AWS Control Tower hiện đã hỗ trợ 22 loại proactive control (kiểm soát chủ động) mới và 10 loại AWS Security Hub detection control. Hãy cùng Sunny Cloud tìm hiểu về bản nâng cấp này.

Proactive control của AWS Control Tower là gì?

Trước đây Control Tower có hai loại Guardrails (rào chắn) là Preventive guardrails (rào chắn dự phòng) và detective guardrails (rào chắn nhận biết). Proactive Guardrails (rào chắn chủ động) là loại mới được công bố trong bản cập nhật năm 2022

Preventive guardrails (rào chắn dự phòng) 

Chế độ dự phòng loại bỏ các hành động dẫn đến vi phạm chính sách, vì vậy tài khoản có thể duy trì việc tuân thủ chính sách. Trạng thái điều khiển dự phòng có thể là enable (kích hoạt) hoặc disable (vô hiệu hóa).

Detective guardrails (rào chắn nhận biết)

Chế độ phát hiện tìm ra các tài nguyên trong tài khoản không tuân thủ chính sách, và cung cấp cảnh báo thông qua dashboard. Nó sẽ phát hiện những vi phạm khi kết hợp với AWS Config.

Proactive Guardrails (rào chắn chủ động)

Sử dụng AWS CloudFormation Hooks để ngăn chặn việc tạo ra các tài nguyên vi phạm trước từ AWS CloudFormation. Các Proactive control của AWS Control Tower nâng cao khả năng điều khiển dự phòng và điều khiển nhận biết vốn có của AWS Control Tower.

Trên bảng điều khiển AWS Control Tower, bạn có thể xem các control được nhóm theo danh mục được chỉ định của chúng, phân bổ như sau:

  • Control objectives: Mục tiêu cụ thể để triển khai control trong môi trường.
  • Frameworks: Khung tuân thủ tiêu chuẩn ngành.
  • ervices: Các dịch vụ AWS có thể được quản lý bằng control.
Cấu hình của AWS Control Tower
Cấu hình của AWS Control Tower

Nội dung cập nhật

Được quản lý bởi AWS Control Tower bạn có thể sử dụng các control như mã hóa dữ liệu truyền tải, mã hóa dữ liệu lưu trữ, sử dụng xác thực mạnh.

Proactive control sẽ chặn các tài nguyên không tuân thủ chính sách trước khi cung cấp các dịch vụ như Amazon Athena, Amazon EMR, AWS Glue, Amazon DynamoDB Accelerator (DAX), Amazon Neptune.

Bản cập nhật này đã mở rộng phạm vi kiểm soát trong thư viện control của AWS Control Tower, và đã thêm vào control của các dịch vụ như Amazon Athena, Amazon EMR, Amazon Neptune.

Danh sách các tiền tố: 

  • Các control Guardrails đã được cung cấp nhiều năm: ‘AWS-GR.’
  • Các control mới (bao gồm Proactive Control): ‘CT.’
  • Các control ‘Best Practices Security’ của Security Hub: ‘SH.’.

Danh sách các Proactive control mới trong bản cập nhật 2023

[CT.ATHENA.PR.1] Require an Amazon Athena workgroup to encrypt Athena query results at rest
[CT.ATHENA.PR.2] Require an Amazon Athena workgroup to encrypt Athena query results at rest with an AWS Key Management Service (KMS) key
[CT.CLOUDTRAIL.PR.4] Require an AWS CloudTrail Lake event data store to enable encryption at rest with an AWS KMS key
[CT.DAX.PR.2] Require an Amazon DAX cluster to deploy nodes to at least three Availability Zones
[CT.EC2.PR.14] Require an Amazon EBS volume configured through an Amazon EC2 launch template to encrypt data at rest
[CT.EKS.PR.2] Require an Amazon EKS cluster to be configured with secret encryption using AWS Key Management Service (KMS) keys
[CT.ELASTICLOADBALANCING.PR.14] Require a Network Load Balancer to have cross-zone load balancing activated
[CT.ELASTICLOADBALANCING.PR.15] Require that an Elastic Load Balancing v2 target group does not explicitly disable cross-zone load balancing
[CT.EMR.PR.1] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data at rest in Amazon S3
[CT.EMR.PR.2] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data at rest in Amazon S3 with an AWS KMS key
[CT.EMR.PR.3] Require that an Amazon EMR (EMR) security configuration is configured with EBS volume local disk encryption using an AWS KMS key
[CT.EMR.PR.4] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data in transit
[CT.GLUE.PR.1] Require an AWS Glue job to have an associated security configuration
[CT.GLUE.PR.2] Require an AWS Glue security configuration to encrypt data in Amazon S3 targets using AWS KMS keys
[CT.KMS.PR.2] Require that an AWS KMS asymmetric key with RSA key material used for encryption has a key length greater than 2048 bits
[CT.KMS.PR.3] Require an AWS KMS key policy to have a statement that limits creation of AWS KMS grants to AWS services
[CT.LAMBDA.PR.4] Require an AWS Lambda layer permission to grant access to an AWS organization or specific AWS account
[CT.LAMBDA.PR.5] Require an AWS Lambda function URL to use AWS IAM-based authentication
[CT.LAMBDA.PR.6] Require an AWS Lambda function URL CORS policy to restrict access to specific origins
[CT.NEPTUNE.PR.4] Require an Amazon Neptune DB cluster to enable Amazon CloudWatch log export for audit logs
[CT.NEPTUNE.PR.5] Require an Amazon Neptune DB cluster to set a backup retention period greater than or equal to seven days
[CT.REDSHIFT.PR.9] Require that an Amazon Redshift cluster parameter group is configured to use Secure Sockets Layer (SSL) for encryption of data in transit

Danh sách các security control mới trong bản cập nhật 2023

[SH.Athena.1] Athena workgroups should be encrypted at rest
[SH.Neptune.1] Neptune DB clusters should be encrypted at rest
[SH.Neptune.2] Neptune DB clusters should publish audit logs to CloudWatch Logs
[SH.Neptune.3] Neptune DB cluster snapshots should not be public
[SH.Neptune.4] Neptune DB clusters should have deletion protection enabled
[SH.Neptune.5] Neptune DB clusters should have automated backups enabled
[SH.Neptune.6] Neptune DB cluster snapshots should be encrypted at rest
[SH.Neptune.7] Neptune DB clusters should have IAM database authentication enabled
[SH.Neptune.8] Neptune DB clusters should be configured to copy tags to snapshots
[SH.RDS.27] RDS DB clusters should be encrypted at rest

Tham khảo 

【アップデート】AWS Control Tower が22種類の新しいプロアクティブコントロールと10種類のAWS Security Hub 検出コントロールをサポートしました