AWS Security Best Practices - kompletny checklist 2024

Wprowadzenie

Ten checklist obejmuje kluczowe obszary bezpieczeństwa AWS i może służyć jako podstawa do audytu lub wdrożenia nowego środowiska.

1. Identity and Access Management (IAM)

#

Root Account
- [ ] MFA włączone na koncie root
- [ ] Brak access keys dla root
- [ ] Silne hasło z rotacją

#

Użytkownicy i grupy
- [ ] MFA dla wszystkich użytkowników konsoli
- [ ] Polityka minimalnych uprawnień
- [ ] Regularna rewizja uprawnień

#

Roles
- [ ] Używanie ról zamiast długoterminowych credentials
- [ ] Trust policies ograniczone do minimum
- [ ] Session duration odpowiednie do use case

2. Amazon S3

#

Szyfrowanie
- [ ] Default encryption włączone
- [ ] KMS dla danych wrażliwych
- [ ] Enforce encryption in transit (TLS)

#

Dostęp
- [ ] Block Public Access na poziomie konta
- [ ] Bucket policies ograniczone
- [ ] Access points dla granularnej kontroli

#

Monitoring
- [ ] S3 Access Logs włączone
- [ ] CloudTrail data events
- [ ] Macie dla klasyfikacji danych

3. Compute (EC2, Lambda)

#

EC2
- [ ] IMDSv2 wymuszone
- [ ] Security groups - principle of least privilege
- [ ] EBS encryption domyślnie włączone
- [ ] Systems Manager dla patch management

#

Lambda
- [ ] VPC deployment dla funkcji wymagających dostępu do zasobów prywatnych
- [ ] Secrets w Secrets Manager, nie env vars
- [ ] Resource policies ograniczone

4. Networking (VPC)

#

Architektura
- [ ] Prywatne subnety dla workloadów
- [ ] NAT Gateway dla ruchu wychodzącego
- [ ] VPC Flow Logs włączone

#

Security Groups i NACLs
- [ ] Default security group zablokowana
- [ ] Minimalne porty otwarte
- [ ] Egress filtering

5. Monitoring i Logging

#

CloudTrail
- [ ] Multi-region trail
- [ ] Log file integrity validation
- [ ] Encryption z KMS

#

CloudWatch
- [ ] Alarmy dla krytycznych metryk
- [ ] Log retention policy
- [ ] Insights queries dla bezpieczeństwa

#

GuardDuty
- [ ] Włączony we wszystkich regionach
- [ ] S3 Protection aktywna
- [ ] Malware Protection dla EBS

6. Incident Response

- [ ] Playbooki dla typowych incydentów
- [ ] AWS Config rules dla compliance
- [ ] Automatyczna remediacja z SSM

Podsumowanie

Ten checklist to punkt wyjścia. Każda organizacja powinna dostosować go do swojego profilu ryzyka i wymagań regulacyjnych.