安全 OU - 安全工具帳戶 - AWS 方案指引
安全服務的委派管理員AWS CloudTrailAWS Security HubAmazon GuardDutyAWS ConfigAmazon Security LakeAmazon MacieAWS IAM Access AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWS ArtifactAWS KMSAWS 私有 CAAmazon Inspector在所有 AWS 帳戶中部署常見的安全服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全 OU - 安全工具帳戶

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

下圖說明在 Security Tooling 帳戶中設定的 AWS 安全服務。

Security Tooling 帳戶的安全服務

安全工具帳戶專用於操作安全服務、監控 AWS 帳戶,以及自動化安全提醒和回應。安全性目標包括下列項目:

  • 提供具有受控存取權的專用帳戶,以管理對安全護欄、監控和回應的存取。

  • 維護適當的集中式安全基礎設施,以監控安全操作資料並維持可追蹤性。偵測、調查和回應是安全生命週期的重要部分,可用於支援品質程序、法律或合規義務,以及威脅識別和回應工作。

  • 透過對適當的安全組態和操作維持另一層控制,例如加密金鑰和安全群組設定,進一步支援defense-in-depth組織策略。這是安全操作員運作所在的帳戶。檢視 AWS 全組織資訊的唯讀/稽核角色是典型的,而寫入/修改角色的數量、嚴格控制、監控和記錄有限。

設計考量

  • 根據預設,AWS Control Tower 會在安全 OU 稽核帳戶下為帳戶命名。您可以在 AWS Control Tower 設定期間重新命名帳戶。

  • 可能有多個安全工具帳戶是適當的。例如,監控和回應安全事件通常會指派給專用團隊。網路安全可能需要自己與雲端基礎設施或網路團隊合作的帳戶和角色。此類分割保留分隔集中式安全環境的目標,並進一步強調職責分離、最低權限和團隊指派的潛在簡單性。如果您使用的是 AWS Control Tower,它會限制在安全 OU 下建立其他 AWS 帳戶。

安全服務的委派管理員

Security Tooling 帳戶可做為 AWS 帳戶中以管理員/成員結構管理之安全服務的管理員帳戶。如前所述,這會透過 AWS Organizations 委派管理員功能來處理。AWS SRA 中目前支援委派管理員的服務包括 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS IAM Access Analyzer、Amazon Macie AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector、AWS CloudTrail 和 AWS Systems Manager。您的安全團隊會管理這些服務的安全功能,並監控任何安全特定的事件或調查結果。

IAM Identity Center 支援將管理委派給成員帳戶。AWS SRA 使用共用服務帳戶做為 IAM Identity Center 的委派管理員帳戶,如共用服務帳戶的 IAM Identity Center 一節稍後所述。

AWS CloudTrail

AWS CloudTrail 是一項服務,可支援 AWS 帳戶中活動的控管、合規和稽核。使用 CloudTrail,您可以記錄、持續監控和保留與 AWS 基礎設施中動作相關的帳戶活動。CloudTrail 與 AWS Organizations 整合,該整合可用來建立單一線索,記錄 AWS 組織中所有帳戶的所有事件。這類線索稱為組織線索。您只能從組織的管理帳戶中或從委派管理員帳戶建立和管理組織線索。當您建立組織追蹤時,會在屬於您 AWS 組織的每個 AWS 帳戶中建立具有您指定名稱的追蹤。線索會記錄 AWS 組織中所有帳戶的活動,包括管理帳戶,並將日誌存放在單一 S3 儲存貯體中。由於此 S3 儲存貯體的敏感度,您應該遵循本指南稍後的 Amazon S3 作為中央日誌存放區一節中概述的最佳實務來保護它。AWS 組織中的所有帳戶都可以在其線索清單中查看組織線索。不過,成員 AWS 帳戶只能檢視此線索。根據預設,當您在 CloudTrail 主控台中建立組織追蹤時,該追蹤是多區域追蹤。如需其他安全最佳實務,請參閱 AWS CloudTrail 文件

在 AWS SRA 中,安全工具帳戶是管理 CloudTrail 的委派管理員帳戶。用於存放組織追蹤日誌的對應 S3 儲存貯體會在 Log Archive 帳戶中建立。這是為了區隔 CloudTrail 日誌權限的管理和使用。如需如何建立或更新 S3 儲存貯體以存放組織追蹤日誌檔案的詳細資訊,請參閱 AWS CloudTrail 文件

注意

您可以從管理和委派管理員帳戶建立和管理組織線索。不過,最佳實務是,您應該限制對管理帳戶的存取,並使用可用的委派管理員功能。

設計考量事項

  • 如果成員帳戶需要存取自己帳戶的 CloudTrail 日誌檔案,您可以選擇從中央 S3 儲存貯體共用組織的 CloudTrail 日誌檔案。不過,如果成員帳戶需要本機 CloudWatch 日誌群組做為其帳戶的 CloudTrail 日誌,或想要設定與組織追蹤不同的日誌管理和資料事件 (唯讀、唯讀、管理事件、資料事件),則可以使用適當的控制項建立本機追蹤。本機帳戶特定的追蹤會產生額外費用

AWS Security Hub

AWS Security Hub 為您提供 AWS 中安全狀態的完整檢視,並協助您根據安全產業標準和最佳實務檢查環境。Security Hub 會從跨 AWS 整合服務、支援的第三方產品,以及您可能使用的其他自訂安全產品收集安全資料。它可協助您持續監控和分析安全趨勢,並識別最高優先級的安全問題。除了擷取來源之外,Security Hub 還會產生自己的調查結果,這些調查結果是由對應至一或多個安全標準的安全控制項所表示。這些標準包括 AWS Foundational Security Best Practices (FSBP)、Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 和 v1.4.0、美國國家標準技術研究所 (NIST) SP 800-53 Rev. 5、支付卡產業資料安全標準 (PCI DSS) 和服務受管標準。如需目前安全標準的清單和特定安全控制的詳細資訊,請參閱 Security Hub 文件中的 Security Hub 標準參考

Security Hub 與 AWS Organizations 整合,以簡化 AWS 組織中所有現有和未來帳戶的安全狀態管理。您可以從委派管理員帳戶 (在此案例中為安全工具) 使用 Security Hub 中央組態功能,指定如何在您的組織帳戶和跨區域的組織單位 (OUs) 中設定 Security Hub 服務、安全標準和安全控制。您可以從一個主要區域透過幾個步驟來設定這些設定,這稱為主要區域。如果您不使用中央組態,則必須在每個帳戶和區域中分別設定 Security Hub。委派管理員可以將帳戶和 OUs 指定為自我管理,成員可以在每個區域中分別設定設定,也可以指定為集中管理,委派管理員可以在區域中設定成員帳戶或 OU。您可以將組織中的所有帳戶和 OUs 指定為集中管理、所有自我管理或兩者的組合。這可簡化一致性組態的強制執行,同時提供為每個 OU 和帳戶修改組態的彈性。

Security Hub 委派管理員帳戶也可以檢視問題清單、檢視洞見,以及控制所有成員帳戶的詳細資訊。您也可以在委派的管理員帳戶中指定彙總區域,以集中您帳戶和連結區域的調查結果。您的問題清單會在彙總工具區域與所有其他區域之間持續雙向同步。

Security Hub 支援與數個 AWS 服務的整合。Amazon GuardDuty、AWS Config、Amazon Macie、AWS IAM Access Analyzer、AWS Firewall Manager、Amazon Inspector 和 AWS Systems Manager Patch Manager 可以將問題清單饋送至 Security Hub。Security Hub 會使用稱為 AWS Security Finding Format (ASFF) 的標準格式來處理問題清單。Security Hub 會關聯整合產品的調查結果,以排定最重要的問題清單的優先順序。您可以充實 Security Hub 調查結果的中繼資料,以協助更完善內容化、排定優先順序,並對安全調查結果採取動作。此擴充功能會將資源標籤、新的 AWS 應用程式標籤和帳戶名稱資訊新增至擷取至 Security Hub 的每個調查結果。這可協助您微調自動化規則的問題清單、搜尋或篩選問題清單和洞見,以及依應用程式評估安全狀態。此外,您可以使用自動化規則自動更新問題清單。當 Security Hub 擷取問題清單時,可以套用各種規則動作,例如隱藏問題清單、變更問題清單的嚴重性,以及新增問題清單的備註。這些規則動作會在問題清單符合您指定的條件時生效,例如與問題清單相關聯的資源或帳戶 IDs,或其標題。您可以使用自動化規則來更新 ASFF 中的選取問題清單欄位。規則同時適用於新的和更新的調查結果。

在調查安全事件期間,您可以從 Security Hub 導覽至 Amazon Detective,以調查 Amazon GuardDuty 調查結果。Security Hub 建議為 Detective (其中存在) 等服務調整委派管理員帳戶,以便更順暢地整合。例如,如果您未在 Detective 和 Security Hub 之間對齊管理員帳戶,則從調查結果導覽至 Detective 將無法運作。如需完整清單,請參閱 Security Hub 文件中的 AWS 服務與 Security Hub 整合概觀

您可以將 Security Hub 與 Amazon VPC 的 Network Access Analyzer 功能搭配使用,以協助持續監控 AWS 網路組態的合規性。這可協助您封鎖不需要的網路存取,並協助防止關鍵資源外部存取。如需進一步的架構和實作詳細資訊,請參閱 AWS 部落格文章使用 Amazon VPC Network Access Analyzer 和 持續驗證網路合規 AWS Security Hub

除了監控功能之外,Security Hub 還支援與 Amazon EventBridge 整合,以自動修復特定問題清單。您可以定義在收到問題清單時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。如需其他討論和範例,請參閱 AWS 部落格文章使用 自動化回應和修復 AWS Security Hub以及如何部署 AWS Solution for Security Hub 自動化回應和修復

Security Hub 使用服務連結的 AWS Config 規則來執行其控制項的大部分安全檢查。若要支援這些控制項,必須在啟用 Security Hub 的每個 AWS 區域中,在所有帳戶上啟用 AWS Config,包括管理員 (或委派管理員) 帳戶和成員帳戶。

設計考量

  • 如果 PCI-DSS 等合規標準已存在於 Security Hub 中,則全受管 Security Hub 服務是最簡單的操作方式。不過,如果您想要組合自己的合規或安全標準,其中可能包括安全性、操作或成本最佳化檢查,AWS Config 一致性套件可提供簡化的自訂程序。(如需 AWS Config 和一致性套件的詳細資訊,請參閱 AWS Config 一節。)

  • Security Hub 的常見使用案例包括下列項目:

    • 作為儀表板,為應用程式擁有者提供 AWS 資源安全和合規狀態的可見性

    • 作為安全操作、事件回應者和威脅獵人使用的安全調查結果的集中檢視,以對 AWS 帳戶和區域的 AWS 安全與合規調查結果進行分類和採取行動

    • 將安全性和合規調查結果從跨 AWS 帳戶和區域彙總並路由到集中式安全性資訊和事件管理 (SIEM) 或其他安全性協同運作系統

    如需這些使用案例的其他指導,包括如何設定這些使用案例,請參閱部落格文章三個週期性 Security Hub 使用模式以及如何部署這些使用案例。

實作範例

AWS SRA 程式碼庫提供 Security Hub 的範例實作。它包括自動啟用服務、將管理委派給成員帳戶 (安全工具),以及為 AWS 組織中所有現有和未來帳戶啟用 Security Hub 的組態。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護您的 AWS 帳戶和工作負載。您必須一律為監控和稽核目的擷取和存放適當的日誌,但 Amazon GuardDuty 會直接從 AWS CloudTrail、Amazon VPC 流程日誌和 AWS DNS 日誌提取獨立的資料串流。您不需要管理 Amazon S3 儲存貯體政策或修改收集和存放日誌的方式。GuardDuty 許可以服務連結角色管理,您可以透過停用 GuardDuty 隨時撤銷這些角色。這可讓您輕鬆地在沒有複雜組態的情況下啟用服務,並消除 IAM 許可修改或 S3 儲存貯體政策變更會影響服務操作的風險。

除了提供基礎資料來源之外,GuardDuty 還提供選用功能來識別安全性問題清單。其中包括 EKS 保護、RDS 保護、S3 保護、惡意軟體保護和 Lambda 保護。對於新的偵測器,這些選用功能預設為啟用,但 EKS 保護除外,必須手動啟用。

  • 使用 GuardDuty S3 保護,除了預設 CloudTrail 管理事件之外,GuardDuty 還會監控 CloudTrail 中的 Amazon S3 資料事件。監控資料事件可讓 GuardDuty 監控物件層級 API 操作,以找出 S3 儲存貯體內資料的潛在安全風險。

  • GuardDuty 惡意軟體防護透過在連接的 Amazon Elastic Block Store (Amazon EBS) 磁碟區上啟動無代理程式掃描,來偵測 Amazon EC2 執行個體或容器工作負載上是否存在惡意軟體。

  • GuardDuty RDS Protection 旨在分析和監控 Amazon Aurora 資料庫的存取活動,而不會影響資料庫效能。

  • GuardDuty EKS 保護包括 EKS 稽核日誌監控和 EKS 執行期監控。透過 EKS 稽核日誌監控,GuardDuty 會從 Amazon EKS 叢集監控 Kubernetes 稽核日誌,並分析這些日誌是否有潛在的惡意和可疑活動。EKS 執行期監控使用 GuardDuty 安全代理程式 (Amazon EKS 附加元件) 來提供個別 Amazon EKS 工作負載的執行期可見性。GuardDuty 安全代理程式有助於識別 Amazon EKS 叢集中可能遭到入侵的特定容器。它也可以偵測嘗試將權限從個別容器提升到基礎 Amazon EC2 主機或更廣泛的 AWS 環境。

透過 AWS Organizations 在所有帳戶中啟用 GuardDuty,GuardDuty 委派管理員帳戶中的適當安全團隊 (在此案例中為安全工具帳戶) 可檢視和操作所有調查結果。 

啟用 AWS Security Hub 時,GuardDuty 調查結果會自動流向 Security Hub。啟用 Amazon Detective 時,GuardDuty 調查結果會包含在 Detective 日誌擷取程序中。GuardDuty 和 Detective 支援跨服務使用者工作流程,其中 GuardDuty 從主控台提供連結,將您從所選調查結果重新導向至 Detective 頁面,其中包含一組精心策劃的視覺化效果,用於調查該調查結果。例如,您也可以將 GuardDuty 與 Amazon EventBridge 整合,以自動化 GuardDuty 的最佳實務,例如自動回應新的 GuardDuty 調查結果

實作範例

AWS SRA 程式碼庫提供 Amazon GuardDuty 的範例實作。它包含加密的 S3 儲存貯體組態、委派的管理,以及 AWS 組織中所有現有和未來帳戶的 GuardDuty 啟用。

AWS Config

AWS Config 是一項服務,可讓您評估、稽核和評估 AWS 帳戶中支援的 AWS 資源組態。AWS Config 會持續監控和記錄 AWS 資源組態,並根據所需的組態自動評估記錄的組態。您也可以將 AWS Config 與其他 服務整合,在自動化稽核和監控管道中執行繁重工作。例如,AWS Config 可以監控 AWS Secrets Manager 中個別秘密的變更。 

您可以使用 AWS Config 規則來評估 AWS Config 資源的組態設定。AWS Config 提供可自訂的預先定義規則程式庫,稱為受管規則,或者您可以撰寫自己的自訂規則。您可以主動模式 (在部署資源之前) 或偵測模式 (在部署資源之後) 執行 AWS Config 規則。當發生組態變更、定期排程或兩者同時發生時,即可評估資源。

一致性套件是 AWS Config 規則和修補動作的集合,可部署為帳戶和區域中的單一實體,或 AWS Organizations 中的整個組織。一致性套件是透過撰寫 YAML 範本來建立,其中包含 AWS Config 受管或自訂規則和修復動作的清單。若要開始評估您的 AWS 環境,請使用其中一個範例一致性套件範本。 

AWS Config 與 整合 AWS Security Hub ,將 AWS Config 受管和自訂規則評估的結果作為調查結果傳送至 Security Hub。 

AWS Config 規則可與 AWS Systems Manager 搭配使用,以有效修復不合規的資源。您可以使用 AWS Systems Manager Explorer 在AWS Config區域的 AWS 帳戶中收集 AWS Config 規則的合規狀態,然後使用 Systems Manager Automation 文件 (執行手冊) 來解決不合規的 AWS Config 規則。如需實作詳細資訊,請參閱部落格文章使用 AWS Systems Manager Automation Runbook 修復不合規的 AWS Config 規則 AWS Systems Manager

AWS Config 彙總工具會跨 AWS Organizations 中的多個帳戶、區域和組織收集組態和合規資料。彙總工具儀表板會顯示彙總資源的組態資料。庫存和合規儀表板提供 AWS 資源組態的基本和最新資訊,以及跨 AWS 帳戶、跨 AWS 區域或 AWS 組織內的合規狀態。它們可讓您視覺化和評估 AWS 資源庫存,而無需撰寫 AWS Config 進階查詢。您可以取得基本洞見,例如資源的合規摘要、擁有不合規資源的前 10 個帳戶、依類型比較執行和停止的 EC2 執行個體,以及依磁碟區類型和大小的 EBS 磁碟區。

如果您使用 AWS Control Tower 來管理您的 AWS 組織,它會部署一組 AWS Config 規則做為偵測性護欄 (分類為強制性、強烈建議或選擇性)。這些護欄可協助您管理資源,並監控 AWS 組織中帳戶之間的合規性。這些 AWS Config 規則會自動使用值為 的aws-control-tower標籤managed-by-control-tower

必須針對 AWS 組織和 AWS 區域中包含您要保護之資源的每個成員帳戶啟用 AWS Config。您可以集中管理 (例如,建立、更新和刪除) AWS 組織中所有帳戶的 AWS Config 規則。從 AWS Config 委派管理員帳戶,您可以跨所有帳戶部署一組常見的 AWS Config 規則,並指定不應建立 AWS Config 規則的帳戶。AWS Config 委派管理員帳戶也可以彙總所有成員帳戶的資源組態和合規資料,以提供單一檢視。透過確保基礎 AWS Config 規則無法由您 AWS 組織中的成員帳戶修改,使用委派管理員帳戶中的 APIs 來強制執行控管。

設計考量

  • AWS Config 會將組態和合規變更通知串流至 Amazon EventBridge。這表示您可以使用 EventBridge 中的原生篩選功能來篩選 AWS Config 事件,以便將特定類型的通知路由到特定目標。例如,您可以將特定規則或資源類型的合規通知傳送至特定電子郵件地址,或將組態變更通知路由至外部 IT 服務管理 (ITSM) 或組態管理資料庫 (CMDB) 工具。如需詳細資訊,請參閱部落格文章 AWS Config 最佳實務。 

  • 除了使用 AWS Config 主動式規則評估之外,您還可以使用 AWS CloudFormation Guard,這是一種policy-as-code評估工具,可主動檢查資源組態合規性。AWS CloudFormation Guard 命令列界面 (CLI) 提供您宣告式的網域特定語言 (DSL),可用來將政策表達為程式碼。此外,您可以使用 AWS CLI 命令來驗證 JSON 格式或 YAML 格式的結構化資料,例如 CloudFormation 變更集、JSON 型 Terraform 組態檔案或 Kubernetes 組態。您可以使用 AWS CloudFormation Guard CLI 做為撰寫程序的一部分,在本機執行評估,或在部署管道中執行評估。如果您有 AWS Cloud Development Kit (AWS CDK) 應用程式,您可以使用 cdk-nag 主動檢查最佳實務。

實作範例

AWS SRA 程式碼庫提供範例實作,可將 AWS Config 一致性套件部署至 AWS 組織內的所有 AWS 帳戶和區域。AWS Config 彙總器模組可協助您設定 AWS Config 彙總器,方法是將管理委派給組織管理帳戶中的成員帳戶 (安全工具),然後在委派管理員帳戶中為 AWS 組織中的所有現有和未來帳戶設定 AWS Config 彙總器。您可以使用 AWS Config Control Tower 管理帳戶模組在組織管理帳戶中啟用 AWS Config,AWS Control Tower 不會啟用此功能。

Amazon Security Lake

Amazon Security Lake 是全受管的安全資料湖服務。您可以使用 Security Lake 自動集中來自 AWS 環境、軟體即服務 (SaaS) 供應商、內部部署和第三方來源的安全資料。Security Lake 可協助您建置標準化的資料來源,以簡化對安全資料的分析工具使用,因此您可以更完整地了解整個組織的安全狀態。資料湖由 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供支援,您可以保留資料的所有權。Security Lake 會自動收集 AWS 服務的日誌,包括 AWS CloudTrail、Amazon VPC、Amazon Route 53、Amazon S3、AWS Lambda 和 Amazon EKS 稽核日誌。

AWS SRA 建議您使用 Log Archive 帳戶做為 Security Lake 的委派管理員帳戶。如需設定委派管理員帳戶的詳細資訊,請參閱 Security OU – Log Archive 帳戶區段中的 Amazon Security Lake。想要存取 Security Lake 資料或需要能夠使用自訂擷取、轉換和載入 (ETL) 函數將非原生日誌寫入 Security Lake 儲存貯體的安全團隊應在安全工具帳戶中操作。

Security Lake 可以從不同的雲端提供者、第三方解決方案的日誌或其他自訂日誌收集日誌。我們建議您使用安全工具帳戶來執行 ETL 函數,將日誌轉換為開放網路安全結構描述架構 (OCSF) 格式,並以 Apache Parquet 格式輸出檔案。Security Lake 會建立具有安全工具帳戶適當許可的跨帳戶角色,以及 AWS Lambda 函數或 AWS Glue 爬蟲程式支援的自訂來源,以將資料寫入 Security Lake 的 S3 儲存貯體。

Security Lake 管理員應設定使用 Security Tooling 帳戶的安全團隊,並要求存取 Security Lake 以訂閱者身分收集的日誌。Security Lake 支援兩種類型的訂閱者存取:

  • 資料存取 – 訂閱者可以直接存取 Security Lake 的 Amazon S3 物件。Security Lake 會管理基礎設施和許可。當您將 Security Tooling 帳戶設定為 Security Lake 資料存取訂閱者時,系統會透過 Amazon Simple Queue Service (Amazon SQS) 通知該帳戶 Security Lake 儲存貯體中的新物件,而 Security Lake 會建立存取這些新物件的許可。

  • 查詢存取 – 訂閱者可以使用 Amazon Athena 等服務,查詢 S3 儲存貯體中 AWS Lake Formation 資料表的來源資料。系統會使用 AWS Lake Formation 自動設定跨帳戶存取以進行查詢存取。當您將 Security Tooling 帳戶設定為 Security Lake 查詢存取訂閱者時,帳戶會獲得 Security Lake 帳戶中日誌的唯讀存取權。當您使用此訂閱者類型時,Athena 和 AWS Glue 資料表會透過 AWS Resource Access Manager (AWS RAM) 從 Security Lake Log Archive 帳戶與 Security Tooling 帳戶共用。若要啟用此功能,您必須將跨帳戶資料共用設定更新為第 3 版。

如需建立訂閱者的詳細資訊,請參閱 Security Lake 文件中的訂閱者管理

如需擷取自訂來源的最佳實務,請參閱 Security Lake 文件中的從自訂來源收集資料

您可以使用 Amazon QuickSightAmazon OpenSearchAmazon SageMaker,針對存放在 Security Lake 中的安全資料設定分析。

設計考量事項

如果應用程式團隊需要查詢 Security Lake 資料的存取權以滿足業務需求,Security Lake 管理員應將該應用程式帳戶設定為訂閱者。

Amazon Macie

Amazon Macie 是全受管的資料安全和資料隱私權服務,使用機器學習和模式比對來探索並協助保護 AWS 中的敏感資料。您需要識別工作負載正在處理的資料類型和分類,以確保強制執行適當的控制。您可以使用 Macie 以兩種方式自動化敏感資料的探索和報告:透過執行自動化敏感資料探索,以及透過建立和執行敏感資料探索任務。透過自動化敏感資料探索,Macie 會每天評估您的 S3 儲存貯體庫存,並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後,Macie 會擷取和分析選取的物件,檢查它們是否有敏感資料。敏感資料探索任務可提供更深入且更具針對性的分析。使用此選項,您可以定義分析的廣度和深度,包括要分析的 S3 儲存貯體、取樣深度,以及衍生自 S3 物件屬性的自訂條件。如果 Macie 偵測到儲存貯體安全性或隱私權的潛在問題,它會為您建立政策調查結果。根據預設,所有新的 Macie 客戶都會啟用自動資料探索,而現有的 Macie 客戶只要按一下即可啟用。

Macie 透過 AWS Organizations 在所有帳戶中啟用。在委派管理員帳戶中具有適當許可的委託人 (在此案例中為安全工具帳戶) 可以在任何帳戶中啟用或停用 Macie、為成員帳戶擁有的儲存貯體建立敏感資料探索任務,以及檢視所有成員帳戶的所有政策調查結果。敏感資料調查結果只能由建立敏感調查結果任務的帳戶檢視。如需詳細資訊,請參閱 Macie 文件中的管理 Amazon Macie 中的多個帳戶

Macie 調查結果會流向 AWS Security Hub 以供檢閱和分析。Macie 也與 Amazon EventBridge 整合,以促進對警示、安全資訊和事件管理 (SIEM) 系統摘要和自動化修復等問題清單的自動回應。

設計考量

  • 如果 S3 物件使用您管理的 AWS Key Management Service (AWS KMS) 金鑰加密,您可以將 Macie 服務連結角色新增為該 KMS 金鑰的金鑰使用者,讓 Macie 掃描資料。

  • Macie 已針對掃描 Amazon S3 中的物件進行最佳化。因此,任何可放置在 Amazon S3 中的 Macie 支援物件類型 (永久或暫時) 都可以掃描敏感資料。這表示來自其他來源的資料,例如 Amazon Relational Database Service (Amazon RDS) 或 Amazon Aurora 資料庫的定期快照匯出匯出的 Amazon DynamoDB 資料表,或從原生或第三方應用程式擷取的文字檔案,可以移至 Amazon S3 並由 Macie 評估。

實作範例

AWS SRA 程式碼庫提供 Amazon Macie 的範例實作。它包括將管理委派給成員帳戶,以及在委派管理員帳戶中為 AWS 組織中的所有現有和未來帳戶設定 Macie。Macie 也會設定為將調查結果傳送至使用 AWS KMS 中客戶受管金鑰加密的中央 S3 儲存貯體。

AWS IAM Access Analyzer

隨著您加速您的 AWS 雲端採用之旅並繼續創新,維持對精細存取 (許可) 的嚴格控制、包含存取擴散,並確保有效使用許可至關重要。過多和未使用的存取會帶來安全挑戰,並使企業更難以強制執行最低權限原則。此原則是重要的安全架構支柱,涉及持續調整適當大小的 IAM 許可,以平衡安全需求與操作和應用程式開發需求。這項工作涉及多個利益相關者角色,包括中央安全與雲端卓越中心 (CCoE) 團隊以及分散式開發團隊。

AWS IAM Access Analyzer 提供工具,可透過移除未使用的存取權來有效設定精細的許可、驗證預期的許可,以及精簡許可,以協助您符合企業安全標準。它可讓您透過儀表板和 來查看外部和未使用的存取問題清單AWS Security Hub。此外,它支援 Amazon EventBridge 以事件為基礎的自訂通知和修復工作流程。

IAM Access Analyzer 外部調查結果功能可協助您識別 AWS 組織和帳戶中與外部實體共用的資源,例如 Amazon S3 儲存貯體或 IAM 角色。您選擇的 AWS 組織或帳戶稱為信任區域。分析器使用自動推理來分析信任區域內所有支援的資源,並為可以從信任區域外存取資源的主體產生調查結果。這些調查結果有助於識別與外部實體共用的資源,並在部署資源許可之前,協助您預覽政策如何影響對資源的公有和跨帳戶存取。

IAM Access Analyzer 調查結果也可協助您識別在 AWS 組織和帳戶中授予的未使用存取權,包括:

  • 未使用的 IAM 角色 – 在指定的使用時段內沒有存取活動的角色。

  • 未使用的 IAM 使用者、登入資料和存取金鑰 – 屬於 IAM 使用者的登入資料,用於存取 AWS 服務和資源。

  • 未使用的 IAM 政策和許可 – 未在指定用量時段內由角色使用的服務層級和動作層級許可。IAM Access Analyzer 使用連接到角色的身分型政策來判斷這些角色可存取的服務和動作。分析器會針對所有服務層級許可,提供未使用的許可的檢閱。

您可以使用從 IAM Access Analyzer 產生的調查結果,根據組織的政策和安全標準,了解並修復任何非預期或未使用的存取權。修復之後,下次分析器執行時,這些調查結果會標記為已解析。如果調查結果是刻意的,您可以將其標記為在 IAM Access Analyzer 中封存,並優先考慮具有更大安全風險的其他調查結果。此外,您可以設定封存規則來自動封存特定問題清單。例如,您可以建立封存規則,以針對您定期授予存取權的特定 Amazon S3 儲存貯體,自動封存任何調查結果。

身為建置器,您可以使用 IAM Access Analyzer 在開發和部署 (CI/CD) 程序中稍早執行自動化 IAM 政策檢查,以遵循您的公司安全標準。您可以將 IAM Access Analyzer 自訂政策檢查和政策檢閱與 AWS CloudFormation 整合,將政策檢閱自動化,做為開發團隊 CI/CD 管道的一部分。其中包含:

  • IAM 政策驗證 – IAM Access Analyzer 會根據 IAM 政策文法AWS 最佳實務來驗證您的政策。您可以檢視政策驗證檢查的問題清單,包括安全警告、錯誤、一般警告和政策的建議。目前有超過 100 個政策驗證檢查可供使用,並且可以使用 AWS Command Line Interface (AWS CLI) 和 APIs。

  • IAM 自訂政策檢查 – IAM Access Analyzer 自訂政策檢查會根據您指定的安全標準驗證您的政策。自訂政策檢查使用自動推理來提供更高層級的保證,以滿足您的公司安全標準。自訂政策檢查的類型包括:

    • 檢查參考政策:編輯政策時,您可以將其與參考政策進行比較,例如政策的現有版本,以檢查更新是否授予新的存取權。CheckNoNewAccess API 會比較兩個政策 (更新的政策和參考政策),以判斷更新的政策是否會引入對參考政策的新存取權,並傳回通過或失敗回應。

    • 檢查 IAM 動作清單:您可以使用 CheckAccessNotGranted API,確保政策不會授予對安全標準中定義之關鍵動作清單的存取權。此 API 會取得最多 100 個 IAM 動作的政策和清單,以檢查政策是否允許至少一個動作,並傳回通過或失敗回應。

安全團隊和其他 IAM 政策作者可以使用 IAM Access Analyzer 來撰寫符合 IAM 政策文法和安全標準的政策。手動編寫適當大小的政策可能容易出錯且耗時。IAM Access Analyzer 政策產生功能可協助根據委託人的存取活動撰寫 IAM 政策。IAM Access Analyzer 會檢閱 AWS CloudTrail 日誌以取得支援的服務,並產生政策範本,其中包含委託人在指定日期範圍內使用的許可。然後,您可以使用此範本來建立具有精細許可的政策,該許可僅授予必要的許可。

  • 您必須啟用 CloudTrail 追蹤,您的帳戶才能根據存取活動產生政策。

  • IAM Access Analyzer 不會在產生的政策中識別資料事件的動作層級活動,例如 Amazon S3 資料事件。

  • CloudTrail 不會追蹤iam:PassRole動作,也不會包含在產生的政策中。

Access Analyzer 透過 AWS Organizations 中的委派管理員功能部署在安全工具帳戶中。委派管理員具有建立和管理分析器的許可,並以 AWS 組織做為信任區域。

設計考量事項

  • 若要取得帳戶範圍的問題清單 (其中帳戶做為信任的界限),您可以在每個成員帳戶中建立帳戶範圍分析器。這可以作為帳戶管道的一部分來完成。帳戶範圍的問題清單會在成員帳戶層級流入 Security Hub。從那裡,它們會流向 Security Hub 委派管理員帳戶 (安全工具)。

實作範例

AWS Firewall Manager

AWS Firewall Manager 透過簡化跨多個帳戶和資源的 AWS WAF、AWS Shield Advanced、Amazon VPC 安全群組、AWS Network Firewall 和 Route 53 Resolver DNS Firewall 的管理和維護任務,協助保護您的網路。使用 Firewall Manager,您只需設定一次 AWS WAF 防火牆規則、Shield Advanced Protections、Amazon VPC 安全群組、AWS Network Firewall 防火牆和 DNS Firewall 規則群組關聯。此服務自動在帳號和資源中套用規則和防護,甚至在您新增資源時也可套用。

當您想要保護整個 AWS 組織,而不是少量的特定帳戶和資源,或者您經常新增要保護的新資源時,防火牆管理員特別有用。Firewall Manager 使用安全政策來定義一組組態,包括必須部署的相關規則、保護和動作,以及要包含或排除的帳戶和資源 (以標籤表示)。您可以建立精細且靈活的組態,同時仍然能夠將控制擴展到大量帳戶和 VPCs。即使建立新帳戶和資源,這些政策也會自動且一致地強制執行您設定的規則。Firewall Manager 會透過 AWS Organizations 在所有帳戶中啟用,並由 Firewall Manager 委派管理員帳戶中的適當安全團隊 (在此案例中為安全工具帳戶) 執行組態和管理。 

您必須為每個包含您要保護之資源的 AWS 區域啟用 AWS Config。如果您不想為所有資源啟用 AWS Config,則必須為與您使用的 Firewall Manager 政策類型相關聯的資源啟用它。當您同時使用 AWS Security Hub 和 Firewall Manager 時, Firewall Manager 會自動將您的問題清單傳送至 Security Hub。Firewall Manager 會針對不合規的資源及其偵測到的攻擊建立問題清單,並將問題清單傳送至 Security Hub。當您設定 AWS WAF 的 Firewall Manager 政策時,您可以為所有範圍內帳戶集中啟用 Web 存取控制清單 (Web ACLs) 的記錄,並將日誌集中在單一帳戶下。 

設計考量事項

  • AWS 組織中個別成員帳戶的帳戶管理員可以根據其特定需求,在 Firewall Manager 受管服務中設定其他控制項 (例如 AWS WAF 規則和 Amazon VPC 安全群組)。

實作範例

AWS SRA 程式碼庫提供 AWS Firewall Manager 的範例實作。它示範委派的管理 (安全工具)、部署允許的安全群組上限、設定安全群組政策,以及設定多個 WAF 政策。

Amazon EventBridge

Amazon EventBridge 為無伺服器事件匯流排服務,可讓您直觀地應用程式與來自各種來源的資料互相連線。它經常用於安全自動化。您可以設定路由規則來判斷要將資料傳送到何處,以建置可即時回應所有資料來源的應用程式架構。除了在每個帳戶中使用預設事件匯流排之外,您還可以建立自訂事件匯流排來接收來自自訂應用程式的事件。您可以在安全工具帳戶中建立事件匯流排,該匯流排可以從 AWS 組織中的其他帳戶接收安全特定事件。例如,透過將 AWS Config 規則、GuardDuty 和 Security Hub 與 EventBridge 連結,您可以建立彈性的自動化管道來路由安全資料、引發警示和管理解決問題的動作。 

設計考量

  • EventBridge 能夠將事件路由到許多不同的目標。自動化安全動作的一個重要模式是將特定事件連接到個別 AWS Lambda 回應者,以採取適當的動作。例如,在某些情況下,您可能想要使用 EventBridge 將公有 S3 儲存貯體調查結果路由到 Lambda 回應程式,以更正儲存貯體政策並移除公有許可。這些回應者可以整合到您的調查手冊和執行手冊中,以協調回應活動。

  • 成功安全營運團隊的最佳實務是將安全事件和調查結果的流程整合到通知和工作流程系統中,例如票證系統、錯誤/問題系統,或其他安全資訊和事件管理 (SIEM) 系統。這會將工作流程從電子郵件和靜態報告中移除,並協助您路由、升級和管理事件或問題清單。EventBridge 中的彈性路由功能是此整合的強大啟用器。

Amazon Detective

Amazon Detective 透過直接分析、調查和快速識別安全分析師的安全調查結果或可疑活動的根本原因,來支援回應式安全控制策略。Detective 會自動從 AWS CloudTrail 日誌和 Amazon VPC 流程日誌擷取以時間為基礎的事件,例如登入嘗試、API 呼叫和網路流量。您可以使用 Detective 存取長達一年的歷史事件資料。Detective 會使用 CloudTrail 日誌和 Amazon VPC 流程日誌的獨立串流來取用這些事件。Detective 使用機器學習和視覺化來建立統一的互動式檢視,了解資源的行為以及它們之間的互動,這稱為行為圖表。您可以探索行為圖表來檢查不同的動作,例如失敗的登入嘗試或可疑的 API 呼叫。

Detective 與 Amazon Security Lake 整合,讓安全分析師能夠查詢和擷取存放在 Security Lake 中的日誌。您可以使用此整合,從存放在 Security Lake 的 AWS CloudTrail 日誌和 Amazon VPC 流程日誌取得其他資訊,同時在 Detective 中進行安全調查。

Detective 也會擷取 Amazon GuardDuty 偵測到的問題清單,包括 GuardDuty 執行期監控偵測到的威脅。當帳戶啟用 Detective 時,它會成為行為圖表的管理員帳戶。在您嘗試啟用 Detective 之前,請確定您的帳戶已在 GuardDuty 中註冊至少 48 小時。如果您不符合此需求,則無法啟用 Detective。

Detective 會自動將與單一安全性入侵事件相關的多個調查結果分組為調查結果群組。威脅執行者通常會執行一系列動作,導致多個安全性問題清單分散在時間和資源中。因此,調查結果群組應該是涉及多個實體和調查結果的調查起點。Detective 也會使用生成式 AI 來提供調查結果群組摘要,該 AI 會自動分析調查結果群組,並以自然語言提供洞見,協助您加速安全調查。

Detective 與 AWS Organizations 整合。Org Management 帳戶會將成員帳戶委派為 Detective 管理員帳戶。在 AWS SRA 中,這是安全工具帳戶。Detective 管理員帳戶能夠自動啟用組織中所有目前的成員帳戶做為偵測成員帳戶,並在新增至 AWS 組織時新增成員帳戶。Detective 管理員帳戶也可以邀請目前不在 AWS 組織中但位於相同區域內的成員帳戶,將其資料提供給主要帳戶的行為圖表。當成員帳戶接受邀請並啟用時,Detective 會開始擷取成員帳戶的資料並將其擷取到該行為圖表中。

設計考量事項

  • 您可以從 GuardDuty 和 AWS Security Hub 主控台導覽至 Detective 問題清單設定檔。這些連結有助於簡化調查程序。您的帳戶必須是 Detective 和您樞紐來源服務 (GuardDuty 或 Security Hub) 的管理帳戶。如果服務的主要帳戶相同,整合連結可順暢運作。

AWS Audit Manager

AWS Audit Manager 可協助您持續稽核 AWS 用量,以簡化如何管理稽核以及是否符合法規和業界標準。它可讓您從手動收集、檢閱和管理證據,轉移到自動化證據收集的解決方案、提供追蹤稽核證據來源的簡單方法、啟用團隊合作,以及協助管理證據安全和完整性。進行稽核時,Audit Manager 可協助您管理控制項的利益相關者檢閱。

使用 Audit Manager,您可以針對預先建置的架構進行稽核,例如網際網路安全中心 (CIS) 基準、CIS AWS Foundations 基準、系統和組織控制 2 (SOC 2),以及支付卡產業資料安全標準 (PCI DSS)。它還可讓您根據內部稽核的特定需求,使用標準或自訂控制項建立自己的架構。

Audit Manager 會收集四種類型的證據。三種類型的證據是自動化的:來自 AWS Config 和 的合規檢查證據 AWS Security Hub、來自 AWS CloudTrail 的管理事件證據,以及來自 AWS service-to-service API 呼叫的組態證據。對於無法自動化的證據,Audit Manager 可讓您上傳手動證據。

注意

Audit Manager 可協助收集與驗證是否符合特定合規標準和法規相關的證據。不過,它不會評估您的合規。因此,透過 Audit Manager 收集的證據可能不會包含稽核所需的操作程序詳細資訊。Audit Manager 無法取代法律顧問或合規專家。我們建議您使用第三方評估者的服務,該評估者已通過評估的合規架構認證 (這些評估者)。

Audit Manager 評估可以在 AWS 組織中的多個帳戶上執行。Audit Manager 會收集證據並將其合併到 AWS Organizations 中的委派管理員帳戶。此稽核功能主要供合規和內部稽核團隊使用,且只需要您的 AWS 帳戶的讀取存取權。

設計考量

  • Audit Manager 補充其他 AWS 安全服務,例如 Security Hub 和 AWS Config,以協助實作風險管理架構。Audit Manager 提供獨立的風險保證功能,而 Security Hub 可協助您監督風險,而 AWS Config 一致性套件可協助您管理風險。熟悉由內部稽核研究所 (IIA) 開發的三行模型的稽核專業人員應注意,此 AWS 服務組合可協助您涵蓋這三道防線。如需詳細資訊,請參閱 AWS Cloud Operations & Migrations 部落格上的兩部分部落格系列

  • 為了讓 Audit Manager 收集 Security Hub 證據,兩個服務的委派管理員帳戶必須是相同的 AWS 帳戶。因此,在 AWS SRA 中,Security Tooling 帳戶是 Audit Manager 的委派管理員。

AWS Artifact

AWS Artifact 託管在安全工具帳戶中,以將合規成品管理功能與 AWS Org Management 帳戶分開。此職責分離很重要,因為除非絕對必要,否則建議您避免使用 AWS Org Management 帳戶進行部署。反之,將部署傳遞至成員帳戶。由於稽核成品管理可以從成員帳戶完成,而且 函數與安全與合規團隊密切保持一致,因此安全工具帳戶被指定為 AWS Artifact 的管理員帳戶。您可以使用 AWS Artifact 報告來下載 AWS 安全和合規文件,例如 AWS ISO 認證、支付卡產業 (PCI) 和系統和組織控制 (SOC) 報告。

AWS Artifact 不支援委派的管理功能。反之,您可以將此功能限制為僅與稽核和合規團隊相關的 安全工具帳戶中的 IAM 角色,以便他們可以視需要下載、檢閱這些報告,並將這些報告提供給外部稽核人員。此外,您可以限制特定 IAM 角色只能透過 IAM 政策存取特定 AWS Artifact 報告。如需範例 IAM 政策,請參閱 AWS Artifact 文件

設計考量事項

  • 如果您選擇擁有稽核和合規團隊的專用 AWS 帳戶,您可以在安全稽核帳戶中託管 AWS Artifact,這與安全工具帳戶不同。AWS Artifact 報告提供證據,證明組織遵循文件化程序或滿足特定要求。系統會在整個系統開發生命週期中收集和封存稽核成品,並可在內部或外部稽核和評估中做為證據。

AWS KMS

AWS Key Management Service (AWS KMS) 可協助您建立和管理密碼編譯金鑰,並控制其在 AWS 服務和應用程式中的使用。AWS KMS 是一種安全且彈性的服務,使用硬體安全模組來保護密碼編譯金鑰。它遵循金鑰材料的業界標準生命週期程序,例如金鑰的儲存、輪換和存取控制。AWS KMS 可以透過加密和簽署金鑰協助保護您的資料,並可透過 AWS Encryption SDK 用於伺服器端加密和用戶端加密。為了提供保護和靈活性,AWS KMS 支援三種類型的金鑰:客戶受管金鑰、AWS 受管金鑰和 AWS 擁有的金鑰。客戶受管金鑰是您建立、擁有和管理的 AWS 帳戶中的 AWS KMS 金鑰。AWS 受管金鑰是您帳戶中的 AWS KMS 金鑰,由與 AWS KMS 整合的 AWS 服務代表您建立、管理和使用。AWS 擁有的金鑰是 AWS 服務擁有和管理用於多個 AWS 帳戶的 AWS KMS 金鑰集合。如需使用 KMS 金鑰的詳細資訊,請參閱 AWS KMS 文件AWS KMS 密碼編譯詳細資訊

AWS SRA 建議分散式金鑰管理模型,其中 KMS 金鑰位於本機使用它們的帳戶中,而且您可以允許負責特定帳戶中基礎設施和工作負載的人員管理自己的金鑰。建議您避免在一個帳戶中針對所有密碼編譯函數使用單一金鑰。您可以根據函數和資料保護需求建立金鑰,並強制執行最低權限原則。相較於使用加密金鑰,此模型可讓您的工作負載團隊擁有更多控制、彈性和敏捷性。它也有助於避免 API 限制,限制單一 AWS 帳戶的影響範圍,並簡化報告、稽核和其他合規相關任務。在某些情況下,加密許可會與解密許可分開,管理員會管理生命週期函數,但無法使用其管理的金鑰來加密或解密資料。在分散式模型中,部署和強制執行護欄非常重要,以便以相同的方式管理分散式金鑰,並根據已建立的最佳實務和政策稽核 KMS 金鑰的使用。

替代部署選項是將 KMS 金鑰管理的責任集中到單一帳戶,同時使用金鑰和 IAM 政策的組合,透過應用程式資源委派使用應用程式帳戶中金鑰的能力。這種方法安全且易於管理,但由於 AWS KMS 限流限制、帳戶服務限制,以及安全團隊被操作金鑰管理任務包圍,您可能會遇到障礙。

AWS SRA 結合了集中式和分散式模型。在安全工具帳戶中,AWS KMS 用於管理集中式安全服務的加密,例如由 AWS 組織管理的 AWS CloudTrail 組織追蹤。本指南稍後的應用程式帳戶區段說明用於保護工作負載特定資源的 KMS 金鑰模式。

AWS 私有 CA

AWS Private Certificate Authority (AWS 私有 CA) 是一種受管私有 CA 服務,可協助您安全地管理 EC2 執行個體、容器、IoT 裝置和內部部署資源的私有終端實體 TLS 憑證生命週期。它允許加密的 TLS 通訊執行應用程式。使用 AWS 私有 CA,您可以建立自己的 CA 階層 (根 CA,透過次級 CAs,到終端實體憑證),並發行憑證來驗證內部使用者、電腦、應用程式、服務、伺服器和其他裝置,以及簽署電腦程式碼。私有 CA 發行的憑證僅在您的 AWS 組織中受信任,而不是在網際網路上受信任。

公有金鑰基礎設施 (PKI) 或安全團隊可以負責管理所有 PKI 基礎設施。這包括私有 CA 的管理和建立。不過,必須有允許工作負載團隊自行提供憑證需求的佈建。AWS SRA 描述集中式 CA 階層,其中根 CA 託管在安全工具帳戶中。這可讓安全團隊強制執行嚴格的安全控制,因為根 CA 是整個 PKI 的基礎。不過,透過使用 AWS Resource Access Manager (AWS RAM) 將 CA 共用到應用程式帳戶,從私有 CA 建立私有憑證會委派給應用程式開發團隊。AWS RAM 會管理跨帳戶共用所需的許可。這消除了每個帳戶中私有 CA 的需求,並提供更具成本效益的部署方式。如需工作流程和實作的詳細資訊,請參閱部落格文章如何使用 AWS RAM 來共用您的 AWS 私有 CA 跨帳戶

注意

ACM 也可協助您佈建、管理和部署公有 TLS 憑證,以搭配 AWS 服務使用。若要支援此功能,ACM 必須位於會使用公有憑證的 AWS 帳戶中。本指南稍後會在應用程式帳戶一節中討論。

設計考量

  • 使用 AWS 私有 CA,您可以建立最多五個層級的憑證授權單位階層。您也可以建立多個階層,每個階層都具有自己的根。 AWS 私有 CA 階層應遵循組織的 PKI 設計。不過,請記住,提高 CA 階層會增加憑證路徑中的憑證數量,進而增加終端實體憑證的驗證時間。定義良好的 CA 階層提供好處,包括適合每個 CA 的精細安全控制、將次級 CA 委派給不同的應用程式,這會導致管理任務的劃分、使用具有有限可撤銷信任的 CA、定義不同有效期間的能力,以及強制執行路徑限制的能力。理想情況下,您的根和次級 CAs位於不同的 AWS 帳戶中。如需使用 規劃 CA 階層的詳細資訊 AWS 私有 CA,請參閱 AWS 私有 CA 文件和部落格文章如何保護汽車和製造業的企業規模 AWS 私有 CA 階層

  • AWS 私有 CA 可以與您現有的 CA 階層整合,這可讓您使用 ACM 的自動化和原生 AWS 整合功能,以及您目前使用的現有信任根。您可以在 中 AWS 私有 CA 建立由內部部署上父 CA 支援的次級 CA。如需實作的詳細資訊,請參閱 AWS 私有 CA 文件中的安裝由外部父 CA 簽署的次級 CA 憑證

Amazon Inspector

Amazon Inspector 是一種自動化漏洞管理服務,可自動探索和掃描 Amazon EC2 執行個體、Amazon Container Registry (Amazon ECR) 中的容器映像,以及 AWS Lambda 函數是否有已知的軟體漏洞和意外的網路暴露。

Amazon Inspector 會在您變更資源時自動掃描資源,在整個資源生命週期內持續評估您的環境。啟動重新掃描資源的事件包括在 EC2 執行個體上安裝新套件、安裝修補程式,以及發佈會影響資源的新常見漏洞和暴露 (CVE) 報告。Amazon Inspector 支援 EC2 執行個體中作業系統的網際網路安全中心 (CIS) 基準評估。

Amazon Inspector 與 Jenkins 和 TeamCity 等開發人員工具整合,以進行容器映像評估。您可以在持續整合和持續交付 (CI/CD) 工具中評估容器映像是否有軟體漏洞,並將安全性推送到軟體開發生命週期的早期階段。評估調查結果可在 CI/CD 工具的儀表板中取得,因此您可以執行自動化動作,以回應重大安全問題,例如封鎖的建置或將映像推送至容器登錄檔。如果您有作用中的 AWS 帳戶,您可以從 CI/CD 工具市集安裝 Amazon Inspector 外掛程式,並在建置管道中新增 Amazon Inspector 掃描,而不需要啟用 Amazon Inspector 服務。此功能可與託管於 AWS、內部部署或混合雲端上任何地方的 CI/CD 工具搭配使用,因此您可以在所有開發管道中持續使用單一解決方案。啟用 Amazon Inspector 時,會自動探索所有 EC2 執行個體、Amazon ECR 和 CI/CD 工具中的容器映像,以及大規模的 AWS Lambda 函數,並持續監控它們是否有已知的漏洞。

Amazon Inspector 的網路連線能力調查結果會評估 EC2 執行個體透過虛擬閘道往返 VPC 邊緣的可存取性,例如網際網路閘道、VPC 互連連線或虛擬私有網路 (VPNs)。這些規則有助於自動化 AWS 網路的監控,並識別 EC2 執行個體的網路存取可能透過錯誤管理的安全群組、存取控制清單 (ACLs)、網際網路閘道等設定錯誤。如需詳細資訊,請參閱 Amazon Inspector 文件

當 Amazon Inspector 識別漏洞或開放網路路徑時,會產生您可以調查的問題清單。調查結果包含漏洞的完整詳細資訊,包括風險分數、受影響的資源和修補建議。風險分數專為您的環境量身打造,其計算方式是將up-to-date CVE 資訊與時間與環境因素相互關聯,例如網路可存取性和可利用性資訊,以提供情境調查結果。

若要掃描漏洞,必須使用 AWS Systems Manager Agent (SSM Agent) 在 AWS Systems Manager 中管理 EC2 執行個體。EC2 執行個體的網路連線能力或 Amazon ECR 或 Lambda 函數中的容器映像漏洞掃描不需要任何代理程式。

Amazon Inspector 已與 AWS Organizations 整合,並支援委派的管理。在 AWS SRA 中,安全工具帳戶會成為 Amazon Inspector 的委派管理員帳戶。Amazon Inspector 委派管理員帳戶可以管理 AWS 組織成員的問題清單資料和特定設定。這包括檢視所有成員帳戶彙總調查結果的詳細資訊、啟用或停用成員帳戶的掃描,以及檢閱 AWS 組織內掃描的資源。

設計考量

  • 啟用兩個服務時,Amazon Inspector AWS Security Hub 會自動與 整合。您可以使用此整合,將所有調查結果從 Amazon Inspector 傳送至 Security Hub,然後將這些調查結果包含在安全性狀態的分析中。

  • Amazon Inspector 會自動將調查結果的事件、資源涵蓋範圍變更,以及個別資源的初始掃描匯出至 Amazon EventBridge,以及選擇性地匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。若要將作用中問題清單匯出至 S3 儲存貯體,您需要 Amazon Inspector 可用來加密問題清單的 AWS KMS 金鑰,以及具有允許 Amazon Inspector 上傳物件許可的 S3 儲存貯體。EventBridge 整合可讓您在現有的安全與合規工作流程中,近乎即時地監控和處理問題清單。除了 Amazon Inspector 委派的管理員帳戶之外,EventBridge 事件也會發佈到他們源自的成員帳戶。

實作範例

AWS SRA 程式碼庫提供 Amazon Inspector 的範例實作。它示範委派的管理 (安全工具),並為 AWS 組織中的所有現有和未來帳戶設定 Amazon Inspector。

在所有 AWS 帳戶中部署常見的安全服務

在本參考中稍早的跨 AWS 組織套用安全服務一節強調了保護 AWS 帳戶的安全服務,並指出其中許多服務也可以在 AWS Organizations 中設定和管理。其中一些服務應該部署在所有帳戶中,您會在 AWS SRA 中看到。這可啟用一組一致的護欄,並在整個 AWS 組織中提供集中式監控、管理和管控。 

Security Hub、GuardDuty、AWS Config、Access Analyzer 和 AWS CloudTrail 組織線索會出現在所有帳戶中。前三個支援先前在管理帳戶、受信任存取和委派管理員區段中討論的委派管理員功能。CloudTrail 目前使用不同的彙總機制。

AWS SRA GitHub 程式碼儲存庫提供範例實作,讓您在所有帳戶中啟用 Security Hub、GuardDuty、AWS Config、 Firewall Manager 和 CloudTrail 組織追蹤,包括 AWS Org Management 帳戶。

設計考量

  • 特定帳戶組態可能需要額外的安全服務。例如,管理 S3 儲存貯體的帳戶 (應用程式和日誌封存帳戶) 也應該包含 Amazon Macie,並考慮在這些常見的安全服務中開啟 CloudTrail S3 資料事件記錄。(Macie 支援使用集中式組態和監控的委派管理。) 另一個範例是 Amazon Inspector,僅適用於託管 EC2 執行個體或 Amazon ECR 映像的帳戶。

  • 除了本節先前所述的服務之外,AWS SRA 還包含兩個以安全為重心的服務:Amazon Detective 和 AWS Audit Manager,其支援 AWS Organizations 整合和委派的管理員功能。不過,這些不包含在帳戶基準的建議服務中,因為我們已經看到這些服務最適合在下列案例中使用:

    • 您有一個執行這些函數的專用團隊或資源群組。安全分析師團隊最好使用 Detective,而 Audit Manager 有助於您的內部稽核或合規團隊。

    • 您想要在專案開始時專注於一組核心工具,例如 GuardDuty 和 Security Hub,然後使用提供額外的功能的服務來建置這些工具。