View a markdown version of this page

記錄和集中架構圖 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

記錄和集中架構圖

若要快速準確地回應安全事件,您需要了解系統和網路的架構方式。根據最佳實務,了解這些內部模式不僅對於事件回應很重要,也對於驗證架構模式之應用程式之間的一致性也很重要。您也應該確認本文件是最新的,並根據新的架構模式定期更新。您應該開發詳細說明項目的文件和內部儲存庫,例如:

  • AWS 帳戶結構 - 您需要知道:

    • 您有多少 AWS 帳戶?

    • 這些 AWS 帳戶如何組織?

    • 誰是 AWS 帳戶的商業擁有者?

    • 您是否使用服務控制政策 SCPs)? 若是如此,使用 SCPs 實作了哪些組織護欄?

    • 您是否限制可使用的區域和服務?

    • 業務單位和環境之間有什麼差異 (dev/test/prod)?

  • AWS 服務模式

    • 您使用哪些 AWS 服務?

    • 什麼是最廣泛使用的 AWS 服務?

  • 架構模式

    • 您使用哪些雲端架構?

  • AWS 身分驗證模式

    • 您的開發人員通常如何進行身分驗證 AWS?

    • 您是否使用 IAM 角色或使用者 (或兩者)? 您的身分驗證是否 AWS 連接到身分提供者 (IdP)?

    • 如何將 IAM 角色或使用者映射至員工或系統?

    • 當有人不再獲得授權時,如何撤銷存取權?

  • AWS 授權模式

    • 您的開發人員使用哪些 IAM 政策?

    • 您是否使用資源型政策?

  • 記錄和監控

    • 您使用哪些記錄來源,以及它們存放在哪裡?

    • 您是否彙總 AWS CloudTrail 日誌? 如果是這樣,它們會存放在哪裡?

    • 如何查詢 CloudTrail 日誌?

    • 您是否已啟用 Amazon GuardDuty?

    • 如何存取 GuardDuty 調查結果 (例如主控台、票證系統、SIEM)?

    • 問題清單或事件是否彙總在 SIEM 中?

    • 票證是否會自動建立?

    • 有哪些工具可用來分析調查的日誌?

  • 網路拓撲

    • 您網路上的裝置、端點和連線在實體或邏輯上如何排列?

    • 您的網路如何與 連線 AWS?

    • 如何在環境之間篩選網路流量?

  • 外部基礎設施

    • 如何部署面向外部的應用程式?

    • 哪些 AWS 資源可公開存取?

    • 哪些 AWS 帳戶包含面向外部的基礎設施?

    • 有哪些 DDoS 或外部篩選?

記錄內部技術圖表和程序可簡化事件回應分析師的任務,協助他們快速取得機構知識來回應安全事件。完整的內部技術程序文件不僅簡化了安全調查,還調整了程序的合理化和評估。