你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Amazon Web Services （AWS）资源的安全建议

项目
03/13/2024

本文列出了使用 “环境设置” 页连接 Amazon Web Services （AWS）帐户时在 Microsoft Defender for Cloud 中看到的所有建议。环境中显示的建议基于要保护的资源和自定义配置。

若要了解可以针对这些建议采取的操作，请参阅 Defender for Cloud 修正建议。

[预览]AWS 注册表中的容器映像应已解决漏洞发现

说明：Defender for Cloud 会扫描注册表映像中的已知漏洞（CVE），并为每个扫描的映像提供详细的发现。扫描和修正注册表中容器映像的漏洞有助于维护安全可靠的软件供应链，降低安全事件的风险，并确保符合行业标准。

严重性：高

类型：漏洞评估

[预览]AWS 中运行的容器应已解决漏洞发现

说明：Defender for Cloud 创建 Kubernetes 群集中当前运行的所有容器工作负荷的清单，并通过匹配所使用的映像以及为注册表映像创建的漏洞报告来为这些工作负荷提供漏洞报告。扫描和修正容器工作负载的漏洞对于确保可靠且安全的软件供应链、降低安全事件的风险以及确保符合行业标准至关重要。

严重性：高

类型：漏洞评估

EKS 群集应将所需的 AWS 权限授予 Microsoft Defender for Cloud

说明：Microsoft Defender for Containers 为 EKS 群集提供保护。若要监视群集中的安全漏洞和威胁，Defender for Containers 需要 AWS 帐户的权限。这些权限用于在群集上启用 Kubernetes 控制平面日志记录，并在群集与 Cloud 中的 Defender for Cloud 后端之间建立可靠管道。详细了解 Microsoft Defender for Cloud 针对容器化环境的安全功能。

严重性：高

EKS 群集应已安装 Microsoft Defender 的 Azure Arc 扩展

说明：Microsoft Defender 的群集扩展为 EKS 群集提供安全功能。该扩展从群集及其节点收集数据，以识别安全漏洞和威胁。此扩展适用于支持 Azure Arc 的 Kubernetes。详细了解 Microsoft Defender for Cloud 针对容器化环境的安全功能。

严重性：高

应在 AWS 连接器上启用 Microsoft Defender for Containers

说明：Microsoft Defender for Containers 为容器化环境提供实时威胁防护，并生成有关可疑活动的警报。使用此信息加强 Kubernetes 群集的安全性，并修正安全问题。

说明：此控件检查是否根据轮换计划成功轮换 AWS 机密管理器机密。如果RotationOccurringAsScheduled 为 false，则此控件失败。该控件不会评估未配置轮换的机密。 Secrets Manager 有助于提高组织的安全状况。机密包含数据库凭据、密码和第三方 API 密钥。你可以使用 Secrets Manager 集中存储机密、自动加密机密、控制对机密的访问，以及安全地自动轮换机密。 Secrets Manager 可以轮换机密。可以使用轮换将长期机密替换为短期机密。轮换机密会限制未经授权的用户可以使用已泄露机密的时间。出于此原因，你应该经常轮换机密。除了将机密配置为自动轮换，还应确保这些机密根据轮换计划成功轮换。若要详细了解轮换，请参阅 AWS Secrets Manager 用户指南中的轮换 AWS Secrets Manager 机密。

严重性：中等

Secrets Manager 机密应在指定天数内轮换

说明：此控件检查你的机密是否在 90 天内至少轮换一次。轮换密钥可以帮助降低 AWS 帐户中未经授权使用机密的风险。示例包括数据库凭据、密码、第三方 API 密钥，甚至任意文本。如果你长时间未更改机密，则机密更有可能受到入侵。当更多用户访问某个机密时，可能更可能有人将其处理不当并泄漏给未经授权的实体。可以通过日志和缓存数据泄露机密。它们可出于调试目的而共享，并且在调试完成后不会更改或撤消。出于上述所有原因，机密应该经常轮换。你可以在 AWS Secrets Manager 中配置机密以进行自动轮换。通过自动轮换，你可以将长期机密替换为短期机密，从而大大降低泄露的风险。 Security Hub 建议为 Secrets Manager 机密启用轮换。若要详细了解轮换，请参阅 AWS Secrets Manager 用户指南中的轮换 AWS Secrets Manager 机密。

严重性：中等

说明：此控件检查是否使用 AWS KMS 对 SNS 主题进行静态加密。静态加密数据可降低未通过 AWS 身份验证的用户访问磁盘上存储的数据的风险。它还添加另一组访问控制，以限制未经授权的用户访问数据的能力。例如，需要在读取数据之前使用 API 权限对数据进行解密。应对 SNS 主题进行静态加密，以增加安全层。有关详细信息，请参阅 Amazon Simple Notification Service 开发人员指南中的静态加密。

严重性：中等

应在所有 VPC 中启用 VPC 流日志记录

说明：通过VP 传递的网络流量提供对网络流量的可见性，并可用于检测安全事件期间的异常流量或见解。

说明：除了捕获指定 S3 存储桶中的 CloudTrail 日志以供长期分析外，还可以通过配置 CloudTrail 将日志发送到 CloudWatch 日志来执行实时分析。对于在帐户的所有区域中启用的跟踪，CloudTrail 将日志文件从所有这些区域发送到 CloudWatch Logs 日志组。建议将 CloudTrail 日志发送到 CloudWatch Logs，以确保捕获、监视 AWS 帐户活动，并适当发出警报。将 CloudTrail 日志发送到 CloudWatch Logs 有助于基于用户、API、资源和 IP 地址进行实时和历史活动日志记录，并有机会为异常或敏感帐户活动建立警报和通知。

严重性：低

应启用数据库日志记录

说明：此控制检查是否启用以下 Amazon RDS 日志并将其发送到 CloudWatch 日志：

Oracle：（警报、审核、跟踪、侦听器）
PostgreSQL：（Postgresql，升级）
MySQL：（审核、错误、常规、SlowQuery）
MariaDB：（审核、错误、常规、慢查询）
SQL Server：（错误，代理）
奥罗拉：（审核、错误、常规、慢查询）
Aurora-MySQL：（审核、错误、常规、SlowQuery）
奥罗拉-PostgreSQL：（Postgresql，升级）。 RDS 数据库应启用相关日志。数据库日志记录提供针对 RDS 的请求的详细记录。数据库日志可帮助进行安全和访问审核，有助于诊断可用性问题。

严重性：中等

禁用 Amazon SageMaker 笔记本实例的直接 Internet 访问

说明：应为 SageMaker 笔记本实例禁用直接 Internet 访问。这将检查是否对笔记本实例禁用了“DirectInternetAccess”字段。实例应配置 VPC，默认设置应为“禁用 - 通过 VPC 访问 Internet”。若要启用 Internet 访问从笔记本训练或托管模型，请确保 VPC 具有 NAT 网关，并且安全组允许出站连接。确保仅授权用户访问 SageMaker 配置，并限制用户的 IAM 权限以修改 SageMaker 设置和资源。

严重性：高

在初始用户设置期间，不要为具有控制台密码的所有 IAM 用户设置访问密钥

说明：AWS 控制台默认检查框，用于创建要启用的访问密钥。这导致不必要地生成许多访问密钥。除了不必要的凭据，它还在审核和轮换这些密钥时生成不必要的管理工作。要求用户在创建配置文件后采取其他步骤将更清楚地表明访问密钥是其工作所必需的[a]，并在访问密钥在组织中某个位置使用的帐户上建立访问密钥后[b]。

严重性：中等

请确保创建了支持角色，以便通过 AWS 支持来管理事件

说明：AWS 提供了一个支持中心，可用于事件通知和响应，以及技术支持和客户服务。创建 IAM 角色，以允许授权用户通过 AWS 支持管理事件。通过实现访问控制的最低特权，IAM 角色需要适当的 IAM 策略才能允许支持中心访问，以便通过 AWS 支持管理事件。

严重性：低

请确保访问密钥每 90 天或更短时间轮换一次

说明：访问密钥由访问密钥 ID 和机密访问密钥组成，用于对 AWS 发出的编程请求进行签名。 AWS 用户需要自己的访问密钥，以便从 AWS Command Line Interface (AWS CLI)、适用于 Windows PowerShell 的工具、AWS SDK，或者使用单个 AWS 服务的 API 直接 HTTP 调用，对 AWS 进行编程化调用。建议定期轮换所有访问密钥。轮换访问密钥可减少与要使用的已泄露或终止帐户关联的访问密钥的机会窗口。应轮换访问密钥，以确保无法使用旧密钥访问数据，该密钥可能已丢失、破解或被盗。

严重性：中等

请确保在所有区域中启用了 AWS Config

说明：AWS 配置是一项 Web 服务，用于对帐户中支持的 AWS 资源执行配置管理，并将日志文件传送给你。记录的信息包括配置项目（AWS 资源）、配置项目（AWS 资源）之间的关系、资源之间的所有配置更改。建议在所有区域中启用 AWS 配置。

AWS Config 捕获的 AWS 配置项目历史记录支持安全分析、资源更改跟踪和合规性审核。

严重性：中等

请确保在所有区域中启用了 CloudTrail

说明：AWS CloudTrail 是一项 Web 服务，用于记录帐户的 AWS API 调用并将日志文件传送给你。记录的信息包括 API 调用方的标识、API 调用的时间、API 调用方的源 IP 地址、请求参数以及 AWS 服务返回的响应元素。 CloudTrail 提供帐户的 AWS API 调用历史记录，包括通过管理控制台、SDK、命令行工具和更高级别的 AWS 服务（如 CloudFormation）进行的 API 调用。 CloudTrail 生成的 AWS API 调用历史记录可实现安全分析、资源更改跟踪和合规性审核。此外：

确保存在多区域跟踪可确保检测到其他未使用区域中发生的意外活动
确保存在多区域跟踪可确保默认为跟踪启用“全局服务日志记录”，以捕获 AWS 全局服务上生成的事件的记录
对于多区域跟踪，确保为所有类型的读/写配置管理事件可确保记录在 AWS 帐户中的所有资源上执行的管理操作

严重性：高

请确保禁用了 90 天或更长时间未使用的凭据

说明：AWS IAM 用户可以使用不同类型的凭据（例如密码或访问密钥）访问 AWS 资源。建议删除或停用在 90 或更高版本中未使用的所有凭据。禁用或删除不必要的凭据可以减少与要使用的已泄露或已放弃帐户关联的凭据的机会窗口。

严重性：中等

请确保 IAM 密码策略让密码在 90 天或更短时间内到期

说明：IAM 密码策略可能需要在给定天数后轮换或过期密码。建议密码策略在 90 天或更短后过期密码。缩短密码生存期可提高帐户针对暴力破解登录尝试的复原能力。此外，在以下情况中，定期更改密码也有所帮助：

有时，密码可能会被盗或泄露，而无需了解。这会通过系统泄露、软件漏洞或内部威胁发生。
某些企业和政府 Web 筛选器或代理服务器能够拦截和记录流量，即使流量已加密也是如此。
许多人对许多系统（如工作、电子邮件和个人）使用相同的密码。
遭到入侵的最终用户工作站可能有击键记录器。

严重性：中等

创建的 IAM 客户托管策略不应允许对服务执行通配符操作

说明：此控制检查你创建的基于 IAM 标识的策略是否具有 Allow 语句，这些语句使用 * wild卡授予对任何服务的所有操作的权限。如果任何策略语句包含“Effect”：“Allow”和“Action”：“Service：*”，则控件将失败。例如，策略中的以下语句导致找不到失败。

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

如果将“Effect”：“Allow”与“NotAction”一起使用，则控件也会失败：“service：”。在这种情况下，NotAction 元素提供对 AWS 服务中的所有操作的访问权限，但 NotAction 中指定的操作除外。此控制仅适用于客户管理的 IAM 策略。它不适用于 AWS 管理的 IAM 策略。向 AWS 服务分配权限时，必须限定 IAM 策略中允许的 IAM 操作的范围。应将 IAM 操作限制为仅需要这些操作。这有助于预配最低特权权限。如果策略附加到可能不需要权限的 IAM 主体，过度宽松的策略可能会导致特权升级。在某些情况下，你可能希望允许具有类似前缀的 IAM 操作，例如 DescribeFlowLogs 和 DescribeAvailabilityZones。在这些授权情况下，可以将后缀野生卡添加到公共前缀。例如，ec2：Describe。

如果使用带有后缀通配符的前缀 IAM 操作，则此控件通过。例如，策略中的以下语句导致传递了一个查找。

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

以这种方式对相关的 IAM 操作进行分组时，还可以避免超出 IAM 策略大小限制。

严重性：低

IAM 策略应仅附加到组或角色

说明：默认情况下，IAM 用户、组和角色无权访问 AWS 资源。 IAM 策略是向用户、组或角色授予权限的方式。建议将 IAM 策略直接应用于组和角色，但不适用于用户。随着用户数量的增加，在组或角色级别分配权限可降低访问管理的复杂性。减少访问管理复杂性可能会反过来减少主体无意接收或保留过多特权的机会。

严重性：低

不应创建允许完全 ":" 管理权限的 IAM 策略

说明：IAM 策略是向用户、组或角色授予特权的方式。建议并考虑使用标准安全建议来授予最低特权，即仅授予执行任务所需的权限。确定用户需要执行的操作，然后为他们创建策略，以使用户只执行这些任务，而不是允许完全管理权限。从最低的权限集开始，并根据需要授予额外的权限，这样做更安全；而不是以太宽松的权限开头，然后尝试收紧这些权限。提供完全管理权限（而不是限制在用户所需的最低权限集上）的确会使资源暴露于潜在不需要的操作中。应删除具有 "Effect": "Allow" 与 Action": ""（而非 "Resource": ""）的语句的 IAM 策略。

严重性：高

IAM 主体不应具有允许对所有 KMS 密钥执行解密操作的 IAM 内联策略

说明：检查嵌入在 IAM 标识（角色、用户或组）中的内联策略是否允许对所有 KMS 密钥执行 AWS KMS 解密操作。此控件使用自动推理引擎 Zelkova 来验证并警告你有关可能授予跨 AWS 帐户对机密的广泛访问权限的策略。如果允许对内联策略中的所有 KMS 密钥执行“kms:Decrypt”或“kms:ReEncryptFrom”操作，则此控件失败。使用 AWS KMS，可以控制谁可以使用你的 KMS 密钥并获取对加密数据的访问权限。 IAM 策略定义标识（用户、组或角色）可对哪些资源执行哪些操作。遵循安全最佳实践，AWS 建议允许最小特权。换句话说，你应该只授予标识他们需要的权限，并且仅对允许执行任务所需的密钥授予权限。否则，用户可能会使用不适合数据的密钥。不是为所有密钥授予权限，而是确定用户访问加密数据所需的最小密钥集。然后设计允许用户仅使用这些密钥的策略。例如，不允许对所有 KMS 密钥具有“kms：Decrypt”权限。相反，只在帐户特定区域中的密钥上允许这些权限。采用最小特权原则，可降低意外泄漏数据的风险。

严重性：中等

Lambda 函数应限制公共访问

说明：此控制检查是否使用实例元数据服务版本 2（IMDSv2）配置 EC2 实例元数据版本。如果 IMDSv2 的“HttpTokens”设置为“必需”，则此控件通过。如果“HttpTokens”设置为“可选”，则此控件失败。使用实例元数据配置或管理正在运行的实例。 IMDS 提供对频繁轮换的临时凭据的访问权限。这些凭据无需手动或以编程方式对实例进行硬编码或分发敏感凭据。 IMDS 在本地附加到每个 EC2 实例。它在特殊的链接本地 IP 地址 169.254.169.254 上运行。只有实例上运行的软件才能访问此 IP 地址。 IMDS 版本 2 为以下类型的漏洞添加了新的保护。这些漏洞可用于尝试访问 IMDS。

打开网站应用程序防火墙
打开反向代理
服务器端请求伪造（SSRF）漏洞
打开第 3 层防火墙和网络地址转换（NAT）安全中心建议使用 IMDSv2 配置 EC2 实例。

监视 CloudTrail 配置更改有助于确保持续查看 AWS 帐户中执行的活动。

严重性：低

请确保存在关于禁用或计划内删除客户创建的 CMK 的日志指标筛选器和警报

说明：可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来实现 API 调用的实时监视。建议为客户创建的 CMK 建立指标筛选器和警报，这些 CMK 已将状态更改为已禁用或计划删除。使用已禁用或已删除密钥加密的数据将不再可访问。

严重性：低

请确保存在关于 IAM 策略更改的日志指标筛选器和警报

说明：可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来实现 API 调用的实时监视。建议对标识和访问管理（IAM）策略进行指标筛选器和警报的更改。监视 IAM 策略的更改有助于确保身份验证和授权控制保持不变。

严重性：低

安全组不应允许对具有高风险的端口进行不受限制的访问

说明：此控制检查安全组的不受限制的传入流量是否可供具有最高风险的指定端口访问。当安全组中的规则都不允许入口流量从 0.0.0.0/0 流入这些端口时，此控件通过。不受限制的访问 (0.0.0.0/0) 可增加恶意活动（例如黑客攻击、拒绝服务攻击和数据丢失）的机会。安全组提供对 AWS 资源的入口和出口流量的监控状态筛选。任何安全组都不应允许不受限制地流入以下端口：

3389 (RDP)
20， 21 （FTP）
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 （MySQL）
8080 （代理）
1433、1434 （MSSQL）
9200 或 9300 （Elasticsearch）
5601 （基巴纳）
25 (SMTP)
445 （CIFS）
135 (RPC)
4333 （ahsp）
5432 （postgresql）
5500 （fcp-addr-srvr1）

严重性：中等

安全组应仅允许针对授权端口的无限制传入流量

说明：此控制检查正在使用的安全组是否允许不受限制的传入流量。（可选）此规则检查端口号是否在“authorizedTcpPorts”参数中列出。

如果安全组规则端口号允许不受限制的传入流量，但端口号是在“authorizedTcpPorts”中指定的，则控制将传递。 “authorizedTcpPorts”的默认值为“80, 443”。
如果安全组规则端口号允许不受限制的传入流量，但端口号未在 authorizedTcpPorts 输入参数中指定，则控制将失败。
如果未使用此参数，则任何具有不受限制入站规则的安全组的控件将失败。安全组提供对 AWS 的入口和出口流量的监控状态筛选。安全组规则应遵循最低特权访问原则。无限制访问（后缀为 /0 的 IP 地址）会增加恶意活动（例如黑客攻击、拒绝服务攻击和数据丢失）的机会。除非特定允许某个端口，否则该端口应拒绝不受限制的访问。

严重性：高

Amazon Web Services （AWS） 资源的安全建议

AWS 计算建议

AWS 容器建议

数据平面建议

AWS 数据建议

AWS IdentityAndAccess 建议

AWS 网络建议

Amazon Web Services （AWS）资源的安全建议