AWS 安全檢查清單

此檢查清單提供符合 Well-Architectured Framework

安全支柱的客戶建議。

身分與存取管理
1. 保護您的 AWS 帳戶。
使用 AWS Organizations 管理您的帳戶，只在啟用了多重要素驗證 (MFA)
的情況下使用根使用者，以及設定帳戶聯絡人。
2. 倚賴集中化的身分供應商。
使用 AWS Single Sign-On 或第三方供應商集中管理身份，避免例行建立
IAM 使用者或使用長期存取金鑰―這種方法可以更輕鬆地管理多個 AWS
帳戶和聯合應用程式。啟用身分驗證 (MFA)，並設定帳戶聯絡人。
3. 使用多個 AWS 帳戶來區隔工作負載和工作負載階段，例如
生產和非生產。
多個 AWS 帳戶可讓您區隔資料和資源，並允許使用服務控制政策來實施
防護機制。AWS Control Tower 可協助您輕鬆設定和管控多帳戶 AWS
環境。
4. 安全地存放和使用機密。
如果您無法使用臨時憑證 (例如來自 AWS Security Token Service 的權
杖)，請使用處理加密、輪換和存取控制的 AWS Secrets Manager 來存放
機密 (例如資料庫密碼)。

1
偵測 基礎設施保護

1. 啟用基本服務：AWS CloudTrail、Amazon GuardDuty 1. 修補您的作業系統、應用程式和程式碼。

和 AWS Security Hub。 使用 AWS Systems Manager 修補程式管理員自動執行您負責的所
對於所有 AWS 帳戶，設定 CloudTrail 記錄 API 活動、使用 GuardDuty 有系統和程式碼的修補程序，包括作業系統、應用程式和程式碼相依
進行持續監控，以及使用 AWS Security Hub 全面了解您的安全狀態。 項目。

2. 設定服務和應用程式層級記錄。 2. 為網際網路對向的資源實施分散式阻斷服務 (DDoS) 防護。

除了應用程式日誌之外，另外在服務層級啟用日誌記錄，例如 Amazon 使用 Amazon Cloudfront、AWS WAF 和 AWS Shield 提供第 7 層和
VPC Flow Logs 以及 Amazon S3、CloudTrail 和 Elastic Load Balancer 第 3 層/第 4 層 DDoS 保護。
存取記錄，以清楚掌握事件。將日誌設定為流向中央帳戶，並保護它們
以免被操縱或刪除。 3. 使用 VPC 安全群組和子網路層控制存取。
使用安全群組控制入站和出站流量，並使用 AWS Firewall Manager
3. 設定監控和提醒，並調查事件。 自動為安全群組和 WAF 套用規則。將不同的資源分組到不同的子網
啟用 AWS Config 來追蹤資源的歷史記錄，並啟用 Config 受管規則 路中以建立路由層，例如資料庫資源不需要路由到網際網路。
來自動提醒或修復不需要的變更。對於所有日誌和事件來源，從 AWS
CloudTrail 到 Amazon GuardDuty 和您的應用程式日誌，為高優先
順序的事件設定提醒並進行調查。

2
資料保護 事件應變

1. 保護靜態資料。 1. 務必備妥事件應變 (IR) 計劃。

使用 AWS Key Management Service (KMS) 保護各種 AWS 服務和您的 建置執行手冊來回應工作負載中的意外事件，開始您的 IR 計劃。如需
應用程式中的靜態資料。為 Amazon EBS 磁碟區和 Amazon S3 儲存貯 詳細資訊，請參閱 AWS 安全事件應變指南。
體啟用預設加密。
2. 確保通知某人對重要問題清單採取動作。
2. 加密傳輸中的資料。 從 GuardDuty 問題清單開始。開啟 GuardDuty 並確保有能力採取動
對於您控制的 Web 型網路基礎設施，為所有網路流量啟用加密，包括 作的人收到通知。自動建立故障單，是確保 GuardDuty 故障單與您
Transport Layer Security (TLS)，並使用 AWS Certificate Manager 管理 的操作程序整合的最佳方式。
和佈建憑證。
3. 練習回應事件。
3. 使用限制人員存取資料的機制。 通過運行常規遊戲日來模擬和練習事件應變，將汲取的經驗教訓納
禁止所有使用者直接存取敏感資料和系統。例如，提供 Amazon QuickSight 入您的事件管理計劃，並不斷改進。
儀表板給業務使用者，而不是讓他們直接存取資料庫，以及使用 AWS
Systems Manager Automation 文件和 Run Command 遠端執行動作。

如需更多最佳實務，請參閱 Well-Architected 聲明

Framework 的安全支柱和安全文件。 客戶應負責對本文件中的資訊自行進行獨立評估。本文件：(a) 僅供參考之用，(b) 代表目前的 AWS 產品供應與實務，

如有變更恕不另行通知，以及 (c) 不構成 AWS 及其附屬公司、供應商或授權人的任何承諾或保證。AWS 產品或服務
以「現況」提供，不提供任何明示或暗示的擔保、主張或條件。AWS 對其客戶之責任與義務，應受 AWS 協議之約束，
且本文件並不屬於 AWS 與其客戶間之任何協議的一部分，亦非上述協議之修改。

© 2022 Amazon Web Services, Inc. 或其關係企業。保留所有權利。