如何保護 EC2 執行個體以符合合規性計畫的要求?
3 分的閱讀內容
0
我想保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的安全性,以符合合規性計畫的要求。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
您有責任遵守合規性法律、法規和隱私權計畫。有關現有合規性計畫的詳細資訊,請參閱 AWS 合規性計畫。
下表包括常見的合規性計畫、其要求,以及可協助您設定合規性的 AWS 服務:
| 合規性計畫 | 關鍵要求 | 要使用的 AWS 服務 |
|---|---|---|
| SOC 2 | 安全性、可用性和保密性 | AWS Identity and Access Management (IAM)、AWS CloudTrail、AWS Config、Amazon GuardDuty |
| 健康保險流通與責任法案 (HIPAA) | 電子受保護健康資訊 (ePHI) 的加密與存取日誌 | AWS Key Management Service (KMS)、CloudTrail、Amazon Macie |
| 支付卡資料安全標準 (PCI DSS) | 持卡人資料保護與 Web 應用程式防火牆 (WAF) | AWS WAF、AWS Shield、Amazon Inspector |
| 一般資料保護規範 (GDPR) | 個人身分識別資訊 (PII) 保護與刪除權 | Macie,AWS Lambda |
| ISO 27001 | 風險管理與加密 | AWS Security Hub、AWS Artifact |
| 國家標準與技術研究院 (NIST) 800-53 | 存取控制和記錄 | AWS Organizations 服務控制政策 (SCP) |
| 聯邦風險與授權管理計畫 (FedRAMP) | 美國政府雲端安全 | AWS GovCloud (美國)、AWS Control Tower |
若要符合合規性要求,最佳做法是為您的 EC2 執行個體實施分層安全方法。
使用存取控制來遵守最小特權原則
若要設定 SOC 2、NIST 和 ISO 27001 等程序的合規性,請執行以下動作:
- 使用 IAM Identity Center 主控台或 AWS CLI 強制所有使用者實施多重要素驗證 (MFA)。
**注意:**PCI DSS 和 SOC 2 需要強制執行 MFA。 - 使用 IAM 角色,而不是根使用者或長期憑證。
- 套用 SCP 來限制危險行為。
設定靜態和傳輸加密
若要設定 HIPPA、PCI DSS 和 GDPR 等計畫的合規性,請執行下列動作:
- 啟動 Amazon Elastic Block Store (Amazon EBS) 加密。
**注意:**您可以為新的 EBS 磁碟區和快照設定自動加密。 - 強制執行 TLS 1.2 或更新版本。
**注意:**這是 PCI DSS 的要求。 - 使用 AWS Certificate Manager (ACM) 憑證管理 HTTPS 流量。
- 將您的安全群組設定為封鎖非 SSL/TLS 流量。
**注意:**若要僅允許加密流量,請允許 SSL/TLS 連接埠 (例如 443、465 和 587),並封鎖純文字連接埠 (例如 80、21 和 3306)。如需安全群組的詳細資訊,請參閱不同使用案例的安全群組規則。 - 將安全群組規則與應用程式層級強制執行結合,例如 HTTP 嚴格傳輸安全 (HSTS)。
設定網路安全防火牆
若要設定 PCI DSS、FedRAMP 和 NIST 等程式的合規性,請執行下列動作:
- 將安全群組限制為僅允許所需的連接埠。
- 使用 AWS WAF 保護您的執行個體。
- 啟動 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌以擷取 IP 位址流量,從而符合 NIST 800-53 的營運最佳做法。
設定稽核記錄
若要設定 SOC 2、ISO 27001 和 HIPAA 等計畫的合規性,請執行下列動作:
- 若要為所有 AWS 區域啟動 CloudTrail,請建立追蹤並將 IsMultiRegionTrail 設定為 true,或更新現有追蹤。
- 將日誌傳送至 Amazon Detective 或 Security Hub,以進行自動合規性檢查。
設定修補程式管理和漏洞掃描
若要設定符合 PCI DSS 和 FedRAMP 等計畫的要求,請執行下列動作:
- 設定 Patch Manager (AWS Systems Manager 的一項功能) 以自動修補您的 Windows 和 Linux 執行個體。
- 使用 Amazon Inspector 掃描您的執行個體,以尋找套件漏洞和網路可達性問題。
設定 SSH 存取
若要設定與 SOC 2、HIPAA、PCI DSS 和 NIST 等計畫的合規性,請執行以下動作:
- 遵守 SSH 存取最佳做法。
- 使用 Session Manager (AWS Systems Manager 的一項功能) 連線到您的執行個體,而不是使用 SSH。
- 將安全群組限制為特定的 IP 位址。
- 停用密碼登入,改用 SSH 金鑰對。
- 每 90 天輪換一次 SSH 金鑰。
設定威脅偵測
若要設定與 SOC 2 和 IS 27001 等計畫的合規性,請設定以下 GuardDuty 設定:
- 將 GuardDuty 與 Security Hub 整合,以升級關鍵調查結果。
- 設定隨需惡意軟體掃描。
- 若要識別對您環境影響最大的安全威脅,請設定禁止規則來移除誤判、低價值調查結果和無需處理的威脅。
擷取有關您執行個體的資訊以產生報告
若要取得執行個體的資料 (例如 ID、標籤和合規性狀態),請執行下列 describe-instances AWS CLI 命令:
aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv
**重要:**最佳做法是定期審核和更新您的組態,以便在標準發生變化時保持合規性。
沒有評論
相關內容
- 已提問 2 年前
- 已提問 2 年前
- 已提問 1 年前
