Amazon Web Services （AWS）資源的安全性建議

發行項
03/13/2024

如果您使用 [環境設定] 頁面連接 Amazon Web Services （AWS）帳戶，本文會列出您在適用於雲端的 Microsoft Defender 中看到的所有建議。您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

若要瞭解您可以採取以回應這些建議的動作，請參閱補救適用於雲端的 Defender 中的建議。

[預覽]AWS 登錄中的容器映像應該已解決弱點結果

描述：適用於雲端的 Defender 掃描登錄映射是否有已知的弱點（CVE），並提供每個掃描影像的詳細結果。掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準。

嚴重性：高

類型：弱點評估

[預覽]在 AWS 中執行的容器應該已解決弱點結果

描述：適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對所使用的映射和針對登錄映像建立的弱點報告，為這些工作負載提供弱點報告。掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

嚴重性：高

類型：弱點評估

EKS 叢集應將必要的 AWS 許可權授與適用於雲端的 Microsoft Defender

描述：適用於容器的 Microsoft Defender 提供 EKS 叢集的保護。若要監視叢集是否有安全性弱點和威脅，適用於容器的Defender需要AWS帳戶的許可權。這些許可權可用來在您的叢集上啟用 Kubernetes 控制平面記錄，並在叢集與雲端中適用於雲端的 Defender 的後端之間建立可靠的管線。深入瞭解容器化環境適用於雲端的 Microsoft Defender 的安全性功能。

嚴重性：高

EKS 叢集應安裝 Microsoft Defender 的 Azure Arc 延伸模組

描述：Microsoft Defender 的叢集擴充功能為您的 EKS 叢集提供安全性功能。延伸模組會從叢集及其節點收集數據，以識別安全性弱點和威脅。此擴充功能適用於已啟用 Azure Arc 的 Kubernetes。深入瞭解容器化環境適用於雲端的 Microsoft Defender 的安全性功能。

嚴重性：高

應該在 AWS 連接器上啟用適用於容器的 Microsoft Defender

描述：適用於容器的 Microsoft Defender 提供容器化環境的實時威脅防護，併產生可疑活動的警示。使用這項資訊來強化 Kubernetes 叢集的安全性，並補救安全性問題。

描述：此控件會根據輪替排程，檢查 AWS 秘密管理員秘密是否順利輪替。如果 RotationOccurringAsScheduled 為 false，控件就會失敗。控件不會評估未設定輪替的秘密。秘密管理員可協助您改善組織的安全性狀態。秘密包括資料庫認證、密碼和第三方 API 金鑰。您可以使用秘密管理員集中儲存秘密、自動加密秘密、控制秘密的存取，以及安全地自動輪替秘密。秘密管理員可以輪替秘密。您可以使用輪替，將長期秘密取代為短期秘密。輪替您的秘密會限制未經授權的使用者可以使用遭入侵秘密的時間長度。基於這個理由，您應該經常輪替秘密。除了設定秘密自動輪替之外，您也應該確定這些秘密會根據輪替排程順利輪替。若要深入瞭解輪替，請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密。

嚴重性：中

秘密管理員秘密應在指定的天數內輪替

描述：此控件會檢查您的秘密是否已在90天內至少輪替一次。輪替秘密可協助您降低在 AWS 帳戶中未經授權使用秘密的風險。範例包括資料庫認證、密碼、第三方 API 金鑰，甚至是任意文字。如果您長時間不變更秘密，秘密更有可能遭到入侵。隨著更多使用者存取秘密，可能會讓某人誤判並洩露給未經授權的實體。秘密可以透過記錄和快取數據洩漏。其可共用以進行偵錯，且在偵錯完成後不會變更或撤銷。基於所有這些原因，秘密應該經常輪替。您可以在 AWS 秘密管理員中設定秘密來自動輪替。使用自動輪替，您可以將長期秘密取代為短期秘密，大幅降低入侵的風險。安全性中樞建議您啟用秘密管理員秘密的輪替。若要深入瞭解輪替，請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密。

嚴重性：中

描述：此控件會檢查 SNS 主題是否使用 AWS KMS 加密待用。加密待用數據可降低使用者未向 AWS 驗證之磁碟上所儲存數據的風險。它也會新增另一組訪問控制，以限制未經授權的使用者存取數據的能力。例如，需要 API 許可權才能解密數據，才能讀取數據。 SNS 主題應以待用加密，以增加一層安全性。如需詳細資訊，請參閱 Amazon Simple Notification Service 開發人員指南中的待用加密。

嚴重性：中

所有 VPN 流量記錄都應該啟用

描述：[API 流量記錄] 可讓您查看通過 HTTP 的網路流量，並可用來偵測安全性事件期間的異常流量或深入解析。

描述：除了擷取指定 S3 貯體內的 CloudTrail 記錄以進行長期分析之外，還可以藉由設定 CloudTrail 將記錄傳送至 CloudWatch Logs 來執行即時分析。針對帳戶中所有區域啟用的追蹤，CloudTrail 會將記錄檔從所有區域傳送至 CloudWatch Logs 記錄群組。建議將 CloudTrail 記錄傳送至 CloudWatch 記錄，以確保 AWS 帳戶活動已擷取、監視及適當警示。將 CloudTrail 記錄傳送至 CloudWatch 記錄有助於根據使用者、API、資源和 IP 位址進行即時和歷史活動記錄，並有機會建立異常或敏感度帳戶活動的警示和通知。

嚴重性：低

應啟用資料庫記錄

描述：此控件會檢查 Amazon RDS 的下列記錄是否已啟用並傳送至 CloudWatch Logs：

Oracle：（警示、稽核、追蹤、接聽程式）
PostgreSQL：（Postgresql，升級）
MySQL：（Audit， Error， General， SlowQuery）
MariaDB：（Audit， Error， General， SlowQuery）
SQL Server：（錯誤，代理程式）
極光：（稽核、錯誤、一般、慢查詢）
極光-MySQL：（稽核、錯誤、一般、SlowQuery）
極光-PostgreSQL：（Postgresql，升級）。 RDS 資料庫應該已啟用相關的記錄。資料庫記錄提供對 RDS 提出要求的詳細記錄。資料庫記錄可協助安全性和存取稽核，並有助於診斷可用性問題。

嚴重性：中

停用 Amazon SageMaker 筆記本實例的直接因特網存取

描述：SageMaker 筆記本實例應停用直接因特網存取。這會檢查筆記本實例是否停用『DirectInternetAccess』字段。您的實例應設定為使用網吧，而預設設定應該是 [停用 - 透過網吧存取因特網]。若要啟用從筆記本定型或裝載模型的因特網存取，請確定您的 VPN 具有 NAT 閘道，且您的安全組允許輸出連線。請確定 SageMaker 設定的存取權僅限於授權的使用者，並限制使用者的 IAM 許可權來修改 SageMaker 設定和資源。

嚴重性：高

請勿在初始使用者設定期間為具有控制台密碼的所有 IAM 用戶設定存取密鑰

描述：AWS 控制台預設為啟用建立存取金鑰的複選框。這會導致產生許多不必要的存取金鑰。除了不必要的認證之外，它也會在稽核和輪替這些密鑰時產生不必要的管理工作。在使用者配置檔建立之後，要求使用者採取額外的步驟，將會更強烈地指出存取密鑰是其工作所需的 [a]，並在存取密鑰建立於帳戶上，指出密鑰可能在組織某處使用。

嚴重性：中

請確定已建立支援角色，以使用 AWS 支援管理事件

描述：AWS 提供可用於事件通知和回應的支援中心，以及技術支援和客戶服務。建立 IAM 角色，以允許授權的使用者使用 AWS 支援管理事件。藉由實作訪問控制的最低許可權，IAM角色需要適當的 IAM 原則，才能允許支援中心存取，才能使用 AWS 支援管理事件。

嚴重性：低

確保每隔 90 天或更少輪替存取金鑰

描述：存取金鑰是由存取金鑰標識碼和秘密存取金鑰所組成，用來簽署對 AWS 提出的程式設計要求。 AWS 使用者需要自己的存取密鑰，才能使用個別 AWS 服務的 API，從 AWS 命令行介面（AWS CLI）、Windows PowerShell 工具、AWS SDK 或直接 HTTP 呼叫進行程式設計呼叫。建議定期輪替所有存取密鑰。輪替存取金鑰可減少與所要使用之遭入侵或終止帳戶相關聯的存取金鑰機會視窗。應該輪替存取金鑰，以確保無法使用遺失、破解或遭竊的舊密鑰來存取數據。

嚴重性：中

確定所有區域中都已啟用 AWS 設定

描述：AWS Config 是一項 Web 服務，可對帳戶內支援的 AWS 資源執行組態管理，並將記錄檔傳遞給您。記錄的資訊包括組態專案（AWS 資源）、組態專案之間的關聯性（AWS 資源）、資源之間的任何組態變更。建議在所有區域中啟用 AWS 設定。

AWS 設定所擷取的 AWS 設定專案歷程記錄可讓您進行安全性分析、資源變更追蹤和合規性稽核。

嚴重性：中

確定所有區域中都已啟用 CloudTrail

描述：AWS CloudTrail 是一項 Web 服務，可記錄您帳戶的 AWS API 呼叫，並將記錄檔傳遞給您。記錄的資訊包括 API 呼叫者的身分識別、API 呼叫的時間、API 呼叫者的來源 IP 位址、要求參數，以及 AWS 服務傳回的回應元素。 CloudTrail 提供帳戶 AWS API 呼叫的歷程記錄，包括透過管理控制台、SDK、命令行工具和更高階 AWS 服務進行的 API 呼叫（例如 CloudFormation）。 CloudTrail 所產生的 AWS API 呼叫歷程記錄可讓您進行安全性分析、資源變更追蹤和合規性稽核。此外：

確保存在多區域追蹤可確保偵測到未使用區域中發生的非預期活動
確保存在多區域記錄可確保預設會啟用「全域服務記錄」，以便擷取 AWS 全球服務上產生的事件記錄
針對多重區域追蹤，確保針對所有類型的讀取/寫入所設定的管理事件，可確保記錄在AWS 帳戶中所有資源上執行的管理作業

嚴重性：高

請確定已停用 90 天或更新的未使用認證

描述：AWS IAM 使用者可以使用不同類型的認證來存取 AWS 資源，例如密碼或存取密鑰。建議移除或停用 90 或更新天內未使用的所有認證。停用或移除不必要的認證可減少與遭入侵或已放棄帳戶相關聯的認證使用的機會視窗。

嚴重性：中

確定 IAM 密碼原則會在 90 天內或少於 90 天內過期密碼

描述：IAM 密碼原則可能需要在指定天數之後輪替或過期密碼。建議密碼原則在 90 天后過期密碼。減少密碼存留期會增加針對暴力密碼破解登入嘗試的帳戶復原能力。此外，在下列案例中需要一般密碼變更協助：

有時候，密碼可能會遭竊或遭入侵，而不需要您的知識。這可能會透過系統入侵、軟體弱點或內部威脅來發生。
即使流量已加密，某些公司和政府 Web 篩選器或 Proxy 伺服器仍能夠攔截和記錄流量。
許多人對許多系統使用相同的密碼，例如工作、電子郵件和個人。
遭入侵的使用者工作站可能有擊鍵記錄器。

嚴重性：中

您建立的 IAM 客戶管理原則不應允許服務的通配符動作

描述：此控件會檢查您建立的 IAM 身分識別型原則是否具有 Allow 語句，以使用 * 通配符來授與任何服務上所有動作的許可權。如果有任何原則語句包含『Effect』： 'Allow' 與 'Action'： 'Service：*'，控件就會失敗。例如，原則中的下列語句會導致找不到失敗。

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

如果您使用 'Effect'： 'Allow' 搭配 'NotAction'： 'service：'，控件也會失敗。在此情況下，NotAction 元素會提供 AWS 服務中所有動作的存取權，但 NotAction 中指定的動作除外。此控制件僅適用於客戶管理的 IAM 原則。它不適用於 AWS 所管理的 IAM 原則。當您將許可權指派給 AWS 服務時，請務必在 IAM 原則中設定允許的 IAM 動作範圍。您應該只將 IAM 動作限制為所需的動作。這可協助您布建最低許可權許可權。如果原則附加至可能不需要許可權的 IAM 主體，過度寬鬆的原則可能會導致許可權提升。在某些情況下，您可能想要允許具有類似前置詞的 IAM 動作，例如 DescribeFlowLogs 和 DescribeAvailabilityZones。在這些授權的情況下，您可以將後綴通配符新增至通用前置詞。例如，ec2：Describe。

如果您使用前置 IAM 動作搭配後綴通配符，則此控件會通過。例如，原則中的下列語句會產生經過的尋找。

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

當您以這種方式分組相關的 IAM 動作時，也可以避免超過 IAM 原則大小限制。

嚴重性：低

IAM 原則應僅附加至群組或角色

描述：根據預設，IAM 使用者、群組和角色無法存取 AWS 資源。 IAM 原則是授與使用者、群組或角色許可權的方法。建議將 IAM 原則直接套用至群組和角色，但不會套用至使用者。在群組或角色層級指派許可權可降低隨著用戶數目增加而降低存取管理的複雜性。減少存取管理複雜度可能會減少主體不小心接收或保留過多許可權的機會。

嚴重性：低

不應建立允許完整「：」系統管理許可權的 IAM 原則

描述：IAM 原則是授與使用者、群組或角色許可權的方法。建議並考慮標準安全性建議，以授與最低許可權，也就是只授與執行工作所需的許可權。判斷使用者需要執行的動作，然後為其製作原則，讓使用者只執行這些工作，而不是允許完整的系統管理許可權。從最低許可權集開始，並視需要授與其他許可權，而不是從過於寬鬆的許可權開始，然後稍後嘗試收緊許可權，這更安全。提供完整的系統管理許可權，而不是限制用戶必須執行的最低許可權集，以將資源公開給潛在的垃圾動作。應移除具有 “Effect”： “Allow” 語句的 IAM 原則，其具有 “Action”： “” over “Resource”： “” 。

嚴重性：高

IAM 主體不應該有允許所有 KMS 金鑰的解密動作的 IAM 內嵌原則

描述：檢查內嵌在IAM身分識別中的內嵌原則（角色、使用者或群組）是否允許所有 KMS 密鑰上的 AWS KMS 解密動作。此控件會使用自動化推理引擎 Zelkova 來驗證並警告您有關原則，這些原則可能會授與跨 AWS 帳戶廣泛存取秘密的許可權。如果內嵌原則中所有 KMS 金鑰都允許「kms：Decrypt」或「kms：ReEncryptFrom」動作，此控件就會失敗。透過 AWS KMS，您可以控制誰可以使用您的 KMS 金鑰，並取得加密資料的存取權。 IAM 原則會定義身分識別（使用者、群組或角色）可以在哪些資源上執行的動作。遵循安全性最佳做法，AWS 建議您允許最低許可權。換句話說，您應該只授與身分識別所需的許可權，以及執行工作所需的密鑰。否則，使用者可能會使用不適合您數據的密鑰。而不是授與所有金鑰的許可權，而是決定使用者存取加密數據所需的最小密鑰集。然後設計原則，允許使用者只使用這些密鑰。例如，不允許所有 KMS 金鑰的 “kms：Decrypt” 許可權。相反地，請只在您帳戶的特定區域中的密鑰上允許它們。藉由採用最低許可權原則，您可以降低數據意外洩漏的風險。

嚴重性：中

Lambda 函式應限制公用存取

描述：此控件會檢查您的 EC2 實例元數據版本是否已設定為實例元數據服務第 2 版（IMDSv2）。如果 IMDSv2 的「HttpTokens」設定為「required」，控件就會通過。如果「HttpTokens」設定為「optional」，控件就會失敗。您可以使用實例元數據來設定或管理執行中的實例。 IMDS 可讓您存取暫時且經常輪替的認證。這些認證可移除硬式程式碼或以手動或程序設計方式將敏感性認證散發至實例的需求。 IMDS 會附加至每個 EC2 實例的本機。它會在 169.254.169.254 的特殊「連結本機」IP 位址上執行。此IP位址只能由實例上執行的軟體存取。 IMDS 第 2 版會為下列類型的弱點新增新的保護。這些弱點可用來嘗試存取 IMDS。

開啟網站應用程式防火牆
開啟反向 Proxy
伺服器端要求偽造（SSRF）弱點
開啟第 3 層防火牆和網路位址轉換（NAT）安全性中樞，建議您使用 IMDSv2 設定 EC2 實例。

監視 CloudTrail 設定的變更有助於確保持續能看見 AWS 帳戶中執行的活動。

嚴重性：低

確定記錄計量篩選和警示存在，以停用或排程刪除客戶建立的 CMK

描述：將 CloudTrail 記錄導向 CloudWatch 記錄，並建立對應的計量篩選和警示，即可即時監視 API 呼叫。建議為客戶建立的 CMK 建立計量篩選和警示，其已將狀態變更為停用或排程刪除。已停用或刪除金鑰加密的數據將無法再存取。

嚴重性：低

確保 IAM 原則變更的記錄計量篩選和警示存在

描述：將 CloudTrail 記錄導向 CloudWatch 記錄，並建立對應的計量篩選和警示，即可即時監視 API 呼叫。建議對身分識別和存取管理（IAM）原則進行計量篩選和警示的變更。監視 IAM 原則的變更有助於確保驗證和授權控制保持不變。

嚴重性：低

安全組不應允許對高風險的埠進行不受限制的存取

描述：此控件會檢查是否有安全組不受限制的連入流量可供具有最高風險的指定埠存取。當安全組中沒有任何規則允許這些埠從 0.0.0.0/0 輸入流量時，此控件就會通過。不受限制的存取權（0.0.0.0/0）會增加惡意活動的機會，例如駭客攻擊、阻斷服務攻擊，以及數據遺失。安全組提供對 AWS 資源的輸入和輸出網路流量的具狀態篩選。安全組不應允許對下列埠進行不受限制的輸入存取：

3389 (RDP)
20， 21 （FTP）
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 （MySQL）
8080 （proxy）
1433， 1434 （MSSQL）
9200 或 9300 （Elasticsearch）
5601 （基巴納）
25 (SMTP)
445 （CIFS）
135 (RPC)
4333 （阿什普）
5432 （postgresql）
5500 （fcp-addr-srvr1）

嚴重性：中

安全組只允許授權埠的不受限制的連入流量

描述：此控件會檢查使用中的安全組是否允許不受限制的連入流量。選擇性地，規則會檢查埠號碼是否列在 “authorizedTcpPorts” 參數中。

如果安全組規則埠號碼允許不受限制的連入流量，但埠號碼是在 “authorizedTcpPorts” 中指定，則控件會通過。 “authorizedTcpPorts” 的預設值為 80,443。
如果安全組規則埠號碼允許不受限制的連入流量，但未在 authorizedTcpPorts 輸入參數中指定埠號碼，則控件會失敗。
如果未使用參數，則任何具有不受限制輸入規則之安全組的控件會失敗。安全組提供對 AWS 輸入和輸出網路流量的具狀態篩選。安全組規則應遵循最低特殊許可權存取原則。不受限制的存取權（具有 /0 後綴的IP位址）會增加惡意活動的機會，例如駭客攻擊、阻斷服務攻擊，以及數據遺失。除非特別允許埠，否則埠應該拒絕不受限制的存取。

嚴重性：高

Amazon Web Services （AWS） 資源的安全性建議

AWS 計算建議

AWS 容器建議

數據平面建議

AWS 數據建議

AWS IdentityAndAccess 建議

AWS 網路建議

Amazon Web Services （AWS）資源的安全性建議