本文档仅供参考。 它代表了截至本文档发布之日 Amazon Web Services (AWS) 提供的当前产品和实践,这些产品和做法如有更改,恕不另行通知。 客户有责任对本文档中的信息以及对 AWS 产品或服务的任何使用情况进行自己的独立评估,每种产品或服务都是 “按原样” 提供的,无论是明示还是暗示的担保。 本文档不创建 AWS、其附属公司、供应商或许可方的任何担保、陈述、合同承诺、条件或保证。 AWS 对客户的责任和责任受 AWS 协议的控制,本文档既不是 AWS 与其客户之间的任何协议的一部分,也不修改。
© 2024 Amazon 网络服务公司或其附属公司。 保留所有权利。 本作品根据知识共享署名 4.0 国际许可协议进行许可。
提供此 AWS 内容须遵守 http://aws.amazon.com/agreement 提供的 AWS 客户协议的条款或客户与 Amazon Web Services, Inc. 或 Amazon 网络服务 EMEA SARL 或两者之间的其他书面协议。
[AWS Cloud Adoption Framework] (https://aws.amazon.com/professional-services/CAF/)
AWS 专业服务创建了 AWS Cloud Adoption Framework (AWS CAF),以帮助组织为云采用之旅制定和执行高效且高效的计划。 该框架提供的指导和最佳实践可帮助您在整个组织以及整个 IT 生命周期内构建全面的云计算方法。 使用 AWS CAF 可以帮助您更快、风险更低,从采用云中获得可衡量的业务收益。
[AWS Security Incident Response Guide Wiki] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
-[AWS Security Incident Response Guide Downloadable] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.pdf) 本指南概述了在客户的 AWS 云环境中应对安全事件的基础知识。 它重点概述了云安全和事件响应概念,并确定了应对安全问题的客户可以使用的云功能、服务和机制。
本白皮书面向那些担任技术角色的人,假设您熟悉信息安全的一般原则,对当前本地环境中的事件响应有基本的了解,并对云服务有一定的熟悉程度。
[AWS Security Reference Architecture (AWS SRA)] (https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
Amazon Web 服务 (AWS) 安全参考体系结构 (AWS SRA) 是在多账户环境中部署全套 AWS 安全服务的整体指南。 它可用于帮助设计、实施和管理 AWS 安全服务,以便它们与 AWS 最佳实践保持一致。 这些建议是围绕包括 AWS 安全服务的单页架构构建的,包括它们如何帮助实现安全目标、在 AWS 账户中最好地部署和管理这些目标,以及它们如何与其他安全服务交互。 本整体架构指南补充了详细的、特定于服务的建议,例如 [AWS 安全网站](https://docs.aws.amazon.com/security/)上的建议。
[Amazon 账单控制面板] (https://console.aws.amazon.com/billing/home #)
[Amazon CloudTrail 控制面板] (https://console.aws.amazon.com/cloudtrail)
[Amazon CloudWatch 控制台] (https://console.aws.amazon.com/cloudwatch/)
[Amazon EC2 控制台] (https://console.aws.amazon.com/ec2/)
[Amazon IAM 控制台] (https://console.aws.amazon.com/iam/)
[Amazon 网络管理器控制面板] (https://console.aws.amazon.com/networkmanager/home)
[Amazon 订单和发票] (https://console.aws.amazon.com/billing/home?/paymenthistory/)
[Amazon S3 控制台] (https://console.aws.amazon.com/s3/)
[Amazon RDS 控制台] (https://console.aws.amazon.com/rds/)
[Amazon VPC 控制面板] (https://console.aws.amazon.com/vpc/home)
[Amazon WAF 和盾控制台] (https://console.aws.amazon.com/wafv2/shieldv2)
[Amazon Athena 和 VPC Flow Logs] (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html)
[Amazon CloudWatch 活动] (https://docs.aws.amazon.com/codepipeline/latest/userguide/create-cloudtrail-S3-source-console.html)
[Amazon 配置] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
[AWS API 描述数据库实例] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)
[AWS API list-buckets] (https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html)
[AWS 文档:避免意外费用] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/checklistforunwantedcharges.html)
[AWS 文档:阻止公众访问您的 Amazon S3 存储] (https://aws.amazon.com/s3/features/block-public-access/)
[AWS 文档:DDoS 可见性] (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
[AWS 文档:使用 ACL 管理 S3 访问] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)
[AWS 文档:IAM 用户的 MFA] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)
[AWS 文档:RDS 增强监控] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
[AWS 文档:在 AWS Shield Advanced 版中申请积分] (https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html)
[AWS 文档:AWS Shield 文档] (https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)
[AWS 文档:AWS Shield Advanced 指南] (https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html)
[AWS 文档:终止我的所有资源] (https://aws.amazon.com/premiumsupport/knowledge-center/terminate-resources-account-closure/)
[AWS 文档:在 S3 存储桶中使用版本控制] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)
[AWS 文档:VPC 流日志] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)
[强制执行强制性 RDS 加密] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
[防止用户修改 S3 阻止公共访问设置] (https://asecure.cloud/a/scp_s3_block_public_access/)
[AWS Cost Anomaly Detection] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-ad.html)
AWS Cost Anomaly Detection 是一项 AWS 成本管理功能,它使用机器学习来持续监控您的成本和使用情况以检测异常支出。 使用 AWS Cost Anomaly Detection 包括以下好处: -在汇总报告中单独接收警报。 您可以通过电子邮件或 Amazon SNS 主题接收警报。 -使用机器学习方法评估您的支出模式,以尽量减少误报警报。 例如,您可以评估每周或每月的季节性和有机增长。 -分析并确定异常的根本原因,例如导致成本增加的帐户、服务、区域或使用类型。 -配置评估成本的方式。 您可以选择是要独立分析所有 AWS 服务,还是按成员账户、成本分配标签或成本类别分析。
[Amazon Git Secrets] (https://github.com/awslabs/git-secrets)
Git Secrets ret 可以扫描合并、提交和提交消息以获取秘密信息(即访问密钥)。 如果 Git Secrets 检测到禁止的正则表达式,它可以拒绝将这些提交发布到公共仓库。
[Amazon 督察] (https://aws.amazon.com/inspector/)
Amazon Inspector 是一项自动化安全评估服务,可帮助提高 AWS 上部署的应用程序的安全性和合规性。 Amazon Inspector 会自动评估应用程序的风险、漏洞以及偏离最佳实践的情况。
[Amazon Macie] (https://aws.amazon.com/macie/)
Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它使用机器学习和模式匹配来发现和保护 AWS 中的敏感数据。 可以在 AWS 管理控制台中搜索和筛选 Macie 的警报或调查结果,然后发送到 Amazon EventBridge(以前称为 Amazon CloudWatch Events),以便与现有的工作流程或事件管理系统轻松集成,或与 AWS 服务(例如 AWS Step Functions)结合使用采取自动补救措施。
[Amazon 安全中心] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc)
AWS Security Hub 为您提供了整个 AWS 账户的安全警报和安全状况的全面视图。 借助 Security Hub,您现在可以在一个地方聚合、组织和优先考虑来自多个 AWS 服务的安全警报或调查结果,例如 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS 身份和访问管理 (IAM) 访问分析器、AWS 系统管理器和 AWS 防火墙经理以及 AWS 合作伙伴网络 (APN) 解决方案。
[Prowler] (https://github.com/toniblyx/prowler)
Prowler 是一款命令行工具,可以帮助您进行 AWS 安全评估、审计、强化和事件响应。 它遵循 CIS Amazon Web Services Foundations Benchmark 指南(49 个支票),并有 100 多项额外支票,包括与 GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2 和其他相关的支票。
[自助安全评估] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
Self-Service Security Assessment 使用简单的 AWS CloudFormation 模板进行部署,该模板包括一个带两个子网、一个 NAT 网关、一个 Amazon 弹性计算云 (Amazon EC2) 实例和一个亚马逊简单存储服务 (Amazon S3) 存储桶的专用亚马逊虚拟私有云 (Amazon VPC)。 部署后,开源项目 Prowler 和 ScoutSuite 将被下载并安装在 Amazon EC2 实例中,然后开始使用 AWS API 在本地扫描 AWS 账户,以运行 256 个以上的时间点检查。 这些检查会查看 AWS CloudTrail、Amazon CloudWatch、Amazon EC2、Amazon GuardDuty、AWS 身份和访问管理 (AWS IAM)、亚马逊关系数据库服务 (Amazon Amazon RDS)、Amazon Route 53 和 Amazon S3 等服务的当前 AWS 设置,并根据安全最佳实践对其进行评估。
[AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)
AWS Re: inForce 是一次云安全会议,旨在帮助您提高安全意识和最佳实践。 加入我们,获取专注于 AWS 产品和服务的技术内容、以 AWS 安全领导地位为特色的主题演讲,以及直接接触可以帮助扩展云安全性和合规性知识的专家。