SEC 1: 如何安全地操作您的工作负载？

为了安全地操作您的工作负载，您必须对安全性的各个方面应用总体最佳实践。采用您在组织和工作负载层面的卓越运营中定义的要求和流程，并将它们应用到各个方面。及时了解最新的 AWS、行业建议以及威胁情报信息可帮助您改进您的威胁模型和控制目标。实现安全流程、测试和验证的自动化可扩展您的安全运营。

资源

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

最佳实践:

• 使用账户分隔工作负载: 根据函数或一组通用控件，在单独的账户和组账户中整理工作负载，而不是镜像您公司的报告结构。从安全性和基础设施入手，随着工作负载的增长，使您的组织能够设置通用防护。

• 保护 AWS 账户: 安全访问您的账户，例如，启用 MFA 并限制根用户的使用，以及配置账户联系人。

• 识别并验证控制目标: 根据您的合规性要求以及从威胁模型中发现的风险，获得并验证您需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。

• 及时了解最新的安全威胁: 通过及时了解最新的安全威胁来识别攻击媒介，以帮助您定义并实施适当的控制措施。

• 及时了解最新的安全建议: 及时了解最新的 AWS 和行业安全建议，以改善您的工作负载安全状况。

• 在管道中自动执行测试和验证安全控制措施: 为安全机制建立可靠的基准和模板，并将其作为构建、管道和流程的一部分进行测试和验证。利用工具和自动化功能，持续测试并验证所有的安全控制措施。例如，将机器映像和基础设施等项目作为代码模板进行扫描，以发现安全漏洞、异常以及与每个阶段的既定基准的偏差。

• 使用威胁模型识别风险并确定其优先级: 使用威胁模型识别并维护一个最新的潜在威胁登记表。确定您的威胁优先级并调整您的安全控制措施，以进行防范、检测和响应。在不断变化的安全环境中，重新审视和维护此登记表。

• 定期评估和实施新的安全服务和功能: AWS 和 APN 合作伙伴不断推出各种新功能和新服务，以改善您的工作负载安全状况。

改进计划

使用账户分隔工作负载

使用 AWS Organizations: 使用 AWS Organizations 集中实现针对多个 AWS 账户的基于策略的管理。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

考虑 AWS Control Tower: AWS Control Tower 基于最佳实践，提供了一种简单的方法来设置和管理新的、安全的多账户 AWS 环境。
AWS Control Tower

保护 AWS 账户

使用 AWS Organizations: 使用 AWS Organizations 集中实现针对多个 AWS 账户的基于策略的管理。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

限制 AWS 根用户的使用: 只使用根用户执行明确需要根用户的任务。
AWS Tasks That Require AWS Account Root User Credentials

为根用户启用 MFA: 如果 AWS Organizations 没有为您管理根用户，则为 AWS 账户根用户启用 MFA。
Lab: AWS account and root user
Root user

定期更改根用户密码: 更改根用户密码可降低使用已保存的密码的风险。如果您未使用 AWS Organizations 且任何人都具有物理访问权限，那么这一点尤为重要。
Changing the AWS account root user password

使用 AWS 账户根用户时启用通知: 自动接受通知可降低风险。
How to receive notifications when your AWS account's root access keys are used

限制对新添加的区域的访问。: 对于新的 AWS 区域，诸如用户和角色之类的 IAM 资源将仅传播到您启用的区域。
Setting permissions to enable accounts for upcoming AWS Regions

考虑 CloudFormation StackSets: CloudFormation StackSets 可用于通过已批准的模板将资源（包括 IAM 策略、角色和组）部署到不同的 AWS 账户和区域中。
Use CloudFormation StackSets

识别并验证控制目标

确定合规性要求: 了解您的工作负载必须符合的组织、法律和合规性要求。

确定 AWS 合规性资源: 确定 AWS 可帮助您符合合规性的资源。
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

及时了解最新的安全威胁

订阅威胁情报来源: 定期查看来自多个来源、与您在工作负载中使用的技术相关的威胁情报信息。
Common Vulnerabilities and Exposures List

考虑 AWS Shield Advanced 服务: 如果您的工作负载可通过互联网访问，则该服务可让您近乎实时地了解情报来源。
AWS Shield

及时了解最新的安全建议

关注 AWS 更新: 订阅或定期查看新建议、提示与诀窍。
AWS Well-Architected Labs
AWS security blog
AWS service documentation

订阅行业新闻: 定期查看来自多个来源、与您在工作负载中使用的技术相关的新闻动态。
Example: Common Vulnerabilities and Exposures List

在管道中自动执行测试和验证安全控制措施

自动管理配置: 使用配置管理服务或工具自动实施安全配置并对其进行验证。
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

使用威胁模型识别风险并确定其优先级

创建威胁模型: 威胁模型可以帮助您识别和解决潜在的安全威胁。
NIST: Guide to Data-Centric System Threat Modeling

定期评估和实施新的安全服务和功能

规划定期审核: 创建审核活动日历，包括遵守合规性要求、评估新的 AWS 安全功能和服务，以及及时了解行业最新动态。

发现 AWS 服务和功能: 发现适用于您使用的服务的安全功能，并在新功能发布时查看这些功能。
AWS security blog
AWS security bulletins
AWS service documentation

定义 AWS 服务的开始使用流程: 定义新的 AWS 服务的开始使用流程。包括您如何评估新 AWS 服务功能，以及针对工作负载的合规性要求。

测试新的服务和功能: 当有新的服务和功能发布时，在与生产环境非常相似的非生产环境中对其进行测试。

实施其他防御机制: 实施自动化机制来保护您的工作负载和探索可用选项。
Remediating non-compliant AWS resources by AWS Config Rules