Sysdig: 26 AWS biztonsági best practice
A biztonság az AWS egyik alappillére. A biztonsági kockázatok minimalizálása és a környezet védelme érdekében elengedhetetlen az AWS biztonsági legjobb gyakorlatainak szolgáltatásonként rendszerezett követése. Ez a strukturált megközelítés segít a potenciális sérülékenységek proaktív kezelésében és a robusztus, biztonságos felhőarchitektúra fenntartásában.
A Sysdig által összeállított 26 db AWS biztonsági legjobb gyakorlat:
AWS IAM
Az IAM házirendek nem engedélyezhetik a teljes „*” rendszergazdai jogosultságokat.
Az IAM felhasználókhoz nem tartozhatnak IAM házirendek.
Az IAM-felhasználók hozzáférési kulcsait legfeljebb 90 naponta kell cserélni.
Az IAM root ne tartozzon user access kulcs.
Az MFA-t minden olyan IAM-felhasználó számára engedélyezni kell, aki konzoljelszóval rendelkezik.
A hardveres MFA-t engedélyezni kell a root felhasználó számára.
Az IAM-felhasználók jelszóirányelveinek erős konfigurációval kell rendelkezniük.
A fel nem használt IAM felhasználói hitelesítő adatokat el kell távolítani.
Amazon S3
Az S3 nyilvános hozzáférés blokkolása beállítást engedélyezni kell.
Az S3 Bucketek-ben engedélyezni kell a kiszolgálóoldali titkosítást.
Az S3 Block Public Access beállításnak a bucket szintjén engedélyezve kell lennie.
AWS CloudTrail
A CloudTrail-t engedélyezni kell, és legalább egy multi-Region trail-el kell konfigurálni.
A CloudTrail esetében engedélyezni kell a titkosítást a tárolt adatokra (at rest).
Biztosítani kell, hogy a CloudTrail naplófájl-érvényesítés engedélyezve legyen.
AWS Config
Az AWS Config-ot engedélyezni kell.
Amazon EC2
A csatolt EBS kötetek titkosítása.
A VPC áramlási naplózást minden VPC-ben engedélyezni kell.
A VPC alapértelmezett security group nem engedélyezheti a bejövő és kimenő forgalmat.
Az EBS alapértelmezett titkosításának engedélyezése.
AWS DMS
Az AWS Database Migration Service replikációs példányai nem lehetnek nyilvánosak.
Amazon EBS
Az Amazon EBS snapshot-ok nem lehetnek nyilvánosak.
Amazon OpenSearch Service
Az Elasticsearch tartományok esetében engedélyezni kell a nyugalmi titkosítást (at rest).
Amazon SageMaker
A SageMaker notebook példányok nem rendelkezhetnek közvetlen internet-hozzáféréssel.
AWS Lambda
A Lambda függvényeknek támogatott runtime-okat kell használniuk.
AWS KMS
Az AWS KMS kulcsokat nem szabad véletlenül törölni.
Amazon GuardDuty
A GuardDuty-t engedélyezni kell.
