主題 1:使用 受管服務 - AWS 方案指引
相關的最佳實務實作此主題監控此佈景主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

主題 1:使用 受管服務

涵蓋的基本八項策略

修補程式應用程式、限制管理權限、修補程式作業系統

受管服務可讓您 AWS 管理一些安全任務,例如修補和漏洞管理,以協助您減少合規義務。

AWS 共同責任模型章節所述,您對 AWS 雲端安全與合規負有共同責任。這可以減輕您的操作負擔,因為 會 AWS 操作、管理和控制元件,從主機作業系統和虛擬化層到服務操作所在設施的實體安全性。

您的責任可能包括管理受管服務的維護時段,例如 Amazon Relational Database Service (Amazon RDS) 或 Amazon Redshift,以及掃描 AWS Lambda 程式碼或容器映像中的漏洞。如同本指南中的所有主題,您也保留監控和合規報告的責任。您可以使用 Amazon Inspector 來報告所有 的漏洞 AWS 帳戶。您可以在 中使用規則, AWS Config 以確保 Amazon RDS 和 Amazon Redshift 等服務已啟用次要更新和維護時段。

例如,如果您執行 Amazon EC2 執行個體,您的責任包括下列項目:

  • 應用程式控制

  • 修補應用程式

  • 限制 Amazon EC2 控制平面和作業系統 (OS) 的管理權限

  • 修補作業系統

  • 強制執行多重驗證 (MFA) 以存取 AWS 控制平面和作業系統

  • 備份資料和組態

不過,如果您執行 Lambda 函數,則您的責任會降低,並包含下列項目:

  • 應用程式控制

  • 確認程式庫是up-to-date

  • 限制 Lambda 控制平面的管理權限

  • 強制 MFA 存取 AWS 控制平面

  • 備份 Lambda 函數程式碼和組態

AWS Well-Architected Framework 中的相關最佳實務

實作此主題

啟用修補

掃描漏洞

監控此佈景主題

實作控管檢查

監控 Amazon Inspector

實作下列 AWS Config 規則

  • RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED

  • ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED

  • REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

  • EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

  • EKS_CLUSTER_SUPPORTED_VERSION