此內容已過時。這個版本的 Well-Architected 框架現在可以在以下位置找到: https://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/security.html

SEC 6: 您如何保護運算資源?

工作負載中的運算資源需有多層防護,協助防範外部和內部威脅。運算資源包括 EC2 執行個體、容器、AWS Lambda 函數、資料庫服務、IoT 裝置等。

資源

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

最佳實務:

改進方案

執行漏洞管理

  • 設定 Amazon Inspector: Amazon Inspector 會測試 Amazon EC2 執行個體的網路存取性,以及在這些執行個體上執行之應用程式的安全狀態。Amazon Inspector 會評估應用程式的暴露情況、漏洞和偏離最佳實務的程度。
    What is Amazon Inspector?
  • 掃描原始碼: 掃描程式庫和相依性中的漏洞。
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools

    • 減少受攻擊面

  • 強化作業系統: 設定作業系統以符合最佳實務。
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • 強化容器化資源: 設定容器化資源以符合安全最佳實務。
  • AWS Lambda 最佳實務: 實作 AWS Lambda 最佳實務
    AWS Lambda best practices

    • 實作受管服務

  • 探索可用的服務: 探索、測試和實作可管理資源的服務,例如 Amazon RDS、AWS Lambda 和 Amazon ECS。
    AWS Home

    • 自動化運算保護

  • 自動化組態管理: 透過使用組態管理服務或工具,來自動執行和驗證安全組態。
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • 自動修補 EC2 執行個體: AWS Systems Manager 修補程式管理員可將管理執行個體在安全相關與其他類型方面的更新修補過程自動化。您可以使用修補程式管理員為作業系統和應用程式套用修補程式。
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • 實作入侵偵測和預防: 實作入侵偵測和預防工具,以監控和阻止執行個體上的惡意活動。
  • 考慮 APN 合作夥伴解決方案: APN 合作夥伴提供數百種領先業界的產品,這些產品與您內部部署環境中的現有控制項相當、相同或互相整合。這些產品可補充現有的 AWS 服務,讓您能夠在雲端和內部部署環境中部署全方位的安全架構,以及提供更流暢的體驗。
    Infrastructure security

    • 讓人員在遠距離執行動作

  • 取代主控台存取: 以 AWS Systems Manager Run Command 取代執行個體的主控台存取 (SSH 或 RDP),以自動化管理任務。
    AWS Systems Manager Run Command

    • 驗證軟體完整性

  • 調查機制: 程式碼簽署是用來驗證軟體完整性的一種機制。
    NIST: Security Considerations for Code Signing