 AWS 账户 时,您会从 AWS 账户 根用户开始。您应仅使用账户根用户为您的用户(以及为[需要根用户的任务](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html))设置访问权限。开设 AWS 账户 后立即为账户根用户启用 MFA,并使用 AWS [最佳实践指南](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html)保护根用户,这一点非常重要。
如果您在 AWS IAM Identity Center 中创建用户,请确保该服务中的登录过程安全。对于消费者身份,您可以使用 [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/index.html) 并保护该服务中的登录过程,或者使用 Amazon Cognito user pools 支持的身份提供者之一。
如果您使用 [AWS Identity and Access Management(IAM)](https://aws.amazon.com/iam/)用户,则将使用 IAM 保护登录过程。
无论采用何种登录方法,执行强登录策略都非常关键。
**实施步骤**
以下是一般的强登录建议。应根据您的公司策略或使用 [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html) 等标准,对您配置的实际设置进行设置。
+ 要求使用 MFA。对于人类身份和工作负载,[要求使用 MFA 是 IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)。启用 MFA 提供了一层额外的安全保障,这会要求用户提供登录凭证和一次性密码(OTP),或从硬件设备加密验证和生成的字符串。
+ 强制执行最小密码长度,这是密码强度的主要因素。
+ 强制执行密码复杂性,使密码更难以猜到。
+ 允许用户更改自己的密码。
+ 创建个人身份而不是共享凭证。通过创建个人身份,您可以为每个用户提供一组唯一的安全凭证。个人用户可以审计每个用户的活动。
IAM Identity Center 建议:
+ IAM Identity Center 在使用默认目录时提供了预定义的[密码策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html),该策略确定了密码长度、复杂性和重用要求。
+ 当身份源为默认目录、AWS Managed Microsoft AD 或 AD Connector 时,[启用 MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) 并为 MFA 配置“背景认知”或“始终开启”设置。
+ 允许用户[注册自己的 MFA 设备](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html)。
Amazon Cognito user pools 目录建议:
+ 配置[密码长度](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)设置。
+ 对于用户,[要求使用 MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html)。
+ 使用 Amazon Cognito user pools [高级安全设置](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html)实现[自适应身份验证](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html)(可阻止可疑登录)等功能。
IAM 用户建议:
+ 最好是使用 IAM Identity Center 或直接联合。然而,您可能需要 IAM 用户。在这种情况下,为 IAM 用户[设置密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。您可以使用密码策略来定义诸如最小长度、密码是否需要非字母字符之类的要求。
+ 创建 IAM 策略来[强制执行 MFA 登录](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1),以允许用户管理其自己的密码和 MFA 设备。
## 资源
**相关最佳实践:**
+ [SEC02-BP03 安全地存储和使用密钥](sec_identities_secrets.md)
+ [SEC02-BP04 依赖集中式身份提供者](sec_identities_identity_provider.md)
+ [SEC03-BP08 在组织内安全地共享资源](sec_permissions_share_securely.md)
**相关文档:**
+ [AWS IAM Identity Center(AWS Single Sign-On 的后继者)密码策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html)
+ [IAM 用户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [设置 AWS 账户 根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [Amazon Cognito 密码策略](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [AWS 凭证](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
**相关视频:**
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 使用临时凭证
进行任何类型的身份验证时,最好使用临时凭证而不是长期凭证,以降低或消除诸如凭证被无意泄露、共享或被盗之类的风险。
**期望结果:**为了降低长期凭证的风险,请尽可能对人类和机器身份使用临时凭证。长期凭证会带来许多风险,例如,它们能够以代码的形式上传到公有 GitHub 存储库。使用临时凭证可以显著降低凭证被泄露的几率。
**常见反模式:**
+ 开发人员使用 IAM users 的长期访问密钥,而不是使用联合身份验证从 CLI 获得临时凭证。
+ 开发人员在他们的代码中嵌入长期访问密钥,并将该代码上传到公有 Git 存储库。
+ 开发人员在移动应用程序中嵌入长期访问密钥,然后在应用商店中提供这些密钥。
+ 用户与其他用户共享长期访问密钥,或员工离开公司时仍持有长期访问密钥。
+ 当可以使用临时凭证时,对机器身份使用长期访问密钥。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
对所有 AWS API 和 CLI 请求使用临时安全凭证,而不是长期凭证。在几乎所有情况下,对 AWS 服务的 API 和 CLI 请求都必须使用 [AWS 访问密钥](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html)进行签名。这些请求可以使用临时凭证或长期凭证进行签名。只有在使用 [IAM 用户](https://docs.aws.amazon.com//latest/UserGuide/id_users.html)或 [AWS 账户 根用户](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)时,才应该使用长期凭证(也称为长期访问密钥)。当您联合到 AWS 或通过其他方法代入 [IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)时,系统将生成临时凭证。即使您使用登录凭证访问 AWS 管理控制台,系统也会生成临时凭证供您调用 AWS 服务。需要用到长期凭证的情况很少,您可以使用临时凭证完成几乎所有任务。
尽量不要使用长期凭证,多用临时凭证,并且还应该减少采取 IAM 用户形式,多用联合身份验证和 IAM 角色形式进行访问。虽然 IAM 过去常使用用户来访问人类和机器身份,但我们现在建议不要使用它们,以避免使用长期访问密钥所带来的风险。
### 实施步骤
对于员工、管理员、开发人员、操作员和客户等人类身份:
+ 您应该[使用集中式身份提供者的服务](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html),并[要求人类用户配合使用联合身份验证与身份提供者两种方法,以使用临时凭证访问 AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp)。可以通过[直接联合到每个 AWS 账户](https://aws.amazon.com/identity/federation/),或使用 [AWS IAM Identity Center(AWS IAM Identity Center 的后继者)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)和您选择的身份提供者,对用户进行联合身份验证。与使用 IAM 用户相比,联合身份验证除了消除使用长期凭证的情况之外,还具有许多优势。您的用户也可以从[直接联合](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/)的命令行或通过使用 [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) 来请求获得临时凭证。这意味着能够大幅减少需要使用 IAM 用户或用户长期凭证的情况。
+ 授予软件即服务(SaaS)提供商等第三方访问 AWS 账户 中资源的权限时,您可以使用[跨账户角色](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html)和[基于资源的策略](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html)。
+ 如果您需要批准消费者或客户申请访问您的 AWS 资源,可以使用 [Amazon Cognito 身份池](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html)或 [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) 提供临时凭证。通过 IAM 角色配置凭证权限。 对于访客用户未通过身份验证的情况,您还可以定义一个拥有有限权限的单独 IAM 角色。
对于机器身份,您就可能需要使用长期凭证了。在这些情况下,您应该[要求工作负载使用具有 IAM 角色的临时凭证来访问 AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles)。
+ 对于 [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/)(Amazon EC2),您可以使用[适用于 Amazon EC2 的角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html)。
+ [AWS Lambda](https://aws.amazon.com/lambda/) 使您能够配置 [Lambda 执行角色,以授权此服务](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)利用临时凭证执行 AWS 操作。AWS 服务还有许多其他类似的模型,可以使用 IAM 角色授予临时凭证。
+ 对于 IoT 设备,您可以使用 [AWS IoT Core 凭证提供程序](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)来请求临时凭证。
+ 对于需要访问 AWS 资源的本地系统或在 AWS 之外运行的系统,您可以使用 [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。
某些情况下不能选择临时凭证,此时您可能需要使用长期凭证。在这些情况下,可以[定期审计和轮换凭证](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html),并[定期轮换访问密钥](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials)以解决需要使用长期凭证的情况。诸如使用 WordPress 插件和第三方 AWS 客户端等情况,都可能需要用到长期凭证。在必须使用长期凭证的情况下,或者对于并非 AWS 访问密钥的凭证(如数据库登录),您可以使用一种专门用于处理密钥管理的服务,比如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)。借助 Secrets Manager,您可以使用[支持的服务](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)轻松管理、轮换和安全地存储加密密钥。有关轮换长期凭证的更多信息,请参阅[轮换访问密钥](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。
## 资源
**相关最佳实践:**
+ [SEC02-BP03 安全地存储和使用密钥](sec_identities_secrets.md)
+ [SEC02-BP04 依赖集中式身份提供者](sec_identities_identity_provider.md)
+ [SEC03-BP08 在组织内安全地共享资源](sec_permissions_share_securely.md)
**相关文档:**
+ [临时安全凭证](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [AWS 凭证](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [IAM 安全最佳实践](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [身份提供者和联合身份验证](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [轮换访问密钥](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [AWS 账户根用户](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)
**相关视频:**
+ [使用 AWS IAM Identity Center(AWS IAM Identity Center 的后继者)大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 安全地存储和使用密钥
工作负载需要能够自动向数据库、资源和第三方服务证明其身份。这是使用秘密访问凭证(如 API 访问密钥、密码和 OAuth 令牌)完成的。使用专门构建的服务来存储、管理和轮换这些凭证有助于降低这些凭证泄露的可能性。
**期望结果:**实施安全管理应用程序凭证的机制,以实现以下目标:
+ 确定工作负载需要哪些密钥。
+ 尽可能用短期凭证代替长期凭证,从而减少所需的长期凭证的数量。
+ 建立安全存储并自动轮换剩余的长期凭证。
+ 审计对工作负载中存在的密钥的访问。
+ 持续监控,以验证开发期间没有在源代码中嵌入任何密钥。
+ 降低凭证被无意中泄露的可能性。
**常见反模式:**
+ 不轮换凭证。
+ 将长期凭证存储在源代码或配置文件中。
+ 在未加密状态下静态存储凭证。
**建立此最佳实践的好处:**
+ 对存储的凭证进行静态和传输中加密。
+ 通过 API 来把关对凭证的访问(可将 API 看作*凭证自动售货机*)。
+ 审计和记录对凭证的访问(包括读和写)。
+ 关注点分离:凭证轮换由一个单独的组件执行,该组件可与架构的其余部分隔离开来。
+ 密钥自动按需分发给软件组件,并在中心位置进行轮换。
+ 可以精细地控制对凭证的访问。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
过去,用于对数据库、第三方 API、令牌和其他密钥进行身份验证的凭证可能已嵌入到源代码或环境文件中。AWS 提供了几种机制来安全地存储这些凭证,自动轮换它们,并审计它们的使用情况。
进行密钥管理的妥善方法是遵循相关指导,以正确地删除、替换和轮换密钥。最安全的凭证是您不必存储、管理或处理的凭证。某些凭证可能不再是正常运行工作负载所必需的,可以安全地删除。
对于仍然是正常运行工作负载所必需的凭证,可能有机会用临时或短期凭证替换长期凭证。例如,相比起对 AWS 秘密访问密钥进行硬编码,不妨考虑使用 IAM 角色,将长期凭证替换为临时凭证。
可能无法删除或替换某些长期密钥。这些密钥可以存储在 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 等服务中,在那里可以集中存储、管理和定期轮换密钥。
对工作负载的源代码和配置文件进行审计,可以发现许多类型的凭证。下表总结了处理常见凭证类型的策略:
| Credential type | Description | Suggested strategy |
| --- | --- | --- |
| IAM access keys | AWS IAM access and secret keys used to assume IAM roles inside of a workload | Replace: Use [IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios.html) assigned to the compute instances (such as [Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) or [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)) instead. For interoperability with third parties that require access to resources in your AWS 账户, ask if they support [AWS 跨账户访问](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html). For mobile apps, consider using temporary credentials through [Amazon Cognito 身份池(联合身份)](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). For workloads running outside of AWS, consider [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) or [AWS Systems Manager 混合激活](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html). |
| SSH keys | Secure Shell private keys used to log into Linux EC2 instances, manually or as part of an automated process | Replace: Use [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) or [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) to provide programmatic and human access to EC2 instances using IAM roles. |
| Application and database credentials | Passwords – plain text string | Rotate: Store credentials in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
| Amazon RDS and Aurora Admin Database credentials | Passwords – plain text string | Replace: Use the [Secrets Manager 与 Amazon RDS 集成](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) or [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html). In addition, some RDS database types can use IAM roles instead of passwords for some use cases (for more detail, see [IAM 数据库身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.DBAuth.html)). |
| OAuth tokens | Secret tokens – plain text string | Rotate: Store tokens in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and configure automated rotation. |
| API tokens and keys | Secret tokens – plain text string | Rotate: Store in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
一种常见的反模式是在源代码、配置文件或移动应用程序中嵌入 IAM 访问密钥。当需要 IAM 访问密钥与 AWS 服务通信时,请使用[临时(短期)安全凭证](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)。可以通过 [EC2 实例的 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)、Lambda 功能的[执行角色](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)、移动用户访问的 [Cognito IAM 角色](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html)和 IoT 设备的 [IoT Core 策略](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)提供这些短期凭证。与第三方进行交互时,最好[将访问权限委托给 IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html),以获得对您账户资源的必要访问权限,而不是配置 IAM 用户并向第三方发送该用户的秘密访问密钥。
在许多情况下,工作负载需要存储与其他服务和资源进行互操作所必需的密钥。[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 旨在安全地管理这些凭证,以及 API 令牌、密码和其他凭证的存储、使用和轮换。
AWS Secrets Manager 提供五个关键功能,以确保敏感凭证的安全存储和处理:[静态加密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)、[传输中加密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html)、[全面审计](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html)、[精细访问控制](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html)和[可扩展凭证轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。AWS 合作伙伴提供的其他密钥管理服务或提供类似功能和保证的本地开发的解决方案也可以接受。
### 实施步骤
1. 使用自动化工具(如 [Amazon CodeGuru](https://aws.amazon.com/codeguru/features/))识别包含硬编码凭证的代码路径。
+ 使用 Amazon CodeGuru 扫描您的代码存储库。审查完成后,在 CodeGuru 中筛选 `Type=Secrets` 以查找有问题的代码行。
1. 识别可以删除或替换的凭证。
1. 识别不再需要的凭证并标明要删除。
1. 对于嵌入到源代码的 AWS 私有密钥,将其替换为与必要资源相关的 IAM 角色。如果您的部分工作负载在 AWS 之外,但需要 IAM 凭证才能访问 AWS 资源,请考虑 [IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) 或 [AWS Systems Manager 混合激活](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html)。
1. 对于其他需要使用轮换策略的第三方、长期密钥,请将 Secrets Manager 集成到代码中,以便在运行时检索第三方密钥。
1. CodeGuru 控制台可以使用发现的凭证[在 Secrets Manager 中自动创建密钥](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/)。
1. 将 Secrets Manager 的密钥检索集成到应用程序代码中。
+ 无服务器 Lambda 功能可以使用与语言无关的 [Lambda 扩展](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html)。
+ 对于 EC2 实例或容器,AWS 用几种流行的编程语言提供了示例[客户端代码,用于从 Secrets Manager 检索密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html)。
1. 定期检查代码库并重新扫描,以验证代码中没有添加新的密钥。
+ 考虑使用诸如 [git-secrets](https://github.com/awslabs/git-secrets) 之类的工具来防止向源代码存储库提交新的密钥。
1. [监控 Secrets Manager 活动](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html),以发现意外使用、不适当的密钥访问或试图删除密钥的迹象。
1. 减少人类接触凭证的机会。将读取、写入和修改凭证的权限仅授予专用于此目的的 IAM 角色,并仅向一小部分操作用户提供代入该角色的权限。
## 资源
**相关最佳实践:**
+ [SEC02-BP02 使用临时凭证](sec_identities_unique.md)
+ [SEC02-BP05 定期审计和轮换凭证](sec_identities_audit.md)
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [身份提供者和联合身份验证](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Amazon CodeGuru 推出 Secrets Detector](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/)
+ [AWS Secrets Manager 如何使用 AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html)
+ [Secrets Manager 中的密钥加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
+ [Secrets Manager 博客条目](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/)
+ [Amazon RDS 宣布与 AWS Secrets Manager 集成](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 Amazon CodeGuru Secrets Detector 查找硬编码密钥](https://www.youtube.com/watch?v=ryK3PN--oJs)
+ [使用 AWS Secrets Manager 保护混合工作负载的密钥](https://www.youtube.com/watch?v=k1YWhogGVF8)
**相关研讨会:**
+ [在 AWS Secrets Manager 中存储、检索和管理敏感凭证](https://catalog.us-east-1.prod.workshops.aws/workshops/497b4908-169f-4e6f-b80d-ef10be3038d3/en-US)
+ [AWS Systems Manager 混合激活](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html)
# SEC02-BP04 依赖集中式身份提供者
对于员工身份,依赖身份提供商,使您能够在集中位置管理身份。这样,您就可以更轻松地管理跨多个应用程序和服务的访问权限,因为您在从单一位置创建、管理和撤销访问权限。例如,如果有人离开了您的组织,您可以从一个位置撤销此人对所有应用程序和服务(包括 AWS)的访问权限。这样就降低了对多个凭证的需求,并提供了与现有的人力资源 (HR) 流程集成的机会。
要与单独的 AWS 账户联合,您可以将用于 AWS 的集中身份与基于 SAML 2.0 并支持 AWS Identity and Access Management 的提供程序结合使用。无论是由您在 AWS 中托管的提供程序、AWS 外部的提供程序还是由 AWS Partner 提供的提供程序,您都可以使用,只要这些提供程序与 [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 协议兼容。您可以使用您的 AWS 账户与您选择的提供程序之间的联合,为用户或应用程序授予访问权限,以使他们能通过使用 SAML 断言获得临时安全凭证,以调用 AWS API 操作。基于 Web 的单点登录同样受支持,因此允许用户从您的登录网站登录到 AWS 管理控制台。
要与您的 AWS Organizations 中的多个账户联合,您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中配置您的身份源,并指定您的用户和组的存储位置。配置之后,您的身份提供程序将是您的事实来源,并可以使用跨域身份管理系统 (SCIM) v2.0 协议来 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 信息。随后,您可以查找用户或组,并授予他们 IAM Identity Center 访问权限,以使他们能够访问 AWS 账户和/或云应用程序。
IAM Identity Center 与 AWS Organizations 集成,这样,您就可以配置您的身份提供程序,然后为您的组织中管理的 [现有账户和新账户授予访问权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 为您提供了一个默认存储库,您可以使用它来管理您的用户和组。如果您选择使用 IAM Identity Center 存储库,请创建您的用户和组,并为他们分配对您的 AWS 账户和应用程序的访问权限级别,同时铭记最低权限最佳实践。您也可以选择使用 SAML 2.0 [连接到您的外部身份提供程序 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html),或 [连接到您的 Microsoft AD 目录](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) (使用 AWS Directory Service)。配置之后,您可以通过您的中央身份提供者进行身份验证,以登录到 AWS 管理控制台或 AWS 移动应用程序。
要管理您的工作负载的最终用户或消费者,例如移动应用程序,您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它为您的 Web 和移动应用程序提供了身份验证、授权和用户管理功能。您的用户可以直接使用用户名和密码登录,也可以通过第三方(例如 Amazon、Apple、Facebook 或 Google)登录。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 集中管理访问:创建 Identity and Access Management(IAM)身份提供者实体,以在您的 AWS 账户与身份提供者(IdP)之间建立信任关系。IAM 支持与 OpenID Connect(OIDC)或 SAML 2.0(Security Assertion Markup Language 2.0,安全断言标记语言 2.0)兼容的 IdP。
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 集中应用程序访问:考虑使用 Amazon Cognito 实现应用程序集中式访问。借助 Amazon Cognito,您可以快速轻松地将用户注册、登录和访问控制添加到 Web 和移动应用程序中。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可扩展至数百万用户,并支持使用社交身份提供者(如 Facebook、Google 和 Amazon)登录,以及通过企业身份提供者使用 SAML 2.0 登录。
+ 删除旧的 IAM 用户和组:在您开始使用身份提供者(IdP)后,请删除不再需要的 IAM 用户和组。
+ [查找未使用的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [删除 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 资源
**相关文档:**
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 定期审计和轮换凭证
定期审计和轮换凭证,以限制凭证可用于访问资源的时间。使用长期凭证会产生许多风险,可通过定期轮换来降低这些风险。
**期望结果:**实施凭证轮换,以帮助降低长期凭证相关风险。定期审计并纠正不符合凭证轮换策略的情况。
**常见反模式:**
+ 不审计凭证的使用情况。
+ 不必要地使用长期凭证。
+ 使用长期凭证,不定期轮换。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
当您无法依赖临时凭证并需要长期凭证时,请审计凭证,以验证实施了定义的控制措施(例如多重身份验证(MFA)),并且定期轮换凭证,使凭证具有适当的访问级别。
(最好通过自动化工具)定期验证,以确保实施正确的控制措施。对于人员身份,您应要求用户定期更改他们的密码并弃用访问密钥,以支持临时凭证。从 AWS Identity and Access Management(IAM)用户转向集中式身份时,您可以[生成凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)来审计您的用户。
我们还建议您在身份提供者中实施并监控 MFA。您可以设置 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 或使用 [AWS Security Hub CSPM 安全标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3)来监控用户是否启用了 MFA。考虑使用 IAM Roles Anywhere 为机器身份提供临时凭证。在无法使用 IAM 角色和临时凭证的情况下,需要经常审计和轮换访问密钥。
**实施步骤**
+ **定期审计凭证:**对您的身份提供者和 IAM 中配置的身份进行审计,这有助于验证只有经过授权的身份才能访问您的工作负载。此类身份可能包括但不限于 IAM 用户、AWS IAM Identity Center 用户、Active Directory 用户或不同上游身份提供者中的用户。例如,删除离开组织的人员,并删除不再需要的跨账户角色。制定流程,以定期审计 IAM 实体所访问服务的权限。这有助于您确定需要修改的策略,以删除任何未使用的权限。使用凭证报告和 [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 来审计 IAM 凭证和权限。您可以使用 [Amazon CloudWatch 为 AWS 环境中调用的特定 API 调用设置警报](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)。[Amazon GuardDuty 还可以提醒您注意意外活动](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html),出现这种提醒,可表明对 IAM 凭证的访问过于宽松,或出现了意外访问情况。
+ **定期轮换凭证:**当您无法使用临时凭证时,请定期轮换长期 IAM 访问密钥(最多每 90 天一次)。如果在您不知情的情况下无意中泄露了访问密钥,这将限制凭证用于访问资源的时间。有关轮换 IAM 用户的访问密钥的信息,请参阅[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。
+ **审核 IAM 权限:**为了提高您的 AWS 账户 的安全性,请定期审核和监控每个 IAM 策略。验证这些策略是否遵循最低权限原则。
+ **考虑自动创建和更新 IAM 资源:**IAM Identity Center 会自动执行许多 IAM 任务,比如角色和策略管理。或者,AWS CloudFormation 可用于自动部署 IAM 资源(包括角色和策略),以减少人为错误的机会,因为可以验证模板和控制版本。
+ **对于机器身份,使用 IAM Roles Anywhere 替换 IAM 用户:**IAM Roles Anywhere 将使您能够在传统上无法使用角色的领域(例如本地服务器)使用角色。IAM Roles Anywhere 使用可信的 X.509 证书向 AWS 进行身份验证并接收临时凭证。使用 IAM Roles Anywhere 便无需轮换这些凭证,因为长期凭证不再存储在本地环境中。请注意,您需要监控 X.509 证书,并在该证书即将到期时轮换它。
## 资源
**相关最佳实践:**
+ [SEC02-BP02 使用临时凭证](sec_identities_unique.md)
+ [SEC02-BP03 安全地存储和使用密钥](sec_identities_secrets.md)
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [身份提供者和联合身份验证](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [获取 AWS 账户 的凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相关示例:**
+ [Well-Architected 实验室 - 自动化 IAM 用户清理](https://wellarchitectedlabs.com/security/200_labs/200_automated_iam_user_cleanup/)
+ [Well-Architected 实验室 - 自动部署 IAM 组和角色](https://wellarchitectedlabs.com/security/200_labs/200_automated_deployment_of_iam_groups_and_roles/)
# SEC02-BP06 利用用户组和属性
随着您管理的用户数量不断增加,您需要确定如何组织这些用户,以便能够实现规模管理。将具有常见安全要求的用户置于由您的身份提供程序定义的组中,并建立机制以确保用于访问控制的用户属性(例如部门或位置)正确无误且已更新。使用这些组和属性(而不是单个用户)来控制访问权限。这样,您就可以通过使用 [权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)一次性更改用户的组成员身份或属性来集中管理访问,而不是在需要更改用户的访问权限时更新多个单独策略。您可以使用 AWS IAM Identity Center(IAM Identity Center)来管理用户组和属性。IAM Identity Center 支持最常用的属性,无论是在创建用户时手动输入的属性还是使用同步引擎自动预置的属性,例如跨域身份管理系统(SCIM,Cross-Domain Identity Management)规范中定义的那些属性。
将具有常见安全要求的用户置于由您的身份提供程序定义的组中,并建立机制以确保用于访问控制的用户属性(例如部门或位置)正确无误且已更新。使用这些组和属性(而不是单个用户)来控制访问。这使您可以通过一次性更改用户的组成员身份或属性来集中管理访问,而不是在用户的访问需要更改时更新多个单独策略。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 如果您在使用 AWS IAM Identity Center(IAM Identity Center)配置组:IAM Identity Center 使您能够配置用户组,并为组分配所需的权限级别。
+ [AWS Single Sign-On – 管理身份](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 了解基于属性的访问控制(ABAC,Attribute-Based Access Control):ABAC 是一种基于属性定义权限的授权策略。
+ [什么是适用于 AWS 的 ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 资源
**相关文档:**
+ [开始使用 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相关示例:**
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 如何管理人员和机器的权限?
管理权限以控制对需要访问 AWS 和您的工作负载的人员和机器身份的访问。权限用于控制哪些人可以在什么条件下访问哪些内容。
**Topics**
+ [SEC03-BP01 定义访问要求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md)
+ [SEC03-BP03 建立紧急访问流程](sec_permissions_emergency_process.md)
+ [SEC03-BP04 持续减少权限](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 为您的组织定义权限防护机制](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 基于生命周期管理访问权限](sec_permissions_lifecycle.md)
+ [SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 在组织内安全地共享资源](sec_permissions_share_securely.md)
+ [SEC03-BP09 与第三方安全地共享资源](sec_permissions_share_securely_third_party.md)
# SEC03-BP01 定义访问要求
管理员、最终用户或其他组件都需要访问您工作负载的每个组件或资源。明确定义哪些人员或事物应当有权访问每个组件,选择用于进行身份验证和授权的适当身份类型和方法。
**常见反模式:**
+ 在应用程序中进行硬编码或存储密码。
+ 向每个用户授予自定义权限。
+ 使用长期有效的凭证。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
管理员、最终用户或其他组件都需要访问您工作负载的每个组件或资源。明确定义哪些人员或事物应当有权访问每个组件,选择用于进行身份验证和授权的适当身份类型和方法。
应提供对组织内 AWS 账户 的常规访问,方法是使用 [联合身份访问](https://aws.amazon.com/identity/federation/) 或集中式身份提供者。您还应将身份管理集中处理,确保对于 AWS 将访问集成到员工访问生命周期中已建立了既定做法。例如,当员工转岗到具有不同访问级别的职位时,该员工的小组成员资格也应进行更改以反映新的访问要求。
在定义非人类身份的访问要求时,请确定哪些应用程序和组件需要访问权限以及如何向其授予权限。建议使用通过最低权限访问模型构建的 IAM 角色。[AWS 托管策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 提供了预定义的 IAM 策略,这些策略涵盖了大多数常见使用案例。
AWS 服务(例如 [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 和 [AWS Systems Manager Parameter Store)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)可以帮助在无法使用 IAM 角色的情况下,安全地将密码与应用程序或工作负载分离。在 Secrets Manager 中,您可以为凭证建立自动轮换。您可以通过 Systems Manager 使用您在创建参数时指定的唯一名称,来引用脚本、命令、SSM 文档、配置和自动化工作流中的参数。
您可以使用 AWS Identity and Access Management Roles Anywhere [获取 IAM 中的临时安全凭证,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 这种凭证适用于在 AWS 外部运行的工作负载。您的工作负载可以使用 [IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 和 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ,也就是您为访问 AWS 资源在 AWS 应用程序中所用的策略和角色。
如果可能,请优先选择短期临时凭证而不是长期静态凭证。在一些场景中,需要具有编程访问权限和长期凭证的 IAM 用户,此时请使用 [访问密钥上次使用的信息](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 来轮换和删除访问密钥。
## 资源
**相关文档:**
+ [基于属性的访问控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [适用于 IAM Identity Center 的 AWS 托管策略](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM 策略条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM 使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [如何根据 AWS 账户、OU 或组织来控制对 AWS 资源的访问](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [使用 AWS Secrets Manager 中的增强搜索来轻松标识、安排和管理密钥](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**相关视频:**
+ [在 60 分钟以内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [简化身份和访问管理以实施创新](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 授予最低访问权限
最佳实践是向身份授予的访问权限只能是在特定条件下对特定资源执行特定操作所必需的。使用组和身份属性来大规模动态设置权限,而不是为单个用户定义权限。例如,您可以允许一组开发人员访问,以便仅管理其项目的资源。使用这种方法,如果某个开发人员离开项目,则可以自动撤销该开发人员的访问权限,而无需更改底层访问策略。
**期望结果:**用户应仅具有完成工作所必需的权限。应该仅向用户授予访问生产环境以在有限的时间段内执行特定任务的权限,并且在任务完成后,应撤销访问权限。当不再需要权限时(包括当用户转到其他项目或工作职能时),应撤销权限。管理员权限应该只授予一小部分受信任的管理员。应定期审查权限,以避免权限蔓延。应该为机器或系统账户授予一组完全其任务所需的最低权限。
**常见反模式:**
+ 默认为向用户授予管理员权限。
+ 使用根用户进行日常活动。
+ 创建过于宽松但没有完全管理员权限的策略。
+ 不审查权限以了解是否为它们授予了最低访问权限。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
[最低权限](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#grant-least-privilege)原则指出,应仅允许身份执行完成特定任务所需的一组最少操作。这样使可用性、效率和安全性达到平衡。根据此原则运营,有助于限制意外访问,还有助于跟踪谁有权访问哪些资源。默认情况下,IAM 用户和角色没有任何权限。根用户默认具有完全访问权限,所以应该严格控制和监控根用户,并且只用于[需要根访问权限的任务](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。
IAM 策略用于显式地为 IAM 角色或特定资源授予权限。例如,基于身份的策略可以附加到 IAM 组,而 S3 存储桶可由基于资源的策略控制。
创建 IAM 策略时,您可以指定服务操作、资源以及为使 AWS 允许或拒绝访问而必须满足的条件。AWS 支持多种条件以帮助您缩小访问权限范围。例如,通过使用 `PrincipalOrgID` [条件键](https://docs.aws.amazon.com//latest/UserGuide/reference_policies_condition-keys.html),如果请求者不属于 AWS Organization,则您可以拒绝操作。
您还可以控制 AWS 服务代表您发出的请求,例如要求 AWS CloudFormation 使用 `CalledVia` 条件键创建 AWS Lambda 函数。您应该对不同的策略类型进行分层,以建立深度防御并限制用户的总体权限。您还可以限制可以授予哪些权限以及在什么条件下授予权限。例如,您可以允许应用程序团队为他们构建的系统创建他们自己的 IAM 策略,但还必须应用[权限边界](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)来限制系统可以接收的最大权限。
**实施步骤**
+ **实施最低权限策略**:向 IAM 组和角色分配具有最低权限的访问策略,以反映所定义的用户角色或职能。
+ **将策略基于 API 使用情况**:确定所需权限的一种方法是查看 AWS CloudTrail 日志。这样就使您可以根据用户在 AWS 内实际执行的操作来创建权限。[IAM Access Analyzer 会自动基于](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)[活动](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)生成 IAM 策略。您可以在组织或账户级别使用 IAM Access Advisor 来[跟踪](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)[特定策略的上次访问信息](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)。
+ **考虑使用[针对工作职能的 AWS 托管策略](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html)。** 开始创建细粒度权限策略时,很难知道从哪里开始。AWS 拥有针对常见工作角色(例如计费、数据库管理员和数据科学家)的托管策略。这些策略可以帮助缩减用户具备的访问权限,同时确定如何实施最低权限策略。
+ **删除不必要的权限:**删除不需要的权限,并削减过于宽松的策略。[IAM Access Analyzer 策略生成](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-policy-generation.html)可帮助微调权限策略。
+ **确保用户对生产环境仅具有有限的访问权限:**用户应该只能访问具有有效使用案例的生产环境。在用户执行需要生产访问权限的特定任务后,应撤销访问权限。限制对生产环境的访问可帮助防止发生影响生产的意外事件,并缩小意外访问的影响范围。
+ **考虑使用权限边界:**权限边界是一项功能,它使用托管策略设置基于身份的策略可向 IAM 实体授予的最高权限。实体的权限边界仅允许实体执行其基于身份的策略及其权限边界都允许的操作。
+ **考虑权限的[资源标签](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html):**借助使用资源标签且基于属性的访问控制模型,您可以根据资源用途、所有者、环境或其他条件授予访问权限。例如,您可以使用资源标签来区分开发环境和生产环境。您可以使用这些标签将开发人员限制在开发环境中。通过将标记与权限策略结合在一起,您可以实现细粒度的资源访问,而无需为每个工作职能定义复杂的自定义策略。
+ **为 AWS Organizations 使用[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。** 服务控制策略集中控制组织中成员账户的最大可用权限。重要的是,您可以使用服务控制策略来限制成员账户中的根用户权限。还要考虑使用 AWS Control Tower,它提供可充实 AWS Organizations 的规范性托管控制。您还可以在 Control Tower 内定义自己的控制。
+ **为组织建立用户生命周期策略:**用户生命周期策略定义了当用户加入 AWS、更改工作角色或范围,或不再需要访问 AWS 时需要执行的任务。应在用户生命周期的每个步骤中执行权限审查,以确认权限受到适当限制并避免权限蔓延。
+ **确立定期的时间表来审查权限并删除任何不需要的权限:**您应定期审查用户访问权限,以确认用户不具有过于宽松的访问权限。在审核用户权限时 [AWS Config](https://aws.amazon.com/config/) 和 IAM Access Analyzer 可以提供帮助。
+ **确立工作角色矩阵:**工作角色矩阵形象地展示 AWS 业务覆盖范围内所需的各种角色和访问级别。使用工作角色矩阵,您可以根据用户在组织内的职责来定义和分离权限。使用组而不是将权限直接应用于单个用户或角色。** **
## 资源
**相关文档:**
+ [授予最低权限](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html?ref=wellarchitected#grant-least-privilege)
+ [IAM 实体的权限边界](https://docs.aws.amazon.com//latest/UserGuide/access_policies_boundaries.html)
+ [用于编写最低权限 IAM 策略的方法](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [通过基于访问活动生成 IAM 策略](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/),[IAM Access Analyzer 可让您更轻松实施最低权限](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [使用 IAM 权限边界将权限管理委派给开发人员](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)
+ [使用上次访问的信息来细化权限](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)
+ [IAM 策略类型及其使用时间](https://docs.aws.amazon.com//latest/UserGuide/access_policies.html)
+ [使用 IAM 策略模拟器测试 IAM 策略](https://docs.aws.amazon.com//latest/UserGuide/access_policies_testing-policies.html)
+ [AWS Control Tower 中的防护机制](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [零信任架构:AWS 视角](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [如何使用 CloudFormation StackSets 实施最低权限原则](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
+ [基于属性的访问控制(ABAC)](https://docs.aws.amazon.com//latest/UserGuide/introduction_attribute-based-access-control.html?ref=wellarchitected)
+ [通过查看用户活动缩小策略范围](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html?ref=wellarchitected)
+ [查看角色访问权限](https://docs.aws.amazon.com//latest/UserGuide/id_roles_manage_delete.html?ref=wellarchitected#roles-delete_prerequisites)
+ [使用标记来整理环境和促进责任的履行](https://docs.aws.amazon.com/aws-technical-content/latest/cost-optimization-laying-the-foundation/tagging.html?ref=wellarchitected)
+ [AWS 标记策略](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/?ref=wellarchitected)
+ [标记 AWS 资源](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-iam-identity-center/)
**相关视频:**
+ [新一代权限管理](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [零信任:AWS 视角](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [如何使用权限边界限制用户和角色以防止权限升级?](https://www.youtube.com/watch?v=omwq3r7poek)
**相关示例:**
+ [实验室:创建 IAM 权限边界委派角色](https://wellarchitectedlabs.com/Security/300__Permission_Boundaries_Delegating_Role_Creation/README.html)
+ [实验室:基于 IAM 标签的 EC2 访问控制](https://wellarchitectedlabs.com/Security/300__Tag_Based_Access_Control_for_EC2/README.html?ref=wellarchitected)
# SEC03-BP03 建立紧急访问流程
万一发生自动化流程或管道问题,此流程允许紧急访问您的工作负载。这将帮助您依赖最低权限访问,但确保用户可以在需要时获得相应的访问级别。例如,为管理员建立用来验证和批准其请求的流程,如用于提供访问权限的紧急 AWS 跨账户角色,或者管理员在验证和批准紧急请求时所遵循的特定流程。
**常见反模式:**
+ 未建立紧急流程,无法从现有身份配置中断状态中恢复。
+ 授予长期提升权限以进行问题排查或恢复。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
建立紧急访问会采用多种形式,您应为此做好准备。首先是主要身份提供者失败。在此情况下,您应依赖具有所需权限的另一种访问方法进行恢复。此方法可以是后备身份提供者或 IAM 用户。第二种方法应受到 [严格的控制和监控,](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 并在使用时发送通知。紧急访问身份应来自专用于此目的的账户,并且其权限只相当于专为恢复而设计的角色。
有些紧急访问需要临时提升管理访问权限,您还应为此做好准备。一个常见的场景是,将更改权限限制为用于部署更改的自动化流程。如果此流程出现问题,用户可能需要申请提升的权限,才能还原功能。在此情况下,请建立一个流程,使用户能够申请提升的访问权限,并使管理员能够验证和批准请求。还应在流程中提供实施计划,详细说明有关预置访问权限和设置*break-glass*紧急角色的最佳实践指南 [SEC10-BP05 预置访问权限](sec_incident_response_pre_provision_access.md)。
## 资源
**相关文档:**
+ [在 AWS 上监控和通知](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [管理临时提升的访问权限](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**相关视频:**
+ [在 60 分钟以内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 持续减少权限
当您的团队确定好所需的访问权限时,删除不需要的权限,并建立审核流程以实现最低权限。持续监控并删除供人类和机器访问的未使用的身份和权限。
**期望结果:**权限策略应遵循最低权限原则。随着工作职责和角色变得更加明确,需要审查您的权限策略以删除不必要的权限。如果无意中泄露或未经授权访问凭证,这种方法会缩小影响范围。
**常见反模式:**
+ 默认为向用户授予管理员权限。
+ 创建过于宽松但没有完全管理员权限的策略。
+ 保留不再需要的权限策略。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
当团队和项目刚刚起步时,可以使用宽松的权限策略来激发创新并提高敏捷性。例如,在开发或测试环境中,开发人员可以获得广泛的访问权限以使用各种 AWS 服务。我们建议您持续评估访问权限,并仅限于访问完成当前作业所必需的服务和服务操作。对于人类和机器身份,均建议进行此项评估。机器身份有时称为系统或服务账户,是让 AWS 访问应用程序或服务器的身份。这种访问权限在生产环境中尤其重要,因为在该环境中,过于宽松的权限会产生广泛的影响,并可能暴露客户数据。
AWS 提供多种方法来帮助识别未使用的用户、角色、权限和凭证。AWS 还可帮助分析 IAM 用户和角色(包括关联的访问密钥)的访问活动,以及对 AWS 资源(如 Amazon S3 存储桶中的对象)的访问。AWS Identity and Access Management Access Analyzer 策略生成可帮助您根据主体与之交互的实际服务和操作来创建限制性权限策略。[基于属性的访问控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)可帮助简化权限管理,因为您可以使用用户的属性为用户提供权限,而不是将权限策略直接附加到每个用户。
**实施步骤**
+ **使用 [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html):**IAM Access Analyzer 可帮助识别您组织和账户中[与外部实体共享](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)的资源,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 IAM 角色。
+ **使用 [IAM Access Analyzer 策略生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html):**IAM Access Analyzer 策略生成可帮助您[基于 IAM 用户或角色的访问活动创建精细的权限策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks)。
+ **为 IAM 用户和角色确定可接受的时间框架和使用策略:**使用[上次访问时间戳](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html)来[识别未使用的用户和角色](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)并将它们移除。查看关于服务和操作的上次访问情况的信息,并[确定特定用户和角色的权限范围](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。例如,您可以使用关于上次访问情况的信息,确定您的应用程序角色需要执行的特定 Amazon S3 操作,并只允许该角色访问这些操作。AWS 管理控制台 中提供了上次获取的信息,您也可以对这些功能进行编程,以便将它们整合到您的基础设施工作流程和自动化工具中。
+ **考虑[将数据事件录入 AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html):**默认情况下,CloudTrail 不会记录数据事件,例如 Amazon S3 对象级活动(如 `GetObject` 和 `DeleteObject`)或 Amazon DynamoDB 表活动(如 `PutItem` 和 `DeleteItem`)。考虑为这些事件启用日志记录,以确定哪些用户和角色需要访问特定的 Amazon S3 对象或 DynamoDB 表项目。
## 资源
**相关文档:**
+ [授予最低特权](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [什么是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [日志记录和监控 DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [为 Amazon S3 存储桶和对象启用 CloudTrail 事件日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [获取 AWS 账户 的凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**相关视频:**
+ [在 60 分钟以内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [AWS re:Inforce 2022 - AWS Identity and Access Management(IAM)深入探讨](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP05 为您的组织定义权限防护机制
建立通用控件以限制对组织中所有身份的访问。例如,您可以限制对特定 AWS 区域 的访问,或防止操作员删除通用资源,例如用于您的核心安全团队的 IAM 角色。
**常见反模式:**
+ 在组织管理员账户中运行工作负载。
+ 在同一账户中运行生产工作负载和非生产工作负载。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
当您在 AWS 中的工作负载增多并管理这些额外的工作负载时,您应使用账户分离这些工作负载,并使用 AWS Organizations 管理这些账户。我们建议您建立常用权限防护机制,以限制您所在组织中的所有身份的访问权限。例如,您可以限制对特定 AWS 区域 的访问,或防止您的团队删除常见资源,例如您的核心安全团队使用的 IAM 角色。
您可以首先实施示例服务控制策略,例如禁止用户禁用密钥服务。SCP 使用 IAM 策略语言,并允许您建立所有 IAM 主体(用户和角色)都要遵循的控制机制。您可以限制对特定服务操作和资源的访问,并根据特定的条件限制访问,以满足您所在组织的访问控制需求。如有必要,您可以为您的防护机制定义异常情况。例如,您可以为账户中除特定管理员角色以外的所有 IAM 实体限制服务操作。
我们建议您避免在管理账户中运行工作负载。应该使用管理账户来管理和部署将影响成员账户的安全防护机制。一些 AWS 服务支持使用委派管理员账户。在可能的情况下,您应使用此委派账户,而不是使用管理账户。您应严格限制对组织管理员账户的访问。
通过使用多账户策略,您可以更灵活地将防护机制应用于工作负载。AWS Security Reference Architecture 提供了有关如何设计账户结构的规范性指南。AWS Control Tower 等 AWS 服务提供了一些功能,可集中管理整个组织内的预防性和检测性控制机制。为组织中的每个账户或 OU 定义明确的用途,并根据该用途限制控制机制。
## 资源
**相关文档:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [服务控制策略(SCP,Service Control Policy)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [在多账户环境中充分利用服务控制策略](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture(AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**相关视频:**
+ [使用服务控制策略实施预防性防护机制](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [使用 AWS Control Tower 实施大规模管理](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management 深入探讨](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 基于生命周期管理访问权限
将访问控制措施与操作员和应用程序生命周期以及您的集中联合身份提供者集成。例如,在用户离开组织或角色发生变化时删除用户的访问权限。
当您使用不同的账户管理工作负载时,您有时需要在这些账户之间共享资源。我们建议您使用 [AWS Resource Access Manager (AWS RAM) 来共享资源](http://aws.amazon.com/ram/)。使用此服务,您可以轻松、安全地在您的 AWS Organizations 和组织部门内共享 AWS 资源。使用 AWS RAM,当账户移进和移出与之共享资源的组织或组织部门时,会自动授予或撤销对共享资源的访问权限。这样有助于您确保只与您的目标账户共享资源。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
用户访问生命周期:针对加入的人员、工作职能变更和离开的人员实施用户访问生命周期策略,以确保只有在职用户具有访问权限。
## 资源
**相关文档:**
+ [基于属性的访问控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [授予最小特权](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [删除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [策略的使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**相关视频:**
+ [在最多 60 分钟的时间内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 分析公共和跨账户访问
对于标识出存在公共访问和跨账户访问情况的调查结果,应持续监控。减少公共访问和跨账户访问,使访问仅能触达特定资源。
**期望结果:**了解您的 AWS 资源中哪些是共享的,以及与谁共享。持续监控和审计您的共享资源,以验证它们仅与授权的主体共享。
**常见反模式:**
+ 不保留共享资源的清单。
+ 跨账户访问或公开访问资源时,没有遵循流程。
**在未建立这种最佳实践的情况下暴露的风险等级:**低
## 实施指导
如果您的账户在 AWS Organizations 中,您可以向整个组织、特定组织单位或个人账户授予资源访问权限。如果您的账户不是某个组织的成员,您可以与个人账户共享资源。您可以使用基于资源的策略(例如 [Amazon Simple Storage Service(Amazon S3)存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html))授予直接跨账户访问权限,也可以允许另一账户中的主体代入您账户中的 IAM 角色来授予该权限。使用资源策略时,请验证访问权限是否仅授予给经过授权的主体。建立一个流程来审批所有需要可公开访问的资源。
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) 使用[可证明的安全性](https://aws.amazon.com/security/provable-security/)来标识从账户的外部访问某个资源时的所有访问路径。它持续审核资源策略,并报告公开访问和跨账户访问的调查结果,以使您能够轻松分析可能非常宽泛的访问权限。不妨考虑配置 IAM Access Analyzer 与 AWS Organizations,来验证您是否能够查看所有账户。IAM Access Analyzer 也使得您能够先[预览调查结果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html),然后再部署资源权限。这样,您便可以证实更改策略之后,只有您所希望的对象能够授权通过公共和跨账户访问方式触达您的资源。在设计多账户访问权限时,您可以使用[信任策略](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)来控制在何种情况下允许代入某个角色。例如,您可以使用 [`PrincipalOrgId` 条件键来拒绝从 AWS Organizations 之外代入角色的尝试](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)。
[AWS Config 可以报告](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html)资源配置错误的情况,并且通过 AWS Config 策略检查,可以检测有何资源配置了公共访问权限。[AWS Control Tower](https://aws.amazon.com/controltower/) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) 等服务简化了跨 AWS Organizations 部署检测性控制和防护机制的流程,可以识别并修复资源公开暴露的情况。例如,AWS Control Tower 具有托管防护机制,可以检测是否有任何 [Amazon EBS 快照可由 AWS 账户恢复](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)。
**实施步骤**
+ **考虑为 AWS Organizations 启用 [AWS Config](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html):**AWS Config 使得您能够将 AWS Organizations 内多个账户的调查结果聚合到一个委派的管理员账户。这将给您提供全局视角,进行[跨账户部署 AWS Config 规则 ,以检测可公开访问的资源](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)。
+ **配置 AWS Identity and Access Management Access Analyzer** IAM Access Analyzer 可帮助您识别组织和账户中[与外部实体共享](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)的资源,例如 Amazon S3 存储桶或 IAM 角色。
+ **在 AWS Config 中使用自动修复来响应 Amazon S3 存储桶公共访问配置的变更情况:**[您可以自动重新启用 Amazon S3 存储桶阻止公共访问的设置](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/)。
+ **实施监控和警报,以确定 Amazon S3 存储桶是否已变得能够公开访问:**您必须设置[监控和警报](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/),以确定何时禁用 Amazon S3 屏蔽公共访问权限,以及 Amazon S3 存储桶是否已变得能够公开访问。此外,如果您使用 AWS Organizations,则可以创建一个[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)来防止更改 Amazon S3 公共访问策略。AWS Trusted Advisor 检查是否存在具有开放访问权限的 Amazon S3 存储桶。如果向每个人授予“上传/删除”权限,那么任何人都可以向存储桶添加项目或者修改或删除存储桶中的项目,这样会产生潜在的安全问题。Trusted Advisor 可以检查存储桶明确拥有哪些权限,以及是否存在可能能够覆写这些权限的相关存储桶策略。您也可以使用 AWS Config 来监控 Amazon S3 存储桶是否具有公共访问权限。有关更多信息,请参阅[如何使用 AWS Config 监控Amazon S3 存储桶允许公共访问的情况](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/)并作出响应。检查访问权限时,重要的是要考虑 Amazon S3 存储桶中包含哪些类型的数据。[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) 有助发现和保护敏感数据,比如 PII、PHI 和凭证(如私有密钥或 AWS 密钥)。
## 资源
**相关文档:**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [AWS Control Tower 控制机制库](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+ [AWS 基础安全最佳实践标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor 检查参考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
+ [用 Amazon EventBridge 监控 AWS Trusted Advisor 检查结果](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html)
+ 对横跨组织内部所有账户的规则[进行管理 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)
+ [AWS Config 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
**相关视频:**
+ [保护多账户环境的最佳实践](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [深入探究 IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 在组织内安全地共享资源
随着工作负载数量的增长,您可能需要将这些工作负载中资源的访问权限进行共享,或者跨多个账户多次预置资源。您可能需要进行构造来划分环境,例如划分成开发、测试和生产环境。但是,采取相互分离的构造并不会限制您安全共享权限。通过共享重叠的组件,您可以降低运维开销,并提供一致的体验,而不必猜测在多次创建同一资源时可能遗漏了什么。
**期望结果:**通过使用安全的方法在组织内共享资源,尽可能地减少意外访问,并帮助实施数据丢失防护计划。与管理单个组件相比,降低了运维开销,减少了多次手动创建同一组件时引起的错误,并提高了工作负载的可扩展性。您可以在多点故障场景中缩短问题解决时间,并在确定何时不再需要某个组件时更有信心。有关分析外部共享资源的规范性指南,请参阅[SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)。
**常见反模式:**
+ 缺少对意外的外部共享进行持续监控和自动发出警报的流程。
+ 缺乏关于应分享什么和不应分享什么的基准。
+ 默认采用广泛的开放政策,而不是在需要时明确地分享。
+ 手动创建在需要时重叠的基础资源。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
设计您的访问控制和模式,以安全地管理共享资源的使用,并且仅与可信实体共享。监控共享资源,持续检查共享资源访问权限,并在不适当或意外共享时发出警报。查看[分析公共和跨账户访问](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)来帮助您设置监管机制,以减少外部访问,只对需要的资源进行访问,并建立一个持续监控和自动警报的流程。
[许多 AWS 服务](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)(如 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html)、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) 和 [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html))支持 AWS Organizations 内的跨账户共享。这些服务允许将数据共享到中心账户,可从中心账户访问,或从中心账户管理资源和数据。例如,AWS Security Hub CSPM 可将调查结果从个人账户转移到中心账户,在那里您可以查看所有调查结果。AWS Backup 可以对资源进行备份并在多个账户之间共享。您可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/)(AWS RAM)来分享其他共用资源,例如 [VPC 子网和 Transit Gateway 附件](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc)、[AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall) 或 [Amazon SageMaker AI 管道](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker)。
要限制您的账户仅在组织内共享资源,请使用[服务控制策略(SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html)阻止访问外部主体。共享资源时,请将基于身份的控制措施和网络控制措施相结合,[为您的组织创建数据边界](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html),以帮助防止意外访问。数据边界是一组预防性防护机制,用于帮助验证是否只有您的可信身份才能访问预期网络中的可信资源。这些控制措施会施加适当的限制,确定哪些资源可以共享,并防止共享或暴露不应被外泄的资源。例如,作为数据边界的一部分,您可以使用 VPC 端点策略和 `AWS:PrincipalOrgId` 条件来确保访问 Amazon S3 存储桶的身份属于您的组织。务必要注意,[SCP 并不适用于服务关联角色(LSR)或 AWS 服务主体](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)。
使用 Amazon S3 时,请[对您的 Amazon S3 存储桶禁用 ACL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html),并使用 IAM 策略来定义访问控制。要[限制从 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 访问 Amazon S3 源](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html),请从来源访问身份(OAI)转为采用来源访问控制(OAC),后者支持其他功能,包括使用 [AWS Key Management Service](https://aws.amazon.com/kms/) 进行服务器端加密。
在某些情况下,您可能希望允许在组织外部共享资源,或授予第三方访问您资源的权限。有关管理外部共享资源的权限的规范性指南,请参阅[权限管理](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html)。
**实施步骤**
1. **使用 AWS Organizations。**
AWS Organizations 是一项账户管理服务,可让您将多个 AWS 账户 整合到您创建并集中管理的组织中。您可以将账户分组为组织单位(OU),并将不同的策略附加到每个 OU,以帮助您满足预算、安全性和合规性需求。您还可以控制 AWS 人工智能(AI)和机器学习(ML)服务收集和存储数据的方式,并使用与 Organizations 集成的 AWS 服务的多账户管理。
1. **将 AWS Organizations 与 AWS 服务集成。**
当您启用 AWS 服务以在组织的成员账户中代表您执行任务时,AWS Organizations 会在每个成员账户中为该服务创建 IAM 服务关联角色。您应使用 AWS 管理控制台、AWS API 或 AWS CLI 管理可信访问。有关启用可信访问的规范性指南,请参阅[将 AWS Organizations 与其他 AWS 服务结合使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)和[可与 Organizations 一起使用的 AWS 服务](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)。
1. **建立数据边界。**
AWS 边界通常表示为由 AWS Organizations 管理的组织。与本地网络和系统一样,访问 AWS 资源被许多人视为 My AWS 的边界。建立边界的目标,是验证如果身份可信、资源可信并且网络符合预期,则允许访问。
1. 定义和实施边界。
对于每个授权条件,请遵循《在 AWS 上构建边界》白皮书的[边界实施](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html)中描述的步骤。有关保护网络层的规范性指南,请参阅[保护网络](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html)。
1. 持续监控并发出警报。
[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 可帮助识别您组织和账户中与外部实体共享的资源。您可以将 [IAM Access Analyzer 与 AWS Security Hub CSPM 集成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html),以将资源的调查结果从 IAM Access Analyzer 发送并聚合到 Security Hub CSPM,从而帮助分析环境的安全状况。要实现集成,请在每个账户的每个“区域”中同时启用 IAM Access Analyzer 和 Security Hub CSPM。您也可以使用 AWS Config 规则 来审计配置,并使用 [Amazon Q Developer in chat applications 和 AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/enabling-aws-security-hub-integration-with-aws-chatbot/) 向相关方发出警报。然后,您可以使用 [AWS Systems Manager Automation 文档](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)来修复不合规的资源。
1. 有关对外部共享资源进行持续监控并发出警报的规范性指南,请参阅[分析公共和跨账户访问](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)。
1. **在 AWS 服务中使用资源共享并进行相应限制。**
许多 AWS 服务允许您与另一账户共享资源,或以另一账户中的资源为目标,比如[亚马逊云机器镜像(AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html)和 [AWS Resource Access Manager(AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。限制 `ModifyImageAttribute` API 以指定可信账户,从而与之共享 AMI。当需要使用 AWS RAM 来将共享限制于您的组织内部时,请指定 `ram:RequestedAllowsExternalPrincipals` 条件,以帮助防止来自不可信身份的访问。有关规范性指南和注意事项,请参阅[资源共享和外部目标](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html)。
1. **使用 AWS RAM 在账户中或与其他 AWS 账户 安全共享。**
[AWS RAM](https://aws.amazon.com/ram/) 可帮助您与账户中的角色和用户以及与其他 AWS 账户安全地共享已创建的资源。在多账户环境中,AWS RAM 使您能够一次性创建资源并与其他账户共享。这种方法有助于降低运维开销,同时通过与 Amazon CloudWatch 和 AWS CloudTrail 的集成提供一致性、可见性和可审计性,使用跨账户访问时无法获得这些好处。
如果您拥有以前使用基于资源的策略共享的资源,则可以使用 [`PromoteResourceShareCreatedFromPolicy` API](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) 或等效 API 将资源共享升级为完全 AWS RAM 资源共享。
在某些情况下,您可能需要采取其他步骤来共享资源。例如,要共享加密快照,您需要[共享 AWS KMS 密钥](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-kms-key)。
## 资源
**相关最佳实践:**
+ [SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP09 与第三方安全地共享资源](sec_permissions_share_securely_third_party.md)
+ [SEC05-BP01 创建网络层](sec_network_protection_create_layers.md)
**相关文档:**
+ [存储桶拥有者向并非其拥有的对象授予跨账户权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [如何将信任策略与 IAM 结合使用](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [在 AWS 上构建数据边界](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [可与 AWS Organizations 一起使用的 AWS 服务](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)
+ [在 AWS 上建立数据边界:仅允许可信身份获取公司数据](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)
**相关视频:**
+ [使用 AWS Resource Access Manager 实现精细访问](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [使用 VPC 端点保护您的数据边界](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [在 AWS 上建立数据边界](https://www.youtube.com/watch?v=SMi5OBjp1fI)
**相关工具:**
+ [数据边界策略示例](https://github.com/aws-samples/data-perimeter-policy-examples)
# SEC03-BP09 与第三方安全地共享资源
确保云环境安全,不能仅仅局限于保护您的组织。您的组织有一部分数据可能要依赖第三方来管理。管理第三方托管系统的权限,应遵循及时访问的做法,使用最低权限原则和临时凭证。通过与第三方密切合作,您既可以缩小影响范围,又可以降低意外访问的风险。
**期望结果:**只要凭证有效且处于激活状态,任何人都可以使用与用户关联的长期 AWS Identity and Access Management(IAM)凭证、IAM 访问密钥和私有密钥。使用 IAM 角色和临时凭证可以减少维护长期凭证的工作量,包括这些敏感细节的管理和运维开销,从而帮助您改善总体安全状况。通过在 IAM 信任策略中对外部 ID 使用全局唯一标识符(UUID),并将附加到 IAM 角色的 IAM 策略置于您的控制之下,您可以审计授予第三方的访问权限,并验证该权限不会过于宽松。有关分析外部共享资源的规范性指南,请参阅[SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)。
**常见反模式:**
+ 采用默认的 IAM 信任策略,不附加任何条件。
+ 使用长期 IAM 凭证和访问密钥。
+ 重用外部 ID。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
您可能会希望允许在 AWS Organizations 外部共享资源,或授予第三方访问您账户的权限。例如,第三方提供的监控解决方案可能会需要访问您账户内部的资源。在这些情况下,请创建 IAM 跨账户角色,并仅向该角色提供第三方所需的权限。此外,使用[外部 ID 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)定义信任策略。使用外部 ID 时,您或第三方可以为每个客户、第三方或租赁生成唯一 ID。唯一 ID 创建后,不应由除您之外的任何人控制。第三方必须实施具体流程,以一种安全、可审计且可复制的方式将外部 ID 与客户关联起来。
您也可以使用 [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 来管理 AWS 之外使用 AWS API 的应用程序的 IAM 角色。
如果第三方不再需要访问您的环境,则删除该角色。应避免向第三方提供长期凭证。保持对其他支持共享的 AWS 服务的关注。例如,AWS Well-Architected Tool 允许与其他 AWS 账户[共享工作负载](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html),[AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可帮助您与其他账户安全共享您拥有的 AWS 资源。
**实施步骤**
1. **使用跨账户角色提供对外部账户的访问。**
[跨账户角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)可减少外部账户和第三方为服务客户而存储的敏感信息量。跨账户角色允许您将账户中 AWS 资源的访问权限安全地授予第三方(如 AWS Partner 或组织内的其他账户),同时保持管理和审计该访问权限的能力。
第三方可能从混合基础设施向您提供服务,或者将数据提取到一个异地位置。[IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 可帮助您使第三方工作负载能够安全地与 AWS 工作负载交互,并进一步减少对长期凭证的需求。
不应使用长期凭证或与用户关联的访问密钥来提供外部账户访问,而应使用跨账户角色来提供跨账户访问。
1. **对第三方使用外部 ID。**
使用[外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html),您就可以指定谁可以在 IAM 信任策略中代入角色。信任策略可能要求代入角色的用户声明他们所处的条件和追求的目标。它还为账户拥有者提供了一种方法,允许仅在特定情况下代入角色。外部 ID 的主要功能是解决和防止[混淆代理](https://docs.aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/)问题。
如果您是 AWS 账户 拥有者,并且您为第三方配置了一个角色(该角色可以访问您的和其他 AWS 账户),或者当您可以代表不同的客户代入角色时,请使用外部 ID。与第三方或 AWS Partner 合作,建立一个包括在 IAM 信任策略中的外部 ID 条件。
1. **使用全局唯一外部 ID。**
实施一个为外部 ID(例如全局唯一标识符(UUID))生成随机唯一值的流程。第三方在不同客户之间重用外部 ID 并不能解决混淆代理问题,因为客户 A 可以通过使用客户 B 的角色 ARN 以及重复的外部 ID 来查看客户 B 的数据。在多租户环境中,第三方支持多个具有不同 AWS 账户 的客户,此时第三方必须使用不同的唯一 ID 作为每个 AWS 账户 的外部 ID。第三方负责检测重复的外部 ID,并将每个客户安全地映射到各自的外部 ID。第三方应进行测试,以验证他们只能在指定外部 ID 时代入该角色。在需要外部 ID 之前,第三方应避免存储客户角色 ARN 和外部 ID。
外部 ID 不视为密钥,但外部 ID 不能是容易猜测的值,例如电话号码、姓名或账户 ID。将外部 ID 设置为只读字段,这样就无法为了冒充设置而更改外部 ID。
您或第三方可以生成外部 ID。定义一个流程,确定谁负责生成 ID。无论创建外部 ID 的实体是什么,第三方都必须确保客户之间的唯一性和格式一致。
1. **弃用客户提供的长期凭证。**
弃用长期凭证,使用跨账户角色或 IAM Roles Anywhere。如果必须使用长期凭证,请制定相应计划,逐渐转变成基于角色进行访问。有关管理密钥的详细信息,请参阅[身份管理](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)。同时与 AWS 账户 团队和第三方合作,建立风险缓解运行手册。有关应对和减轻安全事件潜在影响的规范性指南,请参阅[事件响应](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)。
1. **验证设置是否具有规范性指导,或是否实现了自动化。**
为您账户中的跨账户访问创建的策略必须遵循[最低权限原则](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。第三方必须为您提供使用 AWS CloudFormation 模板或等效模板的角色策略文档或自动化设置机制。这减少了手动创建策略时出错的机会,并提供了可审计的跟踪。有关使用 CloudFormation 模板创建跨账户角色的更多信息,请参阅[跨账户角色](https://aws.amazon.com/blogs/apn/tag/cross-account-roles/)。
第三方应提供一个自动化的、可审计的设置机制。但是,通过使用角色策略文档(此文档大致列出了所需的访问权限),角色设置的自动化应该由您来完成。使用 CloudFormation 模板或等效模板,您应将偏差检测纳入审计流程以监控变更。
1. **对变更做出解释。**
您的账户结构、您对第三方的需求或他们提供的服务可能会发生变更。您应预料到可能会发生变动和失败,并进行相应的规划:请安排合适的人员,建立适当的流程并采用正确的技术进行应对。应定期审计您提供的访问级别,并实施检测方法,以便在发生意外变更时向您发出警报。监控并审计角色的使用情况,以及外部 ID 的数据存储状态。若发生意外变更或存在不当访问模式,您应准备暂时或永久撤销第三方访问权限。此外,还要衡量撤销操作造成的影响,包括执行该操作所需的时间、涉及的人员、成本以及对其他资源的影响。
有关检测方法的规范性指南,请参阅[检测最佳实践](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)。
## 资源
**相关最佳实践:**
+ [SEC02-BP02 使用临时凭证](sec_identities_unique.md)
+ [SEC03-BP05 为您的组织定义权限防护机制](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 基于生命周期管理访问权限](sec_permissions_lifecycle.md)
+ [SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md)
+ [SEC04 检测](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**相关文档:**
+ [存储桶拥有者向并非其拥有的对象授予跨账户权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [如何将信任策略与 IAM 结合使用](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [使用 IAM 角色委派跨 AWS 账户 的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ [如何使用 IAM 访问其他 AWS 账户 中的资源?](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-iam/)
+ [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [跨账户策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)
+ [如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [使用自定义资源从外部账户中创建的 AWS CloudFormation 资源中收集信息](https://aws.amazon.com/blogs/apn/collecting-information-from-aws-cloudformation-resources-created-in-external-accounts-with-custom-resources/)
+ [安全地使用外部 ID 访问他人拥有的 AWS 账户](https://aws.amazon.com/blogs/apn/securely-using-external-id-for-accessing-aws-accounts-owned-by-others/)
+ [使用 IAM Roles Anywhere 将 IAM 角色扩展到 IAM 外部工作负载](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/)
**相关视频:**
+ [如何允许单独 AWS 账户 中的用户或角色访问我的 AWS 账户?](https://www.youtube.com/watch?v=20tr9gUY4i0)
+ [AWS re:Invent 2018:在 60 分钟以内成为 IAM 策略高手](https://www.youtube.com/watch?v=YQsK4MtsELU)
+ [AWS 知识中心实况:IAM 最佳实践和设计决策](https://www.youtube.com/watch?v=xzDFPIQy4Ks)
**相关示例:**
+ [Well-Architected 实验室 - Lambda 跨账户 IAM 角色代入(第 300 级)](https://www.wellarchitectedlabs.com/security/300_labs/300_lambda_cross_account_iam_role_assumption/)
+ [配置对 Amazon DynamoDB 的跨账户访问](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-cross-account-access-to-amazon-dynamodb.html)
+ [AWS STS 网络查询工具](https://github.com/aws-samples/aws-sts-network-query-tool)
# 检测
**Topics**
+ [SEC 4 您如何检测和调查安全事件?](sec-04.md)
# SEC 4 您如何检测和调查安全事件?
通过日志和指标来记录和分析事件,以便了解信息。针对安全事件和潜在的威胁采取措施,以便保护您的工作负载。
**Topics**
+ [SEC04-BP01 配置服务和应用程序日志记录](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 集中分析日志、结果和指标](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 自动响应事件](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 实施可操作的安全事件](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 配置服务和应用程序日志记录
保留服务和应用程序的安全事件日志。这是审计、调查和运营使用案例的基本安全原则,也是由监管、风险与合规性(GRC)标准、政策和程序驱动的共同安全要求。
**期望结果:**当需要履行内部流程或义务(如安全事件响应)时,组织应能够及时、可靠且一致地从 AWS 服务和应用程序中检索安全事件日志。考虑将日志集中起来,以取得更好的运营成果。
**常见反模式:**
+ 日志被永久存储或过早删除。
+ 每个人都可以访问日志。
+ 完全依赖手动流程进行日志治理和使用。
+ 存储每一种类型的日志,以备不时之需。
+ 仅在必要时检查日志完整性。
**建立此最佳实践的好处:**为安全事件实施根本原因分析(RCA)机制,并为您的监管、风险与合规性义务提供证据来源。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
在安全调查或基于要求的其他使用案例期间,您需要能够查看相关日志,以记录并了解事件的来龙去脉和时间线。警报生成也需要日志,以指示发生了某些感兴趣的操作。选择、启用、存储和设置查询、检索机制以及警报至关重要。
**实施步骤**
+ **选择并启用日志源。** 进行安全调查之前,您需要捕获相关日志,以便以回溯方式重建 AWS 账户 中的活动。选择并启用与工作负载相关的日志源。
日志源的选择标准应基于业务所需的使用案例。使用 AWS CloudTrail 或 AWS Organizations 跟踪为每个 AWS 账户 建立跟踪,并为其配置 Amazon S3 存储桶。
AWS CloudTrail 是一项日志记录服务,可跟踪针对 AWS 账户 捕获 AWS 服务活动所进行的 API 调用。它默认情况下启用,管理事件保留 90 天,可以使用 AWS 管理控制台、AWS CLI 或 AWS SDK [通过 CloudTrail 事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)检索这些事件。为了更长久地保留和了解数据事件,请[创建 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)并将其与 Amazon S3 存储桶关联,也可以选择与 Amazon CloudWatch 日志组关联。或者,您可以创建 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html),这可保留 CloudTrail 日志长达七年之久,并提供基于 SQL 的查询工具
AWS 建议使用 VPC 的客户分别使用 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和 [Amazon Route 53 解析器查询日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)启用网络流量和 DNS 日志,并将其流式传输到 Amazon S3 存储桶或 CloudWatch 日志组。您可以为 VPC、子网或网络接口创建 VPC 流日志。对于 VPC 流日志,您可以选择使用流日志的方式和位置,以降低成本。
AWS CloudTrail 日志、VPC 流日志和 Route 53 解析器查询日志是支持 AWS 中安全调查的基本日志记录源。您还可以使用[亚马逊安全数据湖](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)以 Apache Parquet 格式和开放网络安全架构框架(OCSF)收集、标准化和存储这些日志数据,以便于查询。安全数据湖还支持其他 AWS 日志和来自第三方的日志。
AWS 服务可以生成基本日志源未捕获到的日志,如 Elastic Load Balancing 日志、AWS WAF 日志、AWS Config 记录器日志、Amazon GuardDuty 调查结果、Amazon Elastic Kubernetes Service(Amazon EKS)审计日志,以及 Amazon EC2 实例操作系统和应用程序日志。有关日志记录和监控选项的完整列表,请参阅 [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html)的[附录 A:云功能定义 – 日志记录和事件](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html)。
+ **研究每项 AWS 服务和应用程序的日志记录功能:**每项 AWS 服务和应用程序都为您提供了日志存储选项,每个选项都有自己的保留和生命周期功能。两种很常见的日志存储服务是 Amazon Simple Storage Service(Amazon S3)和 Amazon CloudWatch。如果保留期较长,建议使用 Amazon S3,因为它具有成本效益和灵活的生命周期功能。如果主要日志记录选项是 Amazon CloudWatch Logs,作为一种选择,您应该考虑将不太经常访问的日志存档到 Amazon S3。
+ **选择日志存储:**日志存储的选择通常与您使用的查询工具、保留能力、熟悉程度和成本有关。日志存储的主要选项是 Amazon S3 存储桶或 CloudWatch 日志组。
Amazon S3 存储桶提供持久且经济高效的存储,并具有可选的生命周期策略。可以使用 Amazon Athena 等服务查询存储在 Amazon S3 存储桶中的日志。
CloudWatch 日志组通过 CloudWatch Logs Insights 提供持久存储和内置查询工具。
+ **确定适当的日志保留时长:**使用 Amazon S3 存储桶或 CloudWatch 日志组存储日志时,必须为每个日志源建立足够的生命周期,以优化存储和检索成本。客户通常可以查询三个月到一年的日志,日志保留期长达七年。可用性和保留时长的选择应与您的安全要求以及法律法规和业务授权的综合因素相一致。
+ **使用适当的保留时长和生命周期策略为每个 AWS 服务和应用程序启用日志记录:**对于组织内的每个 AWS 服务或应用程序,请查找特定的日志记录配置指南:
+ [配置 AWS CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [配置 VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [配置 Amazon GuardDuty 调查结果导出](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
+ [配置 AWS Config 记录](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
+ [配置 AWS WAF Web ACL 流量](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [配置 AWS Network Firewall 网络流量日志](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
+ [配置 Elastic Load Balancing 访问日志](https://docs.aws.amazon.com/)
+ [配置 Amazon Route 53 解析器查询日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
+ [配置 Amazon RDS 日志](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
+ [配置 Amazon EKS 控制面板日志](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
+ [为 Amazon EC2 实例和本地服务器配置 Amazon CloudWatch 代理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ **选择和实施日志查询机制:**对于日志查询,可以使用 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 对存储在 CloudWatch 日志组中的数据进行查询,使用 [Amazon Athena](https://aws.amazon.com/athena/) 和 [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) 对存储在 Amazon S3 中的数据进行查询。您还可以使用第三方查询工具,如安全信息和事件管理(SIEM)服务。
选择日志查询工具的过程中,应考虑安全运营的人员、流程和技术方面。选择一款能够满足运营、业务和安全要求并可长期使用和维护的工具。请记住,当要扫描的日志数量保持在工具的限制范围内时,日志查询工具的工作状态最佳。由于成本或技术限制,拥有多款查询工具的情况并不罕见。
例如,您可能使用第三方安全信息和事件管理(SIEM)工具对过去 90 天的数据执行查询,但由于 SIEM 的日志提取成本较高,使用 Athena 来执行 90 天以上的查询。无论采用何种实施方式,都要验证您的方法能够尽可能地减少充分提高运营效率所需的工具数量,尤其在安全事件调查期间。
+ **使用日志发出警报:**AWS 通过多项安全服务提供警报功能:
+ [AWS Config](https://aws.amazon.com/config/) 监控和记录您的 AWS 资源配置,并允许您对照所需的配置自动执行评估和修复。
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为,以保护您的 AWS 账户 和工作负载。GuardDuty 可从 AWS CloudTrail 管理和数据事件、DNS 日志、VPC 流日志和 Amazon EKS 审计日志等来源提取、聚合和分析信息。GuardDuty 可直接从 CloudTrail、VPC 流日志、DNS 查询日志和 Amazon EKS 提取独立的数据流。您无需管理 Amazon S3 存储桶策略,也无需修改日志的收集和存储方式。仍建议保留这些日志,以便您自己进行调查和遵守法规。
+ [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 集中聚合、组织和优先处理来自多个 AWS 服务和可选第三方产品的安全警报或调查结果,以使您全面了解安全警报和合规性状态。
您也可以使用自定义警报生成引擎来处理这些服务未涵盖的安全警报或与您的环境相关的特定警报。有关构建这些警报和检测的信息,请参阅 [AWS 安全事件响应指南中的“检测”](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html)。
## 资源
**相关最佳实践:**
+ [SEC04-BP02 集中分析日志、结果和指标](sec_detect_investigate_events_analyze_all.md)
+ [SEC07-BP04 定义数据生命周期管理](sec_data_classification_lifecycle_management.md)
+ [SEC10-BP06 预先部署工具](sec_incident_response_pre_deploy_tools.md)
**相关文档:**
+ [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [亚马逊安全数据湖入门](https://aws.amazon.com/security-lake/getting-started/)
+ [入门:Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [AWS re:Invent 2022 - 介绍亚马逊安全数据湖](https://www.youtube.com/watch?v=V7XwbPPjXSY)
**相关示例:**
+ [专为 AWS 提供的 Assisted Log Enabler](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [AWS Security Hub CSPM 调查结果历史导出](https://github.com/aws-samples/aws-security-hub-findings-historical-export)
**相关工具:**
+ [Snowflake 增强网络安全](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)
# SEC04-BP02 集中分析日志、结果和指标
安全运营团队依靠收集日志和使用搜索工具来发现需要关注的潜在事件,这些事件可能代表未经授权的活动或无意的更改。但是,仅仅分析收集的数据和手动处理信息不足以应对从复杂架构流出的大量信息。单凭分析和报告无法及时分配合适的资源来处理事件。
建立成熟的安全运维团队的最佳实践是,将安全事件和调查结果的流程深度集成到通知和工作流系统中,例如票证系统、错误或问题系统或者其他安全信息和事件管理(SIEM,Security Information and Event Management)系统。这样,工作流可以摆脱电子邮件和静态报告,让您能够路由、上报和管理事件或调查结果。许多组织也在逐步将安全警报集成到他们的聊天或协作以及开发人员工作效率平台中。对于正在踏上自动化之旅的组织,在规划首要自动化任务时,一个由 API 驱动的低延迟票证系统能够提供极高的灵活性。
这种最佳实践不仅适用于从描述用户活动或网络事件的日志消息生成的安全事件,还适用于在基础设施本身检测到的更改生成的安全事件。当面对一些更改,而且这些更改的不受欢迎程度足够微妙,以致于目前无法使用 AWS Identity and Access Management(IAM)和 AWS Organizations 配置的组合来防止这些更改发生时,为了保持和验证安全架构,必须能够检测更改、确定更改是否适当,然后将这些信息路由到正确的修复工作流程。
Amazon GuardDuty 和 AWS Security Hub CSPM 为日志记录提供了聚合、重复数据删除和分析机制,您也可以通过其他 AWS 服务提供这些机制。GuardDuty 可从 AWS CloudTrail 管理和数据事件、VPC DNS 日志以及 VPC 流日志等来源提取、聚合和分析信息。Security Hub CSPM 能够提取、聚合和分析来自 GuardDuty、AWS Config、Amazon Inspector、Amazon Macie、AWS Firewall Manager 以及 AWS Marketplace 中提供的大量第三方安全产品的输出,如果您相应构建了自己的代码,还将包括这些代码。GuardDuty 和 Security Hub CSPM 都有一个管理员-成员模型,此模型可以跨多个账户聚合调查结果和见解,拥有本地 SIEM 的客户通常将 Security Hub CSPM 用作 AWS 端日志和警报预处理器和聚合器,随后即可通过基于 AWS Lambda 的处理器和转发服务器提取 Amazon EventBridge。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 评估日志处理功能:评估用于处理日志的选项
+ [使用 Amazon OpenSearch Service 来记录和监控(几乎)所有内容 ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [寻找专门提供日志记录和监控解决方案的合作伙伴 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ 作为分析 CloudTrail 日志的开始,请测试 Amazon Athena。
+ [ 配置 Athena 分析 CloudTrail 日志 ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ 在 AWS 中实施集中式日志记录:请参阅以下 AWS 示例解决方案来集中处理多个来源的日志记录。
+ [集中日志记录解决方案 ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ 通过合作伙伴集中处理日志记录:APN 合作伙伴拥有可以帮助您集中分析日志的解决方案。
+ [ 日志记录和监控 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## 资源
**相关文档:**
+ [AWS Answers:集中式日志记录 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 自动响应事件
使用自动化流程调查和修复事件可减少人工处理工作量和人为错误,从而扩展调查功能。定期审核将帮助您优化自动化工具,并实现持续迭代。
在 AWS 中,可以使用 Amazon EventBridge,调查感兴趣的事件以及自动化工作流程可能发生的意外变化的相关信息。此服务提供可扩展的规则引擎,可代理原生 AWS 事件格式(例如 AWS CloudTrail 事件)以及您可以从应用程序中生成的自定义事件。Amazon GuardDuty 还允许您将这些事件路由到构建意外事件响应系统(AWS Step Functions)的工作流程系统中,或者路由到中央安全账户或存储桶中以执行进一步分析。
检测更改并将此信息路由到正确的工作流的操作也可以使用 AWS Config 规则 和 [合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)完成。AWS Config 会检测对范围内服务的更改(虽然延迟会比 EventBridge 更高),并生成可使用 AWS Config 规则 进行解析的事件,以便进行回滚、强制实施合规性策略以及将信息转发到相关系统(如变更管理平台和运营票证系统)。除了编写您自己的 Lambda 函数以响应 AWS Config 事件,您还可以充分利用 [AWS Config 规则 开发工具包](https://github.com/awslabs/aws-config-rdk)以及 [一组开源](https://github.com/awslabs/aws-config-rules) AWS Config 规则。合规包是 AWS Config 规则 和修复操作的集合,您可将其作为以 YAML 模板格式创作的单个实体进行部署。一个 [示例合规包模板,](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) 面向 Well-Architected 安全性支柱提供。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 使用 GuardDuty 实施自动化警报:GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。启用 GuardDuty 并配置自动化警报。
+ 自动执行调查流程:制定自动化流程来调查事件并向管理员报告信息,以便节省时间。
+ [ 实验室:Amazon GuardDuty 动手实践 ](https://hands-on-guardduty.awssecworkshops.com/)
## 资源
**相关文档:**
+ [AWS Answers:集中式日志记录 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ 设置 Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相关示例:**
+ [实验室:自动部署检测性控制 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 实施可操作的安全事件
创建发送给团队并将由团队处理的警报。确保警报包含团队采取措施所需的相关信息。对于您的每个检测性机制,您还应调查一个以 [运行手册](https://wa.aws.amazon.com/wat.concept.runbook.en.html) 或者 [行动手册](https://wa.aws.amazon.com/wat.concept.playbook.en.html)形式存在的流程。例如,当您启用 [Amazon GuardDuty](http://aws.amazon.com/guardduty)时,它会生成不同的 [调查结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html)。您的每个调查结果类型都应具有一个运行手册条目,例如,如果发现了 [特洛伊木马程序,](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) 您的运行手册的简单说明可以指示某个人员进行调查和修复。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 发现可用于 AWS 服务的指标:发现可通过 Amazon CloudWatch 用于您正在使用的服务的指标。
+ [AWS 服务文档](https://aws.amazon.com/documentation/)
+ [使用 Amazon CloudWatch 指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ 配置 Amazon CloudWatch 告警。
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 资源
**相关文档:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# 基础设施保护
**Topics**
+ [SEC 5 如何保护您的网络资源?](sec-05.md)
+ [SEC 6 如何保护计算资源?](sec-06.md)
# SEC 5 如何保护您的网络资源?
任何以某种形式连接至网络(互联网或私有网络)的工作负载都需要多层防御,以帮助防御基于外部和内部网络的威胁。
**Topics**
+ [SEC05-BP01 创建网络层](sec_network_protection_create_layers.md)
+ [SEC05-BP02 控制所有层的流量](sec_network_protection_layered.md)
+ [SEC05-BP03 自动执行网络防护](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 实施检查和保护](sec_network_protection_inspection.md)
# SEC05-BP01 创建网络层
将具有共同敏感度要求的组件分成若干层,以尽量缩小未经授权访问的潜在影响范围。例如,应将虚拟私有云(VPC)中无需进行互联网访问的数据库集群,放在无法向/从互联网路由的子网中。流量应仅从相邻的下一个最不敏感的资源流出。应考虑设置一个位于负载均衡器后面的 Web 应用程序。不应直接从负载均衡器访问数据库。只有业务逻辑或 Web 服务器才能直接访问数据库。
**期望结果:**创建分层网络。分层网络有助于对类似的网络组件进行逻辑分组。它们还缩小了未经授权网络访问的潜在影响范围。适当分层的网络使未经授权的用户更难转向 AWS 环境中的其他资源。除了保护内部网络路径之外,还应保护网络边缘,如 Web 应用程序和 API 端点。
**常见反模式:**
+ 在单个 VPC 或子网中创建所有资源。
+ 使用过于宽松的安全组。
+ 未能使用子网。
+ 允许直接访问数据库等数据存储。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
具有相同可访问性要求的组件(例如 Amazon Elastic Compute Cloud(Amazon EC2)实例、Amazon Relational Database Service(Amazon RDS)数据库集群和 AWS Lambda 函数)可细分为由子网构成的层。不妨考虑在 VPC 内或 [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) 后部署无服务器工作负载,如 [Lambda](https://docs.aws.amazon.com/lambda/index.html) 函数。应将无需进行互联网访问的 [AWS Fargate](https://aws.amazon.com/fargate/getting-started/) 任务放在无法向/从互联网路由的子网中。此分层方法可减轻单层错误配置的影响,这种错误可能导致能够发生意外访问。对于 AWS Lambda,您可以在 VPC 中运行您的函数,以充分利用基于 VPC 的控制。
对于可能包括数千个 VPC、AWS 账户 和本地网络的网络连接,您应使用 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。Transit Gateway 充当一个枢纽,以控制如何在类似于辐条的所有互联网络之间路由流量。Amazon Virtual Private Cloud(Amazon VPC)和 Transit Gateway 之间的流量仍在 AWS 专用网络上,这减少了对未经授权用户的外部暴露和潜在的安全问题。Transit Gateway 区域间对等也会对区域间流量加密,而且不会出现任何单点故障或带宽瓶颈。
**实施步骤**
+ **根据配置,使用 [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html) 分析源和目标之间的路径:**Reachability Analyzer 使得您能够自动验证与 VPC 所连资源的连接性。请注意,此分析是通过检查配置完成的(在进行分析时不发送网络数据包)。
+ **使用 [Amazon VPC 网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html)识别资源意外受到网络访问的情况:**Amazon VPC 网络访问分析器使您能够指定网络访问要求,并识别潜在的网络访问路径。
+ **考虑资源是否需要在公有子网中:**不要将资源放在您的 VPC 的公有子网中,除非它们绝对必须要接收来自公共来源的入站网络流量。
+ **在 [VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html):**为每个网络层创建子网(在包含多个可用区的组中),以增强微分段。还要验证您已将正确的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)与子网关联,以控制路由和互联网连接。
+ **使用 [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html) 管理 VPC 安全组:**AWS Firewall Manager 有助于减轻使用多个安全组的管理负担。
+ **使用 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) 防范常见的 Web 漏洞:**AWS WAF 可通过检查流量中是否存在常见的 Web 漏洞(如 SQL 注入)来帮助增强边缘安全性。它还使您能够限制来自特定国家/地区或地理位置的 IP 地址的流量。
+ **使用 [Amazon CloudFront](https://docs.aws.amazon.com/cloudfront/index.html) 作为内容分发网络(CDN):**Amazon CloudFront 可通过将数据存储在更靠近用户的位置来帮助加快 Web 应用程序的速度。它还可以实施 HTTPS,限制对地理区域的访问,并确保网络流量只能在通过 CloudFront 路由时访问资源,从而提高边缘安全性。
+ **创建应用程序编程接口(API)时使用 [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html):**Amazon API Gateway 可帮助发布、监控和保护 REST、HTTPS 和 WebSocket API。
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)
+ [Amazon VPC 网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/getting-started.html#run-analysis)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护](https://youtu.be/0xlwLEccRe0)
+ [AWS re:Inforce 2022 - 验证 AWS 上的网络访问控制措施的有效性](https://www.youtube.com/watch?v=aN2P2zeQek0)
+ [AWS re:Inforce 2022 - 使用 AWS WAF 针对机器人进行高级防护](https://www.youtube.com/watch?v=pZ2eftlwZns)
**相关示例:**
+ [Well-Architected 实验室 - 自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [研讨会:Amazon VPC 网络访问分析器](https://catalog.us-east-1.prod.workshops.aws/workshops/cf2ecaa4-e4be-4f40-b93f-e9fe3b1c1f64)
# SEC05-BP02 控制所有层的流量
当构建您的网络拓扑时,您应检查每个组件的连接要求。例如,某个组件是否需要互联网可访问性(入站和出站)、连接到 VPC 的能力、边缘服务和外部数据中心。
使用 VPC,您可以使用您设置的私有 IPv4 地址范围或者 AWS 选择的 IPv6 地址范围来定义跨 AWS 区域的网络拓扑。对于入站和出站流量,您应采用深度防御方法应用多种控制,包括使用安全组(状态检测防火墙)、网络 ACL、子网和路由表。在 VPC 中,您可以在可用区中创建子网。每个子网都可以拥有一个关联的路由表,此表定义了用于管理流量在子网内所采用路径的路由规则。您可以将要连接到互联网或 NAT 网关的路由连接到 VPC 或使其经过另一个 VPC,以定义互联网可路由子网。
当在 VPC 内启动某个实例、Amazon Relational Database Service(Amazon RDS)数据库或其他服务时,它的每个网络接口都有自己的安全组。此防火墙位于操作系统层之外,可用于定义允许入站和出站流量的规则。您还可以定义安全组之间的关系。例如,通过参考对相关的实例应用的安全组,数据库层安全组中的实例仅接受来自应用程序层内实例的流量。除非您在使用非 TCP 协议,否则不必在以下情况下允许互联网直接访问 Amazon Elastic Compute Cloud(Amazon EC2)实例(甚至使用安全组禁止使用的端口):没有负载均衡器或 [CloudFront](https://aws.amazon.com/cloudfront)。这样有助于防止通过操作系统或应用程序问题进行意外访问。您还可以为子网附加网络 ACL,它将用作无状态防火墙。您应配置网络 ACL 以缩小各层之间允许的流量范围,但请注意,您需要定义入站和出站规则。
一些 AWS 服务要求组件访问互联网进行 API 调用,其目标是 [AWS API 端点](https://docs.aws.amazon.com/general/latest/gr/rande.html) 所在的位置。另外一些 AWS 服务使用 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) ,这些端点位于您的 Amazon VPC 中。很多 AWS 服务(包括 Amazon S3 和 Amazon DynamoDB)都支持 VPC 端点,并且已在 [AWS PrivateLink](https://aws.amazon.com/privatelink/)中广泛使用此技术。我们建议您使用此方法来访问 AWS 服务、第三方服务以及安全地托管在其他 VPC 中您自己的服务。AWS PrivateLink 上的所有网络流量保持在 AWS 骨干网中,永远不会通过互联网。连接只能由服务的使用方启动,不能由服务的提供方启动。为外部服务访问使用 AWS PrivateLink 让您可以创建没有互联网访问的气隙 VPC,帮助您保护 VPC 免受外部威胁因素的影响。第三方服务可以使用 AWS PrivateLink 允许其客户通过私有 IP 地址,从其 VPC 连接到服务。对于需要出站连接到互联网的 VPC 资产,可以让它们通过 AWS 托管的 NAT 网关、仅出站的互联网网关或者您创建并管理的 Web 代理进行仅出站(单向)连接。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 控制 VPC 中的网络流量:实施 VPC 最佳实践来控制流量。
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Amazon VPC 安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ 控制边缘站点的流量:实施边缘服务(例如 Amazon CloudFront),以提供一层额外的保护和其他功能。
+ [Amazon CloudFront 使用案例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall(AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC 传入路由](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ 控制私有网络流量:实施保护工作负载专有流量的服务。
+ [Amazon VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC 端点服务(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 接入点](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护 ](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 自动执行网络防护
自动运行保护机制,以提供基于威胁情报和异常检测的自我防御网络。例如可应对最新的威胁并减轻它们的影响的那些入侵检测和预防工具。您可以通过实施 Web 应用程序防火墙来实现自动化的网络保护,例如使用 AWS WAF Security Automations 解决方案([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations))来自动拦截来自已知威胁媒介相关 IP 地址的请求。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 自动执行基于 Web 流量的保护:AWS 提供了使用 AWS CloudFormation 自动部署一组 AWS WAF 规则的解决方案,旨在筛选常见的基于 Web 的攻击。用户可以从预配置的保护功能中进行选择,这些功能定义 AWS WAF Web 访问控制列表(Web ACL)中包含的规则。
+ [AWS WAF 安全自动化](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ 考虑使用 AWS Partner 解决方案:AWS 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云和本地部署环境中部署全面的安全架构,进而实现更无缝的体验。
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护 ](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 实施检查和保护
检查和筛选每层的流量。您可以使用 [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)检测 VPC 配置中可能存在的意外访问。您可以指定网络访问需求,然后确定不能满足这些要求的潜在网络路径。对于通过基于 HTTP 的协议处理的组件,Web 应用程序防火墙可帮助防止常见的攻击。 [AWS WAF](https://aws.amazon.com/waf) 是一个 Web 应用程序防火墙,可监控和拦截与转发到 Amazon API Gateway API、Amazon CloudFront 或 Application Load Balancer 的可配置规则匹配的 HTTP(s) 请求。要开始使用 AWS WAF,您可以将 [AWS 托管式规则](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) 与您自己的规则结合使用,也可以使用现有的 [合作伙伴集成](https://aws.amazon.com/waf/partners/)。
要管理 AWS WAF、AWS Shield Advanced 保护以及跨 AWS Organizations 的 Amazon VPC 安全组,您可以使用 AWS Firewall Manager。它允许您跨账户和应用程序集中配置和管理防火墙规则,从而更轻松地扩展常见规则的实施。通过使用 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)或 [能够自动拦截向](https://aws.amazon.com/solutions/aws-waf-security-automations/) 您的 Web 应用程序发送非必要请求的解决方案,它还使您能够快速响应攻击。Firewall Manager 也可以与 [AWS Network Firewall](https://aws.amazon.com/network-firewall/)结合使用。AWS Network Firewall 是一种托管服务,使用规则引擎为您提供对有状态和无状态网络流量的精细控制。它支持 [与 Suricata 兼容的](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) 开源入侵防御系统(IPS,Intrusion Prevention System)规范,以便使用规则来保护您的工作负载。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 配置 Amazon GuardDuty:GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户 和工作负载。启用 GuardDuty 并配置自动化警报。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [实验室:自动部署检测性控制](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ 配置虚拟私有云(VPC)流日志:VPC 流日志功能使您能够进一步捕获有关传入和传出 VPC 中网络接口的 IP 流量信息。流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon Simple Storage Service(Amazon S3)。创建流日志后,您可以在选定目标中检索和查看其数据。
+ 考虑使用 VPC 流量径向:流量镜像是一项 Amazon VPC 功能,您可以用它从 Amazon Elastic Compute Cloud(Amazon EC2)实例的弹性网络接口复制网络流量,然后将其发送到带外安全和监控设备,以进行内容检查、威胁监控和故障排除。
+ [VPC 流量镜像](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## 资源
**相关文档:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 安全性](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [开始使用 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**相关视频:**
+ [用于各种 VPC 的 AWS Transit Gateway 参考架构](https://youtu.be/9Nikqn_02Oc)
+ [使用 Amazon CloudFront、AWS WAF 和 AWS Shield 提供应用程序加速和保护](https://youtu.be/0xlwLEccRe0)
**相关示例:**
+ [实验室:自动部署 VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 如何保护计算资源?
工作负载内的计算资源需要采用多层防御,才有助于免受内部和外部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。
**Topics**
+ [SEC06-BP01 执行漏洞管理](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 缩小攻击面](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 实施托管服务](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 自动保护计算](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 帮助人员远程执行操作](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 验证软件完整性](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 执行漏洞管理
频繁扫描和修补您的代码、依赖项和基础设施中的漏洞,以帮助防御新的威胁。
**期望结果:**制定并维护漏洞管理计划。定期扫描和修补资源,例如 Amazon EC2 实例、Amazon Elastic Container Service(Amazon ECS)容器和 Amazon Elastic Kubernetes Service(Amazon EKS)工作负载。为 AWS 托管的资源(如 Amazon Relational Database Service(Amazon RDS)数据库)配置维护时段。使用静态代码扫描检查应用程序源代码的常见问题。如果贵组织具备必要的技能或可以聘请外部人员协助,则不妨考虑执行 Web 应用程序渗透测试。
**常见反模式:**
+ 未制定漏洞管理计划。
+ 在不考虑严重性或风险规避的情况下执行系统修补。
+ 使用已超过供应商提供的生命周期结束(EOL)日期的软件。
+ 在分析安全问题之前,将代码部署到生产环境中。
**建立此最佳实践的好处:**
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
漏洞管理计划包括安全评估、识别问题、确定优先级,以及执行修补操作(问题解决流程的一部分)。自动化是持续扫描工作负载(以查找问题和意外网络暴露)并执行补救措施的关键。自动创建和更新资源可以节省时间,并降低配置错误产生进一步问题的风险。完善的漏洞管理计划还应考虑在软件生命周期的开发和部署阶段进行漏洞测试。在开发和部署期间实施漏洞管理有助于减少漏洞进入生产环境的机会。
实施漏洞管理计划需要很好地理解 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/),以及它与特定工作负载的关系。在责任共担模式下,AWS 负责保护 AWS 云 的基础设施。此基础设施由运行 AWS 云 服务的硬件、软件、网络和设施组成。您负责云中的安全(例如,Amazon EC2 实例的实际数据、安全配置和管理任务),并验证 Amazon S3 对象已正确分类和配置。漏洞管理方法也可能因您使用的服务而异。例如,AWS 管理我们的托管关系数据库服务 Amazon RDS 的修补,但您将负责修补自托管数据库。
AWS 提供一系列服务来帮助您制定漏洞管理计划。[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 持续扫描 AWS 工作负载是否存在软件问题和意外网络访问。[AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)可帮助跨 Amazon EC2 实例管理修补。[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 是一项云安全状况管理服务,有助于自动执行 AWS 安全检查并将安全警报集中起来,您可以通过该服务查看 Amazon Inspector 和 Systems Manager。
[Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 可以使用静态代码分析,帮助识别 Java 和 Python 应用程序中的潜在问题。
**实施步骤**
+ **配置 [Amazon Inspector](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html):**Amazon Inspector 会自动检测新发布的 Amazon EC2 实例、Lambda 函数和推送给 Amazon ECR 的符合条件的容器映像,并立即扫描它们以查找软件问题、潜在缺陷和意外网络暴露。
+ **扫描源代码:**扫描库和依赖项,以确定是否有问题和缺陷。[Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 会进行扫描,并提供建议以修复 Java 和 Python 应用程序的[常见安全问题](https://docs.aws.amazon.com/codeguru/detector-library/index.html)。[OWASP Foundation](https://owasp.org/www-community/Source_Code_Analysis_Tools) 发布了一系列源代码分析工具(也称为 SAST 工具)。
+ **实施一种机制来扫描和修补现有环境,以及作为 CI/CD 管道构建流程的一部分进行扫描:**实施一种机制来扫描和修补依赖项和操作系统中的问题,以帮助防范新的威胁。定期运行这种机制。软件漏洞管理对于了解需要应用补丁或解决软件问题的位置至关重要。在持续集成/持续交付(CI/CD)管道中尽早嵌入漏洞评估,对潜在的安全问题进行优先修复。您的方法可能会因您使用的 AWS 服务而异。要检查 Amazon EC2 实例中运行的软件中的潜在问题,请在管道中添加 [Amazon Inspector](https://aws.amazon.com/inspector/),以便在检测到问题或潜在缺陷时发出警报并停止构建过程。Amazon Inspector 会持续监控资源。您还可以使用开源产品(如 [OWASP Dependency-Check](https://owasp.org/www-project-dependency-check/)、[Snyk](https://snyk.io/product/open-source-security-management/)、[OpenVAS](https://www.openvas.org/)、程序包管理器和 AWS Partner 工具)进行漏洞管理。
+ **使用 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html):**您负责自己 AWS 资源的补丁管理,包括 Amazon Elastic Compute Cloud(Amazon EC2)实例、亚马逊云机器镜像(AMI)以及其他计算资源。[AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)使用安全相关的更新和其他类型的更新自动执行修补托管实例的流程。补丁管理器可用于在 Amazon EC2 实例上为操作系统和应用程序(包括 Microsoft 应用程序、Windows Service Pack 和基于 Linux 实例的次要版本升级)应用补丁。除了 Amazon EC2 之外,补丁管理器还可用于对本地服务器进行修补。
有关支持的操作系统的列表,请参阅 Systems Manager 用户指南中的[支持的操作系统](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-operating-systems.html)。您可以扫描实例以单独查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。
+ **使用 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):**Security Hub CSPM 可提供 AWS 中安全状况的全面视图。它跨[多项 AWS 服务](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)收集安全性数据,并以标准化格式提供这些调查结果,使您能够对 AWS 服务中的安全性调查结果进行优先级排序。
+ **使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/):**[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) 是一项基础设施即代码(IaC)服务,可通过跨多个账户和环境实现资源部署自动化和资源架构标准化来帮助管理漏洞。
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS--Security.pdf)
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [使用新的 Amazon Inspector 改进了云工作负载的自动化漏洞管理](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)
+ [使用 Amazon Inspector 和 AWS Systems Manager 自动执行 AWS 中的漏洞管理和修复 – 第 1 部分](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)
**相关视频:**
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
# SEC06-BP02 缩小攻击面
通过强化操作系统,并尽量减少所使用的组件、库和外部可用的服务,缩小暴露在意外访问下的危险。首先减少未使用的组件,无论它们是操作系统程序包、应用程序(适用于基于 Amazon Elastic Compute Cloud(Amazon EC2)的工作负载)还是您代码中的外部软件模块(适用于所有工作负载)。您可以找到许多面向常见的操作系统和服务器软件的强化和安全配置指南。例如,您可以从 [互联网安全中心](https://www.cisecurity.org/) 开始并进行迭代。
在 Amazon EC2 中,您可以创建自己的亚马逊云机器镜像(AMI)并进行修补和强化,以帮助您满足企业的特定安全要求。您应用到 AMI 上的补丁和其他安全控制措施在其创建时生效,它们并非动态的,除非您在启动之后进行了修改,例如,使用 AWS Systems Manager 进行修改。
您可以使用 EC2 Image Builder 简化构建安全 AMI 的过程。EC2 Image Builder 可大幅减少创建和维护黄金镜像所需的工作,无需编写和维护自动化过程。在有软件更新可用时,Image Builder 自动生成新的镜像,无需用户手动迭代镜像工作版本。通过 EC2 Image Builder,您可以使用 AWS 提供的测试和自己的测试,在将镜像部署到生产环境中之前轻松地验证镜像的功能和安全性。您还可以应用 AWS 提供的安全设置来进一步保护自己的镜像,满足内部安全标准。例如,您可以使用 AWS 提供的模板,生成符合安全技术实施指南(STIG,Security Technical Implementation Guide)标准的镜像。
使用第三方静态代码分析工具,您可以确定常见的安全问题,例如未检查的函数输入边界,以及适用的通用漏披露(CVE,Common Vulnerabilities and Exposures)。您可以对所支持的语言使用 [Amazon CodeGuru](https://aws.amazon.com/codeguru/) 。您还可以使用第三方依赖关系检查工具,确定代码链接的库是否是最新版本、它们是否不含 CVE,并确保您拥有符合您软件政策要求的许可条件。
使用 Amazon Inspector,您可以针对 CVE,对您的实例执行配置评估、根据安全基准执行评估以及实现缺陷通知自动化。Amazon Inspector 在生产实例或构建管道中运行,它会在发现结果时通知开发人员和工程师。您可以通过编程方式访问调查结果,并将您的团队引导至待办事项和错误跟踪系统。 [EC2 Image Builder](https://aws.amazon.com/image-builder/) 可通过自动化修补、AWS 提供的安全策略实施和其他自定义来维护服务器映像 (AMI)。当使用容器时,在您的构建管道中对您的映像存储库定期实施 [ECR 映像扫描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) ,以便在您的容器中查找 CVE。
尽管 Amazon Inspector 和其他工具能够有效地确定配置和存在的任何 CVE,但也需要使用其他方法在应用程序级别测试您的工作负载。 [模糊](https://owasp.org/www-community/Fuzzing) 是一种众所周知的查错方法,可自动将格式不正确的数据注入到您应用程序的输入字段和其他区域来查错。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 强化操作系统:配置操作系统以符合最佳实践。
+ [保护 Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [保护 Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ 强化容器化资源:配置容器化资源以符合安全最佳实践。
+ 实施 AWS Lambda 最佳实践。
+ [AWS Lambda 最佳实践](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 实施托管服务
实施用于托管资源的服务,例如 Amazon Relational Database Service(Amazon RDS)、AWS Lambda 和 Amazon Elastic Container Service(Amazon ECS),以便在责任共担模式中减少安全维护任务。例如,Amazon RDS 可帮助您设置、操作和扩展关系数据库,并自动执行管理任务,例如硬件预置、数据库设置、修补和备份。这意味着您将有更多的空闲时间,因此可以专注于通过 AWS Well-Architected Framework 中所述的其他方法来保护您的应用程序。使用 Lambda,无需使用预置或托管服务器即可运行代码,因此您只需在代码级别专注于连接、调用和安全性,而不是基础设施或操作系统级别。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 探索可用的服务:探索、测试和实施管理资源的服务,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
## 资源
**相关文档:**
+ [AWS 网站 ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:AWS Certificate Manager 请求公有证书 ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 自动保护计算
自动执行计算保护机制,包括管理漏洞、缩小攻击面和管理资源。此自动化将帮助您投入时间以保护工作负载的其他方面,并降低人为犯错的风险。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 自动管理配置:使用配置管理服务或工具自动实施安全配置并对其进行验证。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [实验室:自动部署 VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ 自动修补 Amazon Elastic Compute Cloud(Amazon EC2)实例:AWS Systems Manager Patch Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ 实施入侵检测和预防:实施入侵检测和预防工具,以监控并停止实例上的恶意活动。
+ 考虑使用 AWS Partner 解决方案:AWS 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品对现有 AWS 服务起到补充作用,使您能够在云和本地部署环境中部署全面的安全架构,进而实现更无缝的体验。
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 资源
**相关文档:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager 补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [使用 AWS Systems Manager Automation 集中完成多账户和多区域的修补](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [基础设施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [实验室:自动部署 EC2 Web 应用程序](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 帮助人员远程执行操作
移除交互式访问功能可降低人为错误的风险以及手动配置或管理的可能性。例如,通过更改管理工作流,使用基础设施即代码部署 Amazon Elastic Compute Cloud(Amazon EC2)实例,然后使用 AWS Systems Manager 等工具管理 Amazon EC2 实例,而不是允许直接访问或通过堡垒主机进行访问。AWS Systems Manager 可以使用 [自动化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [工作流](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)、[文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (行动手册)和 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)等功能自动执行多种维护和部署任务。AWS CloudFormation 堆栈从管道进行构建,并能够自动执行您的基础设施部署和管理任务,而无需直接使用 AWS 管理控制台或 API。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 替换控制台访问:用 AWS Systems Manager Run Command 替换实例的控制台访问(SSH 或 RDP),以自动管理任务。
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## 资源
**相关文档:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [使用 Amazon EC2 Systems Manager 替换堡垒主机](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 安全性概述](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**相关视频:**
+ [在 Amazon EKS 上运行高安全性工作负载](https://youtu.be/OWRWDXszR-4)
+ [保护无服务器和容器服务](https://youtu.be/kmSdyN9qiXY)
+ [有关 Amazon EC2 实例元数据服务的安全最佳实践](https://youtu.be/2B5bhZzayjI)
**相关示例:**
+ [实验室:自动部署 Web 应用程序防火墙](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 验证软件完整性
实施一些机制(例如代码签名),以确保工作负载中使用的软件、代码和库来自可信的来源且未被篡改。例如,您应验证二进制文件和脚本的代码签名证书以确认作者,并确保证书自作者创建以来未被篡改。[AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 通过集中管理代码签名生命周期,包括签名证书以及公有和私有密钥,帮助确保代码的可信度和完整性。您可以了解如何对 [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/)使用代码签名的高级模式和最佳实践。此外,通过将您下载的软件的校验和与提供商提供的校验和进行对比,可帮助确保它未被篡改。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 调查机制:代码签名是一种可用来验证软件完整性的机制。
+ [NIST:代码签名的安全注意事项](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## 资源
**相关文档:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [新增 – 代码签名,用于 AWS Lambda 的可信度和完整性控制措施](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# 数据保护
**Topics**
+ [SEC 7 如何对数据进行分类?](sec-07.md)
+ [SEC 8 如何保护静态数据?](sec-08.md)
+ [SEC 9 如何保护传输中的数据?](sec-09.md)
# SEC 7 如何对数据进行分类?
分类提供了一种基于关键性和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制措施。
**Topics**
+ [SEC07-BP01 识别工作负载内的数据](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定义数据保护控制措施](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自动识别和分类](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定义数据生命周期管理](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 识别工作负载内的数据
了解工作负载所处理数据的类型和分类、关联的业务流程、数据存储位置以及数据所有者至关重要。您还应了解工作负载的适用法律和合规性要求,以及需要执行的数据控制措施。识别数据是数据分类过程的第一步。
**建立此最佳实践的好处:**
通过数据分类,工作负载所有者可以识别存储敏感数据的位置,并确定访问和共享这些数据的方式。
数据分类旨在回答以下问题:
+ **您拥有什么类型的数据?**
可能包括以下数据:
+ 知识产权(IP),例如商业秘密、专利或合同协议。
+ 受保护健康信息(PHI),例如包含与个人相关的病史信息的医疗记录。
+ 个人身份信息(PII),例如姓名、地址、出生日期和国民身份证或登记号码。
+ 信用卡数据,例如主账号(PAN)、持卡人姓名、到期日期和服务代码编号。
+ 敏感数据存储在哪里?
+ 谁可以访问、修改和删除数据?
+ 了解用户权限对于防范潜在的数据误操作至关重要。
+ **谁可以执行创建、读取、更新和删除(CRUD)操作?**
+ 通过了解谁可以管理数据权限,对潜在的权限升级进行说明。
+ **如果数据被无意中披露、更改或删除,可能会产生什么业务影响?**
+ 了解数据被修改、删除或无意中披露的风险后果。
通过了解这些问题的答案,您可以采取以下行动:
+ 缩小敏感数据的范围(如敏感数据位置的数量),并限制敏感数据的访问权限,仅限经批准的用户进行访问。
+ 了解不同的数据类型,以便实施适当的数据保护机制和技术,如加密、数据丢失防护以及身份和权限管理。
+ 通过为数据提供正确的控制目标来优化成本。
+ 自信地回答监管机构和审计人员提出的关于数据类型和数量,以及不同敏感度的数据如何相互隔离的问题。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
数据分类是确定数据敏感度的行为。该行为可能涉及标记,以使数据易于搜索和跟踪。数据分类还可减少数据的重复,这有助于降低存储和备份成本,同时加快搜索过程。
使用 Amazon Macie 等服务大规模将敏感数据的发现和分类自动化。其他服务(如 Amazon EventBridge 和 AWS Config)可用于自动修复数据安全问题,如未加密的 Amazon Simple Storage Service(Amazon S3)存储桶和 Amazon EC2 EBS 卷或未标记的数据资源。有关 AWS 服务集成的完整列表,请参阅 [EventBridge 文档](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html)。
通过[使用 Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/)(一种自然语言处理(NLP)服务,该服务使用机器学习(ML)在非结构化文本中查找人物、地点、情感和主题等洞察和关系),可以在非结构化数据(如客户电子邮件、支持工单、产品评论和社交媒体)中[检测 PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html)。有关可协助进行数据识别的 AWS 服务的列表,请参阅[使用 AWS 服务检测 PHI 和 PII 数据的常见技术](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)。
另一种支持数据分类和保护的方法是 [AWS 资源标记](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)。通过标记,可以为 AWS 资源分配元数据,您可以使用这些元数据来管理、识别、组织、搜索和筛选资源。
在某些情况下,您可能会选择标记整个资源(例如 S3 存储桶),尤其当特定工作负载或服务预计将存储已知数据分类的进程或传输时。
在适当情况下,您可以标记 S3 存储桶而不是单个对象,以便于管理和安全维护。
### 实施步骤
**检测 Amazon S3 内的敏感数据:**
1. 开始之前,请确保您拥有访问 Amazon Macie 控制台和执行 API 操作的适当权限。有关其他详细信息,请参阅[开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)。
1. 当敏感数据驻留在 [Amazon S3](https://aws.amazon.com/s3/) 中时,使用 Amazon Macie 执行自动化数据发现。
+ 使用[开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 指南为敏感数据发现结果配置存储库,并为敏感数据创建发现作业。
+ [如何使用 Amazon Macie 预览 S3 存储桶中的敏感数据。](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
默认情况下,Macie 通过使用我们建议用于自动化敏感数据发现的一组托管数据标识符来分析对象。您可以定制分析,方法是将 Macie 配置为在为您的账户或组织执行自动化敏感数据发现时,使用特定的托管数据标识符、自定义数据标识符和允许列表。您可以通过排除特定的存储桶(例如,通常存储 AWS 日志记录数据的 S3 存储桶)来调整分析范围。
1. 要配置和使用自动化敏感数据发现,请参阅[使用 Amazon Macie 执行自动化敏感数据发现](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)。
1. 您也可以考虑[针对 Amazon Macie 的自动化数据发现](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/)。
**检测 Amazon RDS 内的敏感数据:**
有关 [Amazon Relational Database Service(Amazon RDS)](https://aws.amazon.com/rds/)数据库中数据发现的更多信息,请参阅[使用 Macie 为 Amazon RDS 数据库启用数据分类](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)。
**检测 DynamoDB 内的敏感数据:**
+ [使用 Macie 检测 DynamoDB 内的敏感数据](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)介绍了如何使用 Amazon Macie 通过将数据导出到 Amazon S3 进行扫描来检测 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) 表中的敏感数据。
**AWS 合作伙伴解决方案:**
+ 考虑使用我们广泛的 AWS Partner Network。AWS 合作伙伴拥有广泛的工具和合规性框架,可直接与 AWS 服务集成。合作伙伴可以为您提供量身定制的治理和合规性解决方案,以帮助您满足组织需求。
+ 有关数据分类中的定制解决方案,请参阅[监管和合规性要求时代的数据治理](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/)。
通过使用 AWS Organizations 创建和部署策略,您可以自动实施贵组织所采用的标记标准。您可以通过标签策略来指定规则,规则中定义有效的密钥名称以及对每个密钥有效的值。您可以选择仅监控,这使您有机会评估和清理现有标签。标签符合所选标准后,您可以在标签策略中启用强制执行,以防止创建不合规的标签。有关更多详细信息,请参阅[使用 AWS Organizations 中的服务控制策略保护用于授权的资源标签](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/),以及关于[防止标签被授权主体以外的人员修改](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)的示例策略。
+ 要开始在 [AWS Organizations](https://aws.amazon.com/organizations/) 中使用标签策略,强烈建议您先遵循[开始使用标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)中的工作流程,然后再使用更高级的标签策略。在扩展到整个组织单位(OU)或组织之前,了解将简单的标签策略附加到单个账户的效果,可以在强制遵守某项标签策略之前看到该标签策略的效果。[开始使用标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)提供了指向更高级策略相关任务的说明的链接。
+ 不妨考虑评估一下[数据分类](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)白皮书中列出的支持数据分类的其他 [AWS 服务和功能](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features)。
## 资源
**相关文档:**
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [使用 Amazon Macie 执行自动化数据发现](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html)
+ [开始使用标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [检测 PII 实体](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html)
**相关博客:**
+ [如何使用 Amazon Macie 预览 S3 存储桶中的敏感数据。](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
+ [使用 Amazon Macie 执行自动化敏感数据发现。](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/)
+ [使用 AWS 服务检测 PHI 和 PII 数据的常见技术](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)
+ [使用 Amazon Comprehend 检测和编辑 PII](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/)
+ [使用 AWS Organizations 中的服务控制策略保护用于授权的资源标签](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [使用 Macie 为 Amazon RDS 数据库启用数据分类](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)
+ [使用 Macie 检测 DynamoDB 中的敏感数据](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)
**相关视频:**
+ [使用 Amazon Macie 的事件驱动型数据安全性](https://www.youtube.com/watch?v=onqA7MJssoU)
+ [用于数据保护和治理的 Amazon Macie](https://www.youtube.com/watch?v=SmMSt0n6a4k)
+ [利用允许列表对敏感数据调查结果进行微调](https://www.youtube.com/watch?v=JmQ_Hybh2KI)
# SEC07-BP02 定义数据保护控制措施
根据数据分类级别保护数据。例如,使用相关建议保护分类为公共的数据,同时使用其他控制措施保护敏感数据。
通过使用资源标签、根据敏感度(可能还包括限制性条款、飞地或感兴趣的社区)划分 AWS 账户、IAM 策略、AWS Organizations SCP、AWS Key Management Service(AWS KMS)和 AWS CloudHSM,您可以定义并实施您的数据分类和加密保护策略。例如,如果您的项目具有包含极关键数据的 S3 存储桶或者处理机密数据的 Amazon Elastic Compute Cloud(Amazon EC2)实例,则可以使用 `Project=ABC` 标签对其进行标记。只有您的直属团队知道项目代码的含义,它提供了一种使用基于属性的访问控制措施的方法。您可以通过关键策略和授权定义对 AWS KMS 加密密钥的访问级别,以确保只有适当的服务可以通过安全机制访问敏感内容。如果您正在根据标签做出授权决定,您应确保在 AWS Organizations 中使用标签策略适当定义对于标签的权限。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 定义您的数据识别和分类架构:对数据执行标识和分类,用于评估您要存储的数据的潜在影响和类型,并确定谁可以访问数据。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 发现可用的 AWS 控制措施:对于您正在使用或计划使用的 AWS 服务,发现安全控制措施。许多服务在其文档中都会提供一个安全部分。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 确定 AWS 合规性资源:确定 AWS 为您提供帮助的资源。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [缺少文本](https://aws.amazon.com/compliance/)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 自动识别和分类
自动识别和分类数据可帮助您实施正确的控制措施。在这方面实现自动化而不是允许人员直接访问,可以降低人为犯错和漏洞的风险。您应使用 [Amazon Macie](https://aws.amazon.com/macie/)等工具执行评估,这些工具使用机器学习来自动发现、分类和保护 Amazon Macie 中的敏感数据。AWS 可以识别个人身份信息(PII,Personally Identifiable Information)或知识产权之类的敏感数据,并为您提供控制面板和警报,让您了解此类数据的访问或移动情况。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 使用 Amazon Simple Storage Service(Amazon S3)清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 考虑使用 Amazon Macie:Amazon Macie 使用机器学习来自动发现存储在 Amazon S3 中的数据,并对其进行分类。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 定义数据生命周期管理
您定义的生命周期策略应基于敏感度级别以及法律和组织要求。应考虑您的数据保留期限、数据销毁流程、数据访问管理、数据转换和数据共享等方面。当选择数据分类方法时,请平衡可用性与访问权限。您还应考虑多种访问级别及其细微差别,以便针对每个级别实施安全且有效的方法。始终采用深度防御方法并减少人工访问数据次数以及数据转换、删除或复制机制。例如,要求用户对应用程序执行严格身份验证,并为应用程序而不是用户授予执行远程操作的必要访问权限。此外,确保用户来自可信网络路径并要求其获取解密密钥。使用控制面板和自动报告等工具为用户提供数据信息,而不是让他们直接访问数据。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 识别数据类型:确定您正在工作负载中存储或处理的数据类型。这些数据可以是文本、图像、二进制数据库等。
## 资源
**相关文档:**
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC 8 如何保护静态数据?
通过实施多个控制措施来保护静态数据,以降低未经授权的访问或处理不当带来的风险。
**Topics**
+ [SEC08-BP01 实施安全密钥管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 强制实施静态加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 自动执行静态数据保护](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 强制实施访问控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用机制限制对数据的访问](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 实施安全密钥管理
通过定义加密方法,包括密钥存储、轮换和访问控制,有助于您防止内容被未经授权的用户访问或不必要地暴露给经过授权的用户。AWS Key Management Service(AWS KMS)可以帮助您管理加密密钥,并可 [与许多 AWS 服务集成](https://aws.amazon.com/kms/details/#integration)。该服务可以为 AWS KMS 密钥提供持久、安全和冗余的存储。您可以定义密钥别名以及密钥级策略。这些策略可以帮助您定义关键管理员以及关键用户。此外,AWS CloudHSM(HSM)是一个基于云的硬件安全模块,使您可以在 AWS 云 上轻松生成和使用自己的加密密钥。它使用经 FIPS 140-2 第 3 级验证的 HSM,帮助您满足企业、合同和监管合规性要求,以确保数据安全。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施 AWS KMS:使用 AWS KMS 可以轻松地创建和管理密钥,并控制在各种 AWS 服务和应用程序中使用加密。AWS KMS 是一项安全且具有弹性的服务,使用经过 FIPS 140-2 验证的硬件安全模块来保护您的密钥。
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考虑使用 AWS 加密开发工具包:当您的应用程序需要加密客户端数据时,使用包含 AWS KMS 集成的 AWS 加密开发工具包。
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 资源
**相关文档:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 强制实施静态加密
您应该强制对静态数据使用加密。加密后,即使遭到未经授权访问或意外泄露,也能保持敏感数据的机密性。
**期望结果:**私有数据在静态时应默认加密。加密有助于保持数据的机密性,并提供额外一层保护,防止有意或无意的数据泄露或外流。如果不首先对数据进行解密,则无法读取或访问加密的数据。任何未加密便存储的数据都应进行清点和控制。
**常见反模式:**
+ 不使用默认加密配置。
+ 提供对解密密钥过于宽松的访问权限。
+ 不监控加密和解密密钥的使用。
+ 未加密便存储数据。
+ 对所有数据使用相同的加密密钥,而不考虑数据用途、类型和分类。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
将加密密钥映射到工作负载中的数据分类。当对数据使用单个或非常少量的加密密钥时,这种方法有助于防止过于宽松的访问(请参阅[SEC07-BP01 识别工作负载内的数据](sec_data_classification_identify_data.md))。
AWS Key Management Service(AWS KMS)与许多 AWS 服务集成,使加密静态数据更加轻松。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置[默认加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html),以自动加密新对象。使用 AWS KMS 时,请考虑需要对数据进行多严格的限制。默认和服务控制的 AWS KMS 密钥由 AWS 代表您进行管理和使用。对于需要对底层加密密钥进行精细访问的敏感数据,请考虑使用客户自主管理型密钥(CMK)。您可以完全控制 CMK,包括通过使用密钥策略进行轮换和访问管理。
此外,[Amazon Elastic Compute Cloud(Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、[Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
AWS 还提供客户端加密选项,使您能够在将数据上传到云之前对数据进行加密。AWS Encryption SDK 提供了一种使用[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)对数据进行加密的方法。您提供包装密钥,AWS Encryption SDK 为它加密的每个数据对象生成一个唯一数据密钥。如果需要托管的单租户硬件安全模块(HSM),请考虑 AWS CloudHSM。AWS CloudHSM 使您可在通过 FIPS 140-2 Level 3 验证的 HSM 上生成、导入和管理加密密钥。AWS CloudHSM 的一些使用案例包括保护用于签发证书颁发机构(CA)的私有密钥,以及为 Oracle 数据库启用透明数据加密(TDE)。AWS CloudHSM 客户端开发工具包提供的软件使您可在将数据上传到 AWS 之前,使用存储在 AWS CloudHSM 中的密钥对客户端数据进行加密。Amazon DynamoDB Encryption Client 还使您可在将项目上传到 DynamoDB 表之前,对项目进行加密和签名。
**实施步骤**
+ **对 Amazon S3 强制实施静态加密:**实施 [Amazon S3 存储桶默认加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)。
**为新的 Amazon EBS 卷配置[默认加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html):**指定所有新创建的 Amazon EBS 卷要以加密形式创建,并选择使用 AWS 提供的默认密钥或您创建的密钥。
**配置加密亚马逊云机器镜像(AMI):**通过复制启用加密功能的现有 AMI,可自动加密根卷和快照。
**配置 [Amazon RDS 加密](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html):**通过使用加密选项,配置对您的 Amazon RDS 数据库集群和静态快照的加密。
**使用策略创建和配置 AWS KMS 密钥,以限制对每个数据分类的相应主体的访问:**例如,创建一个 AWS KMS 密钥用于加密生产数据,创建一个不同的密钥用于加密开发或测试数据。您还可以提供对其他 AWS 账户的密钥访问权限。不妨考虑分开设立开发环境和生产环境的账户。如果您的生产环境需要解密开发账户中的构件,您可以编辑用于加密开发构件的 CMK 策略,使生产账户有能力解密这些构件。然后,生产环境可以摄取解密后的数据以用于生产。
**在其他 AWS 服务中配置加密:**对于您使用的其他 AWS 服务,请查看该服务的[安全文档](https://docs.aws.amazon.com/security/),以确定该服务的加密选项。
## 资源
**相关文档:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Amazon EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何为 Amazon S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 自动执行静态数据保护
利用自动化工具持续验证和实施静态数据控制措施,例如,确保只存在经过加密的存储资源。您可以 [自动确认所有 EBS 卷都已经过加密,方法是](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 还可以按照安全标准执行自动化检查,以验证多种不同的控制措施。此外,您的 AWS Config 规则可以自动 [修复不合规的资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
*静态数据* 代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时,保护静态数据可以降低未经授权访问的风险。
强制实施静态加密:您应确保只以加密的方式存储数据。AWS KMS 与很多 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS 托管 Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [EBS 卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、[Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 资源
**相关文档:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 强制实施访问控制
为了帮助保护静态数据,请使用隔离和版本控制等机制强制实施访问控制,并应用最低权限原则。防止允许公众访问您的数据。
**期望结果:**验证只有获得授权的用户才能按照“需要知晓”的原则访问数据。通过定期备份和版本控制来保护您的数据,防止数据被有意或无意地修改或删除。将关键数据与其他数据隔离,以保护其机密性和数据完整性。
**常见反模式:**
+ 将具有不同敏感度要求或分类的数据存储在一起。
+ 解密密钥的权限过于宽松。
+ 数据分类不当。
+ 不保留重要数据的详细备份。
+ 提供对生产数据的持久访问。
+ 未审计数据访问,也未定期检查权限
**在未建立这种最佳实践的情况下暴露的风险等级:**低
## 实施指导
多项控制措施可以帮助保护静态数据,包括访问(使用最低权限)、隔离和版本控制。您应使用检测性机制(例如 AWS CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并制定一份计划,以便随着时间的推移减少公开可用的数据量。
Amazon Glacier 文件库锁定和 Amazon S3 对象锁定可为 Amazon S3 中的对象提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。
### 实施步骤
+ **强制实施访问控制**:强制实施最低权限访问控制,包括对加密密钥的访问。
+ **根据不同分类级别隔离数据**:针对数据分类级别使用不同的 AWS 账户,并使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 管理这些账户。
+ **查看 AWS Key Management Service(AWS KMS)策略**:[查看 AWS KMS 策略中授予的访问级别](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
+ **查看 Amazon S3 存储桶和对象权限**:定期查看 S3 存储桶策略中授予的访问级别。最佳做法是避免使用可公开读取或写入的存储桶。考虑使用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。验证正确配置了不允许公开访问的存储桶,以防止公开访问。默认情况下,所有 S3 存储桶都是私有的,只有被明确授予访问权限的用户才可以访问。
+ **启用 [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):**IAM Access Analyzer 可对 Amazon S3 存储桶进行分析,并在 [S3 策略授予外部实体访问权限](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)时生成结果。
+ **在适当情况下启用 [Amazon S3 版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)和[对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)**。
+ **使用 [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**:Amazon S3 清单可用来审计和报告 S3 对象的复制和加密状态。
+ **查看 [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 和 [AMI 共享](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)权限**:共享权限将使得镜像和卷能够与您的工作负载外部的 AWS 账户共享。
+ **查看 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html):定期共享,以确定是否应继续共享资源。** 您可以通过 Resource Access Manager 在您的 Amazon VPC 内共享资源,如 AWS Network Firewall 策略、Amazon Route 53 解析器规则和子网。定期审计共享资源,停止共享不再需要共享的资源。
## 资源
**相关最佳实践:**
+ [SEC03-BP01 定义访问要求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md)
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [管理对 Amazon S3 资源的访问权限简介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [管理对 AWS KMS 资源的访问权限概览](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:云中的天作之合](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 对象锁定来锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [已共享的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [在 Amazon S3 上托管单页应用程序](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
**相关视频:**
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用机制限制对数据的访问
禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如,利用变更管理工作流程,借助工具管理 Amazon Elastic Compute Cloud(Amazon EC2)实例,而不是允许直接访问或通过堡垒主机进行访问。这可以使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)来实现,此功能将使用 [包含您的任务执行步骤的](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) 自动化文档。这些文档可以存储在源代码控制中、在运行之前接受对等审核,并接受全面测试以便最大程度降低风险(与 shell 访问相比)。企业用户可以使用一个仪表板而不是通过直接访问数据存储库来执行查询。当未使用 CI/CD 管道时,确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施可限制对数据的访问的机制:这些机制包括使用控制面板(例如 Quick),以向用户显示数据,而不是直接查询。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自动管理配置:远程执行操作,使用配置管理服务或工具自动实施安全配置并对其进行验证。避免使用堡垒主机或直接访问 EC2 实例。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上适用于 AWS CloudFormation 模板的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 如何保护传输中的数据?
通过实施多个控制措施来保护传输中的数据,以降低未经授权的访问或数据丢失所带来的风险。
**Topics**
+ [SEC09-BP01 实施安全密钥和证书管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 在传输中执行加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自动检测意外数据访问](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 对网络通信进行身份验证](sec_protect_data_transit_authentication.md)
# SEC09-BP01 实施安全密钥和证书管理
安全地存储加密密钥和证书,并按照适当的时间间隔和使用严格的访问控制措施来轮换这些密钥和证书。实现这一目的的最佳方法是使用托管服务,例如 [AWS Certificate Manager(ACM)](http://aws.amazon.com/certificate-manager)。它能够让您轻松预置、管理和部署公有和私有传输层安全性 (TLS) 证书,以便与 AWS 服务和您的内部互联资源配合使用。TLS 证书用于保障网络通信的安全性、确立网站在互联网上的身份和资源在私有网络上的身份。ACM 与 Elastic Load Balancer(ELB)、AWS 分配以及 API Gateway 上的 API 等 AWS 资源集成,还负责处理自动证书续订事宜。如果您使用 ACM 来部署私有根 CA,则它可以提供要在 Amazon Elastic Compute Cloud(Amazon EC2)实例、容器等对象中使用的证书和私有密钥。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施安全密钥和证书管理:实施您定义的安全密钥和证书管理解决方案。
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ 如何在 AWS 中托管和管理整个私有证书基础设施 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 实施安全协议:使用传输层安全性协议(TLS,Transport Layer Security)或 IPsec 等支持身份验证和机密性的协议,以便减少数据篡改或丢失的风险。查看 AWS 文档,了解与您正在使用的服务相关的协议和安全性信息。
## 资源
**相关文档:**
+ [AWS 文档 ](https://docs.aws.amazon.com/)
# SEC09-BP02 在传输中执行加密
根据贵组织的政策、监管义务和标准定义,实施加密要求,以帮助满足组织、法律和合规性要求。如要在虚拟私有云(VPC)外部传输敏感数据,务必仅使用具有加密功能的协议。即使数据在不可信的网络中传输,加密也有助于保持数据的机密性。
**期望结果:**所有数据在传输过程中都应使用安全的 TLS 协议和密码套件进行加密。必须对资源和互联网之间的网络流量进行加密,以减少对数据的未经授权访问。对于仅在您内部 AWS 环境中的网络流量,应尽可能使用 TLS 进行加密。默认情况下,AWS 内部网络进行了加密,除非未经授权的一方能够访问正在生成流量的任何资源(如 Amazon EC2 实例和 Amazon ECS 容器),否则无法假冒或嗅探 VPC 内的网络流量。不妨考虑使用 IPsec 虚拟专用网络(VPN)保护网络到网络流量。
**常见反模式:**
+ 使用已弃用的 SSL、TLS 和密码套件组件版本(例如,SSL v3.0、1024 位 RSA 密钥和 RC4 密码)。
+ 允许未加密的(HTTP)流量进出面向公众的资源。
+ 未在 X.509 证书到期前监控和替换证书。
+ 对 TLS 使用自签名 X.509 证书。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
AWS 服务提供使用 TLS 的 HTTPS 端点进行通信,从而可以在与 AWS API 通信时提供传输中加密。可以使用安全组在 VPC 中审计和拦截不安全的协议,例如 HTTP。也可以在 Amazon CloudFront 中或 [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions) 上,将 HTTP 请求[自动重定向到 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html)。您可以完全控制计算资源,以便在整个服务中实施加密。您也可以利用 VPN 连接从外部网络或 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 连接到您的 VPC 中,以便于对流量进行加密。请验证您的客户端至少使用 TLS 1.2 调用 AWS API,因为 [AWS 将在 2023 年 6 月弃用 TLS 1.0 和 1.1](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/)。如果您有特殊要求,可以使用 AWS Marketplace 中提供的第三方解决方案。
**实施步骤**
+ **实施传输中加密:**您定义的加密要求应基于最新的标准和最佳实践,且仅允许使用安全协议。例如,配置一个安全组,仅允许通过 HTTPS 协议访问应用程序负载均衡器或 Amazon EC2 实例。
+ **在边缘服务中配置安全协议:**[使用 Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) 配置 HTTPS,并使用[适合您的安全状况和使用案例的安全配置文件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers)。
+ **将 [VPN 用于外部连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):**考虑使用 IPsec VPN 来保护点对点或网络对网络连接,以帮助实现数据隐私和完整性。
+ **在负载均衡器中配置安全协议:**选择一个安全策略,该策略提供受客户端支持且将要连接到侦听器的强大密码套件。[为 Application Load Balancer 创建 HTTPS 侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)。
+ **在 Amazon Redshift 中配置安全协议:**将集群配置为要求[安全套接字层(SSL)或传输层安全性协议(TLS)连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)。
+ **配置安全协议:**查看 AWS 服务文档,以确定传输中加密功能。
+ **上传到 Amazon S3 存储桶时配置安全访问:**使用 Amazon S3 存储桶策略控制措施[执行对数据的安全访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)。
+ **不妨考虑使用 [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):**ACM 允许您预置、管理和部署用于 AWS 服务的公有 TLS 证书。
+ **不妨考虑使用 [AWS 私有证书颁发机构](https://aws.amazon.com/private-ca/) 满足私有 PKI 需求:**AWS 私有 CA 允许您创建私有证书颁发机构(CA)层次结构,以签发可用于创建加密 TLS 通道的终端实体 X.509 证书。
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/index.html)
+ [将 HTTPS 与 CloudFront 搭配使用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [使用 AWS Virtual Private Network 将 VPC 连接到远程网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [为 Application Load Balancer 创建 HTTPS 侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [教程:在 Amazon Linux 2 上配置 SSL/TLS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [使用 SSL/TLS 加密与数据库实例的连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [针对连接配置安全选项](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 自动检测意外数据访问
使用 Amazon GuardDuty 等工具自动检测可疑活动或尝试将数据移动到定义的边界之外。例如,GuardDuty 可以通过以下方法,检测异常的 Amazon Simple Storage Service(Amazon S3)读取活动: [Exfiltration:S3/AnomalousBehavior finding](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty 以外,还可以将[Amazon VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)(用于捕获网络流量信息)与 Amazon EventBridge 配合使用,以触发对已成功和被拒绝的异常连接的检测。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可以帮助评估您的 Amazon S3 存储桶中的哪些数据可供哪些人访问。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 自动检测意外数据访问:使用工具或检测机制自动检测试图将数据移出定义边界的行为;例如,检测正在将数据复制到无法识别的主机的数据库系统。
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ 考虑 Amazon Macie:Amazon Macie 是一项完全托管式数据安全和数据隐私服务,该服务使用机器学习和模式匹配发现和保护 AWS 中的敏感数据。
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 对网络通信进行身份验证
使用传输层安全性 (TLS) 或 IPsec 等支持身份验证的协议来验证通信的身份。
使用支持身份验证的网络协议,可以在双方之间建立信任。此功能将增强协议中使用的加密方法,以降低通信被篡改或拦截的风险。实施身份验证时常用的协议包括(很多 AWS 服务中使用的)传输层安全性(TLS)和( [AWS Virtual Private Network(Site-to-Site VPN)](http://aws.amazon.com/vpn)中使用的)IPsec。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施安全协议:使用 TLS 或 IPsec 等支持身份验证和机密性的安全协议,以便减少数据篡改或丢失的风险。查看 [AWS 文档,](https://docs.aws.amazon.com/) 了解与您正在使用的服务相关的协议和安全性。
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)
# 事件响应
**Topics**
+ [SEC 10 如何预测、响应事件以及从事件中恢复?](sec-10.md)
# SEC 10 如何预测、响应事件以及从事件中恢复?
准备工作对于及时有效地调查、响应安全事件以及从安全事件中恢复至关重要,可以尽可能减少对组织的破坏。
**Topics**
+ [SEC10-BP01 确定关键人员和外部资源](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 制定事件管理计划](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 准备取证能力](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 自动控制功能](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 预置访问权限](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 预先部署工具](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 执行实际演练](sec_incident_response_run_game_days.md)
# SEC10-BP01 确定关键人员和外部资源
确定能够帮助您的组织响应事件的内部和外部人员、资源、以及法律义务。
当您与其他团队(例如法律顾问、领导、业务利益相关者、AWS Support 服务等)一起在云中定义您的事件响应方法时,您必须确定关键人员、利益相关者和相关联系人。为了降低依赖性并缩短响应时间,请确保为您的团队、专家安全团队和响应者开展培训,以使他们了解您使用的服务并有机会练习动手实践。
我们鼓励您寻找外部 AWS 安全合作伙伴,他们应当能够为您带来外部专业知识和不同的视角,以增强您的响应能力。您的可靠安全合作伙伴可以帮助您发现您可能并不熟悉的潜在风险或威胁。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 确定组织中的关键人员:制定联系人列表,列出组织内需要参与意外事件响应和恢复的人员。
+ 确定外部合作伙伴:根据需要联系能够帮助您响应意外事件并从中恢复的外部合作伙伴。
## 资源
**相关文档:**
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [准备和响应 AWS 环境中的安全意外事件 ](https://youtu.be/8uiO0Z5meCs)
**相关示例:**
# SEC10-BP02 制定事件管理计划
为事件响应制定的第一个文档是事件响应计划。事件响应计划旨在为您的事件响应计划和战略奠定基础。
**建立此最佳实践的好处:** 要想成功实现可扩展的事件响应计划,制定全面且明确定义的事件响应流程是关键。在发生安全事件时,明确的步骤和工作流有助于您及时做出响应。您可能已经有事故响应流程。无论您当前的状态如何,定期更新、迭代和测试事件响应流程都很重要。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
对于响应、缓解安全事件的潜在影响并从中恢复来说,事件管理计划是至关重要的。事件管理计划是一个结构化的过程,用于及时地确定、补救和响应安全事件。
云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时,应考虑最符合业务成果和合规性要求的响应和恢复策略,这一点非常重要。例如,如果您在 AWS 中运行在美国符合 FedRAMP 标准的工作负载,则遵守 [《NIST SP 800-61 计算机安全处理指南》会很有帮助](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)。同样,在使用欧洲个人身份信息(PII)数据运行工作负载时,请考虑具体的场景,例如如何根据以下条例的强制要求,保护和应对与数据驻留相关的问题: [欧盟通用数据保护条例(GDPR)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en)。
在为 AWS 中运行的工作负载构建事件管理计划时,请首先使用 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/) ,以便构建针对事件响应的深度防御方法。在此模式中,AWS 负责管理云本身的安全,云内部的安全则由您负责。这意味着您将保留控制权,并对选择实施的安全控制机制负责。此 [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。
必须不断地迭代有效的事件管理计划,使其与您的云运营目标保持一致。在创建和改进事件管理计划时,请考虑使用下面详述的实施计划。
## 实施步骤
**定义角色和职责**
处理安全事件需要在整个组织中落实纪律要求和行动意愿。在您的组织结构中,发生事件时,负责、追责、咨询或者告知信息等各个环节会涉及到不同的人员,例如人力资源(HR)、高管团队和法律部门的代表。请考虑这些角色和职责,以及是否必须有第三方参与。请注意,许多地区的当地法律都规定了,哪些事情能做,哪些事情不能做。尽管为安全响应计划建立一个负责、问责、咨询和知情(RACI)的图表可能显得过于繁文缛节,但这样做有利于快速直接地进行沟通,并清楚地概述在事件不同阶段负责的领导层。
在事件发生期间,让受影响应用程序和资源的负责人和开发人员参与进来非常关键,因为这些人员是主题专家(SME),可以提供信息和背景情况来协助衡量影响。您应该先练习并与开发人员和应用程序负责人建立关系,然后才能依靠他们的专业知识进行事件响应。应用程序负责人或 SME,如云管理员或工程师,可能需要在不熟悉环境、面临复杂情况或响应人员没有访问权限的情况下采取行动。
最后,值得信赖的合作伙伴可以参与到调查或响应中,因为他们可以提供额外的专业知识和宝贵的审查工作。当您自己的团队缺乏具备这些技能的人员时,您可能需要聘请外部人员寻求帮助。
**了解 AWS 响应团队和支持**
+ **AWS 支持**
+ [支持](https://aws.amazon.com/premiumsupport/) 提供了一系列计划,可供您利用各种工具和专业知识,为您的 AWS 解决方案的成功和正常运行提供支持。如果您需要技术支持及更多资源来规划、部署和优化 AWS 环境,则可以选择最符合您 AWS 使用场景的支持计划。
+ 考虑将 [支持中心](https://console.aws.amazon.com/support) (在 AWS 管理控制台中,需要登录)作为中心联系点,为影响您 AWS 资源的问题获取支持。对 支持 的访问由 AWS Identity and Access Management 控制。有关获取对 支持 功能的访问的更多信息,请参阅 [开始使用 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support)。
+ **AWS 客户事件响应团队(CIRT)**
+ AWS 客户事件响应团队(CIRT)是一支专业的 AWS 全球团队,全天候向客户提供支持,协助客户解决根据 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)应由客户一方负责的安全事件。
+ 当 AWS CIRT 为您提供支持时,他们会为 AWS 上出现的安全事件提供分类和恢复方面的协助。他们可以使用 AWS 服务日志来协助分析根本原因,并为您提供恢复建议。他们还可以提供安全建议和最佳实践,从而让您以后能够避免出现安全事件。
+ AWS 客户要与 AWS CIRT 交流,可以开立 [支持 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)。
+ **DDoS 响应支持**
+ AWS 提供 [AWS Shield](https://aws.amazon.com/shield/),它提供了托管的分布式拒绝服务(DDoS)攻击保护服务,可保护在 AWS 上运行的 Web 应用程序。Shield 提供不间断检测和自动化内嵌缓解措施,可以最大限度地减少应用程序停机时间和延迟,因此无需与 支持 交流即可从 DDoS 保护中受益。Shield 分为两个级别:AWS Shield Standard 和 AWS Shield Advanced。要了解这两个级别之间的区别,请参阅 [Shield 功能文档](https://aws.amazon.com/shield/features/)。
+ **AWS Managed Services(AMS)**
+ [AWS Managed Services(AMS)](https://aws.amazon.com/managed-services/) 可持续管理您的 AWS 基础设施,让您可以专注于应用程序。AMS 实施最佳实践来维护您的基础设施,让您您能够降低运营开销和风险。AMS 可以自动执行常见活动(例如更改请求、监控、补丁管理、安全性和备份服务),并可以提供全生命周期服务来预置、运行和支持您的基础设施。
+ AMS 负责部署一套安全检测控制措施,并全天候提供对警报的第一线响应。启动警报后,AMS 遵循一组标准的自动和手动行动手册,验证是否有一致的响应。这些行动手册在功能部署期间与 AMS 客户共享,这样客户就能够开发并与 AMS 协调响应措施。
**制定事件响应计划**
事件响应计划旨在为您的事件响应计划和战略奠定基础。事件响应计划应包含在正式文档中。事件响应计划通常包括以下部分:
+ **事件响应团队概述:** 概述事件响应团队的目标和职能。
+ **角色和职责:** 列出事件响应利益相关者,并详细说明他们在发生事件时的角色。
+ **沟通计划:** 详细的联系信息,以及在事件发生期间如何进行沟通。
+ **后备沟通方法:** 此时的最佳实践是采用带外通信,作为事件沟通的后备。AWS Wickr 就是一个提供安全的带外通信渠道的应用程序示例。
+ **事件响应阶段和应采取的行动:** 列举事件响应的各个阶段(例如,检测、分析、消除、遏制和恢复),包括在这些阶段中要采取的高级别操作。
+ **事件严重性和优先级定义:** 详细说明如何对事件的严重性进行分类,如何确定事件的优先级,然后详细说明严重性定义对上报程序有何影响。
尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的事件响应计划都是独一无二的。您需要制定最适合贵组织的事件响应计划。
## 资源
**相关最佳实践:**
+ [SEC04(“您如何检测和调查安全事件?”)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**相关文档:**
+ [AWS 安全事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST:计算机安全事件处理指南 ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
# SEC10-BP03 准备取证能力
对于意外事件响应者来说,了解取证调查在什么情况下、如何适合您的响应计划非常重要。您的组织应定义要收集的证据以及收集过程中使用的工具。确定并准备适当的取证调查能力,包括外部专家、工具和自动化。您应预先做出的一个关键决定是,是否从实时系统中收集数据。如果系统断电或重新启动,某些数据(例如,易失性内存或活动网络连接的内容)将会丢失。
您的响应团队可以结合使用 AWS Systems Manager、Amazon EventBridge 和 AWS Lambda 等工具,在操作系统和 VPC 流量镜像中自动运行取证工具以捕获网络数据包,从而收集非持久化证据。使用定制取证工作站以及可供响应者访问的工具,在专用安全账户中进行其他活动,例如日志分析或分析磁盘镜像。
定期将相关日志发送到数据存储,实现高持久性和完整性。响应者应有权访问这些日志。AWS 提供了多种工具来简化日志调查,例如 Amazon Athena、Amazon OpenSearch Service(OpenSearch Service)和 Amazon CloudWatch Logs Insights。此外,使用 Amazon Simple Storage Service(Amazon S3)Object Lock 安全地保留证据。该服务遵循 WORM(一次写入多次读取,write-once-read-many)模型,防止对象在定义的时段内被删除或覆盖。由于取证调查技术需要专家培训,因此您可能需要聘请外部专家。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 确定取证能力:分析组织的取证调查能力、可用工具和外部专家。
+ [自动化事件响应和取证 ](https://youtu.be/f_EcwmmXkXk)
## 资源
**相关文档:**
+ [如何在 AWS 中自动实施取证磁盘收集](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 自动控制功能
自动控制意外事件并从意外事件中恢复,以缩短响应时间和减少对组织的影响。
当您从行动手册中创建并练习流程和工具之后,您可以将此逻辑解构到基于代码的解决方案中,很多响应者可以将此逻辑用作工具来自动进行响应,因此消除了响应者的分歧或猜测。这样可以加快响应的生命周期。下一个目标是允许此代码被警报或事件自身而不是被人类响应者调用以实现完全自动化,从而创建由事件驱动的响应。这些过程还应自动将相关数据添加到您的安全系统中。例如,涉及来自不需要的 IP 地址的流量的意外事件可以自动填充 AWS WAF 阻止列表或 Network Firewall 规则组,从而防止进一步的活动。
![\[Diagram showing AWS WAF WebACL logs flow through various services for processing and blocking.\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2023-04-10/framework/images/aws-waf-automate-block.png)
*图 3:AWS WAF 自动阻止已知的恶意 IP 地址。*
使用由事件驱动的响应系统,检测性机制会触发一个响应机制,以自动修复事件。您可以使用由事件驱动的响应能力,以缩短检测机制与响应机制之间的价值实现时间。要创建这个由事件驱动的架构,您可以使用 AWS Lambda,这是一项无服务器计算服务,可运行您的代码以响应事件并为您自动管理底层计算资源。例如,假设您有一个 AWS 账户并为其启用了 AWS CloudTrail 服务。如果已禁用 AWS CloudTrail(通过 `cloudtrail:StopLogging` API 调用),则您可以使用 Amazon EventBridge 监控特定的 `cloudtrail:StopLogging` 事件,并通过调用 AWS Lambda 函数来调用 `cloudtrail:StartLogging` 以重新启动日志记录功能。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
自动控制功能。
## 资源
**相关文档:**
+ [AWS 意外事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [准备和响应 AWS 环境中的安全意外事件](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 预置访问权限
确保事件响应者将正确的访问权限预置到 AWS 中,以缩短调查到恢复所需的时间。
**常见反模式:**
+ 使用根账户进行事件响应。
+ 变更现有用户账户。
+ 在提供实时权限提升时直接操作 IAM 权限。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
AWS 建议尽可能减少或消除对长期有效凭证的依赖,转而使用临时凭证和 *实时* 权限提升机制。长期有效的凭证容易带来安全风险,并且会增加运营开销。对于大多数管理任务以及事件响应任务,建议您对管理访问实施 [身份联合验证](https://docs.aws.amazon.com/identity/federation/) 以及 [临时上报](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)。在此模型中,用户请求提升到更高级别的权限(例如事件响应角色),如果用户符合提升条件,则会向审批者发送请求。如果请求获得批准,用户将收到一组临时的 [AWS 凭证](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) ,可用于完成用户任务。在这些凭证过期后,用户必须提交新的提升请求。
在大多数事件响应场景中,建议使用临时权限提升。执行此操作的正确方法是使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 和 [会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) 来限定访问范围。
在一些场景中,联合身份不可用,例如:
+ 与被盗用的身份提供者(IdP)相关的中断。
+ 导致联合访问管理系统损坏的错误配置或人为错误。
+ 恶意活动,例如分布式拒绝服务(DDoS,Distributed Denial of Service)事件或导致系统不可用的活动。
在上述情况下,应配置紧急 *Break Glass* 访问,以允许调查事件并及时给予补救。我们建议您使用 [具有适当权限的 IAM 用户,](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) 来执行任务和访问 AWS 资源。请仅将根凭证用于 [需要根用户访问权限的任务](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。要确认事件响应者对 AWS 和其他相关系统是否具有正确的访问权限级别,建议预置专用的用户账户。用户账户需要特许的访问权限,并且必须受到严格的控制和监视。在构建账户时,必须使用执行必要任务所需的最少权限,并且访问级别应基于作为事件管理计划的一部分创建的行动手册。
最好使用专门构建的专用用户和角色。通过添加 IAM 策略来临时提升用户或角色的访问权限,既会导致无法清楚地了解用户在事件期间拥有哪些访问权限,又会带来无法撤销提升的权限的风险。
请务必删除尽可能多的依赖项,以确保能在尽可能多的故障场景中获得访问权限。为了支持此操作,可创建一个行动手册,验证是否在专用的安全账户中创建事件响应用户作为 AWS Identity and Access Management 用户,而不是通过任何现有的联合身份验证或单点登录(SSO)解决方案管理他们。每个响应者都必须有自己的指定账户。账户配置必须实施 [强密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 和多重身份验证(MFA)。如果事件响应行动手册仅需要对 AWS 管理控制台的访问权限,则用户不应配置访问密钥,并且应明确禁止用户创建访问密钥。可以使用 IAM 策略或服务控制策略(SCP,Service Control Policy)进行此配置,如 AWS 安全最佳实践(适用于 [AWS Organizations SCP)中所述](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。用户仅能够在其他账户中代入事件响应角色,而不应具有其他任何权限。
在事件处理期间,可能需要向其他内部或外部人员授予访问权限,以支持调查、补救或恢复活动。在这种情况下,可以使用前面提到的行动手册机制,并且必须创建一个流程,确保在事件结束后立即撤消其他任何访问权限。
要确保能正确地监控和审计对事件响应角色的使用,至关重要的一点是,为此目的创建的 IAM 用户账户不会在人员之间共享,并且不会使用 AWS 账户 根用户,除非 [特定任务要求这样做](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)。如果需要根用户(例如,对特定账户的 IAM 访问权限不可用),请使用单独的流程和可用的行动手册来验证根用户密码和 MFA 令牌的可用性。
要为事件响应角色配置 IAM 策略,请考虑使用 [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 来生成基于 AWS CloudTrail 日志的策略。为此,请在非生产账户中向事件响应角色授予管理员访问权限,并运行行动手册。完成后,会创建一个策略,仅允许已执行的操作。之后,可以跨所有账户将此策略应用于所有事件响应角色。您可能希望为每个行动手册创建一个单独的 IAM 策略,以便更轻松地进行管理和审计。示例行动手册可能包括针对勒索软件、数据泄露、丢失生产访问权限和其他场景的响应计划。
使用事件响应用户账户可在 [其他 AWS 账户 中代入专用的事件响应 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。必须将这些角色配置为仅可由安全账户中的用户代入,并且信任关系必须要求调用主体已使用 MFA 进行身份验证。角色必须使用严格界定的 IAM 策略来控制访问。确保这些角色的所有 `AssumeRole` 请求都记录在 CloudTrail 中并发出提醒,并确保记录使用这些角色执行的任何操作。
强烈建议清楚地命名 IAM 用户账户和 IAM 角色,以便在 CloudTrail 日志中轻松找到他们。例如,将 IAM 账户命名为 `-BREAK-GLASS,` 并将 IAM 角色命名为 `BREAK-GLASS-ROLE`。
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 用于记录 AWS 账户中的 API 活动,并且应该用于 [配置关于使用事件响应角色的提醒。](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)。请参阅博文,了解有关配置使用根密钥时的提醒。可以修改说明以配置 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指标筛选条件,从而筛选 `AssumeRole` 事件(与事件响应 IAM 角色相关):
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
由于事件响应角色可能具有高级别的访问权限,因此,请务必将这些提醒转至广泛的群体,并及时采取适当的行动。
在事件处理期间,响应者可能需要访问不受 IAM 直接保护的系统。它们可能包括 Amazon Elastic Compute Cloud 实例、Amazon Relational Database Service 数据库或软件即服务(SaaS)平台。强烈建议不要使用 SSH 或 RDP 等本机协议,而是使用[AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 对 Amazon EC2 实例进行所有管理访问。可以使用安全且经过审计的 IAM 控制此访问。此外,还可以使用 [AWS Systems Manager Run Command 文档自动实施行动手册的部分内容,](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)这可以减少用户出错的机会并缩短恢复时间。对于访问数据库和第三方工具,我们建议将访问凭证存储在 AWS Secrets Manager 中,并向事件响应者角色授予访问权限。
最后,事件响应 IAM 用户账户的管理应该添加到您的 [合并人员、移动人员和离开人员流程中,](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) 并定期进行检查和测试,以确认只允许预期访问。
## 资源
**相关文档:**
+ [管理对 AWS 环境的临时提升的访问权限](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS 安全事件响应指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS 弹性灾难恢复](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [在 AWS 中使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ 使用 MFA 配置跨账户存取 ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ 使用 IAM Access Analyzer 生成 IAM 策略 ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ 多账户环境中的 AWS Organizations 服务控制策略的最佳实践 ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ 如何在使用 AWS 账户的根访问密钥时接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ 使用 IAM 托管策略创建精细会话权限 ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**相关视频:**
+ [ 在 AWS 中自动化事件响应和取证 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [运行手册、事件报告和事件响应 DIY 指南](https://youtu.be/E1NaYN_fJUo)
+ [ 准备和响应 AWS 环境中的安全事件 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**相关示例:**
+ [ 实验室:AWS 账户设置和根用户 ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ 实验:使用 AWS 控制台和 CLI 的事件响应 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 预先部署工具
确保安全人员将适当的工具预先部署到 AWS 中,以缩短调查到恢复的时间。
要自动化安全工程和运营功能,您可以使用 AWS 提供的一整套 API 和工具。您可以完全自动执行身份管理、网络安全、数据保护和监控功能,并使用您已采用的常见软件开发方法交付这些功能。当构建安全自动化时,您的系统可以监控、审核和启动响应,您不必安排人员监控您的安全位置并对事件做出人为响应。跨 AWS 服务,自动向意外事件响应者提供可搜索的相关日志数据的有效方法是启用 [Amazon Detective](https://aws.amazon.com/detective/).
如果您的事件响应团队继续以同样的方式响应警报,警报可能会让他们应接不暇。随着时间的推移,团队对警报的敏感性可能会下降,并可能在处理正常情况时犯错或者错过异常警报。利用一些功能自动处理重复和正常的警报,并将敏感、特殊的事件交由人员来处理,这样有助于避免疲于应对警报。集成异常检测系统(例如 Amazon GuardDuty、AWS CloudTrail Insights 和 Amazon CloudWatch Anomaly Detection)可以减轻常见的基于阈值的警报负担。
您可以通过编程方式自动执行此流程中的步骤,从而改进手动流程。为事件定义修复模式之后,您可以将此模式分解为可执行的逻辑,并编写代码以执行此逻辑。随后,响应者即可执行此代码以修复问题。随着时间的推移,您可以自动化越来越多的步骤,并最终自动处理各类常见事件。
对于在您的 Amazon Elastic Compute Cloud(Amazon EC2)实例的操作系统内运行的工具,您应使用 AWS Systems Manager Run Command 执行评估,它可以使用您安装在 Amazon EC2 实例操作系统中的代理,安全地远程管理实例。它需要使用 Systems Manager 代理(SSM 代理),很多亚马逊云机器镜像(AMI,Amazon Machine Image)中都默认安装了此代理。但请注意,一旦某个实例受损,此实例上运行的工具或代理所做出的任何响应都应被视为不可信赖的响应。
**未建立此最佳实践暴露的风险等级:** 低
## 实施指导
+ 预先部署工具:确保安全人员在 AWS 中预先部署了适当的工具,以便对意外事件做出适当响应。
+ [实验:使用 AWS 管理控制台和 CLI 响应意外事件 ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ 使用 Jupyter 的意外事件响应行动手册 – AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [AWS 安全自动化 ](https://github.com/awslabs/aws-security-automation)
+ 实施资源标记:用信息标记资源(例如,正在调查的资源的代码),以便在意外事件期间确定资源。
+ [AWS 标记策略 ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## 资源
**相关文档:**
+ [AWS 意外事件响应指南 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [ 运行手册、事件报告和事件响应 DIY 指南 ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 执行实际演练
随着组织不断发展壮大,威胁形势也会不断变化,因此持续评估组织的事件响应能力非常重要。执行实际演练,或者说执行模拟,正是一种可以用于进行这种评估的方法。模拟过程使用现实世界中的安全事件场景,旨在模仿威胁主体采取的战术、技术和程序(TTP),让组织通过响应现实中可能发生的模拟网络事件,来练习和评估自己的事件响应能力。
**建立此最佳实践的好处:** 模拟可带来诸多好处:
+ 检验网络准备情况,有助于事件响应人员树立信心。
+ 测试工具和工作流程的准确性和有效性。
+ 完善沟通和上报环节,使之与您的事件响应计划相吻合。
+ 提供机会来应对不太常见的攻击载体。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
模拟主要分为三种类型:
+ **桌面演练:** 桌面演练模拟方法是一种基于讨论的研讨会,让各个事件响应利益相关者参与进来,练习角色和职责,以及练习使用既定的沟通工具和行动手册。通常是用一整天的时间在虚拟场地和/或实地中协调完成演练。由于桌面演练以讨论为基础,因此侧重于流程、人员和协作。在讨论中,技术是必不可少的一部分,但事件响应工具或脚本的实际使用通常不包括在桌面演练中。
+ **紫队演练:** 紫队演练可提高事件响应人员(蓝队)和模拟威胁主体(红队)之间的协作水平。蓝队由安全运营中心(SOC)的成员组成,但也可以包括在实际网络事件中会参与进来的其他利益相关者。红队由渗透测试团队或接受过攻击安全培训的关键利益相关者组成。在设计场景时,红队会与演练协调员相互协作,以确保场景的准确性与可行性。在紫队演练中,主要的关注点是支持事件响应工作的检测机制、工具和标准操作程序(SOP)。
+ **红队演练:** 在红队演练中,进攻方(红队)模拟进行攻击,以在预定范围内实现特定目标或一系列目标。防御方(蓝队)不一定知道演练的范围和持续时间,如此,可以更真实地评估他们应对真实事件的能力。由于红队的演练可能是侵入性测试,因此务必谨慎行事,并实施控制措施,以确保该演练不会对环境造成实际破坏。
请考虑定期协调开展网络模拟。对于参与者和整个组织而言,每种演练类型都可以带来独特的好处,因此您可以选择从不太复杂的模拟类型(例如桌面演练)入手,然后再慢慢过渡到较为复杂的模拟类型(红队演练)。您应根据自身的安全成熟度、资源和预期结果选择模拟类型。由于红队演练的复杂性和成本,一些客户可能不会选择进行红队演练。
## 实施步骤
无论您选择哪种模拟类型,模拟通常都遵循以下实施步骤:
1. **定义核心演练要素:** 定义模拟场景和模拟要达成的目标。这两者都应该得到领导层的认同。
1. **确定主要利益相关者:** 演练至少需要演练协调员和参与者。根据具体的场景,可能会涉及其他利益相关者,例如法务、通信或行政等领域的领导层。
1. **构建和测试场景:** 如果有特定要素不可行,则可能需要在构建时重新定义该场景。本阶段的预期结果是最终确定的场景。
1. **协调开展模拟:** 采用的模拟类型决定了所需的协调工作(书面讨论场景对比高技术含量的模拟场景)。协调员应根据演练目标调整其协调战术,并应尽可能让所有演练参与者都参与进来,以实现最大利益。
1. **撰写事后报告(AAR):** 确定进展顺利的方面、需要改进的方面以及可能存在的差距。AAR 应衡量模拟的有效性,并记录团队对模拟事件的响应情况,以便在将来的模拟中可以不断跟踪进度。
## 资源
**相关文档:**
+ [AWS 事件响应指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**相关视频:**
+ [AWS 实际演练 – 安全版](https://www.youtube.com/watch?v=XnfDWID_OQs)
# 应用程序安全性
**Topics**
+ [SEC 11 如何在整个设计、开发和部署生命周期中纳入并验证应用程序的安全属性?](sec-11.md)
# SEC 11 如何在整个设计、开发和部署生命周期中纳入并验证应用程序的安全属性?
开展员工培训、执行自动化测试、了解依赖项,并验证各种工具和应用程序的安全属性,有助于降低生产工作负载中出现安全问题的可能性。
**Topics**
+ [SEC11-BP01 应用程序安全性培训](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
+ [SEC11-BP03 定期执行渗透测试](sec_appsec_perform_regular_penetration_testing.md)
+ [SEC11-BP04 人工代码审查](sec_appsec_manual_code_reviews.md)
+ [SEC11-BP05 集中管理服务,方便获取软件包和依赖项](sec_appsec_centralize_services_for_packages_and_dependencies.md)
+ [SEC11-BP06 以编程方式部署软件](sec_appsec_deploy_software_programmatically.md)
+ [SEC11-BP07 定期评测管道的安全属性](sec_appsec_regularly_assess_security_properties_of_pipelines.md)
+ [SEC11-BP08 建立规程,让工作负载团队负责安全领域](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
# SEC11-BP01 应用程序安全性培训
向贵组织的构建者提供培训,使其了解有关安全开发和操作应用程序的常见做法。在开发时采取安全至上的做法,有助于降低到安全审查阶段才会检测出问题的可能性。
**期望结果:**依照安全的理念设计和构建软件。如果组织中的构建者接受始于威胁建模的安全开发实践培训,就可以提高所开发软件的整体质量和安全性。因为经过安全审查阶段之后所需的返工较少,所以此方法可以减少交付软件或功能的时间。
就本最佳实践而言,*安全开发*是指正在编写的软件以及支持软件开发生命周期(SDLC)的工具或系统。
**常见反模式:**
+ 等到安全审查阶段才考虑系统的安全属性。
+ 将所有安全决策交给安全团队。
+ 未能传达在 SDLC 中作出的决策如何与组织的总体安全期望或策略相关联。
+ 太迟参与安全审查过程。
**建立此最佳实践的好处:**
+ 在开发周期的早期更好地了解组织对安全性的要求。
+ 能够更快地识别和修复潜在的安全问题,从而更快地交付功能。
+ 提高软件和系统的质量。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
为组织中的构建者提供培训。从[威胁建模](https://catalog.workshops.aws/threatmodel/en-US)课程开始,为帮助进行安全培训打下了良好的基础。理想情况下,构建者应该能够自助访问与其工作负载相关的信息。这种访问有助于他们就所构建系统的安全属性作出明智的决策,而不需要询问另一个团队。应该明确地定义让安全团队参与审查的流程,且这个流程应该简单易行。安全培训中应包括审查流程中的步骤。如果提供了已知的实施模式或模板,应该很容易找到它们并与总体安全要求关联起来。考虑使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/)、[AWS Cloud Development Kit (AWS CDK) Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)、[Service Catalog](https://aws.amazon.com/servicecatalog/) 或其他模板工具减少对自定义配置的需求。
### 实施步骤
+ 让构建者从有关[威胁建模](https://catalog.workshops.aws/threatmodel/en-US)的课程开始,打下很好的基础,并帮助培训他们如何思考安全性。
+ 让他们可以访问 [AWS 培训与认证](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)、行业或 AWS 合作伙伴培训。
+ 提供有关组织安全审查流程的培训,明确安全团队、工作负载团队和其他利益相关方之间的职责分工。
+ 发布有关如何满足安全要求的自助服务指南,包括代码示例和模板(如可用)。
+ 定期从构建者团队那里获得有关他们在安全审查流程和培训方面的体验反馈,并利用这些反馈来作出改进。
+ 使用实际试用或错误大扫除活动来帮助减少问题数量,以及增强构建者的技能。
## 资源
**相关最佳实践:**
+ [SEC11-BP08 建立规程,让工作负载团队负责安全领域](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
**相关文档:**
+ [AWS 培训和认证](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)
+ [如何看待云安全治理](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
+ [如何处理威胁建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [加速培训 – AWS Skills Guild](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html)
**相关视频:**
+ [主动式安全性:注意事项和方法](https://www.youtube.com/watch?v=CBrUE6Qwfag)
**相关示例:**
+ [有关威胁建模的研讨会](https://catalog.workshops.aws/threatmodel)
+ [开发人员的行业意识](https://owasp.org/www-project-top-ten/)
**相关服务:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Cloud Development Kit (AWS CDK)(AWS CDK)Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)
+ [Service Catalog](https://aws.amazon.com/servicecatalog/)
+ [AWS BugBust](https://docs.aws.amazon.com/codeguru/latest/bugbust-ug/what-is-aws-bugbust.html)
# SEC11-BP02 在整个开发和发布生命周期中执行自动化测试
在整个开发和发布生命周期中自动测试安全属性。自动化使得在发布软件前,更加容易始终如一反复识别软件中可能存在的问题,进而减少所提供的软件中存在安全问题的风险。
**期望结果:**自动测试的目标是提供一种程序化方式,在整个开发生命周期中尽早常常检测潜在问题。自动执行回归测试时,您可以重新运行功能测试和非功能测试,确认以前测试过的软件在更改后仍按预期执行。定义安全性单元测试以检查常见的错误配置(如身份验证中断或缺失)时,可以在开发过程的早期识别并修复这些问题。
测试自动化根据应用程序的要求和期望的功能,使用专门构建的测试用例进行应用程序验证。自动测试的结果基于将生成的测试输出与其各自的预期输出进行比较,从而加快整个测试生命周期。回归测试和单元测试套件等测试方法最适合自动化。自动执行安全属性的测试使构建者无需等待安全审查即可自动接收反馈。静态或动态代码分析形式的自动化测试可以提高代码质量,并帮助在开发生命周期的早期检测潜在的软件问题。
**常见反模式:**
+ 不传达自动化测试的测试用例和测试结果。
+ 就在发布之前执行自动化测试。
+ 使用自动化测试用例来应对经常变化的需求。
+ 未能就如何处理安全测试的结果提供指导。
**建立此最佳实践的好处:**
+ 减少对评估系统安全属性的人员的依赖。
+ 在多个工作流程中得到一致的结果可提高一致性。
+ 降低在生产软件中引入安全问题的可能性。
+ 由于及早发现软件问题,可以缩短检测和修复之间的时间。
+ 增加多个工作流中的系统或重复行为的可见性,可用于促进组织范围内的改进。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
在构建软件时,采用各种软件测试机制,以确保根据应用程序的业务逻辑测试应用程序的功能要求和非功能要求(重点关注应用程序可靠性、性能和安全性)。
静态应用程序安全性测试(SAST)分析源代码是否存在异常安全模式,并指出容易出现缺陷的代码。SAST 依赖于文档(需求规范、设计文档和设计规范)和应用程序源代码等静态输入来测试一系列已知的安全问题。静态代码分析器可以帮助加快大量代码的分析。[NIST Quality Group](https://www.nist.gov/itl/ssd/software-quality-group) 对[源代码安全性分析器](https://www.nist.gov/itl/ssd/software-quality-group/source-code-security-analyzers)进行了比较,包括针对[字节码扫描器](https://samate.nist.gov/index.php/Byte_Code_Scanners.html)和[二进制码扫描器](https://samate.nist.gov/index.php/Binary_Code_Scanners.html)的开源工具。
动态分析安全测试(DAST)方法针对正在运行的应用程序执行测试,以识别潜在的意外行为,能够对静态测试作出补充。动态测试可用于检测通过静态分析无法检测到的潜在问题。通过在代码存储库、构建和管道阶段进行测试,您可以检查出不同类型的潜在问题,防止这些问题进入到代码中。[Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) 在构建器的 IDE 中提供代码建议,包括安全扫描。[Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) 可以识别应用程序开发过程中的关键问题、安全问题以及难以发现的错误,并提供可提高代码质量的建议。
通过[开发人员安全性研讨会](https://catalog.workshops.aws/sec4devs),学会使用 AWS 开发人员工具(例如,[AWS CodeBuild](https://aws.amazon.com/codebuild/)、[AWS CodeCommit](https://aws.amazon.com/codecommit/) 和 [AWS CodePipeline](https://aws.amazon.com/codepipeline/))来自动执行发布管道,包括 SAST 和 DAST 测试方法。
在 SDLC 中,建立一个迭代过程,其中包括与安全团队一起定期审查应用程序。在发布准备情况审查过程中,应该处理和验证从这些安全审查中收集到的反馈。这些审查建立了健壮的应用程序安全态势,并为构建者提供切实可行的反馈,以解决潜在问题。
### 实施步骤
+ 实施一致的 IDE、代码审查和 CI/CD 工具,其中包括安全测试。
+ 考虑在 SDLC 中的哪个阶段适合阻塞管道,而不仅仅是通知构建者需要修复问题。
+ [开发人员安全性研讨会](https://catalog.workshops.aws/sec4devs)提供了将静态和动态测试集成到发布管道的示例。
+ 使用自动化工具(例如,与开发人员 IDE 集成的 [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/),以及用于在提交时扫描代码的 [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/))执行测试或代码分析,帮助构建者适时获得反馈。
+ 使用 AWS Lambda 构建应用程序时,您可以使用 [Amazon Inspector](https://aws.amazon.com/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/) 来扫描函数中的应用程序代码。
+ 利用 [AWS CI/CD 研讨会](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)作为在 AWS 上构建 CI/CD 管道的起点。
+ 当 CI/CD 管道中包括自动化测试时,您应该使用工单系统来跟踪软件问题的通知和修正。
+ 对于可能生成结果的安全测试,链接到补救指南可帮助构建者提高代码质量。
+ 定期分析使用自动化工具获得的结果,以确定下一个自动化、构建者培训或认知宣传活动的优先级。
## 资源
**相关文档:**
+ [持续交付和持续部署](https://aws.amazon.com/devops/continuous-delivery/)
+ [AWS DevOps 能力合作伙伴](https://aws.amazon.com/devops/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=partner-type%23technology&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-location=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&awsm.page-partner-solutions-cards=1)
+ [适用于应用程序安全性的 AWS 安全能力合作伙伴](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=use-case%23app-security&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc)
+ [选择 Well-Architected CI/CD 方法](https://aws.amazon.com/blogs/devops/choosing-well-architected-ci-cd-open-source-software-aws-services/)
+ [使用 Amazon EventBridge 和 Amazon CloudWatch Events 监控 CodeCommit 事件](https://docs.aws.amazon.com/codecommit/latest/userguide/monitoring-events.html)
+ [Amazon CodeGuru 审查中的密钥检测](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/recommendations.html#secrets-detection)
+ [通过有效的治理加快 AWS 上的部署](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [AWS 方法如何自动执行安全、不需要人工介入的部署](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
**相关视频:**
+ [不需要人工介入:在亚马逊自动实现持续交付管道](https://www.youtube.com/watch?v=ngnMj1zbMPY)
+ [自动执行跨账户 CI/CD 管道](https://www.youtube.com/watch?v=AF-pSRSGNks)
**相关示例:**
+ [开发人员的行业意识](https://owasp.org/www-project-top-ten/)
+ [AWS CodePipeline 治理](https://github.com/awslabs/aws-codepipeline-governance)(GitHub)
+ [开发人员安全性研讨会](https://catalog.us-east-1.prod.workshops.aws/workshops/66275888-6bab-4872-8c6e-ed2fe132a362/en-US)
+ [AWS CI/CD 研讨会](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
# SEC11-BP03 定期执行渗透测试
定期对软件执行渗透测试。此机制有助于识别无法通过自动化测试或人工代码审查检测到的潜在软件问题。它还有助于了解检测控制的有效性。渗透测试应设法确定软件是否会以意外方式执行,例如公开应受保护的数据,或者授予比预期更广泛的权限。
**期望结果:**使用渗透测试来检测、修复和验证应用程序的安全属性。在软件开发生命周期(SDLC)中应定期执行计划的渗透测试。在发布软件之前应处理渗透测试的结果。您应该分析渗透测试的结果,以确定是否存在使用自动化可以发现的问题。拥有包括主动反馈机制的定期且可重复渗透测试流程,有助于为构建者提供指导并提高软件质量。
**常见反模式:**
+ 仅对已知或普遍存在的安全问题进行渗透测试。
+ 未使用相关的第三方工具和库对应用程序执行渗透测试。
+ 仅对软件包安全问题进行渗透测试,而不评估已实施的业务逻辑。
**建立此最佳实践的好处:**
+ 在发布之前增强对软件安全属性的信心。
+ 有机会确定首选的应用程序模式,从而提高软件质量。
+ 获得一个反馈环路,在开发周期早期确定自动化或额外培训可以在哪些方面改进软件的安全属性。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
渗透测试是一项结构化安全测试练习,让您可以运行计划的安全漏洞方案,以便检测、修复和验证安全控制机制。渗透测试从侦察开始,在这个过程中,根据应用程序的当前设计及其依赖项收集数据。生成并运行特定于安全方面的测试方案的精选列表。这些测试的主要目的是发现应用程序中的安全问题,有人会利用这些安全问题来获得对环境的非预期访问,或未经授权访问数据。当推出新功能时,或者应用程序的功能或技术实施方面发生重大变更时,您应该执行渗透测试。
您应该确定在开发生命周期的哪个阶段执行渗透测试最为合适。应当尽量晚些时候执行此测试,以便系统功能接近预期的发布状态,但也要留有足够的时间来修复任何问题。
### 实施步骤
+ 采用结构化流程来确定渗透测试的范围,让这个流程基于[威胁模型](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)是保留场景相关性的好方法。
+ 确定在开发周期的什么阶段执行渗透测试较为合适。这个阶段应该是在应用程序预期改动很细微,但仍留有足够时间进行修复的时候。
+ 为构建者提供以下方面的培训:从渗透测试结果中可以期待获得什么,以及如何获得有关修复的信息。
+ 使用工具自动执行常见或可重复的测试,从而加快渗透测试的速度。
+ 分析渗透测试结果,以便确定系统性安全问题,并使用此数据为额外的自动化测试和正在进行的构建者培训提供信息。
## 资源
**相关最佳实践:**
+ [SEC11-BP01 应用程序安全性培训](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
**相关文档:**
+ [AWS 渗透测试](https://aws.amazon.com/security/penetration-testing/)提供有关 AWS 上的渗透测试的详细指导
+ [通过有效的治理加快 AWS 上的部署](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [AWS 安全能力合作伙伴](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc)
+ [使 AWS Fargate 上的渗透测试架构实现现代化改造](https://aws.amazon.com/blogs/architecture/modernize-your-penetration-testing-architecture-on-aws-fargate/)
+ [AWS Fault injection Simulator](https://aws.amazon.com/fis/)
**相关示例:**
+ [使用 AWS CodePipeline 自动执行 API 测试](https://github.com/aws-samples/aws-codepipeline-codebuild-with-postman)(GitHub)
+ [自动安全助手](https://github.com/aws-samples/automated-security-helper)(GitHub)
# SEC11-BP04 人工代码审查
对您制作的软件执行人工代码审查。此流程有助于确保编写代码的人不是唯一检查代码质量的人。
**期望结果:**在开发过程中纳入人工代码审查步骤可以提高所编写的软件的质量,帮助团队中缺乏经验的成员提升自身技能,并且有助于确定哪些情况可以使用自动化。自动化工具和测试可以支持人工代码审查。
**常见反模式:**
+ 在部署前不执行代码审查。
+ 让同一个人编写和审查代码。
+ 不使用自动化来协助或编排代码审查。
+ 在审查代码之前没有对构建者进行应用程序安全方面的培训。
**建立此最佳实践的好处:**
+ 提高代码质量。
+ 通过重复利用通用方法提高代码开发的一致性。
+ 减少在渗透测试和后续阶段发现的问题。
+ 改进团队内部的知识传授。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
在整个代码管理流程中应实施审查步骤。具体细节取决于分支、拉取请求和合并请求所用的方法。您可以使用 AWS CodeCommit 或第三方解决方案,例如 GitHub、GitLab 或 Bitbucket。无论使用哪种方法,务必要确认在将代码部署到生产环境中之前,您的流程需要进行代码审查。使用 [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 等工具可以更轻松地编排代码审查过程。
### 实施步骤
+ 在代码管理流程中实施人工审查步骤,并在继续之前执行此审查。
+ 考虑使用 [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) 来管理和协助代码审查工作。
+ 实施审批流程,要求在代码需要完成代码审查后方可进入下一阶段。
+ 验证是否存在这样一个流程:识别在人工代码审查期间发现并可以自动检测到的问题。
+ 根据您的代码开发实践集成人工代码审查步骤。
## 资源
**相关最佳实践:**
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
**相关文档:**
+ [在 AWS CodeCommit 存储库中使用拉取请求](https://docs.aws.amazon.com/codecommit/latest/userguide/pull-requests.html)
+ [在 AWS CodeCommit 中使用审批规则模板](https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html)
+ [关于 GitHub 中的拉取请求](https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-pull-requests)
+ [使用 Amazon CodeGuru Reviewer 自动审查代码](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/)
+ [使用 Amazon CodeGuru Reviewer CLI 自动检测 CI/CD 管道中的安全漏洞和错误](https://aws.amazon.com/blogs/devops/automating-detection-of-security-vulnerabilities-and-bugs-in-ci-cd-pipelines-using-amazon-codeguru-reviewer-cli/)
**相关视频:**
+ [使用 Amazon CodeGuru 持续改进代码质量](https://www.youtube.com/watch?v=iX1i35H1OVw)
**相关示例:**
+ [开发人员安全性研讨会](https://catalog.workshops.aws/sec4devs)
# SEC11-BP05 集中管理服务,方便获取软件包和依赖项
提供集中管理的服务,方便构建者团队获取软件包和其他依赖项。通过采取这种做法,可以在将软件包纳入所编写的软件之前,对软件包进行验证;另外,还可以为分析贵组织所使用的软件提供数据来源。
**期望结果:**除了正在编写的代码之外,软件还包含一组其他软件包。这样就可以轻松实施可重复使用的功能,例如 JSON 解析器或加密库。从逻辑上将这些软件包和依赖项的来源集中在一起,从而为安全团队提供了一种机制,可以在使用软件包之前对其属性进行验证。这种方法还降低了由于现有软件包中的更改或构建者团队(包括直接来自互联网的任意软件包)所引起的意外问题的风险。使用此方法与手动和自动测试流程相结合,增加对所开发软件质量的信心。
**常见反模式:**
+ 从互联网上的任意存储库中提取软件包。
+ 在将新软件包提供给构建者之前不进行测试。
**建立此最佳实践的好处:**
+ 更好地了解正在构建的软件中使用了哪些软件包。
+ 了解谁使用了哪些软件包后,在需要更新软件包时,能够向工作负载团队发出通知。
+ 降低软件中存在问题软件包的风险。
**在未建立这种最佳实践的情况下暴露的风险等级:**中等
## 实施指导
以构建者易于使用的方式为软件包和依赖项提供集中管理服务。集中管理服务可以在逻辑上集中,而不用作为一个整体系统来实施。利用此方法,您可以通过满足构建者需求的方法来提供服务。您应该实施一种有效的方法:在发生更新或出现新需求时将软件包添加到存储库。[AWS CodeArtifact](https://aws.amazon.com/codeartifact/) 等 AWS 服务或类似的 AWS 合作伙伴解决方案提供了一种实现此功能的方法。
### 实施步骤:
+ 实施可在用于开发软件的所有环境中使用的逻辑集中式存储库服务。
+ 在 AWS 账户 账户分配过程中包括对存储库的访问权限。
+ 构建自动化以在存储库中发布软件包之前对其进行测试。
+ 维护最常用软件包、语言和更改量最大的团队的指标。
+ 为构建者团队提供一种自动化机制来请求新软件包和提供反馈。
+ 定期扫描存储库中的软件包,以确定新发现的问题的潜在影响。
## 资源
**相关最佳实践:**
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
**相关文档:**
+ [通过有效的治理加快 AWS 上的部署](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [使用 CodeArtifact Package Origin Control 工具包加强软件包的安全性](https://aws.amazon.com/blogs/devops/tighten-your-package-security-with-codeartifact-package-origin-control-toolkit/)
+ [使用 Amazon CodeGuru Reviewer 检测日志记录中的安全问题](https://aws.amazon.com/blogs/devops/detecting-security-issues-in-logging-with-amazon-codeguru-reviewer/)
+ [软件构件的供应链级别(SLSA)](https://slsa.dev/)
**相关视频:**
+ [主动式安全性:注意事项和方法](https://www.youtube.com/watch?v=CBrUE6Qwfag)
+ [AWS 安全理念(re:Invent 2017)](https://www.youtube.com/watch?v=KJiCfPXOW-U)
+ [当安全、保障和紧迫性都很重要时:处理 Log4Shell](https://www.youtube.com/watch?v=pkPkm7W6rGg)
**相关示例:**
+ [多区域软件包发布管道](https://github.com/aws-samples/multi-region-python-package-publishing-pipeline)(GitHub)
+ [使用 AWS CodePipeline 在 AWS CodeArtifact 上发布 Node.js 模块](https://github.com/aws-samples/aws-codepipeline-publish-nodejs-modules)(GitHub)
+ [AWS CDK Java CodeArtifact 管道示例](https://github.com/aws-samples/aws-cdk-codeartifact-pipeline-sample)(GitHub)
+ [使用 AWS CodeArtifact 分发专用 .NET NuGet 包](https://github.com/aws-samples/aws-codeartifact-nuget-dotnet-pipelines)(GitHub)
# SEC11-BP06 以编程方式部署软件
尽可能以编程方式部署软件。通过采取这种做法,可以降低由于人为错误导致部署失败或引入意外问题的可能性。
**期望结果:**让人们远离数据是在 AWS 云 中安全构建的一项关键原则。此原则包括如何部署软件。
不依赖人来部署软件的好处是,您可以更加确信,您测试的内容就是部署的内容,并且确信每次都一致地执行部署。无需更改软件即可在不同的环境中运行。使用十二要素应用程序开发原则,特别是配置的外部化,使您无需更改即可将相同的代码部署到多个环境。对软件包进行加密签名可以很好地确认不同环境之间什么也没有改变。这种方法的总体结果是降低更改过程中的风险以及提升软件版本的一致性。
**常见反模式:**
+ 手动将软件部署到生产环境中。
+ 手动对软件进行更改,以适应不同的环境。
**建立此最佳实践的好处:**
+ 增强对软件发布过程的信心。
+ 降低了失败的更改对业务功能造成影响的风险。
+ 由于更改风险降低,从而加快了发布节奏。
+ 针对部署过程中的意外事件的自动回滚功能。
+ 能够以加密方式证明所测试的软件是部署的软件。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
构建 AWS 账户 结构时减少持续的人类访问环境的情况,并使用 CI/CD 工具来进行部署。适当地设计应用程序,以便从外部源(例如,[AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html))获得特定于环境的配置数据。在测试软件包后对其进行签名,并在部署期间验证这些签名。配置 CI/CD 管道以推送应用程序代码,并使用金丝雀来确认已成功部署。使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 或 [AWS CDK](https://aws.amazon.com/cdk/) 等工具来定义基础设施,然后使用 [AWS CodeBuild](https://aws.amazon.com/codebuild/) 和 [AWS CodePipeline](https://aws.amazon.com/codepipeline/) 来执行 CI/CD 操作。
### 实施步骤
+ 构建明确定义的 CI/CD 管道,以便简化部署过程。
+ 使用 [AWS CodeBuild](https://aws.amazon.com/codebuild/) 和 [AWS Code Pipeline](https://aws.amazon.com/codepipeline/) 来提供 CI/CD 功能,从而更容易将安全测试集成到管道中。
+ 遵循[使用多个账户组织 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)白皮书中有关环境分离的指导。
+ 确认在运行生产工作负载的环境中没有持续的人类访问。
+ 设计应用程序以支持配置数据外部化。
+ 考虑使用蓝绿部署模式进行部署。
+ 实施金丝雀以验证软件是否成功部署。
+ 使用 [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 或 [AWS Key Management Service(AWS KMS)](https://aws.amazon.com/kms/)等加密工具为部署的软件包签名和进行验证。
## 资源
**相关最佳实践:**
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
**相关文档:**
+ [AWS CI/CD 研讨会](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
+ [通过有效的治理加快 AWS 上的部署](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [自动执行安全、不需要人工介入的部署](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
+ [使用 AWS Certificate Manager Private CA 和 AWS Key Management Service 非对称密钥进行代码签名](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/)
+ [代码签名,用于 AWS Lambda 的可信度和完整性控制措施](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
**相关视频:**
+ [不需要人工介入:在亚马逊自动实现持续交付管道](https://www.youtube.com/watch?v=ngnMj1zbMPY)
**相关示例:**
+ [使用 AWS Fargate 进行蓝绿部署](https://catalog.us-east-1.prod.workshops.aws/workshops/954a35ee-c878-4c22-93ce-b30b25918d89/en-US)
# SEC11-BP07 定期评测管道的安全属性
对您的管道运用 Well-Architected 安全性支柱原则,尤其注意权限分离。定期评测管道基础设施的安全属性。通过有效管理管道*的*安全性,可以确保*通过*管道的软件的安全性。
**期望结果:**用于构建和部署软件的管道应遵循与环境中任何其他工作负载相同的推荐做法。正在使用测试的构建者应该不能编辑在管道中实施的测试。管道应该只拥有它们正在执行的部署所需的权限,并应实施保护措施以避免部署到错误的环境。管道不应该依赖长期凭证,且应配置为发出状态,以便可以验证构建环境的完整性。
**常见反模式:**
+ 构建者可以绕过安全测试。
+ 用于部署管道的权限过于宽松。
+ 未将管道配置为验证输入。
+ 不定期审查与 CI/CD 基础设施关联的权限。
+ 使用长期或硬编码凭证。
**建立此最佳实践的好处:**
+ 对通过管道构建和部署的软件的完整性有了更大的信心。
+ 在出现可疑活动时可以停止部署。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
从支持 IAM 角色的托管 CI/CD 服务开始,可以降低凭证泄露的风险。将安全性支柱原则应用到 CI/CD 管道基础设施有助于确定可以在哪些方面作出安全改进。遵循 [AWS 部署管道参考架构](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)是构建 CI/CD 环境的一个很好的起点。定期审查管道实施和分析日志以了解意外行为,这样有助于您了解用于部署软件的管道的使用模式。
### 实施步骤
+ 从 [AWS 部署管道参考架构](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)开始。
+ 考虑使用 [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) 以编程方式生成管道的最低权限 IAM 策略。
+ 将管道与监控和警报集成在一起,以便在发生意外或异常活动时您会得到通知,对于 AWS 托管服务,[Amazon EventBridge](https://aws.amazon.com/eventbridge/) 允许您将数据路由到目标,例如 [AWS Lambda](https://aws.amazon.com/lambda/) 或 [Amazon Simple Notification Service](https://aws.amazon.com/sns/)(Amazon SNS)。
## 资源
**相关文档:**
+ [AWS 部署管道参考架构](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)
+ [监控 AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/monitoring.html)
+ [AWS CodePipeline 的安全最佳实践](https://docs.aws.amazon.com/codepipeline/latest/userguide/security-best-practices.html)
**相关示例:**
+ [DevOps 监控控制面板](https://github.com/aws-solutions/aws-devops-monitoring-dashboard)(GitHub)
# SEC11-BP08 建立规程,让工作负载团队负责安全领域
建立规程或机制,使构建者团队能够针对创建的软件作出安全决策。这些决策仍然需要由安全团队通过审查加以验证,但让构建者团队负责安全领域可以构建速度更快、安全性更高的工作负载。此机制还可促进负责任文化,进而对所构建系统的运营产生积极影响。
**期望结果:**为了让构建者团队负责安全性和决策制定,您可以向构建者团队提供安全思维方式方面的培训,或者让安全人员加入构建者团队或与构建者团队联系在一起,从而增强他们的培训。这两种方法都有效,并且可以让团队在开发周期的早期作出更高质量的安全决策。这种负责任模式基于应用程序安全性培训。从特定工作负载的威胁建模开始,有助于将设计思维集中在合适的场景中。拥有一个专注于安全的构建者社区,或者拥有一组与构建者团队合作的安全工程师带来的另一项好处是,您可以更深入地了解如何编写软件。这种了解帮助您确定自动化能力的下一个改进领域。
**常见反模式:**
+ 将所有安全设计决策交给安全团队。
+ 在开发过程中没有及早满足安全要求。
+ 没有从构建者和安全人员那里获得关于计划运营的反馈。
**建立此最佳实践的好处:**
+ 缩短完成安全审查的时间。
+ 减少等到安全审查阶段才检测到安全问题的情况。
+ 提高所编写软件的整体质量。
+ 有机会识别和了解系统性问题或高价值改进领域。
+ 进行安全审查后,发现的问题可以在早期进行修复,从而减少所需的返工量。
+ 提升对安全功能的认知。
**在未建立这种最佳实践的情况下暴露的风险等级:**低
## 实施指导
从[SEC11-BP01 应用程序安全性培训](sec_appsec_train_for_application_security.md)中的指导开始。然后确定您认为可能最适合您组织的计划的运营模式。两个主要模式是对构建者进行培训,或在构建者团队中加入安全人员。确定初始方法后,应使用单个或一小组工作负载团队进行试点,以证明该模式适用于您的组织。来自组织的构建者和安全团队的领导层支持有助于计划的成功交付。在构建此计划时,重要的是选择可以用来显示项目价值的指标。了解 AWS 如何解决这个问题是一个很好的学习经验。这个最佳实践非常注重组织变革和文化。您使用的工具应支持构建者和安全社区之间的协作。
### 实施步骤
+ 首先对构建者进行应用程序安全性培训。
+ 创建一个社区和入门培训计划来对构建者进行培训。
+ 为计划选择一个名称。通常使用守护者、拥护者或倡导者。
+ 确定要使用的模式:培训构建者、加入安全工程师或具有相关性安全角色。
+ 从安全性、构建者和可能的其他相关团体中确定项目发起人。
+ 跟踪参与计划的人数、审查所花时间以及来自构建者和安全人员的反馈等指标。使用这些指标来作出改进。
## 资源
**相关最佳实践:**
+ [SEC11-BP01 应用程序安全性培训](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 在整个开发和发布生命周期中执行自动化测试](sec_appsec_automate_testing_throughout_lifecycle.md)
**相关文档:**
+ [如何处理威胁建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [如何看待云安全治理](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
**相关视频:**
+ [主动式安全性:注意事项和方法](https://www.youtube.com/watch?v=CBrUE6Qwfag)