本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全 OU – 安全工具帳戶
| 進行簡短的問卷 |
下圖說明 AWS Security Tooling 帳戶中設定的安全服務。
安全工具帳戶專用於操作安全服務、監控 AWS 帳戶,以及自動化安全提醒和回應。安全性目標包括下列項目:
-
提供具有受控存取權的專用帳戶,以管理對安全護欄、監控和回應的存取。
-
維護適當的集中式安全基礎設施,以監控安全操作資料並維護可追蹤性。偵測、調查和回應是安全生命週期的重要部分,可用於支援品質程序、法律或合規義務,以及威脅識別和回應工作。
-
透過對適當的安全組態和操作維持另一層控制,例如加密金鑰和安全群組設定,進一步支援defense-in-depth組織策略。這是安全運算子運作的帳戶。用於檢視整個 AWS 組織的唯讀/稽核角色是典型的,而寫入/修改角色的數量有限、受到嚴格控制、監控和記錄。
設計考量
-
AWS Control Tower 根據預設, 會在稽核帳戶的安全 OU 下為帳戶命名。您可以在 AWS Control Tower 設定期間重新命名帳戶。
-
可能有多個安全工具帳戶是適當的。例如,監控和回應安全事件通常會指派給專用團隊。網路安全可能需要自己與雲端基礎設施或網路團隊合作的帳戶和角色。此類分割保留分隔集中式安全環境的目標,並進一步強調職責分離、最低權限和團隊指派的潛在簡單性。如果您使用的是 AWS Control Tower,它會限制在安全 OU AWS 帳戶 下建立其他 。
安全服務的委派管理員
Security Tooling 帳戶是 中以管理員/成員結構管理之安全服務的管理員帳戶 AWS 帳戶。如前所述,這會透過 AWS Organizations 委派管理員功能處理。 AWS SRA 中目前支援委派管理員的服務包括根存取 AWS Config AWS Firewall Manager、Amazon GuardDuty、IAM Access Analyzer、Amazon Macie、 AWS Security Hub、 AWS Security Hub CSPM、Amazon Detective AWS Audit Manager、Amazon Inspector AWS CloudTrail和 的 IAM 集中管理 AWS Systems Manager。您的安全團隊會管理這些服務的安全功能,並監控任何安全特定的事件或問題清單。
AWS IAM Identity Center 支援將管理委派給成員帳戶。 AWS SRA 使用共用服務帳戶做為 IAM Identity Center 的委派管理員帳戶,如共用服務帳戶的 IAM Identity Center 一節稍後所述。
集中式根存取
Security Tooling 帳戶 是 IAM 集中管理根存取功能的委派管理員帳戶。 此功能必須在組織層級啟用,方法是在成員帳戶中啟用登入資料管理和特權根動作。委派的管理員必須明確獲得sts:AssumeRoot許可,才能代表成員帳戶採取特權根動作。只有在組織管理或委派管理員帳戶中啟用成員帳戶中的特權根動作之後,才能使用此許可。透過此許可,使用者可以在成員帳戶上執行特權根使用者任務,而這些任務集中來自安全工具帳戶。啟動特權工作階段後,您可以刪除設定錯誤的 S3 儲存貯體政策、刪除設定錯誤的 SQS 佇列政策、刪除成員帳戶的根使用者憑證,以及為成員帳戶重新啟用根使用者憑證。您可以使用 AWS Command Line Interface (AWS CLI) 或透過 APIs 從主控台執行這些動作。
AWS CloudTrail
AWS CloudTrail
在 AWS SRA 中,安全工具帳戶是管理 CloudTrail 的委派管理員帳戶。用於存放組織追蹤日誌的對應 S3 儲存貯體會在 Log Archive 帳戶中建立。這是為了區隔 CloudTrail 日誌權限的管理和使用。如需有關如何建立或更新 S3 儲存貯體以存放組織追蹤日誌檔案的資訊,請參閱 CloudTrail 文件。作為安全最佳實務,請將組織追蹤aws:SourceArn的條件索引鍵新增至 S3 儲存貯體 (以及 KMS 索引鍵或 SNS 主題等任何其他資源) 的資源政策。這可確保 S3 儲存貯體僅接受與特定追蹤相關聯的資料。線索是使用日誌檔案驗證來設定日誌檔案完整性驗證。日誌和摘要檔案使用 SSE-KMS 加密。組織追蹤也會與 CloudWatch Logs 中的日誌群組整合,以傳送事件以供長期保留。
注意
您可以從管理和委派的管理員帳戶建立和管理組織追蹤。不過,最佳實務是,您應該限制對管理帳戶的存取,並使用可用的委派管理員功能。
設計考量
-
CloudTrail 不會記錄資料事件,因為這些通常是大量活動。不過,您應該擷取特定關鍵 AWS 資源的資料事件,例如 S3 儲存貯體、Lambda 函數、從外部 AWS 傳送至 CloudTrail 湖的日誌事件,以及 SNS 主題。若要這樣做,請指定每個個別資源ARNs,以設定您的組織追蹤來包含來自特定資源的資料事件。
-
如果成員帳戶需要存取其自身帳戶的 CloudTrail 日誌檔案,您可以選擇從中央 S3 儲存貯體共用組織的 CloudTrail 日誌檔案。不過,如果成員帳戶需要本機 Amazon CloudWatch 日誌群組做為其帳戶的 CloudTrail 日誌,或想要設定與組織追蹤不同的日誌管理和資料事件 (唯讀、唯讀、管理事件、資料事件),則可以使用適當的控制項建立本機追蹤。本機帳戶特定的追蹤會產生額外費用
。
AWS Security Hub CSPM
AWS Security Hub 雲端安全狀態管理
Security Hub CSPM 與 整合 AWS Organizations ,可簡化 AWS 組織中所有現有和未來帳戶的安全狀態管理。您可以從委派管理員帳戶 (在此案例中為安全工具) 使用 Security Hub CSPM 中央組態功能,指定如何在您的組織帳戶和跨區域的組織單位 (OUs) 中設定 Security Hub CSPM 服務、安全標準和安全控制。 您可以從一個主要區域透過幾個步驟來設定這些設定,這稱為主區域。如果您不使用中央組態,則必須在每個帳戶和區域中分別設定 Security Hub CSPM。委派管理員可以將帳戶和 OUs 指定為自我管理,其中成員可以分別在每個區域中設定設定,或以非集中方式管理,其中委派管理員可以跨區域設定成員帳戶或 OU。您可以將組織中的所有帳戶和 OUs 指定為集中管理、所有自我管理或兩者的組合。這可簡化一致性組態的強制執行,同時提供為每個 OU 和帳戶修改組態的彈性。
Security Hub CSPM 委派管理員帳戶也可以檢視問題清單、檢視洞見,以及控制所有成員帳戶的詳細資訊。您也可以在委派的管理員帳戶中指定彙總區域,以集中您帳戶和連結區域的調查結果。您的問題清單會在彙總工具區域與所有其他區域之間持續雙向同步。
Security Hub CSPM 支援與數個 整合 AWS 服務。Amazon GuardDuty AWS Config、Amazon Macie、IAM Access Analyzer AWS Firewall Manager、Amazon Inspector、 Amazon Route 53 Resolver DNS Firewall 和 AWS Systems Manager 修補程式管理員可以將問題清單饋送至 Security Hub CSPM。Security Hub CSPM 會使用稱為安全調查結果格式 AWS (ASFF) 的標準格式來處理調查結果。Security Hub CSPM 會關聯整合產品的調查結果,以排定最重要的問題清單優先順序。您可以充實 Security Hub CSPM 調查結果的中繼資料,以協助更完善內容化、排定優先順序,並對安全調查結果採取動作。此擴充功能會將資源標籤、新的 AWS 應用程式標籤和帳戶名稱資訊新增至擷取至 Security Hub CSPM 的每個問題清單。這可協助您微調自動化規則的問題清單、搜尋或篩選問題清單和洞見,以及依應用程式評估安全狀態。此外,您可以使用自動化規則自動更新問題清單。當 Security Hub CSPM 擷取問題清單時,可以套用各種規則動作,例如隱藏問題清單、變更問題清單的嚴重性,以及新增問題清單的備註。這些規則動作會在問題清單符合您指定的條件時生效,例如與問題清單相關聯的資源或帳戶 IDs,或其標題。您可以使用自動化規則來更新 ASFF 中的選取調查結果欄位。規則同時適用於新的和更新的調查結果。
在調查安全事件期間,您可以從 Security Hub CSPM 導覽至 Amazon Detective,以調查 GuardDuty 調查結果。Security Hub CSPM 建議為 Detective (當它們存在時) 等服務調整委派管理員帳戶,以便更順暢地整合。例如,如果您未在 Detective 和 Security Hub CSPM 之間對齊管理員帳戶,則從調查結果導覽至 Detective 將無法運作。如需完整清單,請參閱 Security Hub CSPM 文件中的 Security Hub CSPM AWS 服務 整合概觀。
您可以使用 Security Hub CSPM 搭配 Amazon VPC 的網路存取分析器
除了監控功能之外,Security Hub CSPM 還支援與 Amazon EventBridge 整合,以自動修復特定問題清單。您可以定義在收到問題清單時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。如需其他討論和範例,請參閱 AWS 部落格文章使用 自動化回應和修復 AWS Security Hub CSPM
Security Hub CSPM 使用服務連結 AWS Config 規則 來執行其控制項的大部分安全檢查。若要支援這些控制項, AWS Config 必須在啟用 Security Hub CSPM 的每個帳戶中啟用所有帳戶,包括管理員 (或委派管理員) 帳戶和成員帳戶。 AWS 區域
設計考量
-
如果 PCI-DSS 等合規標準已存在於 Security Hub CSPM 中,則全受管 Security Hub CSPM 服務是最簡單的操作方式。不過,如果您想要組合自己的合規或安全標準,其中可能包括安全性、操作或成本最佳化檢查, AWS Config 一致性套件可提供簡化的自訂程序。(如需 AWS Config 和 一致性套件的詳細資訊,請參閱 AWS Config一節。)
-
Security Hub CSPM 的常見使用案例包括下列項目:
-
作為儀表板,可讓應用程式擁有者查看其 AWS 資源的安全性和合規狀態
-
作為安全操作、事件回應者和威脅獵人使用的安全調查結果的集中檢視,對 和 區域 AWS 的安全和合規調查結果進行分類 AWS 帳戶 和採取行動
-
若要從跨 AWS 帳戶 和 區域彙總安全性和合規調查結果,並將其路由至集中式安全性資訊和事件管理 (SIEM) 或其他安全性協同運作系統
如需這些使用案例的其他指引,包括如何設定這些使用案例,請參閱部落格文章三個週期性 Security Hub CSPM 使用模式,以及如何部署這些
使用案例。 -
實作範例
AWS SRA 程式碼庫
AWS Security Hub
AWS Security Hub 是一種統一的雲端安全解決方案,可優先考慮您的關鍵安全威脅,並協助您大規模回應。Security Hub 透過自動關聯和豐富來自多個來源的安全訊號,例如狀態管理 (AWS Security Hub CSPM)、漏洞管理 (Amazon Inspector)、敏感資料 (Amazon Macie) 和威脅偵測 (Amazon GuardDuty),以近乎即時的方式偵測安全問題。這可讓安全團隊透過自動化分析和情境洞察,優先考慮其雲端環境中的主動風險。Security Hub 提供潛在攻擊路徑的視覺化呈現,攻擊者可以利用這些路徑來存取與公開調查結果相關聯的資源。這會將複雜的安全訊號轉換為可行的洞察,讓您可以快速做出有關安全性的明智決策。
Security Hub 經過策略性重新設計,可簡化相關安全服務建置區塊的啟用,以達成安全成果。透過近乎即時地將威脅矩陣中的安全調查結果與不同安全訊號相互關聯,您可以優先考慮最關鍵的風險。調查結果與偵測與 AWS 資源相關聯的暴露相關聯。暴露在安全控制、設定錯誤或其他可能被作用中威脅利用的領域中代表更廣泛的弱點。例如,暴露可能是可從網際網路連線的 EC2 執行個體,且具有高入侵可能性的軟體漏洞。
Security Hub 和 Security Hub CSPM 是補充服務。Security Hub CSPM 可全面檢視您的安全狀態,並協助您根據安全產業標準和最佳實務評估雲端環境。Security Hub 提供統一的體驗,協助您排定優先順序並回應重大安全問題。Security Hub CSPM 調查結果會自動路由到 Security Hub,它們與其他安全服務的問題清單相關聯,例如 Amazon Inspector,以產生公開。這可協助您識別環境中最關鍵的風險。
Security Hub 也會依類型和相關聯的調查結果,提供 AWS 環境中資源的摘要。資源的優先順序是公開和攻擊序列。選擇資源類型時,您可以檢閱與該資源類型相關聯的所有資源。
為了獲得最佳體驗,我們建議您啟用 Security Hub 和 Security Hub CSPM,以及啟用這些其他安全服務:Amazon GuardDuty
在 AWS SRA 中,Security Tooling 帳戶會擔任 Security Hub、Security Hub CSPM 和其他 AWS 安全服務的委派管理員。在安全工具帳戶中,您可以檢視與成員帳戶相關聯的所有資源。您也可以 AWS 區域 從連結檢視您家中的所有資源 AWS 區域。
實作備註
啟用 Security Hub 需要三個步驟,包括考慮您之前是否啟用 Security Hub CSPM 的程序。Security Hub 原生與 整合 AWS Organizations,可簡化組態和實作程序,並將所有調查結果集中並彙總到單一位置。根據 AWS SRA 最佳實務,使用 Security Tooling 帳戶做為委派管理員帳戶來管理和設定 Security Hub。使用 Security Hub 組態設定自動啟用所有區域、OUs 和帳戶,包括未來的區域和帳戶。您也應該設定跨區域彙總,將多個 的問題清單、資源和趨勢彙總 AWS 區域 到單一主區域。在組態期間,您也可以啟用任何原生整合,例如 Jira Cloud 或 ServiceNow。
設計考量
-
Security Hub 調查結果在開放網路安全結構描述架構 (OCSF) 中格式化。Security Hub 在 OCSF 中產生調查結果,並從 Security Hub CSPM 和其他 收到 OCSF 中的調查結果 AWS 服務。這些 OCSF 調查結果可以透過 Amazon EventBridge 傳送以進行自動化,或存放在中央日誌彙總帳戶中,以執行安全日誌分析和保留。
-
AWS 組織管理帳戶無法將自己指定為 Security Hub 中的委派管理員。這符合將安全工具帳戶指定為委派管理員的 AWS SRA 最佳實務。另請注意:
-
Security Hub CSPM 的指定管理員帳戶會自動成為 Security Hub 的指定管理員。
-
透過 Security Hub 移除委派管理也會移除 Security Hub CSPM 的委派管理。同樣地,透過 Security Hub CSPM 移除委派的管理也會為 Security Hub 移除它。
-
-
Security Hub 包含根據您的規格自動修改問題清單並對其採取動作的功能,Security Hub 支援下列類型的自動化:
-
自動化規則會根據定義的條件,以近乎即時的方式自動更新問題清單、隱藏問題清單,以及將問題清單傳送至票證工具。
-
自動化回應和修復,可建立自訂 EventBridge 規則,定義針對特定調查結果和洞見採取的自動動作。
-
-
Security Hub 可以透過政策在所有成員帳戶和區域中設定 Amazon Inspector,也可以透過部署設定 GuardDuty 和 Security Hub CSPM。政策會為帳戶和區域產生 AWS Organizations 政策。部署是一次性動作,可在所選帳戶和區域中啟用安全功能。部署不適用於新啟用的帳戶。或者,您可以在 GuardDuty 和 Security Hub CSPM 中為新成員帳戶自動啟用功能。
Amazon GuardDuty
Amazon GuardDuty
除了提供基礎資料來源之外,GuardDuty 還提供選用功能來識別安全問題清單。其中包括 EKS 保護、RDS 保護、S3 保護、惡意軟體保護和 Lambda 保護。對於新的偵測器,這些選用功能預設為啟用,但 EKS 保護除外,必須手動啟用。
-
使用 GuardDuty S3 保護,除了預設 CloudTrail 管理事件之外,GuardDuty 還會監控 CloudTrail 中的 Amazon S3 資料事件。監控資料事件可讓 GuardDuty 監控物件層級 API 操作,以找出 S3 儲存貯體內資料的潛在安全風險。
-
GuardDuty 惡意軟體防護透過在連接的 Amazon Elastic Block Store (Amazon EBS) 磁碟區上啟動無代理程式掃描,來偵測 Amazon EC2 執行個體或容器工作負載上是否存在惡意軟體。GuardDuty 也會掃描新上傳的物件或現有物件的新版本,以偵測 S3 儲存貯體中的潛在惡意軟體。
-
GuardDuty RDS Protection 旨在分析和監控 Amazon Aurora 資料庫的存取活動,而不會影響資料庫效能。
-
GuardDuty EKS 保護包括 EKS 稽核日誌監控和 EKS 執行期監控。透過 EKS 稽核日誌監控,GuardDuty 會從 Amazon EKS 叢集監控 Kubernetes 稽核日誌,並分析它們是否有潛在的惡意和可疑活動。EKS 執行期監控使用 GuardDuty 安全代理程式 (Amazon EKS 附加元件) 來提供個別 Amazon EKS 工作負載的執行期可見性。GuardDuty 安全代理程式有助於識別 Amazon EKS 叢集中可能遭到入侵的特定容器。它也可以偵測嘗試將權限從個別容器提升到基礎 Amazon EC2 主機或更廣泛的 AWS 環境。
GuardDuty 也提供稱為延伸威脅偵測的功能,可自動偵測跨資料來源、多種 AWS 資源類型和 內時間的多階段攻擊 AWS 帳戶。GuardDuty 會將這些稱為訊號的事件相互關聯,以識別對 AWS 環境造成潛在威脅的案例,然後產生攻擊序列調查結果。這涵蓋涉及 AWS 憑證濫用相關入侵的威脅案例,以及 AWS 帳戶.GuardDuty 中資料入侵嘗試會將所有攻擊序列調查結果類型視為Critical。此功能預設為啟用,而且沒有與其相關聯的額外費用。
在 AWS SRA 中,GuardDuty 會透過 在所有帳戶中啟用 AWS Organizations,而且 GuardDuty 委派管理員帳戶中的適當安全團隊 (在此案例中為安全工具帳戶) 可檢視和操作所有調查結果。GuardDuty 作用中調查結果會匯出至 Log Archive 帳戶中的中央 S3 儲存貯體,因此您可以將調查結果保留超過 90 天。問題清單會從委派的管理員帳戶匯出,並包含相同區域中相關聯成員帳戶的所有問題清單。S3 儲存貯體中的調查結果會使用 AWS KMS 客戶受管金鑰加密。S3 儲存貯體政策和 KMS 金鑰政策設定為僅允許 GuardDuty 使用資源。
啟用 AWS Security Hub CSPM 時,GuardDuty 調查結果會自動流向 Security Hub CSPM 和 Security Hub。啟用 Amazon Detective 時,GuardDuty 調查結果會包含在 Detective 日誌擷取程序中。GuardDuty 和 Detective 支援跨服務使用者工作流程,其中 GuardDuty 從主控台提供連結,將您從選取的調查結果重新導向至 Detective 頁面,其中包含一組精心策劃的視覺化效果,用於調查該調查結果。例如,您也可以將 GuardDuty 與 Amazon EventBridge 整合,以自動化 GuardDuty 的最佳實務,例如自動回應新的 GuardDuty 調查結果。
實作範例
AWS SRA 程式碼庫
AWS Config
AWS Config
您可以使用 來評估 AWS 資源的組態設定AWS Config 規則。 AWS Config 提供可自訂的預先定義規則程式庫,稱為 受管規則,或者您可以撰寫自己的自訂規則。您可以 AWS Config 規則 主動模式 (在部署資源之前) 或偵測模式 (在部署資源之後) 執行 。當發生組態變更、定期排程或兩者同時發生時,即可評估資源。
一致性套件是 AWS Config 規則和修補動作的集合,可部署為帳戶和區域中或組織中的單一實體 AWS Organizations。一致性套件是透過撰寫包含 AWS Config 受管或自訂規則和修復動作清單的 YAML 範本來建立。若要開始評估您的 AWS 環境,請使用其中一個範例一致性套件範本。
AWS Config 與 整合 AWS Security Hub CSPM ,將 AWS Config 受管和自訂規則評估的結果作為調查結果傳送至 Security Hub CSPM。
AWS Config 規則 可與 搭配使用 AWS Systems Manager ,以有效修復不合規的資源。您可以使用 Systems Manager Explorer 在 AWS 帳戶 跨 的 中收集AWS Config規則的合規狀態, AWS 區域 然後使用Systems Manager Automation 文件 (執行手冊) 來解決不合規 AWS Config 的規則。如需實作詳細資訊,請參閱部落格文章AWS Config 使用 AWS Systems Manager Automation Runbook 修復不合規規則
AWS Config 彙整工具會跨多個帳戶、區域和組織收集組態和合規資料 AWS Organizations。彙總工具儀表板會顯示彙總資源的組態資料。庫存和合規儀表板提供組織跨 AWS 帳戶、跨 AWS 區域或內部 AWS AWS 資源組態和合規狀態的基本和最新資訊。它們可讓您視覺化和評估 AWS 資源庫存,而無需撰寫 AWS Config 進階查詢。您可以取得基本的洞見,例如資源的合規摘要、擁有不合規資源的前 10 個帳戶、按類型比較執行和停止的 EC2 執行個體,以及按磁碟區類型和大小的 EBS 磁碟區。
如果您使用 AWS Control Tower 來管理 AWS 組織,則會將一組 AWS Config 規則部署為偵測性護欄 (分類為強制性、強烈建議或選擇性)。這些護欄可協助您管理 資源,並監控 AWS 組織中帳戶之間的合規性。這些 AWS Config 規則會自動使用值為 的aws-control-tower標籤managed-by-control-tower。
AWS Config 必須針對 AWS 組織中的每個成員帳戶啟用 AWS 區域 ,其中包含您要保護的資源。您可以集中管理 (例如,建立、更新和刪除) AWS 組織內所有帳戶的 AWS Config 規則。從 AWS Config 委派管理員帳戶,您可以跨所有帳戶部署一組常見的 AWS Config 規則,並指定不應建立 AWS Config 規則的帳戶。 AWS Config 委派管理員帳戶也可以彙總來自所有成員帳戶的資源組態和合規資料,以提供單一檢視。使用委派管理員帳戶的 APIs 來強制執行控管,方法是確保 AWS 組織中的成員帳戶無法修改基礎 AWS Config 規則。如果 Security Hub CSPM 已啟用且至少存在一個 AWS Config 受管或自訂規則 AWS Security Hub CSPM, AWS Config 則 會原生整合以傳送問題清單至 。
在 AWS SRA 中, AWS Config 委派的管理員帳戶是安全工具帳戶。 AWS Config 交付管道設定為在 Log Archive 帳戶中的集中式 S3 儲存貯體中交付資源組態快照。由於 Log Archive 帳戶是中央日誌儲存庫存放區,因此會用來存放資源組態。
設計考量
-
AWS Config 會將組態和合規變更通知串流至 Amazon EventBridge。這表示您可以使用 EventBridge 中的原生篩選功能來篩選AWS Config 事件,以便將特定類型的通知路由到特定目標。例如,您可以將特定規則或資源類型的合規通知傳送至特定電子郵件地址,或將組態變更通知路由至外部 IT 服務管理 (ITSM) 或組態管理資料庫 (CMDB) 工具。如需詳細資訊,請參閱部落格文章AWS Config 最佳實務
。 -
除了使用 AWS Config 主動規則評估之外,您還可以使用 AWS CloudFormation Guard,這是一種policy-as-code評估工具,可主動檢查資源組態合規性。 AWS CloudFormation Guard 命令列界面 (CLI) 為您提供宣告式的網域特定語言 (DSL),可用來將政策表達為程式碼。此外,您可以使用 AWS CLI 命令來驗證 JSON 格式或 YAML 格式的結構化資料,例如 CloudFormation 變更集、JSON 型 Terraform 組態檔案或 Kubernetes 組態。您可以使用 AWS CloudFormation Guard CLI
做為撰寫程序的一部分,在本機執行評估,或在部署管道 中執行評估。如果您有AWS Cloud Development Kit (AWS CDK) 應用程式,您可以使用 cdk-nag 主動檢查最佳實務。
實作範例
AWS SRA 程式碼庫
Amazon Security Lake
Amazon Security Lake
AWS SRA 建議您使用 Log Archive 帳戶做為 Security Lake 的委派管理員帳戶。如需設定委派管理員帳戶的詳細資訊,請參閱 Security OU ‒ Log Archive 帳戶區段中的 Amazon Security Lake。想要存取 Security Lake 資料或需要能夠使用自訂擷取、轉換和載入 (ETL) 函數將非原生日誌寫入 Security Lake 儲存貯體的安全團隊應在安全工具帳戶中操作。
Security Lake 可以從不同的雲端提供者、第三方解決方案的日誌或其他自訂日誌收集日誌。我們建議您使用安全工具帳戶來執行 ETL 函數,將日誌轉換為開放網路安全結構描述架構 (OCSF) 格式,並以 Apache Parquet 格式輸出檔案。Security Lake 會建立具有安全工具帳戶適當許可的跨帳戶角色,以及 Lambda 函數或 AWS Glue 爬蟲程式支援的自訂來源,以將資料寫入 Security Lake 的 S3 儲存貯體。
Security Lake 管理員應設定使用 Security Tooling 帳戶的安全團隊,並要求存取 Security Lake 以訂閱者身分收集的日誌。Security Lake 支援兩種類型的訂閱者存取:
-
資料存取 – 訂閱者可以直接存取 Security Lake 的 Amazon S3 物件。Security Lake 會管理基礎設施和許可。當您將 Security Tooling 帳戶設定為 Security Lake 資料存取訂閱者時,系統會透過 Amazon Simple Queue Service (Amazon SQS) 通知該帳戶 Security Lake 儲存貯體中的新物件,而 Security Lake 會建立存取這些新物件的許可。
-
查詢存取 – 訂閱者可以使用 Amazon Athena 等服務,從 S3 儲存貯體中的 AWS Lake Formation 資料表查詢來源資料。系統會使用 Lake Formation 自動設定跨帳戶存取以進行查詢存取。當您將 Security Tooling 帳戶設定為 Security Lake 查詢存取訂閱者時,帳戶會獲得 Security Lake 帳戶中日誌的唯讀存取權。當您使用此訂閱者類型時,會透過 AWS Resource Access Manager () 從 Security Lake Log Archive 帳戶與 Security Tooling 帳戶共用 Athena 和 AWS Glue 資料表AWS RAM。若要啟用此功能,您必須將跨帳戶資料共用設定更新為第 3 版。
如需建立訂閱者的詳細資訊,請參閱 Security Lake 文件中的訂閱者管理。
如需擷取自訂來源的最佳實務,請參閱 Security Lake 文件中的從自訂來源收集資料。
您可以使用 Amazon Quick Sight
設計考量事項
如果應用程式團隊需要查詢 Security Lake 資料的存取權以滿足業務需求,Security Lake 管理員應將該應用程式帳戶設定為 訂閱者。
Amazon Macie
Amazon Macie
Macie 已透過 在所有帳戶中啟用 AWS Organizations。在委派管理員帳戶中具有適當許可的委託人 (在此案例中為安全工具帳戶) 可以在任何帳戶中啟用或停用 Macie、為成員帳戶擁有的儲存貯體建立敏感資料探索任務,以及檢視所有成員帳戶的所有政策調查結果。敏感資料調查結果只能由建立敏感調查結果任務的帳戶檢視。如需詳細資訊,請參閱 Macie 文件中的以組織身分管理多個 Macie 帳戶。
Macie 調查結果會流向 AWS Security Hub CSPM 以供檢閱和分析。Macie 也與 Amazon EventBridge 整合,以促進對警示、安全資訊和事件管理 (SIEM) 系統摘要和自動修復等問題清單的自動回應。
設計考量
-
如果 S3 物件使用您管理的 AWS Key Management Service (AWS KMS) 金鑰加密,您可以將 Macie 服務連結角色新增為該 KMS 金鑰的金鑰使用者,讓 Macie 掃描資料。
-
Macie 已針對掃描 Amazon S3 中的物件進行最佳化。因此,任何可放置在 Amazon S3 中的 Macie 支援物件類型 (永久或暫時) 都可以掃描敏感資料。這表示來自其他來源的資料,例如 Amazon Relational Database Service (Amazon RDS) 或 Amazon Aurora 資料庫的定期快照匯出、匯出的 Amazon DynamoDB 資料表
,或從原生或第三方應用程式擷取的文字檔案,可以移至 Amazon S3 並由 Macie 評估。
實作範例
AWS SRA 程式碼庫
IAM Access Analyzer
隨著您加速 AWS 雲端 採用旅程並繼續創新,維持對精細存取 (許可) 的嚴格控制、包含存取擴散,並確保有效使用許可至關重要。過多和未使用的存取會帶來安全挑戰,並使企業更難強制執行最低權限原則。此原則是重要的安全架構支柱,涉及持續調整適當大小的 IAM 許可,以平衡安全需求與操作和應用程式開發需求。這項工作涉及多個利益相關者角色,包括中央安全與雲端卓越中心 (CCoE) 團隊以及分散式開發團隊。
AWS Identity and Access Management Access Analyzer
IAM Access Analyzer 外部存取分析器調查結果功能可協助您識別 AWS 組織和帳戶中與外部實體共用的資源,例如 Amazon S3 儲存貯體或 IAM 角色。您選擇的 AWS 組織或帳戶稱為信任區域。分析器使用自動化推理
同樣地,IAM Access Analyzer 內部存取分析器調查結果功能可協助您識別 AWS 組織和帳戶中與組織或帳戶內部主體共用的資源。此分析透過確保您指定的資源只能由組織內的預期主體存取,來支援最低權限原則。這是付費功能,需要明確設定資源才能檢查。謹慎使用此功能來監控特定的敏感資源,根據設計,這些資源需要鎖定,甚至在內部鎖定。
IAM Access Analyzer 調查結果也可協助您識別組織 AWS 和帳戶中授予的未使用存取權,包括:
-
未使用的 IAM 角色 – 在指定的使用時段內沒有存取活動的角色。
-
未使用的 IAM 使用者、登入資料和存取金鑰 – 屬於 IAM 使用者的登入資料,用於存取 AWS 服務 和資源。
-
未使用的 IAM 政策和許可 – 未在指定用量時段內由角色使用的服務層級和動作層級許可。IAM Access Analyzer 使用連接到角色的身分型政策,來判斷這些角色可以存取的服務和動作。分析器會針對所有服務層級許可,提供未使用許可的檢閱。
您可以使用從 IAM Access Analyzer 產生的調查結果,根據組織的政策和安全標準,了解並修復任何非預期或未使用的存取。修復之後,這些問題清單會在下次分析器執行時標示為未解決。如果問題清單是刻意的,您可以在 IAM Access Analyzer 中標記問題清單,並優先考慮具有較高安全風險的其他問題清單。此外,您可以設定架構規則,以自動封存特定問題清單。例如,您可以建立封存規則,以針對您定期授予存取權的特定 Amazon S3 儲存貯體,自動封存任何調查結果。
身為建置器,您可以使用 IAM Access Analyzer 在開發和部署 (CI/CD) 程序中提早執行自動化 IAM 政策檢查,以遵循您的公司安全標準。您可以將 IAM Access Analyzer 自訂政策檢查和政策審查與 整合 AWS CloudFormation ,將政策審查自動化,作為開發團隊 CI/CD 管道的一部分。其中包含:
-
IAM 政策驗證 – IAM Access Analyzer 會根據 IAM 政策文法和 AWS 最佳實務來驗證您的政策。您可以檢視政策驗證檢查的問題清單,包括安全警告、錯誤、一般警告和政策的建議。目前有超過 100 個政策驗證檢查可供使用,並且可以使用 AWS Command Line Interface (AWS CLI) 和 APIs。
-
IAM 自訂政策檢查 – IAM Access Analyzer 自訂政策檢查會根據您指定的安全標準驗證您的政策。自訂政策檢查使用自動推理來提供更高層級的保證,以滿足您的公司安全標準。自訂政策檢查的類型包括:
-
檢查參考政策:編輯政策時,您可以將其與參考政策進行比較,例如政策的現有版本,以檢查更新是否授予新存取權。CheckNoNewAccessAPI 會比較兩個政策 (更新的政策和參考政策),以判斷更新的政策是否會引入對參考政策的新存取權,並傳回通過或失敗回應。
-
檢查 IAM 動作清單:您可以使用CheckAccessNotGranted API,以確保政策不會授予對安全標準中定義之關鍵動作清單的存取權。此 API 會取得政策和最多 100 個 IAM 動作的清單,以檢查政策是否允許至少一個動作,並傳回通過或失敗回應。
-
安全團隊和其他 IAM 政策作者可以使用 IAM Access Analyzer 來撰寫符合 IAM 政策文法和安全標準的政策。手動編寫適當大小的政策可能容易出錯且耗時。IAM Access Analyzer 政策產生功能可協助根據委託人的存取活動撰寫 IAM 政策。IAM Access Analyzer 會檢閱受支援服務的 AWS CloudTrail 日誌,並產生政策範本,其中包含委託人在指定日期範圍內使用的許可。然後,您可以使用此範本來建立具有精細許可的政策,該許可僅授予必要的許可。
-
您必須為您的帳戶啟用 CloudTrail 追蹤,才能根據存取活動產生政策。
-
在產生的政策中,IAM Access Analyzer 不會識別資料事件的動作層級活動,例如 Amazon S3 資料事件。
-
CloudTrail 不會追蹤
iam:PassRole動作,也不會包含在產生的政策中。
IAM Access Analyzer 透過 中的委派管理員功能部署在 安全工具帳戶中 AWS Organizations。委派管理員具有建立和管理分析器的許可,以 AWS 組織為信任區域。
設計考量事項
若要取得帳戶範圍的問題清單 (其中帳戶做為信任的界限),您可以在每個成員帳戶中建立帳戶範圍分析器。這可以作為帳戶管道的一部分來完成。帳戶範圍的問題清單會在成員帳戶層級流入 Security Hub CSPM。從那裡,它們會流向 Security Hub CSPM 委派管理員帳戶 (安全工具)。
實作範例
-
AWS SRA 程式碼庫
提供 IAM Access Analyzer 的範例實作。它示範如何在委派管理員帳戶中設定組織層級分析器,以及在每個帳戶中設定帳戶層級分析器。 -
如需有關如何將自訂政策檢查整合到建置器工作流程的資訊,請參閱 AWS 部落格文章簡介 IAM Access Analyzer 自訂政策檢查
。
AWS Firewall Manager
AWS Firewall Manager
當您想要保護整個 AWS 組織,而不是少量的特定帳戶和資源,或者您經常新增想要保護的新資源時,防火牆管理員特別有用。Firewall Manager 使用安全政策來定義一組組態,包括必須部署的相關規則、保護和動作,以及要包含或排除的帳戶和資源 (以標籤表示)。您可以建立精細且靈活的組態,同時仍然能夠將控制擴展到大量帳戶和 VPCs。即使建立新帳戶和資源,這些政策也會自動且一致地強制執行您設定的規則。Firewall Manager 會透過 在所有帳戶中啟用 AWS Organizations,並由 Firewall Manager 委派管理員帳戶中的適當安全團隊執行組態和管理 (在此情況下為安全工具帳戶)。
您必須 AWS Config 為每個包含您要保護之資源 AWS 區域 的 啟用 。如果您不想 AWS Config 為所有資源啟用 ,則必須為與您使用的 Firewall Manager 政策類型相關聯的資源啟用它。當您同時使用 AWS Security Hub CSPM 和 Firewall Manager 時, Firewall Manager 會自動將您的問題清單傳送至 Security Hub CSPM。Firewall Manager 會針對不合規的資源及其偵測到的攻擊建立問題清單,並將問題清單傳送至 Security Hub CSPM。當您為 設定 Firewall Manager 政策時 AWS WAF,您可以為所有範圍內帳戶集中啟用 Web 存取控制清單 (Web ACLs) 上的記錄,並將日誌集中在單一帳戶下。
使用 Firewall Manager,您可以有一或多個管理員可以管理組織的防火牆資源。當您指派多個管理員時,您可以套用限制性管理範圍條件來定義每個管理員可以管理的資源 (帳戶、OUs、區域、政策類型)。這可讓您彈性地在組織內擁有不同的管理員角色,並協助您維持最低權限存取的主體。 AWS SRA 使用一個管理員,將完整的管理範圍委派給安全工具帳戶。
設計考量事項
AWS 組織中個別成員帳戶的帳戶管理員可以根據其特定需求,在 Firewall Manager 受管服務中設定其他控制項 (例如 AWS WAF 規則和 Amazon VPC 安全群組)。
實作範例
AWS SRA 程式碼庫
Amazon EventBridge
Amazon EventBridge
設計考量
-
EventBridge 能夠將事件路由到許多不同的目標。自動化安全動作的一個重要模式是將特定事件連接到個別 AWS Lambda 回應者,以採取適當的動作。例如,在某些情況下,您可能想要使用 EventBridge 將公有 S3 儲存貯體調查結果路由到 Lambda 回應程式,以更正儲存貯體政策並移除公有許可。這些回應者可以整合到您的調查手冊和執行手冊中,以協調回應活動。
-
成功安全營運團隊的最佳實務是將安全事件和調查結果的流程整合到通知和工作流程系統中,例如票證系統、錯誤/問題系統,或其他安全資訊和事件管理 (SIEM) 系統。這會將工作流程從電子郵件和靜態報告中移除,並協助您路由、升級和管理事件或問題清單。EventBridge 中的彈性路由功能是此整合的強大啟用器。
Amazon Detective
Amazon Detective
Detective 與 Amazon Security Lake 整合,讓安全分析師能夠查詢和擷取存放在 Security Lake 中的日誌。您可以使用此整合,從存放在 Security Lake 的 CloudTrail 日誌和 Amazon VPC 流程日誌取得其他資訊,同時在 Detective 中進行安全調查。
Detective 也會擷取 Amazon GuardDuty 偵測到的問題清單,包括 GuardDuty 執行期監控偵測到的威脅。當帳戶啟用 Detective 時,它會成為行為圖表的管理員帳戶。在您嘗試啟用 Detective 之前,請確定您的帳戶已在 GuardDuty 中註冊至少 48 小時。如果您不符合此要求,則無法啟用 DetectiveDetective。
Detective 的其他選用資料來源包括 Amazon EKS 稽核日誌和 AWS Security Hub CSPM。Amazon EKS 稽核日誌資料來源可增強下列實體類型的相關資訊:Amazon EKS 叢集、Kubernetes Pod、容器映像和 Kubernetes 主體。Security Hub 資料來源是AWS 安全調查結果的一部分,它會將跨產品的調查結果關聯至 Security Hub,並將其擷取至 Detective。
Detective 會自動將與單一安全性入侵事件相關的多個調查結果分組為調查結果群組。威脅執行者通常會執行一系列動作,導致多個安全性問題清單分散在時間和資源中。因此,調查結果群組應該是涉及多個實體和調查結果的調查起點。Detective 也會使用生成式 AI 來提供調查結果群組摘要,該 AI 會自動分析調查結果群組,並以自然語言提供洞見,協助您加速安全調查。
Detective 與 整合 AWS Organizations。Org Management 帳戶會將成員帳戶委派為 Detective 管理員帳戶。在 AWS SRA 中,這是安全工具帳戶。Detective 管理員帳戶能夠自動將組織中所有目前的成員帳戶啟用為 Detective 成員帳戶,並在新增至 AWS 組織時新增成員帳戶。Detective 管理員帳戶也可以邀請目前不在 AWS 組織中但位於相同區域內的成員帳戶,將其資料貢獻至主要帳戶的行為圖表。當成員帳戶接受邀請並啟用時,Detective 會開始擷取成員帳戶的資料並將其擷取到該行為圖表中。
設計考量事項
您可以從 GuardDuty 和 AWS Security Hub CSPM 主控台導覽至 Detective 問題清單設定檔。這些連結有助於簡化調查程序。您的帳戶必須是 Detective 和您要從中樞紐之服務的管理帳戶 (GuardDuty 或 Security Hub CSPM)。如果服務的主要帳戶相同,整合連結可順暢運作。
AWS Audit Manager
AWS Audit Manager
使用 Audit Manager,您可以針對預先建置的架構進行稽核,例如網際網路安全中心 (CIS) 基準、CIS AWS Foundations Benchmark、系統和組織控制 2 (SOC 2),以及支付卡產業資料安全標準 (PCI DSS)。它也可讓您根據內部稽核的特定需求,使用標準或自訂控制項建立自己的架構。
Audit Manager 會收集四種類型的證據。三種類型的證據是自動化的:來自 AWS Config 和 的合規檢查證據 AWS Security Hub CSPM、來自 的管理事件證據 AWS CloudTrail,以及來自 AWS service-to-service組態證據。對於無法自動化的證據,Audit Manager 可讓您上傳手動證據。
根據預設,Audit Manager 中的資料會使用 AWS 受管金鑰加密。 AWS SRA 使用客戶受管金鑰進行加密,以更好地控制邏輯存取。您也應該在 AWS 區域 Audit Manager 發佈評估報告的 中設定 S3 儲存貯體。此儲存貯體應使用客戶受管金鑰加密,並具有設定為僅允許 Audit Manager 發佈報告的儲存貯體政策。
注意
Audit Manager 可協助收集與驗證特定合規標準和法規合規性相關的證據。不過,它不會評估您的合規。因此,透過 Audit Manager 收集的證據可能不會包含稽核所需的操作程序詳細資訊。Audit Manager 無法取代法律顧問或合規專家。我們建議您使用第三方評估者的服務,該評估者已通過評估的合規架構認證 (這些評估者)。
Audit Manager 評估可以在 AWS 組織中的多個帳戶上執行。Audit Manager 會收集證據並將其合併到其中的委派管理員帳戶 AWS Organizations。此稽核功能主要由合規和內部稽核團隊使用,且只需要您的 的讀取存取權 AWS 帳戶。
設計考量
-
Audit Manager 補充其他 AWS 安全服務 AWS Security Hub CSPM,例如 AWS Security Hub和 AWS Config ,以協助實作風險管理架構。Audit Manager 提供獨立的風險保證功能,而 Security Hub CSPM AWS Config 可協助您監督風險和一致性套件,協助您管理風險。熟悉 Institute of Internal Auditors (IIA)
開發的三行模型 的稽核專業人員應注意,此 組合 AWS 服務 可協助您涵蓋三道防線。如需詳細資訊,請參閱 AWS 雲端 Operations & Migrations 部落格上的兩部分部落格系列 。 -
為了讓 Audit Manager 收集 Security Hub CSPM 證據,這兩個服務的委派管理員帳戶必須相同 AWS 帳戶。因此,在 AWS SRA 中,Security Tooling 帳戶是 Audit Manager 的委派管理員。
AWS Artifact
AWS Artifact
AWS Artifact 不支援委派的管理功能。反之,您可以將此功能限制為僅與稽核和合規團隊相關的 安全工具帳戶中的 IAM 角色,以便他們可以視需要下載、檢閱這些報告,並將這些報告提供給外部稽核人員。此外,您可以限制特定 IAM 角色只能透過 IAM 政策存取特定 AWS Artifact 報告。如需範例 IAM 政策,請參閱 AWS Artifact 文件。
設計考量事項
如果您選擇有專用 AWS 帳戶 於稽核和合規團隊的 ,則可以 AWS Artifact 託管在安全稽核帳戶中,該帳戶與安全工具帳戶分開。 AWS Artifact 報告提供證據,以證明組織遵循文件化程序或滿足特定要求。系統會在整個系統開發生命週期中收集和封存稽核成品,並可在內部或外部稽核和評估中做為證據。
AWS KMS
AWS Key Management Service
其中一個部署選項是將 AWS KMS 金鑰管理的責任集中到單一帳戶,同時透過使用金鑰和 IAM 政策的組合,委派應用程式資源在應用程式帳戶中使用金鑰的能力。這種方法安全且易於管理,但由於限流限制、帳戶服務限制和安全團隊被操作金鑰管理任務淹沒,您可能會遇到障礙 AWS KMS 。另一個部署選項是具有分散式模型,您可以在其中允許 AWS KMS 駐留在多個帳戶中,而且您可以允許負責特定帳戶中基礎設施和工作負載的人員管理自己的金鑰。相較於使用加密金鑰,此模型可讓您的工作負載團隊擁有更多控制、彈性和敏捷性。它還有助於避免 API 限制,將影響範圍限制為 AWS 帳戶 僅一個,並簡化報告、稽核和其他合規相關任務。在分散式模型中,部署和強制執行護欄非常重要,以便以相同方式管理分散式金鑰,並根據已建立的 AWS KMS 最佳實務和政策稽核金鑰的使用。如需詳細資訊,請參閱白皮書AWS Key Management Service 最佳實務
在安全工具帳戶中, AWS KMS 用於管理集中式安全服務的加密,例如由 AWS CloudTrail AWS 組織管理的組織追蹤。
AWS 私有 CA
AWS 私有憑證授權單位 (AWS 私有 CA) 是一種受管私有 CA 服務,可協助您安全地管理 EC2 執行個體、容器、IoT 裝置和內部部署資源的私有終端實體 TLS 憑證生命週期。它允許加密的 TLS 通訊執行應用程式。使用 AWS 私有 CA,您可以建立自己的 CA 階層 (根 CA,透過次級 CAs,到終端實體憑證),並發行憑證來驗證內部使用者、電腦、應用程式、服務、伺服器和其他裝置,以及簽署電腦程式碼。私有 CA 發行的憑證僅在您的 AWS 組織中受信任,而不是在網際網路上受信任。
公有金鑰基礎設施 (PKI) 或安全團隊可以負責管理所有 PKI 基礎設施。這包括私有 CA 的管理和建立。不過,必須有允許工作負載團隊自行提供憑證需求的佈建。 AWS SRA 描述集中式 CA 階層,其中根 CA 託管在安全工具帳戶中。這可讓安全團隊強制執行嚴格的安全控制,因為根 CA 是整個 PKI 的基礎。不過,透過使用 AWS Resource Access Manager (AWS RAM) 將 CA 共用到應用程式帳戶,從私有 CA 建立私有憑證會委派給應用程式開發團隊。 會 AWS RAM 管理跨帳戶共用所需的許可。這消除了每個帳戶中私有 CA 的需求,並提供更具成本效益的部署方式。如需工作流程和實作的詳細資訊,請參閱部落格文章如何使用 AWS RAM 來共用您的 AWS 私有 CA 跨帳戶
注意
AWS Certificate Manager (ACM) 也可協助您佈建、管理和部署可搭配 使用的公有 TLS 憑證 AWS 服務。若要支援此功能,ACM 必須位於將使用公 AWS 帳戶 有憑證的 中。本指南稍後會在應用程式帳戶一節中討論。
設計考量
-
使用 AWS 私有 CA,您可以建立最多五個層級的憑證授權單位階層。您也可以建立多個階層,每個階層都具有自己的根。 AWS 私有 CA 階層應遵循組織的 PKI 設計。不過,請記住,提高 CA 階層會增加認證路徑中的憑證數量,進而增加終端實體憑證的驗證時間。定義良好的 CA 階層提供好處,包括適合每個 CA 的精細安全控制、將次級 CA 委派給不同的應用程式,這會導致管理任務的劃分、使用具有有限可撤銷信任的 CA、定義不同有效期間的能力,以及強制執行路徑限制的能力。理想情況下,您的根 CA 和次級 CAs位於不同的 中 AWS 帳戶。如需使用 規劃 CA 階層的詳細資訊 AWS 私有 CA,請參閱 AWS 私有 CA 文件和部落格文章如何保護汽車和製造業的企業規模 AWS 私有 CA 階層
。 -
AWS 私有 CA 可以與您現有的 CA 階層整合,這可讓您使用 ACM 的自動化和原生 AWS 整合功能,以及您目前使用的現有信任根。您可以在 中建立由內部部署上父 CA AWS 私有 CA 支援的次級 CA。如需實作的詳細資訊,請參閱 AWS 私有 CA 文件中的安裝由外部父 CA 簽署的次級 CA 憑證。
Amazon Inspector
Amazon Inspector
Amazon Inspector 會在您變更資源時自動掃描資源,在整個資源生命週期內持續評估您的環境。啟動重新掃描資源的事件包括在 EC2 執行個體上安裝新套件、安裝修補程式,以及發佈會影響資源的新常見漏洞和暴露 (CVE) 報告。Amazon Inspector 支援 EC2 執行個體中作業系統的網際網路安全中心 (CIS) 基準評估。
Amazon Inspector 與 Jenkins 和 TeamCity 等開發人員工具整合,以進行容器映像評估。您可以在持續整合和持續交付 (CI/CD) 工具中評估容器映像是否有軟體漏洞,並將安全性推送到軟體開發生命週期的早期階段。評估調查結果可在 CI/CD 工具的儀表板中取得,因此您可以執行自動化動作,以回應重大安全問題,例如封鎖的建置或將映像推送至容器登錄檔。如果您有作用中的 AWS 帳戶,您可以從 CI/CD 工具市集安裝 Amazon Inspector 外掛程式,並在建置管道中新增 Amazon Inspector 掃描,而不需要啟用 Amazon Inspector 服務。此功能適用於託管於任何地方 AWS的 CI/CD 工具,無論是在現場部署或混合雲端中,因此您可以一致地在所有開發管道中使用單一解決方案。啟用 Amazon Inspector 時,會自動探索所有 EC2 執行個體、Amazon ECR 和 CI/CD 工具中的容器映像,以及大規模的 Lambda 函數,並持續監控它們是否有已知的漏洞。
Amazon Inspector 的網路連線能力問題清單會評估 EC2 執行個體透過虛擬閘道往返 VPC 邊緣的可存取性,例如網際網路閘道、VPC 互連連線或虛擬私有網路 (VPNs)。這些規則有助於自動監控您的 AWS 網路,並識別 EC2 執行個體的網路存取可能透過錯誤管理的安全群組、存取控制清單 (ACLs)、網際網路閘道等設定錯誤。如需詳細資訊,請參閱 Amazon Inspector 文件。
當 Amazon Inspector 識別漏洞或開放式網路路徑時,會產生您可以調查的問題清單。調查結果包含漏洞的完整詳細資訊,包括風險分數、受影響的資源和修補建議。風險分數專為您的環境量身打造,透過將up-to-date CVE 資訊與時間和環境因素相互關聯來計算,例如網路可存取性和可利用性資訊,以提供情境調查結果。
Amazon Inspector Code Security 會掃描第一方應用程式原始碼、第三方應用程式相依性和基礎設施做為程式碼 (IaC) 是否有漏洞。啟用 Code Security 之後,您可以建立掃描組態並將其套用至您的程式碼儲存庫,以判斷要掃描的頻率、掃描類型和儲存庫。Code Security 支援靜態應用程式安全測試 (SAST)、軟體合成分析 (SCA) 和 IaC 掃描。若要設定頻率,您可以視需要、程式碼變更或定期定義掃描。程式碼掃描會擷取程式碼片段,以反白顯示偵測到的漏洞。程式碼片段是以 KMS 金鑰加密儲存。組織的委派管理員無法檢視屬於成員帳戶的程式碼片段。將原始程式碼管理員 (SCMs) 與 Code Security 整合後,所有程式碼儲存庫都會在 Amazon Inspector 主控台中列為專案。Code Security 只會監控每個儲存庫的預設分支。Amazon Inspector 透過直接在開發人員工作的地方提供特定的程式碼修正建議,簡化安全修補。與 SCM 的雙向整合會自動將修正建議為關鍵和高調查結果的提取請求 (PRs) 和合併請求 (MRs) 中的註解,並提醒開發人員解決最重要的漏洞,而不會中斷其工作流程。
若要掃描漏洞,必須使用 AWS Systems Manager 代理程式 (SSMAgent) AWS Systems Manager來管理 EC2 執行個體。 Amazon ECR 或 Lambda 函數中 EC2 執行個體的網路連線能力或容器映像的漏洞掃描不需要任何代理程式。
Amazon Inspector 已與 整合 AWS Organizations ,並支援委派的管理。在 AWS SRA 中,安全工具帳戶會成為 Amazon Inspector 的委派管理員帳戶。Amazon Inspector 委派管理員帳戶可以管理 AWS 組織成員的問題清單資料和特定設定。這包括檢視所有成員帳戶彙總調查結果的詳細資訊、啟用或停用成員帳戶的掃描,以及檢閱 AWS 組織內掃描的資源。
設計考量
-
啟用兩個服務時,Amazon Inspector 會自動與 AWS Security Hub CSPM 和 Security Hub 整合。您可以使用此整合,將所有調查結果從 Amazon Inspector 傳送至 Security Hub CSPM,然後將這些調查結果包含在安全性狀態的分析中。
-
Amazon Inspector 會自動將調查結果的事件、資源涵蓋範圍變更,以及個別資源的初始掃描匯出至 Amazon EventBridge,以及選擇性地匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。若要將作用中問題清單匯出至 S3 儲存貯體,您需要 Amazon Inspector 可用來加密問題清單的 AWS KMS 金鑰,以及具有允許 Amazon Inspector 上傳物件許可的 S3 儲存貯體。EventBridge 整合可讓您在現有的安全與合規工作流程中,近乎即時地監控和處理問題清單。除了 Amazon Inspector 委派的管理員帳戶之外,EventBridge 事件也會發佈至他們源自的成員帳戶。
-
Amazon Inspector Code Security 與 GitHub SaaS、GitHub Enterprise Cloud 和 GitHub Enterprise Server 整合需要公有網際網路存取。
實作範例
AWS SRA 程式碼庫
AWS 安全事件應變
AWS 安全事件應變
在 AWS SRA 中, AWS 安全事件應變 是以委派管理員帳戶的形式部署在安全工具帳戶中。已選取安全工具帳戶,因為它符合帳戶操作安全服務的目的,以及自動化安全提醒和回應。Security Tooling 帳戶也做為 Security Hub CSPM 和 GuardDuty 的委派管理員帳戶,這有助於 AWS 安全事件應變簡化工作流程管理。 AWS 安全事件應變 已設定為使用 AWS Organizations,因此您可以從 Security Tooling 帳戶管理整個組織帳戶的事件回應。
AWS 安全事件應變 可協助您實作事件回應生命週期的下列階段:
-
準備:建立和維護遏制動作的回應計畫和 SSM 文件。
-
偵測和分析:自動分析安全調查結果並判斷事件嚴重性。
-
偵測和分析:開啟服務支援的案例,並與 AWS CIRT 互動以取得其他協助。CIRT 是在作用中安全事件期間提供支援的一組人員。
-
遏制和消除:透過 SSM 文件執行自動遏制動作。
-
事件後活動:記錄事件詳細資訊並進行事件後分析。
您也可以使用 AWS 安全事件應變 來建立自我管理的案例。當您需要知道或採取行動時, AWS 安全事件應變 可以建立傳出通知或案例,這可能會影響您的帳戶或資源。只有在您啟用主動回應和提醒將工作流程分類為訂閱的一部分時,才能使用此功能。
設計考量
-
當您實作 時 AWS 安全事件應變,請仔細檢閱和測試自動化回應動作,再於生產環境中啟用它們。自動化可以加速事件回應,但設定不當的自動化動作可能會影響合法工作負載。
-
請考慮在 中使用 SSM 文件 AWS 安全事件應變 來實作組織特定的遏制程序,同時維護服務針對常見事件類型的內建最佳實務。
-
如果您計劃 AWS 安全事件應變 在 VPC 中使用 ,請確定您已為 Systems Manager 和其他整合服務設定適當的 VPC 端點,以在私有子網路中啟用遏制動作。
在所有 中部署常見的安全服務 AWS 帳戶
在此參考前面的跨組織 AWS 套用安全服務一節中,強調了保護 的安全服務 AWS 帳戶,並指出其中許多服務也可以進行設定和管理 AWS Organizations。其中一些服務應該部署在所有帳戶中,您會在 AWS SRA 中看到它們。這可啟用一組一致的護欄,並在整個 AWS 組織中提供集中式監控、管理和管控。
Security Hub CSPM、GuardDuty AWS Config、IAM Access Analyzer 和 CloudTrail 組織線索會出現在所有帳戶中。前三個支援先前在管理帳戶、信任存取和委派管理員一節中討論的委派管理員功能。CloudTrail 目前使用不同的彙總機制。
AWS SRA GitHub 程式碼儲存庫
設計考量
-
特定帳戶組態可能需要額外的安全服務。例如,管理 S3 儲存貯體的帳戶 (應用程式和日誌封存帳戶) 也應該包含 Amazon Macie,並考慮在這些常見的安全服務中開啟 CloudTrail S3 資料事件記錄。(Macie 支援使用集中式組態和監控的委派管理。) 另一個範例是 Amazon Inspector,僅適用於託管 EC2 執行個體或 Amazon ECR 映像的帳戶。
-
除了本節先前所述的服務之外, AWS SRA 還包含兩個以安全為重心的服務:Amazon Detective 和 AWS Audit Manager,支援 AWS Organizations 整合和委派的管理員功能。不過,這些不包含在帳戶基準的建議服務中,因為我們已經看到這些服務最適合在下列案例中使用:
-
您有一個執行這些函數的專用團隊或資源群組。安全分析師團隊最好使用 Detective,而 Audit Manager 有助於您的內部稽核或合規團隊。
-
您想要在專案開始時專注於一組核心工具,例如 GuardDuty 和 Security Hub CSPM,然後使用提供額外的功能的服務來建置這些工具。
-
