實驗室概觀
此實驗室將引導您逐步稽核您的 AWS 資源,以確保您的設定遵守基本安全最佳實務。此實驗室使用 AWS Trusted Advisor,因為它適用於安全。涵蓋的主題包含使用安全群組、多重因素驗證 (MFA) 和 AWS Identity and Access Management (IAM)。
目標
此實驗室結束後,您將能夠執行下列動作:
- 使用 Trusted Advisor 對您的 AWS 資源執行基本稽核
- 修改 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組以符合最佳實務
- 設定多重因素驗證 (MFA) (選用;需要在行動裝置安裝軟體)
技術知識先決條件
若要成功完成此實驗室,您應熟悉 AWS 服務 (包括 Amazon EC2),並對安全群組有基本的了解。您應熟悉登入和使用 AWS 管理主控台,並了解 IAM。
持續時間
此實驗室將需要 90 分鐘的時間來完成。
圖示圖例
此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。下列清單說明各圖示的用途:
- 您可使用的範例輸出,以驗證您在執行步驟/任務後所輸出的內容。
- 提示、秘訣或重要指引。
- 其他資訊:取得更多資訊的位置。
AWS 安全最佳實務
共同責任模型
AWS 安全模型採行共同責任的形式,因此 AWS 和客戶需要共同合作來達成安全目標。AWS 提供高度安全且可用的基礎設施,所有 AWS 服務都可以在其上運行。AWS 安全層面包括實際硬體、設施、網路基礎設施和虛擬化基礎設施的安全。
AWS 直接控制項以外的層面則是客戶的責任,他們需要以正確的方式保護在雲端基礎設施中使用的資源。
保護雲端資源
AWS 提供數種控制項,可讓客戶用來保護雲端中的資訊資產。這些包括 IAM、Amazon Virtual Private Clouds (VPC)、安全群組、網路 ACL 和憑證。
在 AWS 中建立和維護以雲端為基礎的基礎設施時,遵循最佳實務非常重要,這樣才能保護資料和資源的安全。
安全、身分與合規最佳實務是很實用的參考指南,可協助您了解 Amazon Web Services 中的安全最佳實務。
AWS Trusted Advisor
AWS Trusted Advisor 提供 5 種類別的最佳實務:
- 成本最佳化
- 安全
- 容錯能力
- 效能改進
- 服務上限
您可以使用超過 60 種 AWS Trusted Advisor 檢查來監控並改善 Amazon EC2、Elastic Load Balancing (ELB)、Amazon Elastic Block Store (Amazon EBS)、Amazon Simple Storage Service (Amazon S3)、Amazon EC2 Auto Scaling、AWS Identity and Access Management (IAM)、Amazon Relational Database Service (Amazon RDS)、Amazon Route 53 和其他服務的部署。您可以在 AWS Trusted Advisor 建議頁面上檢視 AWS 資源和預估節省成本的整體狀態。
若要確認您是否遵循安全最佳實務,AWS Trusted Advisor 特別有用。在此實驗室中,您會使用 AWS Trusted Advisor 的免費安全檢查。
AWS Trusted Advisor 定價
如果您有 Basic Support 和 Developer Support 計劃,您可以使用 Trusted Advisor 主控台存取服務上限類別中的所有檢查,以及下列安全類別中的檢查:
安全群組 - 特定連接埠不受限制:針對允許不受限制存取 (0.0.0.0/0) 特定連接埠的規則檢查安全群組。不受限制存取會增加惡意活動 (駭客入侵、拒絕服務攻擊、資料遺失) 的機會。擁有最高風險的連接埠會標示為紅色,擁有較低風險的則會標示為黃色。以綠色標示的連接埠通常是由需要不受限制存取 (如 HTTP 和 SMTP) 的應用程式使用。
IAM 使用:檢查您的 IAM 使用情況。您可以使用 IAM,在 AWS 中建立使用者、群組和角色,然後可以利用許可來控制 AWS 資源的存取權。
根帳戶的 MFA:檢查根帳戶,並在多重因素驗證 (MFA) 未啟用時發出警告。為了提高安全性,AWS 建議您使用 MFA 來保護您的帳戶,此驗證機制會要求使用者與 AWS 主控台與關聯網站互動時,輸入從其 MFA 硬體或虛擬裝置取得的獨特驗證碼。
Amazon EBS 公有快照:檢查您 Amazon EBS 磁碟區快照的許可設定,如果任何快照標記為公開,系統就會通知您。當您公開快照時,您會將快照上所有資料的存取權授與所有 AWS 帳戶和使用者。如果您想要與特定使用者或帳戶分享快照,請將快照標記為私有,然後指定您要分享快照資料的使用者或帳戶。
Amazon RDS 公有快照:檢查您 Amazon RDS 資料庫快照的許可設定,如果任何快照標記為公開,系統就會通知您。當您公開快照時,您會將快照上所有資料的存取權授與所有 AWS 帳戶和使用者。如果您想要與特定使用者或帳戶分享快照,請將快照標記為私有,然後指定您要分享快照資料的使用者或帳戶。
根帳戶的 MFA:檢查根帳戶,並在多重因素驗證 (MFA) 未啟用時發出警告
部分檢查可用來做為安全組態的最基本稽核。若要完整取得所有 60 種以上的檢查,您必須將您的帳戶升級到 Business Support 或 Enterprise Support 計劃。
您可以在 AWS Support 計劃 找到更多 AWS Support 定價資訊
MFA 裝置
多重因素驗證 (MFA) 裝置可以是虛擬或實體。若要使用實體 MFA,您需要購買 Gemalto 硬體金鑰包或顯示卡。或者,您也可以使用其中一種免費支援的虛擬 MFA 應用程式,適用於 Android、iPhone、Windows 和 Blackberry 行動裝置。在此實驗室中,您會在行動裝置上逐步設定虛擬 MFA。如果您不方便執行此步驟,您可以略過。
請查詢這份虛擬 MFA 應用程式支援清單,以了解您的行動裝置是否有適用選項:IAM 的多重因素驗證 (MFA)