等保3级(中国区AWS Config)

1 - 通过Amazon Config实现等保3级合规性持续监控

拿到等保三级认证以后，如果希望部署实施的安全措施可以持续发挥安全作用，则建议按照以下指引配置Amazon Config，定期检查不合规的资源并及时进行修复。

使用预置的Config规则

添加规则的时候使用所列出的规则，规则名称放在了标题中，比如iam-password-policy：

添加规则

设置Config的资源

注意在“设置”中添加资源类型要包括IAM: Group, IAM: Policy, IAM: Role, IAM: User, EC2: SecurityGroup, EC2: VPC, EC2: EIP, EC2: Instance, EC2: Host, EC2: Subnet, EC2: NetworkAcl, EC2, RouteTable, CloudTrail: Trail。

否则无法检测出结果。

添加需要记录的资源类型

1 - iam-password-policy + access-keys-rotated

iam-password-policy

查看 IAM 用户的账户密码策略是否符合指定要求。

access-keys-rotated

查看活动访问密钥是否在 maxAccessKeyAge 中指定的天数内轮换。如果访问密钥未在 maxAccessKeyAge 中指定的天数内进行轮换，则此规则不合规。

原文要求control：8.1.4.1 身份鉴别，a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

检查结果为不合规的修复建议：按照IAM账户设置最佳实践进行配置。

2 - iam-user-mfa-enabled

查看 亚马逊云科技 Identity and Access Management 用户是否启用了 Multi-Factor Authentication (MFA)。

原文要求control：8.1.4.1 身份鉴别， d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别， 且其中一种鉴别技术至少应使用密码技术来实现。

检查结果为不合规的修复建议：为IAM的用户启用MFA。

3 - iam-root-access-key-check

查看根用户访问密钥是否可用。如果用户访问密钥不存在，则该规则合规。

原文要求control：8.1.4.2 访问控制， b) 应重命名或删除默认账户，修改默认账户的默认口令；

检查结果为不合规的修复建议：删除根用户的访问密钥

4 - iam-user-unused-credentials-check

查看您的 亚马逊云科技 Identity and Access Management (IAM) 用户是否在您提供的指定天数内有未使用的密码或活动访问密钥。默认指定的天数为90天，可以修改指定的天数。

原文要求control：8.1.4.2 访问控制，c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

检查结果为不合规的修复建议：查找未使用的凭证，然后删除。建议未使用超过90天的删除。

5 - alb-http-to-https-redirection-check

查看是否已在 Application Load Balancer 的所有 HTTP 侦听器上配置了 HTTP 到 HTTPS 重定向。如果 Application Load Balancer 的一个或多个 HTTP 侦听器未配置 HTTP 到 HTTPS 重定向，则该规则属于 NON_COMPLIANT。

原文要求control：8.1.4.8 数据保密性， a) 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

检查结果为不合规的修复建议：为您的 Application Load Balancer 创建 HTTPS 侦听器

6 - cloudtrail-security-trail-enabled

查看是否已在您的 亚马逊云科技 账户中启用 Amazon CloudTrail。(可选) 您可以指定要使用的 S3 存储桶、SNS 主题和 Amazon CloudWatch logs ARN。

原文要求control：8.1.4.3 安全审计，a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

原文要求control：8.1.4.3 安全审计，c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

配置角色权限满足原文的以下要求：

原文要求control：8.1.4.3 安全审计，d) 应对审计进程进行保护，防止未经授权的中断。

检查结果为不合规的修复建议： 创建cloudtrail的管理事件跟踪，记录每个用户的行为和安全事件。 仅SecurityManager拥有权限可以关闭CloudTrail，其他人无法关闭CloudTrail，防止未经授权的中断。

7 - vpc-sg-open-only-to-authorized-ports + vpc-default-security-group-closed + vpc-network-acl-unused-check

vpc-sg-open-only-to-authorized-ports

查看任何包含入站 0.0.0.0/0 的安全组是否具有可访问的 TCP 或 UDP 端口。当包含入站 0.0.0.0/0 的安全组具有规则参数中未指定的可访问端口时，该规则 NON_COMPLIANT。

vpc-default-security-group-closed

查看 Amazon Virtual Private Cloud‎ (VPC) 的默认安全组是否均不允许入站或出站流量。如果该默认安全组有一个或多个入站或出站流量，则该规则不合规。

vpc-network-acl-unused-check

Checks if there are unused Network Access Control Lists (NACLs). The rule is NON_COMPLIANT if an NACL is not associated with a subnet.

原文要求control：8.1.4.4 入侵防范，b) 应关闭不需要的系统服务、默认共享和高危端口；

检查结果为不合规的修复建议：

指定入站 0.0.0.0/0安全组的可访问的 TCP 或 UDP 端口；比如选择安全组，编辑入站规则，指定22端口的访问来源为企业VPN网段（注意⚠️：创建一个新的安全组，不要使用默认安全组）：

禁用默认安全组的进出流量，删除默认安全组的出站规则和入站规则：

2 - 通过Amazon Security实现集中监控

原文要求control： 8.1.5.4 集中管控，c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；