本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS Advanced 中的標準控制項
以下是 AMS 中的標準控制項:
以下是 001 - 標記組態的標準控制項。
AMS 團隊用於操作和管理目的所需的所有 AWS 資源都必須具有下列鍵值對。
AppId= AMSInfrastructure
環境 = AMSInfrastructure
AppName = AMSInfrastructure
AMSResource=True
除了先前列出的標籤外,AMS 團隊所需的所有標籤都必須具有 AMS 字首清單中提及的字首 (請參閱備註)。
AMS 團隊 (AppId、Environment 和 AppName) 所需的標籤值,可以在您根據變更請求建立的任何資源上進行變更。
不得根據您的變更請求刪除 AMS 所需堆疊上的任何標籤。
您無法為您的基礎設施使用 AMS 標籤命名慣例,如第 2 點所述。
您可以在 AMS 所需的資源中建立自訂標籤 (通常用於計費和成本報告使用案例)。如果資源是透過堆疊更新而非更新範本來更新,則會保留自訂標籤。
注意
AMS 字首清單
ams-*
AWSManagedServices*
/ams/*
ams*
AMS*
Ams*
mc*
MC*
Mc*
sentinel*
Sentinel*
Managed_Services*
NewAMS*
AWS_*
aws*
VPC_*
CloudTrail*
Cloudtrail*
/aws_reserved/
輸入*
EPSDB*
MMS*
TemplateId*
StackSet-ams*
StackSet-AWS-Landing-Zone
IAMPolicy*
customer-mc-*
根*
LandingZone*
StateMachine*
codedeploy_service_role
managementhost
https://sentinel.int。
eps
UnhealthyInServiceBastion
毫秒-
| ID | 技術標準 |
|---|---|
| 1.0 | 逾時持續時間 |
| 1.1 | 聯合身分使用者預設逾時工作階段為一小時,最多可增加四個小時。 |
| 1.2 | 預設堆疊存取時間為 12 小時。 |
| 2.0 | AWS 根帳戶用量 |
| 2.1 | 如果根帳戶因任何原因使用,Amazon GuardDuty 必須設定為產生相關調查結果。 |
| 2.2 | 對於單一帳戶登陸區域 (SALZ) 帳戶和多帳戶登陸區域 (MALZ) 管理帳戶 (先前稱為主帳戶/帳單帳戶),根使用者帳戶必須啟用虛擬 MFA,並在帳戶加入期間捨棄 MFA 軟字符,因此 AMS 和客戶都無法登入為根帳戶。標準 AWS 根密碼遺失程序必須與 AMS Cloud Service Delivery Manager (CSDM) 一起遵循。此組態必須在 AMS 受管帳戶的生命週期期間保留。 |
| 2.3 | 您不得為根帳戶建立存取金鑰。 |
| 3.0 | 使用者建立和修改 |
| 3.1 | 可以建立具有程式設計存取和唯讀許可的 IAM 使用者/角色,無需任何時間限制政策。不過,不允許在帳戶中所有 Amazon Simple Storage Service 儲存貯體中讀取物件 (例如 S3:GetObject) 的許可。 |
| 3.1.1 | 用於主控台存取和具有唯讀許可的 IAM 人類使用者可以使用時間限制政策 (最多 180 天) 建立,而removal/renewal/extension時間限制政策將導致風險通知。不過,不允許讀取帳戶中所有 S3 儲存貯體中物件 (例如 S3:GetObject) 的許可。 S3 |
| 3.2 | 在沒有接受風險的情況下,不得在客戶帳戶中建立具有任何基礎設施變更許可 (寫入和許可管理) 的主控台和程式設計存取的 IAM 使用者和角色。S3 物件層級寫入許可存在例外狀況,只要特定儲存貯體位於非 AMS 相關標籤的範圍和標記操作中,這些許可就可以接受而不接受風險。 |
| 3.3 | 可以在 SALZ 或 MALZ 應用程式帳戶customer_servicenow_user和 *core 帳戶* 中建立名為 且customer_servicenow_logging_user需要 ServiceNow 整合的程式設計存取 IAM 使用者,無需任何時間限制政策。 |
| 3.4 | 您可以建立在 SALZ customer_cloud_endure_policy和 MALZ 帳戶中使用 CloudEndure 整合所需的 和 customer_cloud_endure_deny_policy(具有唯讀存取權) 具有程式設計存取權的 IAM 使用者,但在計劃的遷移期間需要有時間限制的政策。時間限制的最長期間為 180 天,不含任何 RA。SCP 也獲授權變更 MALZ 帳戶,以允許這些政策在所需期間內運作。您可以根據您的需求定義適當的遷移時段,並視需要調整。 |
| 4.0 | 政策、動作和 APIs |
| 4.1 | SALZ 帳戶中的所有 IAM 使用者和角色都必須連接預設的客戶拒絕政策 (CDP),以保護 AMS 基礎設施免於意外或故意損壞。 |
| 4.2 | AMS SCPs 必須在 MALZ 中的所有 AMS 受管帳戶中啟用。 |
| 4.3 | 能夠在 KMS 金鑰上執行管理動作的身分,例如 PutKeyPolicy、 和 ScheduleKeyDeletion,必須僅限於 AMS 運算子和自動化主體。 |
| 4.4 | 政策不得以等同於「效果」:「允許」搭配「動作」:「*」而非「資源」:「*」的陳述式提供管理員存取權,而不接受風險。 |
| 4.5 | IAM 政策不得包含任何動作,包含動作 允許 S3:*** 在任何儲存貯體上,而不接受風險。 |
| 4.6 | 客戶 IAM 政策中不得針對 AMS 基礎設施金鑰對 KMS 金鑰政策進行 API 呼叫。 |
| 4.7 | 不允許繞過變更管理程序 (RFC) 的動作,例如啟動或停止執行個體、建立 S3 儲存貯體或 RDS 執行個體等。 |
| 4.8 | 不允許對 Amazon Route 53 中的 AMS 基礎設施 DNS 記錄進行變更的動作。 |
| 4.9 | 在遵循到期程序後建立主控台存取權的 IAM 人工使用者,除了信任政策、擔任角色和時間有限的政策之外,不得直接連接任何政策。 |
| 4.10 | 您可以在相同帳戶中建立具有特定秘密或命名空間讀取存取權 AWS Secrets Manager 的 Amazon EC2 執行個體描述檔。 |
| 4.11 | AWS Managed Services Change Management (AMSCM) 或 AWS Managed Services Service 知識管理系統 (AMSSKMS) 許可可以新增至任何角色 (可開啟 SR/Incident/RFC 的 )。 |
| 4.12 | IAM 政策不得包含任何動作,其中包括在任何 AMS Amazon CloudWatch 日誌群組上允許 log:DeleteLogGroup 和 logs:DeleteLogStream 的動作。 |
| 4.13 | 不允許建立多區域金鑰的許可。 |
| 4.14 | 若要提供尚未在帳戶中建立之 S3 儲存貯ARNs 的存取權,請使用服務特定的 S3 條件金鑰s3:ResourceAccount來指定帳戶號碼。 |
| 4.15 | 您可以檢視、建立、列出和刪除自訂儀表板的存取權,但只能在 Amazon CloudWatch 儀表板上檢視和列出存取權。 |
| 4.15.1 | 您可以檢視、建立、列出和刪除對 S3 儲存鏡頭自訂儀表板的存取權。 |
| 4.16 | 可以將 SQL Workbench 相關的完整許可授予角色/使用者,以便在 Amazon Redshift 資料庫上運作。 |
| 4.17 | 可將任何 AWS CloudShell 許可授予客戶角色,做為 CLI 的替代方案。 |
| 4.18 | 以 AWS 服務 做為信任委託人的 IAM 角色也必須符合 IAM 技術標準。 |
| 4.19 | 服務連結角色 (SLRs) 不受 AMS IAM 技術標準的約束,因為它們是由 IAM 服務團隊建置和維護。 |
| 4.20 | IAM 政策不得允許對帳戶中所有儲存貯體的 Amazon S3 儲存貯體物件 (例如 Amazon S3:GetObject) 進行不受限制的讀取存取:
|
| 4.21 | 資源類型 "savingsplan" 的所有 IAM 許可都可以授予客戶。 |
| 4.22 | AMS 工程師不允許在任何資料儲存服務中手動複製或移動客戶資料 (檔案、S3 物件、資料庫),例如 Amazon S3、Amazon Relational Database Service、Amazon DynamoDB 等,或在作業系統檔案系統中。 |
| 4.23 | 不得修改 SCP 政策,以允許在任何 AMS 受管帳戶中進行任何其他存取。 |
| 4.24 | 不允許 SCP 政策中可能破壞 AMS 基礎設施或管理功能的任何變更。(注意:AMS 資源具有 標籤AppId= AMSInfrastructure,並遵循 AMS Protected Namespace)。 |
| 4.25 | AMS 自動化 IAM 佈建功能必須在您的帳戶中啟用,做為選擇加入功能。 |
| 4.26 | AMS 人工擔任的角色或使用者不得存取 S3、RDS、DynamoDB、Redshift、Elasticache、EFS 和 FSx 中的客戶內容。此外,在運算子角色中,必須明確拒絕對其他 發佈的已知新 APIs 的任何存取 AWS 服務 ,以授予對客戶內容的存取。 |
| 5.0 | 聯合 |
| 5.1 | 必須使用 AMS 受管帳戶中的聯合身分來設定身分驗證。 |
| 5.2 | 只能有從 AMS AD 到作用中目錄的單向傳出信任 (AMS AD 信任內部部署 AD)。 |
| 5.3 | 用於向 AMS 進行身分驗證的身分存放區不得存在於 AMS 受管應用程式帳戶中。 |
| 6.0 | 跨帳戶政策 |
| 6.1 | 您可以根據客戶記錄設定屬於相同客戶的 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.2 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時 (透過確認其位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能設定 AMS 和非 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.3 | 未經風險接受,不得設定 AMS 帳戶與第三方帳戶之間的 IAM 角色信任政策。 |
| 6.4 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取任何客戶管理的 CMKs。 |
| 6.5 | 您可以設定跨帳戶政策,以透過 AMS 帳戶存取非 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6 | 在未接受風險的情況下,不允許跨帳戶政策存取第三方帳戶在 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6.1 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時,才能設定跨帳戶政策以存取 AMS 帳戶內的任何 KMS 金鑰。 |
| 6.7 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取可存放資料的任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.8 | 可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源的跨帳戶政策,其中的資料可存放在非 AMS 帳戶中 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.9 | 存取任何 S3 儲存貯體資料或資源的跨帳戶政策 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift),其具有從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的寫入許可,只有在非 AMS 帳戶是同一 AMS 客戶所擁有 (透過確認他們位於相同的 AWS Organizations 帳戶或將電子郵件網域與客戶的公司名稱相符) 時,才必須設定。 |
| 6.10 | 跨帳戶政策,可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或可存放資料的資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.11 | 從具有寫入存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift) 的跨帳戶政策不得設定。 |
| 6.12 | 在未接受風險的情況下,不得設定來自第三方帳戶的跨帳戶政策來存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 (asAmazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 7.0 | User Groups (使用者群組) |
| 7.1 | 允許具有唯讀和非變動許可的 IAM 群組。 |
| 8.0 | 以資源為基礎的政策 |
| 8.1 | AMS 基礎設施資源必須透過附加以資源為基礎的政策,不受未經授權的身分管理。 |
| 8.2 | 您的資源必須使用最低權限的資源型政策設定,除非您明確指定不同的政策。 |
| 9.0 | 自助式佈建服務 (SSPS) |
| 9.1 | AMS 預設 IAM 角色或政策 (包括執行個體描述檔、SSPS、模式) 不得修改,無論是否接受任何風險接受。允許 (不接受風險) 信任政策的例外狀況。預設 SSP 角色也允許標記角色、政策或使用者變更。 |
| 9.3 | Systems Manager Automation 主控台角色的 SSPS 政策無法連接到預設角色以外的任何自訂角色。其他 SSPS 政策只有在確保將政策連接至自訂角色時,才能連接至自訂 IAM 角色,而不會為預設 SSPS 服務提供預期設計以外的額外許可。 |
以下是 003 - Network Security 的標準控制項:
| ID | 技術標準 |
|---|---|
| 聯網 | |
| 1.0 | 所有 EC2 執行個體只能透過堡壘主機、堡壘主機 VPC CIDR 範圍或從相同的執行個體 VPC CIDR 範圍透過 SSH 或 RDP 存取。 |
| 2.0 | 允許 EC2 執行個體上的彈性 IP |
| 3.0 | 必須使用 AMS 控制平面和資料平面 TLS 1.2+ 中的延伸。 |
| 4.0 | 所有輸出流量必須使用帳戶 IGW 或 TGW 傳遞。 |
| 5.0 | 如果根據 9.0 未連接到負載平衡器,則安全群組在傳入規則中不得具有 0.0.0.0/0 的來源 |
| 6.0 | 未經風險接受,不得公開 S3 儲存貯體或物件。 |
| 7.0 | 連接埠 SSH/22 或 SSH/2222 (非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 RPC/135、NETBIOS/137-139 上的伺服器管理存取權不得透過安全群組從 VPC 外部進行。 |
| 8.0 | 連接埠 (MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433) 或自訂連接埠上的資料庫管理存取權,不得允許來自未透過 DX、VPC 對等或 VPN 透過安全群組路由至 VPC 的公有 IPs。 |
| 8.1 | 任何可存放客戶資料的資源都不應直接公開至公有網際網路。 |
| 9.0 | 透過連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443 從網際網路存取的直接應用程式,只允許載入平衡器,但不允許直接存取任何運算資源,例如 EC2 執行個體、ECS/EKS/Fargate 容器等。 |
| 10.0 | 允許從客戶私有 IP 範圍透過連接埠 HTTP/80 和 HTTPS/443 存取應用程式。 |
| 11.0 | 未經風險接受,不得允許對控制 AMS 基礎設施存取的安全群組進行任何變更。 |
| 12.0 | AMS Security 是指每次請求將安全群組連接到執行個體時的標準。 |
| 13.0 | 連接埠 3389 和 22 上的客戶堡壘存取必須只允許來自透過 DX、VPC 對等或 VPN 路由至 VPC 的私有 IP 範圍。 |
| 14.0 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 (透過確認它們位於相同的 AWS Organization 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能使用內部工具,設定私有託管區域與 VPCs 從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的跨帳戶關聯。 |
| 15.0 | 您可以允許屬於相同客戶之帳戶之間的 VPC 對等互連。 |
| 16.0 | AMS 基礎 AMIs 可以使用內部工具與非 AMS 帳戶共用,只要這兩個帳戶都由同一客戶擁有 (透過確認它們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符)。 |
| 17.0 | 未經風險接受,不得在任何安全群組中設定 FTP 連接埠 21。 |
| 18.0 | 只要客戶擁有所有帳戶,就可以透過傳輸閘道進行跨帳戶網路連線。 |
| 19.0 | 不允許將私有子網路設為公有 |
| 20.0 | 不允許與第三方帳戶 (非客戶擁有) 的 VPC 互連連線。 |
| 21.0 | 不允許使用第三方帳戶 (非客戶擁有) 的 Transit Gateway 連接。 |
| 22.0 | AMS 為客戶提供服務所需的任何網路流量,不得在客戶網路輸出點遭到封鎖。 |
| 23.0 | 允許與同一客戶 AWS 帳戶 擁有的 共用解析程式規則,並發出風險通知 |
| 19.0 | ICMP |
| 19.1 | 從客戶基礎設施向 Amazon EC2 發出的傳入 ICMP 請求將需要風險通知。 |
| 19.2 | 允許透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求。 |
| 19.3 | 未透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求需要接受風險。 |
| 19.4 | 允許從 Amazon EC2 到任何目的地的傳出 ICMP 請求。 |
| 20.0 | 安全群組共用 |
| 20.1 | 如果安全群組符合此安全標準,則可以在相同帳戶中VPCs 之間共用,以及在相同組織中的帳戶之間共用。 |
| 20.2 | 如果安全群組不符合此標準,且此安全群組先前需要接受風險,則不允許在相同帳戶中的 VPCs 之間或相同組織中的 帳戶之間使用安全群組共用功能,而不接受該 VPC 或帳戶的新帳戶的風險。 |
以下是 004 - 滲透測試的標準控制項
AMS 不支援 pentest 基礎設施。這是客戶的責任。例如,Kali 不是 Linux 的 AMS 支援發行版本。
客戶需要遵守滲透測試
。 如果客戶想要在帳戶中執行基礎設施滲透測試,AMS 會提前 24 小時預先通知。
AMS 會根據客戶在變更請求或服務請求中明確陳述的客戶需求,佈建客戶滲透基礎設施。
客戶滲透基礎設施的身分管理是客戶的責任。
以下是 005 - GuardDuty 的標準控制項
GuardDuty 必須隨時在所有客戶帳戶中啟用。
MALZ 中客戶受管應用程式帳戶 (CMA) 的 GuardDuty 調查結果不會導致 ops 團隊發出警示。
GuardDuty 提醒必須存放在相同帳戶或相同組織下的任何其他受管帳戶中。
不得使用 GuardDuty 的信任 IP 清單功能。反之,自動封存可以用作替代方案,這適用於稽核目的。
GuardDuty 管理員委派不得在 MALZ 中啟用,因為委派管理員可以執行高權限動作,例如在其他帳戶中停用 GuardDuty,而無需接受風險。
GuardDuty Auto Archive Filters 應使用最大傳回的最小範圍。例如,如果 AMS 會在不同的 CIDR 區塊中看到多個無法預測IPs,且有適合使用的公司 ASN,請使用 ASN。不過,如果您的範圍可以縮小到特定範圍或 /32 地址,則範圍可以縮小到這些範圍。
以下是 006 - Host Security 的標準控制項
防毒代理程式必須隨時在所有 EC2 執行個體上執行。(例如,Trend Micro DSM)。
必須啟用反惡意軟體模組。
EPS 代理程式必須包含要掃描的所有目錄和檔案。
由防毒解決方案隔離的檔案可以隨需與您共用。
不應安裝第三方端點安全解決方案。
防毒簽章更新頻率必須設定為每天至少一次。
排定的掃描頻率必須設定為每月至少一次。
必須隨時啟用和執行即時 (存取中) 掃描。
AMS 不得在您的執行個體上執行任何非 AMS 所擁有或撰寫的自訂指令碼。(注意:您可以透過堆疊管理員存取 CT 或使用AWS Systems Manager 自動化 (AMS SSPS) 來使用堆疊管理員存取。
不得在 Windows 主機上停用網路層級驗證 (NLA)。
根據設定的修補程式週期,主機作業系統必須具有最新的安全修補程式。
AMS 受管帳戶不得在帳戶中有未受管的執行個體。
不允許 AMS 在執行個體上建立本機管理員帳戶。
不得在 EC2 上建立金鑰對。
您不得使用宣告為生命週期結束 (EOL) 的作業系統,而且廠商或第三方不提供進一步的安全支援。
以下是 007 - 記錄的標準控制項
| ID | 技術標準 |
|---|---|
| 1.0 | 日誌類型 |
| 1.1 | 作業系統日誌:所有主機必須至少記錄主機身分驗證事件、所有使用提升權限的存取事件,以及所有存取和權限組態變更的存取事件,包括成功和失敗。 |
| 1.2 | AWS CloudTrail:必須啟用並設定 CloudTrail 管理事件記錄,才能將日誌交付至 S3 儲存貯體。 |
| 1.3 | VPC 流程日誌:所有網路流量日誌都必須透過 VPC 流程日誌記錄。 |
| 1.4 | Amazon S3 伺服器存取記錄:存放日誌的 AMS 強制 S3 儲存貯體必須啟用伺服器存取記錄。 |
| 1.5 | AWS Config 快照: AWS Config 必須記錄所有區域中所有支援資源的組態變更,並將組態快照檔案至少每天交付至 S3 儲存貯體一次。 |
| 1.6 | Endpoint Protection System (EPS) 日誌:必須啟用並設定 EPS 解決方案日誌,才能將日誌交付至 CloudWatch Logs 日誌群組。 |
| 1.7 | 應用程式日誌:客戶有權在其應用程式中啟用記錄,並存放在 CloudWatch Logs 日誌群組或 S3 儲存貯體中。 |
| 1.8 | S3 物件層級記錄:客戶有權在其 S3 儲存貯體中啟用物件層級記錄。 |
| 1.9 | 服務記錄:客戶有權啟用和轉送 SSPS 服務的日誌,例如任何核心服務。 |
| 1.10 | Elastic Load Balancing(Classic/Application Load Balancer/Network Load Balancer) 日誌:存取和錯誤日誌項目必須存放在 AMS 2.0 受管 S3 儲存貯體中。 |
| 2.0 | 存取控制 |
| 2.1 | 您不得在存放日誌和 CloudWatch Logs 日誌群組的 AMS 所需的 S3 儲存貯體中擁有寫入或刪除存取權。 |
| 2.2 | 您必須擁有您帳戶中所有日誌的唯讀存取權。 |
| 2.3 | 存放日誌的 AMS 授權 S3 儲存貯體不允許第三方將使用者視為儲存貯體政策中的原則。 |
| 2.4 | 未經您授權的安全聯絡人明確核准,不得刪除來自 CloudWatch Logs 日誌群組的日誌。 |
| 3.0 | 日誌保留 |
| 3.1 | AMS 授權的 CloudWatch Logs 日誌群組在日誌上必須至少保留 90 天。 |
| 3.2 | 存放日誌的 AMS 授權 S3 儲存貯體在日誌上必須至少保留 18 個月。 |
| 3.3 | AWS Backup 快照應可在支援的 資源上至少保留 31 天。 |
| 4.0 | 加密 |
| 4.1 | 必須在存放日誌的 AMS 團隊所需的所有 S3 儲存貯體中啟用加密。 |
| 4.2 | 任何從客戶帳戶轉送到任何其他帳戶的日誌都必須加密。 |
| 5.0 | 完整性 |
| 5.1 | 必須啟用日誌檔案完整性機制。必須在 AMS 團隊所需的 AWS CloudTrail 線索中設定「記錄檔案驗證」。 |
| 6.0 | 日誌轉送 |
| 6.1 | 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 |
| 6.2 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時,才能從 AMS 轉送任何日誌至非 AMS 帳戶。 |
| 6.3 | 來自客戶帳戶的任何日誌都不得轉發到第三方帳戶 (非由客戶擁有)。 |
以下是 008 - AMS-MAD 的標準控制項
| ID | 技術標準 |
|---|---|
| 1.0 | 存取管理 |
| 1.1 | 只有具有互動式登入和自動化任務的 AMS 特殊權限使用者才能登入管理主機,以在客戶帳戶中管理受管 AD。 |
| 1.2 | AD 管理員只能擁有委派管理員權限 (AMS 委派管理員群組)。 |
| 1.3 | 登入客戶 AD 環境 (管理主機或執行個體) 的工程師必須具有有時間限制的存取權。 |
| 1.4 | 客戶在 EC2 執行個體中使用遠端伺服器管理員工具可以唯讀存取 AD 物件。 |
| 1.5 | 不得允許 Active Directory 使用者或群組的管理權限。 |
| 1.6 | AWS 允許與相同客戶 AWS 帳戶 擁有的 共用目錄,並發出風險通知。 |
| 2.0 | 服務帳戶 |
| 2.1 | 群組受管服務帳戶 (gMSA) 必須在應用程式支援的位置使用,而不是標準服務帳戶。 |
| 2.2 | 所有其他服務帳戶必須在風險接受程序之後建立。 |
| 2.3 | 除非客戶明確要求,否則不得重複使用 AD 安全群組。應建立新的 AD 群組。請求存取服務帳戶的電腦物件必須新增至新的安全群組。 |
| 2.4 | 任何 gMSA 服務帳戶都必須新增至「受管服務帳戶」組織單位 (OU) 下。 |
| 2.5 | 任何非 gMSA 服務帳戶都必須新增至「使用者→服務帳戶」OU 下。 |
| 3.0 | 群組政策物件 (GPO) |
| 3.1 | 如果「Windows 設定 > 安全設定」 GPO 下的任何設定以任何方式從目前狀態降低帳戶的安全狀態,則不得修改。 |
| 3.2 | 在 MALZ 中,從請求 GPO 建立的應用程式帳戶提交的 RFCs,必須將 GPO 連結至對應至應用程式帳戶的 OU。任何會影響所有帳戶的 GPOs 都必須來自共用服務帳戶。 |
| 3.3 | 對於作用中目錄網域下的所有伺服器,預設 RDP 閒置工作階段逾時必須設定為 15 分鐘。 |
| 4.0 | Active Directory 信任 |
| 4.1 | 如果條件式轉寄站IPs 透過 DX、VPC 對等或 VPN 路由至 VPC,則允許單向傳出信任 (AMS 託管目錄至客戶目錄)。 |
| 5.0 | 其他 |
| 5.1 | 必須啟用日誌檔案完整性機制。必須在 AMS 團隊所需的 AWS CloudTrail 線索中設定「記錄檔案驗證」。 |
| 6.0 | 日誌轉送 |
| 6.1 | 客戶使用者、群組、電腦物件、OU 或其他實體不得根據 AMS 命名慣例使用 AMS 命名慣例。 |
| 6.2 | 所有 OUs都必須由 AMS 管理。 |
以下是 009 - 其他 的標準控制項
如果在資源、物件、資料庫或檔案系統中啟用加密,則不得停用。
