此内容已过时。此版本的架构完善的框架现在可在以下位置找到: https://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/security.html

SEC 6: 如何保护计算资源?

工作负载内的计算资源需要采用多层防御,才有助于免受内部和外部威胁。计算资源包括 EC2 实例、容器、AWS Lambda 函数、数据库服务、IoT 设备等。

资源

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

最佳实践:

改进计划

执行漏洞管理

  • 配置 Amazon Inspector: Amazon Inspector 测试 Amazon EC2 实例的网络可访问性,以及在这些实例上运行的应用程序的安全状态。Amazon Inspector 评估应用程序的风险、漏洞以及相较于最佳实践的偏差。
    What is Amazon Inspector?
  • 扫描源代码: 扫描库和依赖项,以确定是否有漏洞。
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools

    • 缩小攻击面

  • 强化操作系统: 配置操作系统以符合最佳实践。
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • 强化容器化资源: 配置容器化资源以符合安全最佳实践。
  • AWS Lambda 最佳实践: 实施 AWS Lambda 最佳实践
    AWS Lambda best practices

    • 采用托管服务

  • 探索可用的服务: 探索、测试和实施托管资源的服务,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
    AWS Home

    • 自动保护计算

  • 自动管理配置: 使用配置管理服务或工具自动实施安全配置并对其进行验证。
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • 自动修补 EC2 实例: AWS Systems Manager Patch Manager 使用安全相关的更新和其他类型的更新来自动执行修补托管实例的流程。您可以使用 Patch Manager 为操作系统和应用程序应用修补程序。
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • 实施入侵检测和预防: 实施入侵检测和预防工具,以监控并停止实例上的恶意活动。
  • 考虑 APN 合作伙伴解决方案: APN 合作伙伴提供数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或与之集成。这些产品补充了现有的 AWS 服务,使您能够在云和本地部署环境中部署全面的安全架构和更为无缝的体验。
    Infrastructure security

    • 帮助人员远程执行操作

  • 替换控制台访问: 用 AWS Systems Manager Run Command 替换实例的控制台访问(SSH 或 RDP),以自动管理任务。
    AWS Systems Manager Run Command

    • 验证软件完整性

  • 调查机制: 代码签名是一种可用来验证软件完整性的机制。
    NIST: Security Considerations for Code Signing