实验概览
本实验将指导您完成审计 AWS 资源的步骤,以确保您的配置符合基本的安全最佳实践。本实验使用 AWS Trusted Advisor,因为它适用于安全性。涵盖的主题包括使用安全组、多重身份验证 (MFA) 和 AWS Identity and Access Management (IAM)。
目标
本实验结束时,您将能够:
- 使用 Trusted Advisor 执行基本的 AWS 资源审计
- 修改 Amazon Elastic Compute Cloud (Amazon EC2) 安全组以符合最佳实践
- 配置多重身份验证 (MFA)(可选任务,需要在移动设备上安装软件)
技术性知识先决条件
要成功完成本实验,您应熟悉 Amazon EC2 等 AWS 服务,并对安全组有基本的了解。您应当能够轻松登录和使用 AWS 管理控制台并熟悉 IAM。
时长
完成本实验需要 90 分钟。
图标键
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 可用于验证所执行的步骤/任务的输出的示例输出。
- 一项提示、技巧或重要指导。
- 附加信息:查找详细信息的位置。
AWS 安全最佳实践
责任共担模式
AWS 安全模型采用责任共担模式,这要求 AWS 和客户共同努力实现安全目标。AWS 提供了高度安全且可用的底层基础设施,所有 AWS 服务都在该基础设施上运行。AWS 安全层包括物理硬件、设施、网络基础设施和虚拟化基础设施的安全性。
AWS 直接控制范围以外的层要求客户负责妥善保护他们在云基础设施中使用的资源。
保护云资源的安全
AWS 提供了许多控制措施,客户可以使用这些控制措施来保护他们在云中的信息资产。这些措施包括 IAM、Amazon Virtual Private Cloud (VPC)、安全组、网络 ACL 和证书。
在 AWS 中构建和维护基于云的基础设施时,请务必遵循最佳实践,以确保您的数据和资源安全无虞,这一点很重要。
安全性、身份与合规性的最佳实践是了解 Amazon Web Services 中的安全最佳实践的有用参考指南。
AWS Trusted Advisor
AWS Trusted Advisor 针对以下五个类别提供了最佳实践:
- 成本优化
- Security
- 容错能力
- 性能提升
- 服务限制
您可以使用超过 60 项 AWS Trusted Advisor 检查来监控和改进 Amazon EC2、Elastic Load Balancing (ELB)、Amazon Elastic Block Store (Amazon EBS)、Amazon Simple Storage Service (Amazon S3)、Amazon EC2 Auto Scaling、AWS Identity and Access Management (IAM)、Amazon Relational Database Service (Amazon RDS)、Amazon Route 53 以及其他服务的部署。您可以在 AWS Trusted Advisor Recommendations(建议)页面上查看 AWS 资源的整体状态和预估节省金额。
AWS Trusted Advisor 在确保您遵循安全最佳实践方面特别有用。在本实验中,您将使用 AWS Trusted Advisor 的免费安全检查。
AWS Trusted Advisor 定价
如果您参与了 Basic Support 计划和 Developer Support 计划,则可以使用 Trusted Advisor 控制台访问 Service limits(服务限制)类别中的所有检查,以及 Security(安全性)类别中的以下检查:
Security Groups – Specific Ports Unrestricted(安全组 – 特定端口不受限制):检查安全组中是否存在允许不受限制地访问 (0.0.0.0/0) 特定端口的规则。不受限制的访问会提高出现恶意活动的几率(黑客攻击、拒绝服务攻击、数据丢失)。风险最高的端口会标记为红色,风险较低的端口会标记为黄色。标记为绿色的端口通常由需要不受限制的访问权限的应用程序使用,如 HTTP 和 SMTP 端口。
IAM Use(IAM 使用情况):检查您对 IAM 的使用情况。您可以使用 IAM 在 AWS 中创建用户、组和角色,还可以使用各种权限控制对 AWS 资源的访问。
根账户上的多重身份验证:检查根账户,如果未启用多重身份验证 (MFA),则发出警告。为了提高安全性,AWS 建议您使用多重身份验证来保护账户,当用户在与 AWS 控制台和相关网站交互时,多重身份验证将要求用户输入其多重身份验证硬件或虚拟设备提供的唯一身份验证代码。
Amazon EBS 公有快照:检查您的 Amazon EBS 卷快照的权限设置,并在任何快照被标记为公有快照时向您发送提醒。如果您将某个快照标记为公有快照,那么您将向所有 AWS 账户和用户提供对快照上所有数据的访问权限。如果您想与特定用户或账户共享快照,请将快照标记为私有快照,然后指定要与您共享快照数据的用户或账户。
Amazon RDS Public Snapshots(Amazon RDS 公有快照):检查您的 Amazon RDS 数据库快照的权限设置,并在任何快照被标记为公有快照时向您发送提醒。如果您将某个快照标记为公有快照,那么您将向所有 AWS 账户和用户提供对快照上所有数据的访问权限。如果您想与特定用户或账户共享快照,请将快照标记为私有快照,然后指定要与您共享快照数据的用户或账户。
MFA on root account(根账户上的多重身份验证):检查根账户,如果未启用多重身份验证 (MFA),则发出警告。
其中一些检查可以用作对安全配置的非常基本的审计。要获得全部的超过 60 项检查的完全访问权限,您必须将您的账户升级到 Business Support 计划或 Enterprise Support 计划。
有关 AWS Support 定价的更多信息,请访问 AWS Support 计划
多重身份验证设备
多重身份验证 (MFA) 设备可以是虚拟设备,也可以是物理设备。对于物理多重身份验证设备,您需要购买 Gemalto 硬件 KeyFob 或显卡。另外,您也可以使用 Android、iPhone、Windows 和 Blackberry 移动设备上的多个免费的受支持虚拟多重身份验证应用程序之一。在本实验中,您将演练如何在移动设备上设置虚拟多重身份验证应用程序。如果您不想完成这一步,则可以跳过。
请参考这个受支持的虚拟多重身份验证应用程序列表,查看是否有适用于您的移动设备的选项:IAM 的多重身份验证 (MFA)