我在 ca-central-1 区域部署了控制塔,并通过专用管理员帐户启用了安全中心和 aws config(默认情况下通过控制塔提供审计帐户)。
然后我启用了以下安全标准:
- PCI DSS v3.2.1
- 独联体 AWS 基础基准 v1.2.0
- AWS 基础安全最佳实践 v1.0.0
对于 AWS Config,我部署了以下一致性包:
- NIST CSF 的操作最佳实践
- CIS AWS Foundations Benchmark v1.3 级别 1 的运营最佳实践
- CIS AWS Foundations Benchmark v1.3 Level 2 的运营最佳实践
- AWS 架构完善的框架安全支柱的运营最佳实践
在启用这些安全中心标准和配置一致性包后,我在各自的资源上发现了以下发现和违规行为:
- s3-bucket-logging-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1)
- s3-bucket-default-lock-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1 & aws-controltower-s3-logs-ca-central-1)
- Lambda 函数应该在 VPC 中(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
- Lambda 函数应配置死信队列(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
为了摆脱这些违规行为,我需要以某种方式进行补救或抑制/删除这些发现。请记住,由于严格的 SCP 会阻止对上述资源及其配置进行更改,因此修复可能会很困难且令人讨厌。为了能够补救,您必须删除 SCP,将您的控制塔置于漂移状态,进行必要的更改,然后修复控制塔。您可以看到为什么这不是一个好主意。
从合规性的角度来看,是否可以压制或删除这些发现/违规行为?