Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何保護 EC2 執行個體以符合合規性計畫的要求?
我想保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的安全性,以符合合規性計畫的要求。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
您有責任遵守合規性法律、法規和隱私權計畫。有關現有合規性計畫的詳細資訊,請參閱 AWS 合規性計畫。
下表包括常見的合規性計畫、其要求,以及可協助您設定合規性的 AWS 服務:
| 合規性計畫 | 關鍵要求 | 要使用的 AWS 服務 |
|---|---|---|
| SOC 2 | 安全性、可用性和保密性 | AWS Identity and Access Management (IAM)、AWS CloudTrail、AWS Config、Amazon GuardDuty |
| 健康保險流通與責任法案 (HIPAA) | 電子受保護健康資訊 (ePHI) 的加密與存取日誌 | AWS Key Management Service (KMS)、CloudTrail、Amazon Macie |
| 支付卡資料安全標準 (PCI DSS) | 持卡人資料保護與 Web 應用程式防火牆 (WAF) | AWS WAF、AWS Shield、Amazon Inspector |
| 一般資料保護規範 (GDPR) | 個人身分識別資訊 (PII) 保護與刪除權 | Macie,AWS Lambda |
| ISO 27001 | 風險管理與加密 | AWS Security Hub、AWS Artifact |
| 國家標準與技術研究院 (NIST) 800-53 | 存取控制和記錄 | AWS Organizations 服務控制政策 (SCP) |
| 聯邦風險與授權管理計畫 (FedRAMP) | 美國政府雲端安全 | AWS GovCloud (美國)、AWS Control Tower |
若要符合合規性要求,最佳做法是為您的 EC2 執行個體實施分層安全方法。
使用存取控制來遵守最小特權原則
若要設定 SOC 2、NIST 和 ISO 27001 等程序的合規性,請執行以下動作:
- 使用 IAM Identity Center 主控台或 AWS CLI 強制所有使用者實施多重要素驗證 (MFA)。
**注意:**PCI DSS 和 SOC 2 需要強制執行 MFA。 - 使用 IAM 角色,而不是根使用者或長期憑證。
- 套用 SCP 來限制危險行為。
設定靜態和傳輸加密
若要設定 HIPPA、PCI DSS 和 GDPR 等計畫的合規性,請執行下列動作:
- 啟動 Amazon Elastic Block Store (Amazon EBS) 加密。
**注意:**您可以為新的 EBS 磁碟區和快照設定自動加密。 - 強制執行 TLS 1.2 或更新版本。
**注意:**這是 PCI DSS 的要求。 - 使用 AWS Certificate Manager (ACM) 憑證管理 HTTPS 流量。
- 將您的安全群組設定為封鎖非 SSL/TLS 流量。
**注意:**若要僅允許加密流量,請允許 SSL/TLS 連接埠 (例如 443、465 和 587),並封鎖純文字連接埠 (例如 80、21 和 3306)。如需安全群組的詳細資訊,請參閱不同使用案例的安全群組規則。 - 將安全群組規則與應用程式層級強制執行結合,例如 HTTP 嚴格傳輸安全 (HSTS)。
設定網路安全防火牆
若要設定 PCI DSS、FedRAMP 和 NIST 等程式的合規性,請執行下列動作:
- 將安全群組限制為僅允許所需的連接埠。
- 使用 AWS WAF 保護您的執行個體。
- 啟動 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌以擷取 IP 位址流量,從而符合 NIST 800-53 的營運最佳做法。
設定稽核記錄
若要設定 SOC 2、ISO 27001 和 HIPAA 等計畫的合規性,請執行下列動作:
- 若要為所有 AWS 區域啟動 CloudTrail,請建立追蹤並將 IsMultiRegionTrail 設定為 true,或更新現有追蹤。
- 將日誌傳送至 Amazon Detective 或 Security Hub,以進行自動合規性檢查。
設定修補程式管理和漏洞掃描
若要設定符合 PCI DSS 和 FedRAMP 等計畫的要求,請執行下列動作:
- 設定 Patch Manager (AWS Systems Manager 的一項功能) 以自動修補您的 Windows 和 Linux 執行個體。
- 使用 Amazon Inspector 掃描您的執行個體,以尋找套件漏洞和網路可達性問題。
設定 SSH 存取
若要設定與 SOC 2、HIPAA、PCI DSS 和 NIST 等計畫的合規性,請執行以下動作:
- 遵守 SSH 存取最佳做法。
- 使用 Session Manager (AWS Systems Manager 的一項功能) 連線到您的執行個體,而不是使用 SSH。
- 將安全群組限制為特定的 IP 位址。
- 停用密碼登入,改用 SSH 金鑰對。
- 每 90 天輪換一次 SSH 金鑰。
設定威脅偵測
若要設定與 SOC 2 和 IS 27001 等計畫的合規性,請設定以下 GuardDuty 設定:
- 將 GuardDuty 與 Security Hub 整合,以升級關鍵調查結果。
- 設定隨需惡意軟體掃描。
- 若要識別對您環境影響最大的安全威脅,請設定禁止規則來移除誤判、低價值調查結果和無需處理的威脅。
擷取有關您執行個體的資訊以產生報告
若要取得執行個體的資料 (例如 ID、標籤和合規性狀態),請執行下列 describe-instances AWS CLI 命令:
aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv
**重要:**最佳做法是定期審核和更新您的組態,以便在標準發生變化時保持合規性。
相關內容
- 已提問 2 年前
- 已提問 3 年前
- 已提問 1 年前
