本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS Accelerate 中的標準控制項
以下是 AMS 中的標準控制項:
| ID | 技術標準 |
|---|---|
| 1.0 | 逾時持續時間 |
| 1.1 | 聯合身分使用者預設逾時工作階段為一小時,最多可增加四個小時。 |
| 1.2 | Microsoft Windows Server 的 RDP 工作階段逾時設定為 15 分鐘,可根據使用案例進行擴展。 |
| 2.0 | AWS 根帳戶用量 |
| 2.1 | 如果根帳戶因任何原因使用,Amazon GuardDuty 必須設定為產生相關調查結果。 |
| 2.2 | 不得建立根帳戶的存取金鑰。 |
| 3.0 | 使用者建立和修改 |
| 3.1 | 可以建立具有程式設計存取和唯讀許可的 IAM 使用者/角色,而不需要任何時間限制政策。不過,不允許許可讀取帳戶中所有 Amazon Simple Storage Service 儲存貯體中的物件 (例如 S3:GetObject)。 |
| 3.1.1 | 用於主控台存取和具有唯讀許可的 IAM 人類使用者可以使用時間限制政策 (最多 180 天) 建立,而removal/renewal/extension時間限制政策將導致風險通知。不過,不允許讀取帳戶中所有 S3 儲存貯體中物件 (例如 S3:GetObject) 的許可。 S3 |
| 3.2 | 在沒有接受風險的情況下,不得在客戶帳戶中建立具有任何基礎設施變更許可 (寫入和許可管理) 的主控台和程式設計存取的 IAM 使用者和角色。S3 物件層級寫入許可存在例外狀況,只要特定儲存貯體位於非 AMS 相關標籤的範圍和標記操作中,這些許可就可以接受風險。 |
| 3.3 | 在 Microsoft Windows Server 上,僅必須建立 Microsoft 群組受管服務帳戶 (gMSA)。 |
| 4.0 | 政策、動作和 APIs |
| 4.4 | 政策不得以等同於「效果」:「允許」搭配「動作」:「*」而非「資源」:「*」的陳述式提供管理員存取權,而不接受風險。 |
| 4.6 | 客戶 IAM 政策中不得針對 AMS 基礎設施金鑰對 KMS 金鑰政策進行 API 呼叫。 |
| 4.8 | 不允許對 Amazon Route 53 中的 AMS 基礎設施 DNS 記錄進行變更的動作。 |
| 4.9 | 具有遵循到期程序後建立主控台存取權的 IAM 人類使用者,除了信任政策、擔任角色和時間有限的政策之外,不得直接連接任何政策。 |
| 4.10 | 您可以在相同帳戶中建立具有特定秘密或命名空間讀取存取權 AWS Secrets Manager 的 Amazon EC2 執行個體設定檔。 |
| 4.12 | IAM 政策不得包含任何動作,其中包括在任何 AMS Amazon CloudWatch 日誌群組上允許 log:DeleteLogGroup 和 logs:DeleteLogStream 的動作。 |
| 4.13 | 不允許建立多區域金鑰的許可。 |
| 4.14 | 透過使用服務特定 S3 條件金鑰 s3:ResourceAccount 指定帳戶號碼,即可限制對客戶帳戶存取儲存貯體,藉此提供尚未在客戶帳戶中建立的 S3 儲存貯體 ARN 存取權。 |
| 4.15.1 | 您可以檢視、建立、列出和刪除對 S3 儲存鏡頭自訂儀表板的存取權。 |
| 4.16 | 可以將 SQL Workbench 相關的完整許可授予角色/使用者,以便在 Amazon Redshift 資料庫上運作。 |
| 4.17 | 可將任何 AWS CloudShell 許可授予客戶角色,做為 CLI 的替代方案。 |
| 4.18 | AWS 服務為信任委託人的 IAM 角色也需要符合 IAM 技術標準。 |
| 4.19 | 服務連結角色 (SLRs) 不受 AMS IAM 技術標準的約束,因為它們是由 IAM 服務團隊建置和維護。 |
| 4.20 | IAM 政策不應允許讀取帳戶中所有 S3 儲存貯體中的物件 (例如 S3:GetObject)。 S3 |
| 4.21 | 資源類型「savingsplan」的所有 IAM 許可都可以授予客戶。 |
| 4.22 | AMS 工程師不得在 Amazon S3、Amazon Relational Database Service、Amazon DynamoDB 等任何資料儲存服務中,或在作業系統檔案系統中手動複製或移動客戶資料 (檔案、S3 物件、資料庫等)。 Amazon S3 |
| 6.0 | 跨帳戶政策 |
| 6.1 | 您可以根據客戶記錄設定屬於相同客戶的 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.2 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時 (透過確認其位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能設定 AMS 和非 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.3 | 未經風險接受,不得設定 AMS 帳戶與第三方帳戶之間的 IAM 角色信任政策。 |
| 6.4 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取任何客戶管理的 CMKs。 |
| 6.5 | 您可以設定跨帳戶政策,以透過 AMS 帳戶存取非 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6 | 在未接受風險的情況下,不允許跨帳戶政策存取第三方帳戶在 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6.1 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時,才能設定跨帳戶政策以存取 AMS 帳戶內的任何 KMS 金鑰。 |
| 6.7 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取可存放資料的任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.8 | 可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源的跨帳戶政策,其中的資料可存放在非 AMS 帳戶中 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.9 | 存取任何 S3 儲存貯體資料或資源的跨帳戶政策 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift),其具有從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的寫入許可,只有在非 AMS 帳戶為相同 AMS 客戶所擁有 (透過確認其位於相同 AWS Organizations 帳戶或將電子郵件網域與客戶的公司名稱相符) 時,才必須設定。 |
| 6.10 | 跨帳戶政策,可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或可存放資料的資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.11 | 從具有寫入存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift) 的跨帳戶政策不得設定。 |
| 6.12 | 在未接受風險的情況下,不得設定來自第三方帳戶的跨帳戶政策來存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 (asAmazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 7.0 | User Groups (使用者群組) |
| 7.1 | 允許具有唯讀和非變動許可的 IAM 群組。 |
| 8.0 | 以資源為基礎的政策 |
| 8.4 | AMS 基礎設施資源應透過附加以資源為基礎的政策,不受未經授權的身分管理。 |
| 8.2 | 除非客戶明確指定不同的政策,否則應使用最低權限的資源型政策來設定客戶資源。 |
以下是 X003 - 網路安全的標準控制項:
| ID | 技術標準 |
|---|---|
| 聯網 | |
| 1.0 | 預留供未來控制 |
| 2.0 | 允許 EC2 執行個體上的彈性 IP |
| 3.0 | 必須使用 AMS 控制平面和資料平面 TLS 1.2+ 中的延伸。 |
| 5.0 | 如果根據 9.0 未連接到負載平衡器,則安全群組在傳入規則中不得具有 0.0.0.0/0 的來源 |
| 6.0 | 未經風險接受,不得公開 S3 儲存貯體或物件。 |
| 7.0 | 連接埠 SSH/22 或 SSH/2222 (非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 RPC/135、NETBIOS/137-139 上的伺服器管理存取權不得透過安全群組從 VPC 外部進行。 |
| 8.0 | 連接埠 (MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433) 或自訂連接埠上的資料庫管理存取權,不得允許來自未透過 DX、VPC 對等或 VPN 透過安全群組路由至 VPC 的公IPs。 |
| 8.1 | 任何可存放客戶資料的資源都不應直接公開至公有網際網路。 |
| 9.0 | 透過連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443 從網際網路存取的直接應用程式僅允許載入平衡器,但不允許直接存取任何運算資源,例如 EC2 執行個體、ECS/EKS/Fargate 容器等。 |
| 10.0 | 允許從客戶私有 IP 範圍透過連接埠 HTTP/80 和 HTTPS/443 存取應用程式。 |
| 11.0 | 未經風險接受,不得允許對控制 AMS 基礎設施存取的安全群組進行任何變更。 |
| 12.0 | 每次請求將安全群組連接到執行個體時,AMS Security 都會參考標準。 |
| 14.0 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 (透過確認它們位於相同的 AWS Organization 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能使用內部工具,設定私有託管區域與 VPCs 從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的跨帳戶關聯。 |
| 15.0 | 您可以允許屬於相同客戶之帳戶之間的 VPC 對等互連。 |
| 16.0 | AMS 基礎 AMIs 可以使用內部工具與非 AMS 帳戶共用,只要這兩個帳戶都由相同客戶擁有 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符)。 |
| 17.0 | 未經風險接受,不得在任何安全群組中設定 FTP 連接埠 21。 |
| 18.0 | 只要客戶擁有所有帳戶,就可以透過傳輸閘道進行跨帳戶網路連線。 |
| 19.0 | 不允許將私有子網路設為公有 |
| 20.0 | 不允許與第三方帳戶 (非客戶擁有) 建立 VPC 互連連線。 |
| 21.0 | 不允許透過第三方帳戶 (非客戶擁有) 連接 Transit Gateway。 |
| 22.0 | AMS 為客戶提供服務所需的任何網路流量,不得在客戶網路輸出點遭到封鎖。 |
| 23.0 | 從客戶基礎設施向 Amazon EC2 發出的傳入 ICMP 請求將需要風險通知。 |
| 24.0 | 允許透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求。 |
| 25.0 | 未透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求需要接受風險。 |
| 26.0 | 允許從 Amazon EC2 到任何目的地的傳出 ICMP 請求。 |
| 27.0 | 安全群組共用 |
| 27.1 | 如果安全群組符合此安全標準,則可以在相同帳戶中VPCs 和相同組織中的 帳戶之間共用。 |
| 27.2 | 如果安全群組不符合此標準,且此安全群組先前需要接受風險,則不允許在相同帳戶中的 VPCs 之間或相同組織中的 帳戶之間使用安全群組共用功能,而不接受該 VPC 或帳戶的新帳戶的風險。 |
以下是 X004 - 滲透測試的標準控制項
AMS 不支援 pentest 基礎設施。這是客戶的責任。例如,Kali 不是 Linux 的 AMS 支援發行版本。
客戶需要遵守滲透測試
。 如果客戶想要在帳戶中執行基礎設施滲透測試,AMS 會提前 24 小時預先通知。
AMS 會根據客戶在變更請求或服務請求中明確陳述的客戶需求,佈建客戶滲透基礎設施。
客戶滲透基礎設施的身分管理是客戶的責任。
以下是 X005 - GuardDuty 的標準控制項
GuardDuty 必須隨時在所有客戶帳戶中啟用。
GuardDuty 提醒必須存放在相同帳戶或相同組織下的任何其他受管帳戶中。
不得使用 GuardDuty 的信任 IP 清單功能。反之,自動封存可以用作替代方案,這適用於稽核目的。
以下是 X007 - 記錄的標準控制項
| ID | 技術標準 |
|---|---|
| 1.0 | 日誌類型 |
| 1.1 | 作業系統日誌:所有主機必須至少記錄主機身分驗證事件、所有使用提升權限的存取事件,以及所有存取和權限組態變更的存取事件,包括成功和失敗。 |
| 1.2 | AWS CloudTrail:必須啟用並設定 CloudTrail 管理事件記錄,才能將日誌交付至 S3 儲存貯體。 |
| 1.3 | VPC 流程日誌:所有網路流量日誌都必須透過 VPC 流程日誌記錄。 |
| 1.4 | Amazon S3 伺服器存取記錄:存放日誌的 AMS 強制 S3 儲存貯體必須啟用伺服器存取記錄。 |
| 1.5 | AWS Config 快照: AWS Config 必須記錄所有區域中所有支援資源的組態變更,並每天至少將組態快照檔案交付至 S3 儲存貯體一次。 |
| 1.7 | 應用程式日誌:客戶有權在其應用程式中啟用記錄,並存放在 CloudWatch Logs 日誌群組或 S3 儲存貯體中。 |
| 1.8 | S3 物件層級記錄:客戶有權在其 S3 儲存貯體中啟用物件層級記錄。 |
| 1.9 | 服務記錄:客戶有權啟用和轉送 SSPS 服務的日誌,例如任何核心服務。 |
| 1.10 | Elastic Load Balancing(Classic/Application Load Balancer/Network Load Balancer) 日誌:存取和錯誤日誌項目必須存放在 AMS 2.0 受管 S3 儲存貯體中。 |
| 2.0 | 存取控制 |
| 2.3 | 存放日誌的 AMS 授權 S3 儲存貯體不得允許第三方將使用者視為儲存貯體政策中的原則。 |
| 2.4 | 未經客戶授權的安全聯絡人明確核准,不得刪除來自 CloudWatch Logs 日誌群組的日誌。 |
| 3.0 | 日誌保留 |
| 3.1 | AMS 指定的 CloudWatch Logs 日誌群組在日誌上必須至少保留 90 天。 |
| 3.2 | 存放日誌的 AMS 授權 S3 儲存貯體在日誌上必須至少保留 18 個月。 |
| 3.3 | AWS Backup 快照應可在支援的 資源上至少保留 31 天。 |
| 4.0 | 加密 |
| 4.1 | 必須在存放日誌的 AMS 團隊所需的所有 S3 儲存貯體中啟用加密。 |
| 4.2 | 任何從客戶帳戶轉送到任何其他帳戶的日誌都必須加密。 |
| 5.0 | 完整性 |
| 5.1 | 必須啟用日誌檔案完整性機制。這表示在 AMS 團隊所需的 AWS CloudTrail 線索中設定「記錄檔案驗證」。 |
| 6.0 | 日誌轉送 |
| 6.1 | 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 |
| 6.2 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱和 PAYER 連結帳戶相符),才能使用內部工具,從 AMS 轉送任何日誌到非 AMS 帳戶。 |
